Поделиться через

Интеграция с виртуальной сетью для Azure Data Lake Storage 1-го поколения

В статье описана интеграция с виртуальной сетью для Azure Data Lake Storage 1-го поколения. При интеграции с виртуальной сетью можно настроить учетные записи для приема трафика только из определенных виртуальных сетей и подсетей.

Эта функция помогает защитить учетную запись Data Lake Storage от внешних угроз.

Интеграция виртуальной сети для Data Lake Storage 1-го поколения использует безопасность конечной точки службы виртуальной сети между виртуальной сетью и идентификатором Microsoft Entra для создания дополнительных утверждений безопасности в маркере доступа. Эти утверждения затем используются для аутентификации вашей виртуальной сети к учетной записи Data Lake Storage Gen1 и предоставления доступа.

Замечание

За использование этих возможностей не взимается дополнительная плата. Вам будет выставлен счет по стандартному тарифу за хранилище данных Data Lake 1-го поколения. Дополнительные сведения см. на странице цен. Дополнительные сведения о всех используемых службах Azure см. на странице цен.

Сценарии для интеграции с виртуальной сетью для ADLS 1-го поколения

Интеграция с виртуальной сетью для хранилища данных Data Lake первого поколения позволяет ограничить доступ к вашей учетной записи только из определённых виртуальных сетей и подсетей. Другие виртуальные сети и виртуальные машины не смогут подключиться к вашей учетной записи, после того как она будет привязана к указанной подсети виртуальной сети. Функционально, интеграция Data Lake Storage Gen1 с виртуальной сетью позволяет реализовать тот же сценарий, что и конечные точки служб для виртуальной сети. Несколько ключевых отличий подробно описаны в следующих разделах.

Диаграмма сценария для интеграции с виртуальной сетью для ADLS 1-го поколения

Замечание

В дополнение к правилам виртуальной сети могут использоваться существующие правила брандмауэра для IP-адресов, чтобы также разрешать доступ из локальных сетей.

Оптимальная маршрутизация с интеграцией виртуальной сети для хранилища данных Data Lake первого поколения

Ключевым преимуществом конечных точек служб для виртуальной сети является оптимальная маршрутизация из виртуальной сети. Вы можете выполнить такую же оптимизацию маршрутов для учетных записей Data Lake Storage 1-го поколения. Для этого используйте следующие определяемые пользователем маршруты из вашей виртуальной сети к вашей учетной записи Data Lake Storage Gen1.

Общедоступный IP-адрес ADLS. Используйте общедоступный IP-адрес для целевых учетных записей ADLS 1-го поколения. IP-адреса для учетных записей Azure Data Lake Storage 1-го поколения можно определить, разрешая DNS-имена учетных записей. Создайте отдельную запись для каждого адреса.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

Утечка данных из виртуальной сети клиента

Помимо защиты учетных записей хранилища данных Data Lake для доступа из виртуальной сети, вы также можете удостовериться, что нет утечки данных в несанкционированную учетную запись.

Рекомендуется использовать в виртуальной сети брандмауэр, чтобы фильтровать исходящий трафик на основе URL-адреса учетной записи назначения. Разрешать доступ только одобренным учетным записям Хранилища данных 1-го поколения.

Ниже приведены некоторые доступные варианты.

  • Брандмауэр Azure. Разверните и настройте брандмауэр Azure для вашей виртуальной сети. Чтобы защитить исходящий трафик хранилища данных Data Lake и ограничить его только URL известных и одобренных учетных записей.
  • Брандмауэр сетевого виртуального модуля. Администратор может разрешить использовать только определенных поставщиков коммерческих брандмауэров. Решение брандмауэра сетевого виртуального модуля, доступное в Azure Marketplace, можно использовать для выполнения той же функции.

Замечание

При использовании брандмауэров в пути к данным появляется дополнительный прыжок. Это может влиять на производительность сети в комплексных сценариях обмена данными. Пропускная способность и задержка соединения могут быть затронуты.

Ограничения

  • Кластеры HDInsight, созданные до включения поддержки интеграции с виртуальной сетью для Data Lake Storage 1-го поколения, необходимо создать повторно, чтобы они поддерживали новую функцию.

  • При создании кластера HDInsight выбор учетной записи ADLS 1-го поколения со включенной интеграцией с виртуальной сетью вызовет сбой процесса. Сначала необходимо отключить правило виртуальной сети. Кроме того, можно в колонке Брандмауэр и виртуальные сети учетной записи Data Lake Storage выбрать Allow access from all networks and services (Разрешить доступ из всех сетей и служб). Затем создайте кластер HDInsight, прежде чем повторно включать правило виртуальной сети или отменять выбор параметра Allow access from all networks and services (Разрешить доступ из всех сетей и служб). Дополнительные сведения см. в разделе Исключения.

  • Виртуальная сетевая интеграция с Data Lake Storage 1-го поколения не работает с управляемыми удостоверениями для ресурсов Azure.

  • Данные файлов и папок в учетной записи Data Lake Storage Gen1 с поддержкой виртуальной сети недоступны на портале. Ограничение включает доступ из виртуальной машины, расположенной в виртуальной сети, и такие действия, как использование обозревателя данных. Действия по управлению учетными записями продолжают работать. Данные файлов и папок в учетной записи хранилища данных Azure Data Lake с интеграцией с виртуальной сетью доступны через все ресурсы, кроме интерфейса портала. Эти ресурсы включают доступ к пакетам SDK, скрипты PowerShell и другие службы Azure, если они поступают не из портала.

Конфигурация

Шаг 1. Настройка виртуальной сети для использования конечной точки службы Microsoft Entra

  1. Перейдите на портал Azure и войдите, используя свою учетную запись Azure.

  2. Создайте виртуальную сеть в подписке. Или вы можете перейти к существующей виртуальной сети. Виртуальная сеть должна находиться в том же регионе, что и учетная запись ADLS 1-го поколения.

  3. В колонке Виртуальная сеть выберите Конечные точки службы.

  4. Нажмите кнопку Добавить, чтобы добавить новую конечную точку службы.

    Добавление конечной точки службы для виртуальной сети

  5. Выберите Microsoft.AzureActiveDirectory как службу для конечной точки.

    Выбор конечной точки службы Microsoft.AzureActiveDirectory

  6. Выберите подсети, для которых вы собираетесь разрешить подключения. Выберите Добавить.

    Выбор подсети

  7. Добавление конечной точки службы может занять до 15 минут. После добавления она появляется в списке. Убедитесь, что оно отображается, и все сведения такие, как настроено.

    Успешное добавление конечной точки службы

Шаг 2. Настройка разрешенной виртуальной сети или подсети для учетной записи Data Lake Storage Gen1.

  1. После настройки виртуальной сети создайте учетную запись Azure Data Lake Storage 1-го поколения в подписке. Вы также можете перейти к существующей учетной записи Data Lake Storage Gen1. Учетная запись хранилища данных Lake Gen1 должна находиться в том же регионе, что и виртуальная сеть.

  2. Выберите пункт Брандмауэр и виртуальные сети.

    Замечание

    Если вы не видите пункт Брандмауэр и виртуальные сети в параметрах, тогда следует выйти из портала. Закройте браузер и очистите его кэш. Перезапустите компьютер и повторите попытку.

    Добавление правила виртуальной сети в учетную запись Data Lake Storage

  3. Выберите Выбранные сети.

  4. Выберите Добавить существующую виртуальную сеть.

    Добавить существующую виртуальную сеть

  5. Выберите виртуальные сети и подсети, чтобы разрешить подключение. Выберите Добавить.

    Выбор виртуальной сети и подсетей.

  6. Убедитесь, что виртуальные сети и подсети отображаются в списке корректно. Выберите Сохранить.

    Сохранение нового правила

    Замечание

    Вступление изменений в силу после сохранения может занять до 5 минут.

  7. [Необязательно.] На странице Брандмауэр и виртуальные сети в разделе Брандмауэр можно разрешить подключение с определенных IP-адресов.

Исключения

Вы можете включить подключение из служб Azure и виртуальных машин за пределами выбранных виртуальных сетей. В колонке Брандмауэр и виртуальные сети в области Исключения выберите один из двух вариантов:

  • Разрешить всем службам Azure доступ к этой учетной записи Data Lake Storage 1-го поколения. Этот параметр позволяет службам Azure, таким как Фабрика данных Azure, Центры событий Azure и все виртуальные машины Azure, взаимодействовать с учетной записью Data Lake Storage.

  • Разрешить Azure Data Lake Analytics доступ к этой учетной записи Data Lake Storage 1-го поколения. Этот параметр разрешает подключение Data Lake Analytics к этой учетной записи Data Lake Storage.

    Исключения брандмауэра и виртуальной сети

Рекомендуется оставить эти исключения отключенными. Включите их, только если вам требуется подключение из других служб за пределами вашей виртуальной сети.