تكامل الشبكة الظاهرية ل Azure Data Lake Storage Gen1

  • مقالة
  • قراءة خلال 5 دقائق

تقدم هذه المقالة تكامل الشبكة الظاهرية ل Gen1 Azure Data Lake Storage. باستخدام تكامل الشبكة الظاهرية، يمكنك تكوين حساباتك لقبول حركة المرور فقط من شبكات افتراضية وشبكات فرعية محددة.

تساعد هذه الميزة على تأمين حسابك Data Lake Storage من التهديدات الخارجية.

يستخدم تكامل الشبكة الظاهرية Data Lake Storage Gen1 أمان نقطة نهاية خدمة الشبكة الظاهرية بين شبكتك الظاهرية وAzure Active Directory (Azure AD) لإنشاء مطالبات أمان إضافية في رمز الوصول. ثم يتم استخدام هذه المطالبات لمصادقة شبكتك الافتراضية على حسابك Data Lake Storage Gen1 والسماح بالوصول.

ملاحظة

لا توجد رسوم إضافية مرتبطة باستخدام هذه الإمكانيات. تتم فوترة حسابك بالسعر القياسي Data Lake Storage Gen1. لمزيد من المعلومات، راجع التسعير. بالنسبة لجميع خدمات Azure الأخرى التي تستخدمها، راجع التسعير.

سيناريوهات تكامل الشبكة الظاهرية Data Lake Storage Gen1

باستخدام Data Lake Storage Gen1 تكامل الشبكة الظاهرية، يمكنك تقييد الوصول إلى حسابك Data Lake Storage Gen1 من شبكات افتراضية وشبكات فرعية محددة. بعد تأمين حسابك على الشبكة الفرعية المحددة للشبكة الظاهرية، لا يسمح للشبكات/الأجهزة الظاهرية الأخرى في Azure بالوصول. من الناحية الوظيفية، يتيح تكامل الشبكة الظاهرية Data Lake Storage Gen1 نفس سيناريو نقاط نهاية خدمة الشبكة الظاهرية. يتم تفصيل بعض الاختلافات الرئيسية في الأقسام التالية.

Scenario diagram for Data Lake Storage Gen1 virtual network integration

ملاحظة

يمكن استخدام قواعد جدار حماية IP الحالية بالإضافة إلى قواعد الشبكة الافتراضية للسماح بالوصول من الشبكات المحلية أيضا.

التوجيه الأمثل مع تكامل الشبكة الافتراضية Data Lake Storage Gen1

تتمثل إحدى المزايا الرئيسية لنقاط نهاية خدمة الشبكة الافتراضية في التوجيه الأمثل من شبكتك الافتراضية. يمكنك إجراء تحسين المسار نفسه إلى حسابات Data Lake Storage Gen1. استخدم المسارات التالية المعرفة من قبل المستخدم من شبكتك الافتراضية إلى حسابك Data Lake Storage Gen1.

Data Lake Storage عنوان IP العام - استخدم عنوان IP العام لحسابات Data Lake Storage Gen1 المستهدفة. لتحديد عناوين IP لحساب Data Lake Storage Gen1 الخاص بك، قم بحل أسماء DNS لحساباتك. إنشاء إدخال منفصل لكل عنوان.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

استخراج البيانات من الشبكة الافتراضية للعميل

بالإضافة إلى تأمين حسابات Data Lake Storage للوصول إليها من الشبكة الافتراضية، قد تكون مهتما أيضا بالتأكد من عدم وجود تسرب إلى حساب غير مصرح به.

استخدم حل جدار حماية في شبكتك الافتراضية لتصفية حركة المرور الصادرة استنادا إلى عنوان URL للحساب المقصود. السماح بالوصول إلى حسابات Data Lake Storage Gen1 المعتمدة فقط.

بعض الخيارات المتاحة هي:

  • Azure Firewall: نشر جدار حماية Azure وتكوينه لشبكتك الظاهرية. قم بتأمين الزيارات الصادرة Data Lake Storage، وقم بقفلها إلى عنوان URL للحساب المعروف والمعتمد.
  • جدار حماية الأجهزة الظاهرية للشبكة: قد يسمح المسؤول باستخدام موردي جدار حماية تجاري معينين فقط. استخدم حل جدار حماية الأجهزة الظاهرية للشبكة المتوفر في Azure Marketplace لأداء نفس الوظيفة.

ملاحظة

يؤدي استخدام جدران الحماية في مسار البيانات إلى إدخال قفزة إضافية في مسار البيانات. قد يؤثر ذلك على أداء الشبكة لتبادل البيانات من طرف إلى طرف. قد يتأثر توفر الإنتاجية وزمن انتقال الاتصال.

التقييدات

  • يجب إعادة إنشاء مجموعات HDInsight التي تم إنشاؤها قبل توفر دعم تكامل الشبكة الظاهرية Data Lake Storage Gen1 لدعم هذه الميزة الجديدة.

  • عند إنشاء مجموعة HDInsight جديدة وتحديد حساب Data Lake Storage Gen1 مع تمكين تكامل الشبكة الظاهرية، تفشل العملية. أولا، قم بتعطيل قاعدة الشبكة الظاهرية. أو على شفرة جدار الحماية والشبكات الظاهرية لحساب Data Lake Storage، حدد السماح بالوصول من جميع الشبكات والخدمات. ثم قم بإنشاء مجموعة HDInsight قبل إعادة تمكين قاعدة الشبكة الظاهرية أو إلغاء تحديد السماح بالوصول من جميع الشبكات والخدمات. لمزيد من المعلومات، راجع قسم الاستثناءات .

  • Data Lake Storage Gen1 تكامل الشبكة الظاهرية لا يعمل مع الهويات المدارة لموارد Azure.

  • لا يمكن الوصول إلى بيانات الملفات والمجلدات في حسابك Data Lake Storage Gen1 الذي تم تمكينه بواسطة الشبكة الافتراضية من البوابة الإلكترونية. يتضمن هذا القيد الوصول من جهاز ظاهري موجود داخل الشبكة الظاهرية وأنشطة مثل استخدام مستكشف البيانات. تستمر أنشطة إدارة الحساب في العمل. يمكن الوصول إلى بيانات الملفات والمجلدات في حسابك Data Lake Storage المزود بالشبكة الافتراضية عبر جميع الموارد غير البوابة الإلكترونية. تتضمن هذه الموارد الوصول إلى SDK والبرامج النصية PowerShell وخدمات Azure الأخرى عندما لا تنشأ من البوابة الإلكترونية.

تهيئة

الخطوة 1: تكوين الشبكة الظاهرية لاستخدام نقطة نهاية خدمة Azure AD

  1. انتقل إلى مدخل Azure، وسجل الدخول إلى حسابك.

  2. إنشاء شبكة افتراضية جديدة في اشتراكك. أو يمكنك الانتقال إلى شبكة افتراضية موجودة. يجب أن تكون الشبكة الظاهرية في نفس المنطقة مثل حساب Data Lake Storage Gen 1.

  3. على الشفرة النصلية للشبكة الظاهرية ، حدد نقاط نهاية الخدمة.

  4. حدد إضافة لإضافة نقطة نهاية خدمة جديدة.

    Add a virtual network service endpoint

  5. حدد Microsoft.AzureActiveDirectory كخدمة لنقطة النهاية.

    Select the Microsoft.AzureActiveDirectory service endpoint

  6. حدد الشبكات الفرعية التي تنوي السماح بالاتصال بها. حدد ⁧⁩إضافة⁧⁩.

    Select the subnet

  7. قد يستغرق الأمر ما يصل إلى 15 دقيقة لإضافة نقطة نهاية الخدمة. بعد إضافته ، يظهر في القائمة. تحقق من ظهوره وأن جميع التفاصيل كما تم تكوينها.

    Successful addition of the service endpoint

الخطوة 2: إعداد الشبكة الافتراضية أو الشبكة الفرعية المسموح بها لحساب Data Lake Storage Gen1 الخاص بك

  1. بعد تكوين شبكتك الظاهرية، قم بإنشاء حساب Gen1 جديد Azure Data Lake Storage في اشتراكك. أو يمكنك الانتقال إلى حساب Data Lake Storage Gen1 موجود. يجب أن يكون حساب Data Lake Storage Gen1 في نفس منطقة الشبكة الظاهرية.

  2. حدد جدار الحماية والشبكات الافتراضية.

    ملاحظة

    إذا كنت لا ترى جدار الحماية والشبكات الظاهرية في الإعدادات ، فقم بتسجيل الخروج من البوابة الإلكترونية. أغلق المستعرض، وامسح ذاكرة التخزين المؤقت للمتصفح. أعد تشغيل الجهاز وأعد المحاولة.

    Add a virtual network rule to your Data Lake Storage account

  3. حدد «⁧⁩الشبكات المحددة⁧⁩».

  4. حدد إضافة شبكة ظاهرية موجودة.

    Add existing virtual network

  5. حدد الشبكات الافتراضية والشبكات الفرعية للسماح بالاتصال. حدد ⁧⁩إضافة⁧⁩.

    Choose the virtual network and subnets

  6. تأكد من ظهور الشبكات الظاهرية والشبكات الفرعية بشكل صحيح في القائمة. حدد ⁧⁩حفظ⁧⁩.

    Save the new rule

    ملاحظة

    قد يستغرق الأمر ما يصل إلى 5 دقائق حتى تدخل الإعدادات حيز التنفيذ بعد الحفظ.

  7. [اختياري] في صفحة جدار الحماية والشبكات الظاهرية ، في قسم جدار الحماية ، يمكنك السماح بالاتصال من عناوين IP محددة.

استثناءات

يمكنك تمكين الاتصال من خدمات Azure والأجهزة الظاهرية خارج الشبكات الظاهرية المحددة. على شفرة جدار الحماية والشبكات الظاهرية ، في منطقة الاستثناءات ، حدد من بين خيارين:

  • السماح لجميع خدمات Azure بالوصول إلى حساب Data Lake Storage Gen1 هذا. يسمح هذا الخيار لخدمات Azure مثل Azure Data Factory و Azure Event Hubs وجميع أجهزة Azure الظاهرية بالاتصال بحسابك Data Lake Storage.

  • اسمح ل Azure Data Lake Analytics بالوصول إلى حساب Data Lake Storage Gen1 هذا. يسمح هذا الخيار ل Data Lake Analytics بالاتصال بحساب Data Lake Storage هذا.

    Firewall and virtual network exceptions

نوصي بإبقاء هذه الاستثناءات متوقفة عن التشغيل. قم بتشغيلها فقط إذا كنت بحاجة إلى الاتصال من هذه الخدمات الأخرى من خارج شبكتك الافتراضية.