Share via

تكامل الشبكة الظاهرية ل Azure Data Lake Storage Gen1

  • مقالة

تقدم هذه المقالة تكامل الشبكة الظاهرية Azure Data Lake Storage Gen1. مع تكامل الشبكة الظاهرية، يمكنك تكوين حساباتك لقبول نسبة استخدام الشبكة فقط من شبكات ظاهرية وشبكات فرعية محددة.

تساعد هذه الميزة على تأمين حساب Data Lake Storage الخاص بك من التهديدات الخارجية.

يستخدم تكامل الشبكة الظاهرية Data Lake Storage Gen1 أمان نقطة نهاية خدمة الشبكة الظاهرية بين شبكتك الظاهرية Microsoft Entra ID لإنشاء مطالبات أمان إضافية في الرمز المميز للوصول. ثم يتم استخدام هذه المطالبات لمصادقة شبكتك الافتراضية على حسابك على Data Lake Storage Gen1 والسماح بالوصول.

ملاحظة

لا توجد رسوم إضافية مرتبطة باستخدام هذه الإمكانات. تتم فوترة حسابك بالمعدل القياسي Data Lake Storage Gen1. لمزيد من المعلومات، راجع التسعير. بالنسبة لجميع خدمات Azure الأخرى التي تستخدمها، راجع التسعير.

سيناريوهات تكامل الشبكة الظاهرية Data Lake Storage Gen1

باستخدام تكامل الشبكة الظاهرية Data Lake Storage Gen1، يمكنك تقييد الوصول إلى حساب Data Lake Storage Gen1 الخاص بك من شبكات ظاهرية وشبكات فرعية محددة. بعد تأمين حسابك على الشبكة الفرعية للشبكة الظاهرية المحددة، لا يسمح بوصول الشبكات الظاهرية/الأجهزة الظاهرية الأخرى في Azure. من الناحية الوظيفية، يتيح تكامل الشبكة الظاهرية Data Lake Storage Gen1 نفس السيناريو مثل نقاط نهاية خدمة الشبكة الظاهرية. يتم تفصيل بعض الاختلافات الرئيسية في الأقسام التالية.

رسم تخطيطي للسيناريو لتكامل الشبكة الظاهرية Data Lake Storage Gen1

ملاحظة

يمكن استخدام قواعد جدار حماية IP الموجودة بالإضافة إلى قواعد الشبكة الظاهرية للسماح بالوصول من الشبكات المحلية أيضا.

التوجيه الأمثل مع تكامل الشبكة الظاهرية Data Lake Storage Gen1

تتمثل إحدى الفوائد الرئيسية لنقاط نهاية خدمة الشبكة الظاهرية في التوجيه الأمثل من شبكتك الظاهرية. يمكنك إجراء نفس تحسين المسار إلى حسابات Data Lake Storage Gen1. استخدم المسارات التالية المعرفة من قبل المستخدم من شبكتك الظاهرية إلى حساب Data Lake Storage Gen1 الخاص بك.

Data Lake Storage عنوان IP العام - استخدم عنوان IP العام لحساباتك Data Lake Storage Gen1 الهدف. لتحديد عناوين IP لحساب Data Lake Storage Gen1 الخاص بك، قم بحل أسماء DNS لحساباتك. إنشاء إدخال منفصل لكل عنوان.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

النقل غير المصرح للبيانات من الشبكة الظاهرية للعميل

بالإضافة إلى تأمين حسابات Data Lake Storage للوصول من الشبكة الظاهرية، قد تكون مهتما أيضا بالتأكد من عدم وجود تسرب إلى حساب غير مصرح به.

استخدم حل جدار الحماية في شبكتك الظاهرية لتصفية نسبة استخدام الشبكة الصادرة استنادا إلى عنوان URL للحساب الوجهة. السماح بالوصول إلى حسابات Data Lake Storage Gen1 المعتمدة فقط.

بعض الخيارات المتاحة هي:

  • Azure Firewall: نشر جدار حماية Azure وتكوينه لشبكتك الظاهرية. تأمين نسبة استخدام الشبكة Data Lake Storage الصادرة، وتأمينها إلى عنوان URL للحساب المعروف والمعتمد.
  • جدار حماية الأجهزة الظاهرية للشبكة: قد يسمح المسؤول باستخدام موردي جدار حماية تجاريين معينين فقط. استخدم حل جدار حماية الجهاز الظاهري للشبكة المتوفر في Azure Marketplace لأداء نفس الوظيفة.

ملاحظة

يؤدي استخدام جدران الحماية في مسار البيانات إلى إدخال قفزة إضافية في مسار البيانات. قد يؤثر ذلك على أداء الشبكة لتبادل البيانات من طرف إلى طرف. قد يتأثر توفر معدل النقل وا لزمن انتقال الاتصال.

التقييدات

  • يجب إعادة إنشاء مجموعات HDInsight التي تم إنشاؤها قبل Data Lake Storage Gen1 دعم تكامل الشبكة الظاهرية لدعم هذه الميزة الجديدة.

  • عند إنشاء مجموعة HDInsight جديدة وتحديد حساب Data Lake Storage Gen1 مع تمكين تكامل الشبكة الظاهرية، تفشل العملية. أولا، قم بتعطيل قاعدة الشبكة الظاهرية. أو في جزء جدار الحماية والشبكات الظاهرية لحساب Data Lake Storage، حدد السماح بالوصول من جميع الشبكات والخدمات. ثم قم بإنشاء مجموعة HDInsight قبل إعادة تمكين قاعدة الشبكة الظاهرية أخيرا أو إلغاء تحديد السماح بالوصول من جميع الشبكات والخدمات. لمزيد من المعلومات، راجع قسم الاستثناءات .

  • لا يعمل تكامل الشبكة الظاهرية Data Lake Storage Gen1 مع الهويات المدارة لموارد Azure.

  • لا يمكن الوصول إلى بيانات الملفات والمجلدات في حساب Data Lake Storage Gen1 الممكن للشبكة الظاهرية من المدخل. يتضمن هذا التقييد الوصول من جهاز ظاهري داخل الشبكة الظاهرية وأنشطة مثل استخدام Data Explorer. تستمر أنشطة إدارة الحساب في العمل. يمكن الوصول إلى بيانات الملفات والمجلدات في حساب Data Lake Storage الممكن للشبكة الظاهرية عبر جميع الموارد غير المدخلة. تتضمن هذه الموارد الوصول إلى SDK والبرامج النصية PowerShell وخدمات Azure الأخرى عندما لا تنشأ من المدخل.

التكوين

الخطوة 1: تكوين شبكتك الظاهرية لاستخدام نقطة نهاية خدمة Microsoft Entra

  1. انتقل إلى مدخل Microsoft Azure، وسجل الدخول إلى حسابك.

  2. إنشاء شبكة ظاهرية جديدةفي اشتراكك. أو يمكنك الانتقال إلى شبكة ظاهرية موجودة. يجب أن تكون الشبكة الظاهرية في نفس منطقة حساب Data Lake Storage Gen 1.

  3. في جزء الشبكة الظاهرية ، حدد نقاط نهاية الخدمة.

  4. حدد إضافة لإضافة نقطة نهاية خدمة جديدة.

    إضافة نقطة نهاية خدمة شبكة ظاهرية

  5. حدد Microsoft.AzureActiveDirectory كخدمة لنقطة النهاية.

    حدد نقطة نهاية خدمة Microsoft.AzureActiveDirectory

  6. حدد الشبكات الفرعية التي تنوي السماح بالاتصال لها. حدد ⁧⁩إضافة⁧⁩.

    حدد الشبكة الفرعية

  7. قد يستغرق إضافة نقطة نهاية الخدمة ما يصل إلى 15 دقيقة. بعد إضافته، يظهر في القائمة. تحقق من ظهوره ومن تكوين جميع التفاصيل.

    إضافة ناجحة لنقطة نهاية الخدمة

الخطوة 2: إعداد الشبكة الظاهرية المسموح بها أو الشبكة الفرعية لحساب Data Lake Storage Gen1 الخاص بك

  1. بعد تكوين شبكتك الظاهرية، أنشئ حسابا جديدا Azure Data Lake Storage Gen1 في اشتراكك. أو يمكنك الانتقال إلى حساب Data Lake Storage Gen1 موجود. يجب أن يكون حساب Data Lake Storage Gen1 في نفس منطقة الشبكة الظاهرية.

  2. حدد جدار الحماية والشبكات الظاهرية.

    ملاحظة

    إذا كنت لا ترى جدار الحماية والشبكات الظاهرية في الإعدادات، فسجل الخروج من المدخل. أغلق المستعرض، وقم بإلغاء تحديد ذاكرة التخزين المؤقت للمستعرض. أعد تشغيل الجهاز وأعد المحاولة.

    إضافة قاعدة شبكة ظاهرية إلى حساب Data Lake Storage

  3. حدد «⁧⁩الشبكات المحددة⁧⁩».

  4. حدد Add existing virtual network.

    إضافة شبكة ظاهرية موجودة

  5. حدد الشبكات الظاهرية والشبكات الفرعية للسماح بالاتصال. حدد ⁧⁩إضافة⁧⁩.

    اختر الشبكة الظاهرية والشبكات الفرعية

  6. تأكد من ظهور الشبكات الظاهرية والشبكات الفرعية بشكل صحيح في القائمة. حدد ⁧⁩حفظ⁧⁩.

    حفظ القاعدة الجديدة

    ملاحظة

    قد يستغرق الأمر ما يصل إلى 5 دقائق حتى تدخل الإعدادات حيز التنفيذ بعد الحفظ.

  7. [اختياري] في صفحة جدار الحماية والشبكات الظاهرية ، في قسم جدار الحماية ، يمكنك السماح بالاتصال من عناوين IP معينة.

استثناءات

يمكنك تمكين الاتصال من خدمات Azure والأجهزة الظاهرية خارج الشبكات الظاهرية المحددة. في جزء جدار الحماية والشبكات الظاهرية ، في منطقة الاستثناءات ، حدد من خيارين:

  • السماح لجميع خدمات Azure بالوصول إلى حساب Data Lake Storage Gen1 هذا. يسمح هذا الخيار لخدمات Azure مثل Azure Data Factory وAzure Event Hubs وجميع أجهزة Azure الظاهرية بالاتصال بحساب Data Lake Storage الخاص بك.

  • السماح ل Azure Data Lake Analytics بالوصول إلى حساب Data Lake Storage Gen1 هذا. يسمح هذا الخيار باتصال Data Lake Analytics بحساب Data Lake Storage هذا.

    استثناءات جدار الحماية والشبكة الظاهرية

نوصي بإيقاف تشغيل هذه الاستثناءات. قم بتشغيلها فقط إذا كنت بحاجة إلى الاتصال من هذه الخدمات الأخرى من خارج شبكتك الظاهرية.