Integration eines virtuellen Netzwerks für Azure Data Lake Storage Gen1Virtual network integration for Azure Data Lake Storage Gen1

Dieser Artikel enthält eine Einführung in die Integration virtueller Netzwerke für Azure Data Lake Storage Gen1.This article introduces virtual network integration for Azure Data Lake Storage Gen1. Bei der Integration virtueller Netzwerke können Sie Ihre Konten so konfigurieren, dass Datenverkehr nur von bestimmten virtuellen Netzwerken und Subnetzen akzeptiert wird.With virtual network integration, you can configure your accounts to accept traffic only from specific virtual networks and subnets.

Mit diesem Feature können Sie Ihr Data Lake Storage-Konto vor externen Bedrohungen schützen.This feature helps to secure your Data Lake Storage account from external threats.

Die Integration virtueller Netzwerke für Data Lake Storage Gen1 nutzt die Sicherheit von VNET-Dienstendpunkten zwischen Ihrem virtuellen Netzwerk und Azure Active Directory (Azure AD), um zusätzliche Sicherheitsansprüche im Zugriffstoken zu generieren.Virtual network integration for Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Diese Ansprüche werden dann genutzt, um Ihr virtuelles Netzwerk mit Ihrem Data Lake Storage Gen1-Konto zu authentifizieren und den Zugriff zu ermöglichen.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access.

Hinweis

Für die Verwendung dieser Funktionen fallen keine zusätzlichen Gebühren an.There's no additional charge associated with using these capabilities. Ihrem Konto wird der Standardsatz für Data Lake Storage Gen1 berechnet.Your account is billed at the standard rate for Data Lake Storage Gen1. Weitere Informationen finden Sie unter Azure Data Lake Storage – Preise.For more information, see pricing. Preisinformationen zu allen anderen Azure-Diensten, die Sie nutzen, finden Sie unter Azure-Preise.For all other Azure services that you use, see pricing.

Szenarien für die Integration virtueller Netzwerke für Data Lake Storage Gen1Scenarios for virtual network integration for Data Lake Storage Gen1

Mit der Integration virtueller Netzwerke per Data Lake Storage Gen1 können Sie den Zugriff auf Ihr Data Lake Storage Gen1-Konto für bestimmte virtuelle Netzwerke und Subnetze einschränken.With Data Lake Storage Gen1 virtual network integration, you can restrict access to your Data Lake Storage Gen1 account from specific virtual networks and subnets. Nachdem Ihr Konto für das angegebene VNET-Subnetz gesperrt wurde, haben auch andere virtuelle Netzwerke bzw. VMs in Azure keinen Zugriff.After your account is locked to the specified virtual network subnet, other virtual networks/VMs in Azure aren't allowed access. Im Hinblick auf die Funktion ermöglicht die Integration virtueller Netzwerke per Data Lake Storage Gen1 das gleiche Szenario wie mit VNET-Dienstendpunkten.Functionally, Data Lake Storage Gen1 virtual network integration enables the same scenario as virtual network service endpoints. Einige wichtige Unterschiede werden in den folgenden Abschnitten ausführlich beschrieben.A few key differences are detailed in the following sections.

Szenariodiagramm für die Integration virtueller Netzwerke per Data Lake Storage Gen1

Hinweis

Die vorhandenen IP-Firewallregeln können zusätzlich zu VNET-Regeln verwendet werden, um auch Zugriff aus lokalen Netzwerken zuzulassen.The existing IP firewall rules can be used in addition to virtual network rules to allow access from on-premises networks too.

Optimales Routing mit Integration virtueller Netzwerke per Data Lake Storage Gen1Optimal routing with Data Lake Storage Gen1 virtual network integration

Ein Hauptvorteil von VNET-Dienstendpunkten ist das optimale Routing aus Ihrem virtuellen Netzwerk.A key benefit of virtual network service endpoints is optimal routing from your virtual network. Sie können die gleiche Routenoptimierung für Data Lake Storage Gen1-Konten durchführen.You can perform the same route optimization to Data Lake Storage Gen1 accounts. Verwenden Sie die folgenden benutzerdefinierten Routen aus Ihrem virtuellen Netzwerk zu Ihrem Data Lake Storage Gen1-Konto.Use the following user-defined routes from your virtual network to your Data Lake Storage Gen1 account.

Öffentliche IP-Adresse für Data Lake Storage: Verwenden Sie die öffentliche IP-Adresse für Ihre Data Lake Storage Gen1-Zielkonten.Data Lake Storage public IP address – Use the public IP address for your target Data Lake Storage Gen1 accounts. Lösen Sie die DNS-Namen Ihrer Konten auf, um die IP-Adressen für Ihr Data Lake Storage Gen1-Konto zu identifizieren.To identify the IP addresses for your Data Lake Storage Gen1 account, resolve the DNS names of your accounts. Erstellen Sie für jede Adresse einen separaten Eintrag.Create a separate entry for each address.

```azurecli
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
```

Herausfilterung von Daten aus dem virtuellen Netzwerk des KundenData exfiltration from the customer virtual network

Neben dem Schützen der Data Lake Storage-Konten vor dem Zugriff aus dem virtuellen Netzwerk sind Sie unter Umständen auch daran interessiert sicherzustellen, dass keine Herausfilterung für ein nicht autorisiertes Konto erfolgt.In addition to securing the Data Lake Storage accounts for access from the virtual network, you also might be interested in making sure there's no exfiltration to an unauthorized account.

Verwenden Sie eine Firewalllösung in Ihrem virtuellen Netzwerk, um den ausgehenden Datenverkehr basierend auf der Zielkonto-URL zu filtern.Use a firewall solution in your virtual network to filter the outbound traffic based on the destination account URL. Lassen Sie den Zugriff nur für genehmigte Data Lake Storage Gen1-Konten zu.Allow access to only approved Data Lake Storage Gen1 accounts.

Einige der verfügbaren Optionen sind:Some available options are:

Hinweis

Mit der Nutzung von Firewalls im Datenpfad wird darin ein zusätzlicher Hop eingeführt.Using firewalls in the data path introduces an additional hop in the data path. Dies kann beim End-to-End-Datenaustausch die Netzwerkleistung beeinträchtigen.It might affect the network performance for end-to-end data exchange. Unter Umständen ergeben sich Auswirkungen auf die Durchsatzverfügbarkeit und Verbindungslatenz.Throughput availability and connection latency might be affected.

EinschränkungenLimitations

  • HDInsight-Cluster, die erstellt wurden, bevor die Unterstützung für die Integration von virtuellen Netzwerken per Data Lake Storage Gen1 verfügbar war, müssen für dieses neue Feature neu erstellt werden.HDInsight clusters that were created before Data Lake Storage Gen1 virtual network integration support was available must be re-created to support this new feature.

  • Wenn Sie einen neuen HDInsight-Cluster erstellen und ein Data Lake Storage Gen1-Konto mit aktivierter Integration virtueller Netzwerke auswählen, tritt für den Prozess ein Fehler auf.When you create a new HDInsight cluster and select a Data Lake Storage Gen1 account with virtual network integration enabled, the process fails. Deaktivieren Sie zuerst die VNET-Regel.First, disable the virtual network rule. Sie können auch auf dem Blatt Firewall und virtuelle Netzwerke des Data Lake Storage-Kontos die Option Zugriff erlauben von: Alle Netzwerke und Dienste wählen.Or on the Firewall and virtual networks blade of the Data Lake Storage account, select Allow access from all networks and services. Erstellen Sie dann den HDInsight-Cluster, bevor Sie abschließend die VNET-Regel erneut aktivieren oder die Option Zugriff erlauben von: Alle Netzwerke und Dienste deaktivieren.Then create the HDInsight cluster before finally re-enabling the virtual network rule or de-selecting Allow access from all networks and services. Weitere Informationen finden Sie im Abschnitt Ausnahmen.For more information, see the Exceptions section.

  • Die Integration virtueller Netzwerke per Data Lake Storage Gen1 funktioniert nicht mit verwalteten Identitäten für Azure-Ressourcen.Data Lake Storage Gen1 virtual network integration doesn't work with managed identities for Azure resources.

  • Auf Datei- und Ordnerdaten in Ihrem VNET-fähigen Data Lake Storage Gen1-Konto kann über das Portal nicht zugegriffen werden.File and folder data in your virtual network-enabled Data Lake Storage Gen1 account isn't accessible from the portal. Diese Einschränkung gilt auch für den Zugriff von einem virtuellen Computer innerhalb des virtuellen Netzwerks und für Aktivitäten wie die Verwendung des Daten-Explorers.This restriction includes access from a VM that’s within the virtual network and activities such as using Data Explorer. Aktivitäten zur Kontoverwaltung funktionieren weiterhin.Account management activities continue to work. Auf die Datei- und Ordnerdaten in Ihrem VNET-fähigen Data Lake Storage-Konto kann über alle Ressourcen außerhalb des Portals zugegriffen werden.File and folder data in your virtual network-enabled Data Lake Storage account is accessible via all non-portal resources. Zu diesen Ressourcen gehören SDK-Zugriff, PowerShell-Skripts und andere Azure-Dienste, sofern sie nicht über das Portal verlaufen.These resources include SDK access, PowerShell scripts, and other Azure services when they don't originate from the portal.

KonfigurationConfiguration

Schritt 1: Konfigurieren Ihres virtuellen Netzwerks für die Verwendung eines Azure AD-DienstendpunktsStep 1: Configure your virtual network to use an Azure AD service endpoint

  1. Navigieren Sie zum Azure-Portal, und melden Sie sich an Ihrem Konto an.Go to the Azure portal, and sign in to your account.

  2. Erstellen Sie ein neues virtuelles Netzwerk in Ihrem Abonnement.Create a new virtual networkin your subscription. Sie können auch zu einem vorhandenen virtuellen Netzwerk navigieren.Or you can go to an existing virtual network. Das virtuelle Netzwerk muss sich in derselben Region wie das Data Lake Storage Gen 1-Konto befinden.The virtual network must be in the same region as the Data Lake Storage Gen 1 account.

  3. Wählen Sie auf dem Blatt Virtuelles Netzwerk die Option Dienstendpunkte.On the Virtual network blade, select Service endpoints.

  4. Wählen Sie Hinzufügen, um einen neuen Dienstendpunkt hinzuzufügen.Select Add to add a new service endpoint.

    Hinzufügen eines VNET-Dienstendpunkts

  5. Wählen Sie Microsoft.AzureActiveDirectory als Dienst für den Endpunkt aus.Select Microsoft.AzureActiveDirectory as the service for the endpoint.

    Auswählen des Dienstendpunkts „Microsoft.AzureActiveDirectory“

  6. Wählen Sie die Subnetze aus, für die Sie Verbindungen zulassen möchten.Select the subnets for which you intend to allow connectivity. Wählen Sie Hinzufügen.Select Add.

    Auswählen des Subnetzes

  7. Das Hinzufügen des Dienstendpunkts kann bis zu 15 Minuten dauern.It can take up to 15 minutes for the service endpoint to be added. Nachdem er hinzugefügt wurde, wird er in der Liste angezeigt.After it's added, it shows up in the list. Vergewissern Sie sich, dass er angezeigt wird und alle Details der Konfiguration entsprechen.Verify that it shows up and that all details are as configured.

    Erfolgreiches Hinzufügen des Dienstendpunkts

Schritt 2: Einrichten des zulässigen virtuellen Netzwerks oder Subnetzes für Ihr Data Lake Storage Gen1-KontoStep 2: Set up the allowed virtual network or subnet for your Data Lake Storage Gen1 account

  1. Nachdem Sie Ihr virtuelles Netzwerk konfiguriert haben, können Sie unter Ihrem Abonnement ein neues Azure Data Lake Storage Gen1-Konto erstellen.After you configure your virtual network, create a new Azure Data Lake Storage Gen1 account in your subscription. Alternativ dazu können Sie auch zu einem vorhandenen Data Lake Storage Gen1-Konto navigieren.Or you can go to an existing Data Lake Storage Gen1 account. Das Data Lake Storage Gen 1-Konto muss sich in derselben Region wie das virtuelle Netzwerk befinden.The Data Lake Storage Gen1 account must be in the same region as the virtual network.

  2. Wählen Sie Firewall und virtuelle Netzwerke.Select Firewall and virtual networks.

    Hinweis

    Melden Sie sich vom Portal ab, falls die Option Firewall und virtuelle Netzwerke in den Einstellungen nicht angezeigt wird.If you don't see Firewall and virtual networks in the settings, log off the portal. Schließen Sie den Browser, und löschen Sie den Browsercache.Close the browser, and clear the browser cache. Starten Sie den Computer neu, und versuchen Sie es erneut.Restart the machine and retry.

    Hinzufügen einer VNET-Regel zu Ihrem Data Lake Storage-Konto

  3. Klicken Sie auf Ausgewählte Netzwerke.Select Selected networks.

  4. Wählen Sie Vorhandenes virtuelles Netzwerk hinzufügen aus.Select Add existing virtual network.

    Hinzufügen eines vorhandenen virtuellen Netzwerks

  5. Wählen Sie die virtuellen Netzwerke und Subnetze aus, für die die Verbindung zugelassen werden soll.Select the virtual networks and subnets to allow for connectivity. Wählen Sie Hinzufügen.Select Add.

    Überprüfen des virtuellen Netzwerks und der Subnetze

  6. Stellen Sie sicher, dass die virtuellen Netzwerke und Subnetze in der Liste korrekt angezeigt werden.Make sure that the virtual networks and subnets show up correctly in the list. Wählen Sie Speichern aus.Select Save.

    Speichern der neuen Regel

    Hinweis

    Nach dem Speichern kann es bis zu fünf Minuten dauern, bis die Einstellungen wirksam werden.It might take up to 5 minutes for the settings to take into effect after you save.

  7. [Optional] Auf der Seite Firewall und virtuelle Netzwerke im Abschnitt Firewall können Sie die Konnektivität für bestimmte IP-Adressen zulassen.[Optional] On the Firewall and virtual networks page, in the Firewall section, you can allow connectivity from specific IP addresses.

AusnahmenExceptions

Sie können die Konnektivität von Azure-Diensten und VMs außerhalb Ihrer ausgewählten virtuellen Netzwerke ermöglichen.You can enable connectivity from Azure services and VMs outside of your selected virtual networks. Wählen Sie auf dem Blatt Firewall und virtuelle Netzwerke im Bereich Ausnahmen unter zwei Optionen:On the Firewall and virtual networks blade, in the Exceptions area, select from two options:

  • Hiermit wird allen Azure-Diensten Zugriff auf dieses Data Lake Storage Gen1-Konto gewährt.Allow all Azure services to access this Data Lake Storage Gen1 account. Diese Option ermöglicht Azure-Diensten, z.B. Azure Data Factory, Azure Event Hubs und allen Azure-VMs, die Kommunikation mit Ihrem Data Lake Storage-Konto.This option allows Azure services such as Azure Data Factory, Azure Event Hubs, and all Azure VMs to communicate with your Data Lake Storage account.

  • Hiermit wird Azure Data Lake Analytics Zugriff auf dieses Data Lake Storage Gen1-Konto gewährt.Allow Azure Data Lake Analytics to access this Data Lake Storage Gen1 account. Diese Option ermöglicht Data Lake Analytics-Konnektivität mit diesem Data Lake Storage-Konto.This option allows Data Lake Analytics connectivity to this Data Lake Storage account.

    Ausnahmen für Firewall und virtuelle Netzwerke

Es wird empfohlen, diese Ausnahmen deaktiviert zu lassen.We recommend that you keep these exceptions turned off. Aktivieren Sie sie nur, falls Sie Konnektivität von diesen anderen Diensten von außerhalb Ihres virtuellen Netzwerks benötigen.Turn them on only if you need connectivity from these other services from outside your virtual network.