Intégration de réseau virtuel dans Azure Data Lake Storage Gen1Virtual network integration for Azure Data Lake Storage Gen1

Cet article présente l’intégration au réseau virtuel pour Azure Data Lake Storage Gen1.This article introduces virtual network integration for Azure Data Lake Storage Gen1. Avec l’intégration de réseau virtuel, vous pouvez configurer vos comptes pour qu’ils acceptent uniquement le trafic provenant de sous-réseaux et de réseaux virtuels spécifiques.With virtual network integration, you can configure your accounts to accept traffic only from specific virtual networks and subnets.

Cette fonctionnalité permet de protéger votre compte Data Lake Storage contre les menaces externes.This feature helps to secure your Data Lake Storage account from external threats.

L’intégration au réseau virtuel dans Data Lake Storage Gen1 fait appel à la sécurité des points de terminaison de service de réseau virtuel entre votre réseau virtuel et Azure Active Directory (Azure AD) afin de générer des revendications de sécurité supplémentaires dans le jeton d’accès.Virtual network integration for Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Ces revendications permettent ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1 et d’y accéder.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access.

Notes

L’utilisation de ces fonctionnalités n’entraîne aucuns frais supplémentaires.There's no additional charge associated with using these capabilities. Votre compte est facturé au tarif standard de Data Lake Storage Gen1.Your account is billed at the standard rate for Data Lake Storage Gen1. Pour plus d’informations, voir la tarification.For more information, see pricing. Pour tous les autres services Azure que vous utilisez, voir la tarification.For all other Azure services that you use, see pricing.

Scénarios d’intégration de réseau virtuel dans Data Lake Storage Gen1Scenarios for virtual network integration for Data Lake Storage Gen1

Avec l’intégration de réseau virtuel Data Lake Storage Gen1, vous pouvez restreindre l’accès à votre compte Data Lake Storage Gen1 à des sous-réseaux et réseaux virtuels spécifiques.With Data Lake Storage Gen1 virtual network integration, you can restrict access to your Data Lake Storage Gen1 account from specific virtual networks and subnets. Une fois que votre compte est verrouillé sur le sous-réseau de réseau virtuel spécifié, les autres réseaux virtuels/machines virtuelles d’Azure ne sont pas autorisés à y accéder.After your account is locked to the specified virtual network subnet, other virtual networks/VMs in Azure aren't allowed access. Sur le plan fonctionnel, l’intégration au réseau virtuel dans Data Lake Storage Gen1 permet le même scénario que les points de terminaison de service de réseau virtuel.Functionally, Data Lake Storage Gen1 virtual network integration enables the same scenario as virtual network service endpoints. Quelques différences importantes sont détaillées dans les sections ci-dessous.A few key differences are detailed in the following sections.

Diagramme des scénarios d’intégration de réseau virtuel dans Data Lake Storage Gen1

Notes

Les règles de pare-feu IP existantes peuvent être utilisées en plus des règles de réseau virtuel afin d’autoriser également l’accès depuis les réseaux locaux.The existing IP firewall rules can be used in addition to virtual network rules to allow access from on-premises networks too.

Routage optimal grâce à l’intégration au réseau virtuel dans Data Lake Storage Gen1Optimal routing with Data Lake Storage Gen1 virtual network integration

L’optimisation des itinéraires depuis votre réseau virtuel constitue l’un des principaux avantages des points de terminaison de service de réseau virtuel.A key benefit of virtual network service endpoints is optimal routing from your virtual network. Vous pouvez effectuer la même optimisation des itinéraires pour les comptes Data Lake Storage Gen1.You can perform the same route optimization to Data Lake Storage Gen1 accounts. Utilisez les itinéraires définis par l’utilisateur suivants entre votre réseau virtuel et votre compte Data Lake Storage Gen1.Use the following user-defined routes from your virtual network to your Data Lake Storage Gen1 account.

Adresse IP publique Data Lake Storage : utilisez l’adresse IP publique de vos comptes Data Lake Storage Gen1 cibles.Data Lake Storage public IP address – Use the public IP address for your target Data Lake Storage Gen1 accounts. Pour identifier les adresses IP de vos comptes Data Lake Storage Gen1, résolvez les noms DNS de vos comptes.To identify the IP addresses for your Data Lake Storage Gen1 account, resolve the DNS names of your accounts. Créez une entrée différente pour chaque adresse.Create a separate entry for each address.

```azurecli
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
```

Exfiltration des données du réseau virtuel du clientData exfiltration from the customer virtual network

En plus de sécuriser les comptes Data Lake Storage concernant l’accès à partir des réseaux virtuels, vous souhaitez peut-être aussi vérifier l’absence d’exfiltration vers un compte non autorisé.In addition to securing the Data Lake Storage accounts for access from the virtual network, you also might be interested in making sure there's no exfiltration to an unauthorized account.

Utilisez une solution de pare-feu dans votre réseau virtuel pour filtrer le trafic sortant en fonction de l’URL de compte de destination.Use a firewall solution in your virtual network to filter the outbound traffic based on the destination account URL. Autorisez uniquement l’accès aux comptes Data Lake Storage Gen1 approuvés.Allow access to only approved Data Lake Storage Gen1 accounts.

Voici quelques options disponibles :Some available options are:

  • Pare-feu Azure : déployez et configurez un pare-feu Azure pour votre réseau virtuel.Azure Firewall: Deploy and configure an Azure firewall for your virtual network. Sécurisez le trafic Data Lake Storage sortant et verrouillez-le sur l’URL d’un compte connu et approuvé.Secure the outbound Data Lake Storage traffic, and lock it down to the known and approved account URL.
  • Pare-feu Appliance virtuelle réseau (NVA) : votre administrateur peut limiter le recours à certains éditeurs de pare-feu commerciaux uniquement.Network virtual appliance firewall: Your administrator might allow the use of only certain commercial firewall vendors. Utilisez une solution de pare-feu d’appliance virtuelle réseau disponible dans la Place de marché Azure aux mêmes fins.Use a network virtual appliance firewall solution that's available in the Azure Marketplace to perform the same function.

Notes

L’utilisation de pare-feu dans le chemin d’accès de données introduit un tronçon supplémentaire dans ce chemin.Using firewalls in the data path introduces an additional hop in the data path. Cela peut affecter les performances du réseau pour l’échange de données de bout en bout.It might affect the network performance for end-to-end data exchange. La disponibilité du débit et la latence de la connexion peuvent être affectées.Throughput availability and connection latency might be affected.

LimitesLimitations

  • Les clusters HDInsight créés avant la prise en charge de l’intégration de réseau virtuel dans Data Lake Storage Gen1 doivent être recréés pour prendre en charge cette nouvelle fonctionnalité.HDInsight clusters that were created before Data Lake Storage Gen1 virtual network integration support was available must be re-created to support this new feature.

  • Lorsque vous créez un nouveau cluster HDInsight et que vous sélectionnez un compte Data Lake Storage Gen1 avec l’intégration de réseau virtuel activée, le processus échoue.When you create a new HDInsight cluster and select a Data Lake Storage Gen1 account with virtual network integration enabled, the process fails. Commencez par désactiver la règle de réseau virtuel.First, disable the virtual network rule. Sinon, dans le panneau Pare-feu et réseaux virtuels du compte Data Lake Storage, sélectionnez Autoriser l’accès à tous les réseaux et services.Or on the Firewall and virtual networks blade of the Data Lake Storage account, select Allow access from all networks and services. Créez ensuite le cluster HDInsight avant de réactiver la règle de réseau virtuel ou de désélectionner Autoriser l’accès à tous les réseaux et services.Then create the HDInsight cluster before finally re-enabling the virtual network rule or de-selecting Allow access from all networks and services. Pour en savoir plus, consultez la section Exceptions.For more information, see the Exceptions section.

  • L’intégration au réseau virtuel dans Data Lake Storage Gen1 ne fonctionne pas avec les identités managées pour les ressources Azure.Data Lake Storage Gen1 virtual network integration doesn't work with managed identities for Azure resources.

  • Les données de fichier et de dossier de votre compte Data Lake Storage Gen 1 avec réseau virtuel activé ne sont pas accessibles à partir du portail.File and folder data in your virtual network-enabled Data Lake Storage Gen1 account isn't accessible from the portal. Cette restriction inclut notamment l’accès à partir d’une machine virtuelle située sur le réseau virtuel et d’activités comme l’utilisation de l’Explorateur de données.This restriction includes access from a VM that’s within the virtual network and activities such as using Data Explorer. Les activités de gestion du compte continuent de fonctionner.Account management activities continue to work. Les données de fichier et de dossier de votre compte Data Lake Storage avec réseau virtuel activé sont accessibles à partir de toutes les ressources hors portail.File and folder data in your virtual network-enabled Data Lake Storage account is accessible via all non-portal resources. Ces ressources incluent l’accès au SDK, les scripts PowerShell et les autres services Azure lorsqu’ils ne proviennent pas du portail.These resources include SDK access, PowerShell scripts, and other Azure services when they don't originate from the portal.

ConfigurationConfiguration

Étape 1 : Configurer votre réseau virtuel pour qu’il utilise un point de terminaison de service Azure ADStep 1: Configure your virtual network to use an Azure AD service endpoint

  1. Accédez au portail Azure et connectez-vous à votre compte.Go to the Azure portal, and sign in to your account.

  2. Créez un réseau virtuel dans votre abonnement.Create a new virtual networkin your subscription. Vous pouvez également accéder à un réseau virtuel existant.Or you can go to an existing virtual network. Le réseau virtuel doit se trouver dans la même région que le compte Data Lake Storage Gen1.The virtual network must be in the same region as the Data Lake Storage Gen 1 account.

  3. Dans le panneau Réseau virtuel, sélectionnez Points de terminaison fournisseurs.On the Virtual network blade, select Service endpoints.

  4. Cliquez sur Ajouter pour ajouter un nouveau point de terminaison fournisseur.Select Add to add a new service endpoint.

    Ajouter un point de terminaison de service de réseau virtuel

  5. Choisissez Microsoft.AzureActiveDirectory comme service du point de terminaison.Select Microsoft.AzureActiveDirectory as the service for the endpoint.

    Sélectionner le point de terminaison fournisseur Microsoft.AzureActiveDirectory

  6. Choisissez les sous-réseaux pour lesquels vous souhaitez autoriser la connectivité.Select the subnets for which you intend to allow connectivity. Sélectionnez Ajouter.Select Add.

    Sélectionner le sous-réseau

  7. L’ajout du point de terminaison fournisseur peut prendre jusqu’à 15 minutes.It can take up to 15 minutes for the service endpoint to be added. Après l’avoir ajouté, il s’affiche dans la liste.After it's added, it shows up in the list. Vérifiez qu’il s’affiche et que tous les détails correspondent à la configuration.Verify that it shows up and that all details are as configured.

    Ajout réussi du point de terminaison fournisseur

Étape 2 : Configurer le réseau virtuel ou sous-réseau autorisé pour votre compte Data Lake Storage Gen1Step 2: Set up the allowed virtual network or subnet for your Data Lake Storage Gen1 account

  1. Après avoir configuré votre réseau virtuel, créez un compte Azure Data Lake Storage Gen1 dans votre abonnement.After you configure your virtual network, create a new Azure Data Lake Storage Gen1 account in your subscription. Vous pouvez également accéder à un compte Data Lake Storage Gen1 existant.Or you can go to an existing Data Lake Storage Gen1 account. Le compte Data Lake Storage Gen1 doit se trouver dans la même région que le réseau virtuel.The Data Lake Storage Gen1 account must be in the same region as the virtual network.

  2. Sélectionnez Pare-feu et réseaux virtuels.Select Firewall and virtual networks.

    Notes

    Si Pare-feu et réseaux virtuels ne s’affiche pas dans les paramètres, déconnectez-vous du portail.If you don't see Firewall and virtual networks in the settings, log off the portal. Fermez le navigateur et effacez-en le cache.Close the browser, and clear the browser cache. Redémarrez la machine et essayez à nouveau.Restart the machine and retry.

    Ajouter une règle de réseau virtuel à votre compte Data Lake Storage

  3. Sélectionnez Réseaux sélectionnés.Select Selected networks.

  4. Sélectionnez Add existing virtual network (Ajouter un réseau virtuel existant).Select Add existing virtual network.

    Ajouter un réseau virtuel existant

  5. Sélectionnez les réseaux virtuels et sous-réseaux auxquels autoriser la connectivité.Select the virtual networks and subnets to allow for connectivity. Sélectionnez Ajouter.Select Add.

    Choisir le réseau virtuel et les sous-réseaux

  6. Assurez-vous que les réseaux virtuels et les sous-réseaux apparaissent correctement dans la liste.Make sure that the virtual networks and subnets show up correctly in the list. Sélectionnez Enregistrer.Select Save.

    Enregistrer la nouvelle règle

    Notes

    Cela peut prendre jusqu’à 5 minutes pour que les réglages prennent effet après l’enregistrement.It might take up to 5 minutes for the settings to take into effect after you save.

  7. [Facultatif] Dans la page Pare-feu et réseaux virtuels, au niveau de la section Pare-feu, vous pouvez autoriser la connectivité à partir d’adresses IP spécifiques.[Optional] On the Firewall and virtual networks page, in the Firewall section, you can allow connectivity from specific IP addresses.

ExceptionsExceptions

Vous pouvez autoriser la connectivité à partir de machines virtuelles et services Azure en dehors des réseaux virtuels sélectionnés.You can enable connectivity from Azure services and VMs outside of your selected virtual networks. Dans le panneau Pare-feu et réseaux virtuels, au niveau de la section Exceptions, faites votre choix parmi ces deux options :On the Firewall and virtual networks blade, in the Exceptions area, select from two options:

  • Autoriser tous les services Azure à accéder à ce compte Data Lake Storage Gen1.Allow all Azure services to access this Data Lake Storage Gen1 account. Cette option permet aux services Azure comme Azure Data Factory, Azure Event Hubs et toutes les machines virtuelles Azure de communiquer avec votre compte Data Lake Storage.This option allows Azure services such as Azure Data Factory, Azure Event Hubs, and all Azure VMs to communicate with your Data Lake Storage account.

  • Autoriser Azure Data Lake Analytics à accéder à ce compte Data Lake Storage Gen1.Allow Azure Data Lake Analytics to access this Data Lake Storage Gen1 account. Cette option autorise la connectivité entre Data Lake Analytics et ce compte Data Lake Storage.This option allows Data Lake Analytics connectivity to this Data Lake Storage account.

    Exceptions de pare-feu et de réseau virtuel

Nous vous recommandons de laisser ces exceptions désactivées.We recommend that you keep these exceptions turned off. Activez-les uniquement si vous avez besoin d’une connectivité à d’autres services en dehors de votre réseau virtuel.Turn them on only if you need connectivity from these other services from outside your virtual network.