Distribuire il cluster Esplora dati di Azure nella rete virtualeDeploy Azure Data Explorer cluster into your Virtual Network

Questo articolo illustra le risorse presenti quando si distribuisce un cluster di Esplora dati di Azure in una rete virtuale di Azure personalizzata.This article explains the resources that are present when you deploy an Azure Data Explorer cluster into a custom Azure Virtual Network. Queste informazioni consentiranno di distribuire un cluster in una subnet nella rete virtuale (VNet).This information will help you deploy a cluster into a subnet in your Virtual Network (VNet). Per altre informazioni sulle reti virtuali di Azure, vedere che cos'è rete virtuale di Azure?For more information on Azure Virtual Networks, see What is Azure Virtual Network?

diagramma che mostra l'architettura di rete virtuale schematica

Azure Esplora dati supporta la distribuzione di un cluster in una subnet nella rete virtuale (VNet).Azure Data Explorer supports deploying a cluster into a subnet in your Virtual Network (VNet). Questa funzionalità consente di:This capability enables you to:

Accedere al cluster di Esplora dati di Azure in VNetAccess your Azure Data Explorer cluster in your VNet

È possibile accedere al cluster di Azure Esplora dati usando i seguenti indirizzi IP per ogni servizio (motore e servizi di gestione dati):You can access your Azure Data Explorer cluster using the following IP addresses for each service (engine and data management services):

  • IP privato: usato per accedere al cluster all'interno della VNet.Private IP: Used for accessing the cluster inside the VNet.
  • IP pubblico: usato per accedere al cluster dall'esterno del VNet per la gestione e il monitoraggio e come indirizzo di origine per le connessioni in uscita avviate dal cluster.Public IP: Used for accessing the cluster from outside the VNet for management and monitoring, and as a source address for outbound connections started from the cluster.

Per accedere al servizio vengono creati i seguenti record DNS:The following DNS records are created to access the service:

  • [clustername].[geo-region].kusto.windows.net (motore) ingest-[clustername].[geo-region].kusto.windows.net (gestione dati) viene eseguito il mapping all'indirizzo IP pubblico per ogni servizio.[clustername].[geo-region].kusto.windows.net (engine) ingest-[clustername].[geo-region].kusto.windows.net (data management) are mapped to the public IP for each service.

  • private-[clustername].[geo-region].kusto.windows.net(motore) ingest-private-[clustername].[geo-region].kusto.windows.net \ private-ingest-[clustername].[geo-region].kusto.windows.net (gestione dati) viene eseguito il mapping all'indirizzo IP privato per ogni servizio.private-[clustername].[geo-region].kusto.windows.net (engine) ingest-private-[clustername].[geo-region].kusto.windows.net\private-ingest-[clustername].[geo-region].kusto.windows.net (data management) are mapped to the private IP for each service.

Pianificare le dimensioni della subnet nella VNetPlan subnet size in your VNet

Le dimensioni della subnet usata per ospitare un cluster di Esplora dati di Azure non possono essere modificate dopo la distribuzione della subnet.The size of the subnet used to host an Azure Data Explorer cluster can't be altered after the subnet is deployed. In VNet, Azure Esplora dati usa un indirizzo IP privato per ogni macchina virtuale e due indirizzi IP privati per i bilanciamenti del carico interni (motore e gestione dati).In your VNet, Azure Data Explorer uses one private IP address for each VM and two private IP addresses for the internal load balancers (engine and data management). La rete di Azure usa anche cinque indirizzi IP per ogni subnet.Azure networking also uses five IP addresses for each subnet. Azure Esplora dati effettua il provisioning di due macchine virtuali per il servizio di gestione dati.Azure Data Explorer provisions two VMs for the data management service. Il provisioning delle macchine virtuali del servizio motore viene effettuato in base alla capacità di scala della configurazione utenteEngine service VMs are provisioned per user configuration scale capacity.

Il numero totale di indirizzi IP:The total number of IP addresses:

UsaUse Numero di indirizziNumber of addresses
Servizio motoreEngine service 1 per istanza1 per instance
Servizio di gestione datiData management service 22
Servizi di bilanciamento del carico interniInternal load balancers 22
Indirizzi riservati di AzureAzure reserved addresses 55
TotaleTotal #engine_instances + 9#engine_instances + 9

Importante

Le dimensioni della subnet devono essere pianificate in anticipo perché non possono essere modificate dopo la distribuzione di Esplora dati di Azure.Subnet size must be planned in advance since it can't be changed after Azure Data Explorer is deployed. Quindi, riservare di conseguenza le dimensioni necessarie per la subnet.Therefore, reserve needed subnet size accordingly.

Endpoint di servizio per la connessione ad Azure Esplora datiService endpoints for connecting to Azure Data Explorer

Gli endpoint di servizio di Azure consentono di proteggere le risorse multi-tenant di Azure nella rete virtuale.Azure Service Endpoints enables you to secure your Azure multi-tenant resources to your virtual network. La distribuzione di Azure Esplora dati cluster nella subnet consente di configurare le connessioni dati con Hub eventi o griglia di eventi , limitando al contempo le risorse sottostanti per la subnet di Azure Esplora dati.Deploying Azure Data Explorer cluster into your subnet allows you to setup data connections with Event Hub or Event Grid while restricting the underlying resources for Azure Data Explorer subnet.

Nota

Quando si usa il programma di installazione di EventGrid con archiviazione e Hub eventi, è possibile bloccare l'account di archiviazione usato nella sottoscrizione con gli endpoint di servizio nella subnet di Azure Esplora dati, consentendo al contempo i servizi della piattaforma Azure trusted nella configurazione del firewall, ma l'hub eventi non può abilitare l'endpoint servizio perché non supporta i servizi della piattaforma Azureattendibili.When using EventGrid setup with Storage and Event Hub, the storage account used in the subscription can be locked with service endpoints to Azure Data Explorer's subnet while allowing trusted Azure platform services in the firewall configuration, but the Event Hub can't enable Service Endpoint since it doesn't support trusted Azure platform services.

Endpoint privatiPrivate Endpoints

Gli endpoint privati consentono l'accesso privato alle risorse di Azure (ad esempio, storage/hub eventi/data Lake generazione 2) e usano l'indirizzo IP privato della rete virtuale, portando in modo efficace la risorsa nella VNet.Private Endpoints allow private access to Azure resources (such as Storage/Event Hub/Data Lake Gen 2), and use private IP from your Virtual Network, effectively bringing the resource into your VNet. Creare un endpoint privato per le risorse usate dalle connessioni dati, ad esempio l'hub eventi e l'archiviazione e le tabelle esterne, ad esempio archiviazione, data Lake generazione 2 e il database SQL dalla VNet, per accedere alle risorse sottostanti privatamente.Create a private endpoint to resources used by data connections, such as Event Hub and Storage, and external tables such as Storage, Data Lake Gen 2, and SQL Database from your VNet to access the underlying resources privately.

Nota

Per la configurazione dell'endpoint privato è necessario configurare DNS, è supportata solo l'installazione della zona di Azure DNS privato .Setting up Private Endpoint requires configuring DNS, We support Azure Private DNS zone setup only. Il server DNS personalizzato non è supportato.Custom DNS server isn't supported.

Dipendenze per la distribuzione di VNetDependencies for VNet deployment

Configurazione di gruppi di sicurezza di reteNetwork Security Groups configuration

I gruppi di sicurezza di rete (NSG) offrono la possibilità di controllare l'accesso alla rete all'interno di una VNet.Network Security Groups (NSG) provide the ability to control network access within a VNet. È possibile accedere al Esplora dati di Azure con due endpoint: HTTPs (443) e TDS (1433).Azure Data Explorer can be accessed using two endpoints: HTTPs (443) and TDS (1433). Per consentire l'accesso a questi endpoint per la gestione, il monitoraggio e il corretto funzionamento del cluster, è necessario configurare le regole di NSG seguenti.The following NSG rules must be configured to allow access to these endpoints for management, monitoring, and proper operation of your cluster. Le regole aggiuntive dipendono dalle linee guida per la sicurezza.Additional rules depend on your security guidelines.

Configurazione di NSG in ingressoInbound NSG configuration

UsoUse FromFrom ToTo ProtocolloProtocol
GestioneManagement Indirizzi di gestione ADX/AzureDataExplorerManagement (ServiceTag)ADX management addresses/AzureDataExplorerManagement(ServiceTag) Subnet ADX: 443ADX subnet:443 TCPTCP
Monitoraggio dell’integritàHealth monitoring Indirizzi di monitoraggio dell'integrità di ADXADX health monitoring addresses Subnet ADX: 443ADX subnet:443 TCPTCP
Comunicazione interna ADXADX internal communication Subnet ADX: tutte le porteADX subnet: All ports Subnet ADX: tutte le porteADX subnet:All ports TuttiAll
Consenti bilanciamento del carico di Azure in ingresso (Probe di integrità)Allow Azure load balancer inbound (health probe) AzureLoadBalancerAzureLoadBalancer Subnet ADX: 80443ADX subnet:80,443 TCPTCP

Configurazione NSG in uscitaOutbound NSG configuration

UsoUse FromFrom ToTo ProtocolloProtocol
Dipendenza da Archiviazione di AzureDependency on Azure Storage Subnet ADXADX subnet Archiviazione: 443Storage:443 TCPTCP
Dipendenza da Azure Data LakeDependency on Azure Data Lake Subnet ADXADX subnet AzureDataLake: 443AzureDataLake:443 TCPTCP
Inserimento e monitoraggio del servizio EventHubEventHub ingestion and service monitoring Subnet ADXADX subnet EventHub: 443, 5671EventHub:443,5671 TCPTCP
Pubblicare le metrichePublish Metrics Subnet ADXADX subnet AzureMonitor: 443AzureMonitor:443 TCPTCP
Active Directory (se applicabile)Active Directory (if applicable) Subnet ADXADX subnet AzureActiveDirectory: 443AzureActiveDirectory:443 TCPTCP
Autorità di certificazioneCertificate authority Subnet ADXADX subnet Internet: 80Internet:80 TCPTCP
Comunicazione internaInternal communication Subnet ADXADX subnet Subnet ADX: tutte le porteADX Subnet:All Ports TuttiAll
Porte usate per i plug-in sql\_request e http\_requestPorts that are used for sql\_request and http\_request plugins Subnet ADXADX subnet Internet: personalizzatoInternet:Custom TCPTCP

Indirizzi IP rilevantiRelevant IP addresses

Indirizzi IP di gestione Esplora dati di AzureAzure Data Explorer management IP addresses

Nota

Per le distribuzioni future, usare il tag del servizio AzureDataExplorerFor future deployments, use AzureDataExplorer Service Tag

RegionRegion IndirizziAddresses
Australia centraleAustralia Central 20.37.26.13420.37.26.134
Central2 AustraliaAustralia Central2 20.39.99.17720.39.99.177
Australia orientaleAustralia East 40.82.217.8440.82.217.84
Australia sud-orientaleAustralia Southeast 20.40.161.3920.40.161.39
BrazilSouthBrazilSouth 191.233.25.183191.233.25.183
Canada centraleCanada Central 40.82.188.20840.82.188.208
Canada orientaleCanada East 40.80.255.1240.80.255.12
India centraleCentral India 40.81.249.251, 104.211.98.15940.81.249.251, 104.211.98.159
Stati Uniti centraliCentral US 40.67.188.6840.67.188.68
Stati Uniti centrali EUAPCentral US EUAP 40.89.56.6940.89.56.69
Cina orientale 2China East 2 139.217.184.92139.217.184.92
Cina settentrionale 2China North 2 139.217.60.6139.217.60.6
Asia orientaleEast Asia 20.189.74.10320.189.74.103
Stati Uniti orientaliEast US 52.224.146.5652.224.146.56
Stati Uniti Orientali 2East US2 52.232.230.20152.232.230.201
EUAP Uniti orientaleEast US2 EUAP 52.253.226.11052.253.226.110
Francia centraleFrance Central 40.66.57.9140.66.57.91
Francia meridionaleFrance South 40.82.236.2440.82.236.24
Giappone orientaleJapan East 20.43.89.9020.43.89.90
Giappone occidentaleJapan West 40.81.184.8640.81.184.86
Corea centraleKorea Central 40.82.156.14940.82.156.149
Corea meridionaleKorea South 40.80.234.940.80.234.9
Stati Uniti centro-settentrionaliNorth Central US 40.81.45.25440.81.45.254
Europa settentrionaleNorth Europe 52.142.91.22152.142.91.221
Sudafrica settentrionaleSouth Africa North 102.133.129.138102.133.129.138
Sudafrica occidentaleSouth Africa West 102.133.0.97102.133.0.97
Stati Uniti centro-meridionaliSouth Central US 20.45.3.6020.45.3.60
Asia sud-orientaleSoutheast Asia 40.119.203.25240.119.203.252
India meridionaleSouth India 40.81.72.110, 104.211.224.18940.81.72.110, 104.211.224.189
Regno Unito meridionaleUK South 40.81.154.25440.81.154.254
Regno Unito occidentaleUK West 40.81.122.3940.81.122.39
Stati Uniti centrali DoDUSDoD Central 52.182.33.6652.182.33.66
Stati uniti orientali DoDUSDoD East 52.181.33.6952.181.33.69
USGov ArizonaUSGov Arizona 52.244.33.19352.244.33.193
USGov TexasUSGov Texas 52.243.157.3452.243.157.34
USGov VirginiaUSGov Virginia 52.227.228.8852.227.228.88
Stati Uniti centro-occidentaliWest Central US 52.159.55.12052.159.55.120
Europa occidentaleWest Europe 51.145.176.21551.145.176.215
India occidentaleWest India 40.81.88.112, 104.211.160.12040.81.88.112, 104.211.160.120
Stati Uniti occidentaliWest US 13.64.38.22513.64.38.225
Stati Uniti occidentali 2West US2 40.90.219.2340.90.219.23

Indirizzi di monitoraggio dello statoHealth monitoring addresses

RegionRegion IndirizziAddresses
Australia centraleAustralia Central 191.239.64.128191.239.64.128
Australia centrale 2Australia Central 2 191.239.64.128191.239.64.128
Australia orientaleAustralia East 191.239.64.128191.239.64.128
Australia sud-orientaleAustralia Southeast 191.239.160.47191.239.160.47
Brasile meridionaleBrazil South 23.98.145.10523.98.145.105
Canada centraleCanada Central 168.61.212.201168.61.212.201
Canada orientaleCanada East 168.61.212.201168.61.212.201
India centraleCentral India 23.99.5.16223.99.5.162
Stati Uniti centraliCentral US 168.61.212.201, 23.101.115.123168.61.212.201, 23.101.115.123
Stati Uniti centrali EUAPCentral US EUAP 168.61.212.201, 23.101.115.123168.61.212.201, 23.101.115.123
Cina orientale 2China East 2 40.73.96.3940.73.96.39
Cina settentrionale 2China North 2 40.73.33.10540.73.33.105
Asia orientaleEast Asia 168.63.212.33168.63.212.33
Stati Uniti orientaliEast US 137.116.81.189, 52.249.253.174137.116.81.189, 52.249.253.174
Stati Uniti orientali 2East US 2 137.116.81.189, 104.46.110.170137.116.81.189, 104.46.110.170
Stati Uniti orientali 2 EUAPEast US 2 EUAP 137.116.81.189, 104.46.110.170137.116.81.189, 104.46.110.170
Francia centraleFrance Central 23.97.212.523.97.212.5
Francia meridionaleFrance South 23.97.212.523.97.212.5
Giappone orientaleJapan East 138.91.19.129138.91.19.129
Giappone occidentaleJapan West 138.91.19.129138.91.19.129
Corea centraleKorea Central 138.91.19.129138.91.19.129
Corea meridionaleKorea South 138.91.19.129138.91.19.129
Stati Uniti centro-settentrionaliNorth Central US 23.96.212.10823.96.212.108
Europa settentrionaleNorth Europe 191.235.212.69, 40.127.194.147191.235.212.69, 40.127.194.147
Sudafrica settentrionaleSouth Africa North 104.211.224.189104.211.224.189
Sudafrica occidentaleSouth Africa West 104.211.224.189104.211.224.189
Stati Uniti centro-meridionaliSouth Central US 23.98.145.105, 104.215.116.8823.98.145.105, 104.215.116.88
India meridionaleSouth India 23.99.5.16223.99.5.162
Asia sud-orientaleSoutheast Asia 168.63.173.234168.63.173.234
Regno Unito meridionaleUK South 23.97.212.523.97.212.5
Regno Unito occidentaleUK West 23.97.212.523.97.212.5
Stati Uniti centrali DoDUSDoD Central 52.238.116.3452.238.116.34
Stati uniti orientali DoDUSDoD East 52.238.116.3452.238.116.34
USGov ArizonaUSGov Arizona 52.244.48.3552.244.48.35
USGov TexasUSGov Texas 52.238.116.3452.238.116.34
USGov VirginiaUSGov Virginia 23.97.0.2623.97.0.26
Stati Uniti centro-occidentaliWest Central US 168.61.212.201168.61.212.201
Europa occidentaleWest Europe 23.97.212.5, 213.199.136.17623.97.212.5, 213.199.136.176
India occidentaleWest India 23.99.5.16223.99.5.162
Stati Uniti occidentaliWest US 23.99.5.162, 13.88.13.5023.99.5.162, 13.88.13.50
Stati Uniti occidentali 2West US 2 23.99.5.162, 104.210.32.14, 52.183.35.12423.99.5.162, 104.210.32.14, 52.183.35.124

Disabilitare l'accesso ad Azure Esplora dati dall'IP pubblicoDisable access to Azure Data Explorer from the public IP

Se si vuole disabilitare completamente l'accesso ad Azure Esplora dati tramite l'indirizzo IP pubblico, creare un'altra regola in ingresso in NSG.If you want to completely disable access to Azure Data Explorer via the public IP address, create another inbound rule in the NSG. Questa regola deve avere una priorità più bassa (un numero maggiore).This rule has to have a lower priority (a higher number).

UsoUse OrigineSource Tag del servizio di origineSource service tag Intervalli di porte di origineSource port ranges DestinazioneDestination Intervalli di porte di destinazioneDestination port ranges ProtocolloProtocol AzioneAction PrioritàPriority
Disabilitare l'accesso da InternetDisable access from the internet Tag del servizioService Tag InternetInternet * VirtualNetworkVirtualNetwork * QualsiasiAny NegaDeny numero maggiore rispetto alle regole sopra indicatehigher number than the rules above

Questa regola consente di connettersi al cluster di Azure Esplora dati solo tramite i seguenti record DNS (con mapping all'indirizzo IP privato per ogni servizio):This rule will allow you to connect to the Azure Data Explorer cluster only via the following DNS records (mapped to the private IP for each service):

  • private-[clustername].[geo-region].kusto.windows.net motoreprivate-[clustername].[geo-region].kusto.windows.net (engine)
  • private-ingest-[clustername].[geo-region].kusto.windows.net (gestione dati)private-ingest-[clustername].[geo-region].kusto.windows.net (data management)

Installazione di ExpressRouteExpressRoute setup

Usare ExpressRoute per connettere la rete locale alla rete virtuale di Azure.Use ExpressRoute to connect on premises network to the Azure Virtual Network. Una configurazione comune consiste nell'annunciare la route predefinita (0.0.0.0/0) attraverso la sessione di Border Gateway Protocol (BGP).A common setup is to advertise the default route (0.0.0.0/0) through the Border Gateway Protocol (BGP) session. In questo modo si forza il traffico proveniente dalla rete virtuale da inviare alla rete locale del cliente che può eliminare il traffico, causando interruzioni dei flussi in uscita.This forces traffic coming out of the Virtual Network to be forwarded to the customer's premise network that may drop the traffic, causing outbound flows to break. Per ovviare a questa impostazione predefinita, è possibile configurare Route definito dall'utente (UDR) (0.0.0.0/0) e l'hop successivo sarà Internet.To overcome this default, User Defined Route (UDR) (0.0.0.0/0) can be configured and next hop will be Internet. Poiché il UDR ha la precedenza su BGP, il traffico sarà destinato a Internet.Since the UDR takes precedence over BGP, the traffic will be destined to the Internet.

Sicurezza del traffico in uscita con il firewallSecuring outbound traffic with firewall

Se si vuole proteggere il traffico in uscita usando il firewall di Azure o qualsiasi appliance virtuale per limitare i nomi di dominio, è necessario che nel firewall siano consentiti i nomi di dominio completi (FQDN) seguenti.If you want to secure outbound traffic using Azure Firewall or any virtual appliance to limit domain names, the following Fully Qualified Domain Names (FQDN) must be allowed in the firewall.

prod.warmpath.msftcloudes.com:443
gcs.prod.monitoring.core.windows.net:443
production.diagnostics.monitoring.core.windows.net:443
graph.windows.net:443
*.update.microsoft.com:443
shavamanifestcdnprod1.azureedge.net:443
login.live.com:443
wdcp.microsoft.com:443
login.microsoftonline.com:443
azureprofilerfrontdoor.cloudapp.net:443
*.core.windows.net:443
*.servicebus.windows.net:443,5671
shoebox2.metrics.nsatc.net:443
prod-dsts.dsts.core.windows.net:443
ocsp.msocsp.com:80
*.windowsupdate.com:80
ocsp.digicert.com:80
go.microsoft.com:80
dmd.metaservices.microsoft.com:80
www.msftconnecttest.com:80
crl.microsoft.com:80
www.microsoft.com:80
adl.windows.com:80
crl3.digicert.com:80

Nota

Se si usa il firewall di Azure, aggiungere la regola di rete con le proprietà seguenti:If you're using Azure Firewall, add Network Rule with the following properties:
Protocollo: TCPProtocol: TCP
Tipo di origine: indirizzo IPSource Type: IP Address
Origine: *Source: *
Tag di servizio: AzureMonitorService Tags: AzureMonitor
Porte di destinazione: 443Destination Ports: 443

È anche necessario definire la tabella di route nella subnet con gli indirizzi di gestione e gli indirizzi di monitoraggio dell'integrità con Internet hop successivo per evitare problemi relativi alle route asimmetriche.You also need to define the route table on the subnet with the management addresses and health monitoring addresses with next hop Internet to prevent asymmetric routes issues.

Per l'area Stati Uniti occidentali , ad esempio, è necessario definire i seguenti UdR:For example, for West US region, the following UDRs must be defined:

NomeName Prefisso indirizzoAddress Prefix Hop successivoNext Hop
ADX_ManagementADX_Management 13.64.38.225/3213.64.38.225/32 InternetInternet
ADX_MonitoringADX_Monitoring 23.99.5.162/3223.99.5.162/32 InternetInternet

Distribuire un cluster di Azure Esplora dati in VNet usando un modello di Azure Resource ManagerDeploy Azure Data Explorer cluster into your VNet using an Azure Resource Manager template

Per distribuire un cluster di Azure Esplora dati nella rete virtuale, usare il cluster azure Esplora dati nel modello di Azure Resource Manager di VNet.To deploy Azure Data Explorer cluster into your virtual network, use the Deploy Azure Data Explorer cluster into your VNet Azure Resource Manager template.

Questo modello consente di creare il cluster, la rete virtuale, la subnet, il gruppo di sicurezza di rete e gli indirizzi IP pubblici.This template creates the cluster, virtual network, subnet, network security group, and public IP addresses.