Integratie van virtuele netwerken voor Azure Data Lake Storage Gen1Virtual network integration for Azure Data Lake Storage Gen1

In dit artikel komt u meer te weten over de integratie van virtuele netwerken in Azure Data Lake Storage Gen1.This article introduces virtual network integration for Azure Data Lake Storage Gen1. Bij het integreren van virtuele netwerken kunt u uw accounts zodanig configureren dat alleen verkeer van specifieke virtuele netwerken en subnetten wordt geaccepteerd.With virtual network integration, you can configure your accounts to accept traffic only from specific virtual networks and subnets.

Deze functie helpt bij het beveiligen van uw Data Lake Storage-account tegen externe bedreigingen.This feature helps to secure your Data Lake Storage account from external threats.

Bij integratie van virtuele netwerken in Data Lake Storage Gen1 wordt gebruikgemaakt van de service-eindpuntbeveiliging tussen de virtuele netwerken en Azure Active Directory om extra beveiligingsclaims te genereren in het toegangstoken.Virtual network integration for Data Lake Storage Gen1 makes use of the virtual network service endpoint security between your virtual network and Azure Active Directory (Azure AD) to generate additional security claims in the access token. Deze claims worden vervolgens gebruikt om het virtuele netwerk te verifiëren bij het Data Lake Storage Gen1-account en toegang toe te staan.These claims are then used to authenticate your virtual network to your Data Lake Storage Gen1 account and allow access.

Notitie

Er zijn geen extra kosten gemoeid met het gebruik van deze mogelijkheden.There's no additional charge associated with using these capabilities. Er worden tegen het standaardtarief van Data Lake Storage Gen1 kosten doorberekend aan uw account.Your account is billed at the standard rate for Data Lake Storage Gen1. Ga voor meer informatie naar het overzicht van prijzen.For more information, see pricing. Voor alle andere Azure-services die u gebruikt, gaat u naar Prijzen.For all other Azure services that you use, see pricing.

Scenario's met integratie van virtuele netwerken voor Data Lake Storage Gen1Scenarios for virtual network integration for Data Lake Storage Gen1

Middels de integratie van virtuele netwerken in Data Lake Storage Gen1 kunt u de toegang tot uw Data Lake Storage Gen1-account beperken vanaf specifieke virtuele netwerken en subnetten.With Data Lake Storage Gen1 virtual network integration, you can restrict access to your Data Lake Storage Gen1 account from specific virtual networks and subnets. Wanneer uw account is vergrendeld voor het opgegeven subnet van een virtueel netwerk, krijgen andere virtuele netwerken/VM's uit Azure geen toegang.After your account is locked to the specified virtual network subnet, other virtual networks/VMs in Azure aren't allowed access. Functioneel biedt de integratie van virtuele netwerken in Data Lake Storage Gen1 hetzelfde scenario als service-eindpunten voor virtuele netwerken.Functionally, Data Lake Storage Gen1 virtual network integration enables the same scenario as virtual network service endpoints. In de volgende secties worden een paar belangrijke verschillen gedetailleerd besproken.A few key differences are detailed in the following sections.

Scenariodiagram over de integratie van virtuele netwerken in Data Lake Storage Gen1

Notitie

De bestaande IP-firewallregels kunnen worden gebruikt naast de regels voor virtuele netwerken, om ook toegang vanaf on-premises netwerken toe te staan.The existing IP firewall rules can be used in addition to virtual network rules to allow access from on-premises networks too.

Optimale routering met virtuele-netwerkintegratie in Data Lake Storage Gen1Optimal routing with Data Lake Storage Gen1 virtual network integration

Een belangrijk voordeel van service-eindpunten voor virtuele netwerken is optimale routering vanuit het virtuele netwerk.A key benefit of virtual network service endpoints is optimal routing from your virtual network. U kunt dezelfde optimale routering gebruiken voor Data Lake Storage Gen1-accounts.You can perform the same route optimization to Data Lake Storage Gen1 accounts. Gebruik de volgende door gebruikers gedefinieerde routes uit uw virtuele netwerk voor uw Data Lake Storage Gen1-account.Use the following user-defined routes from your virtual network to your Data Lake Storage Gen1 account.

Openbaar IP-adres van Data Lake Storage: gebruik het openbare IP-adres voor de Data Lake Storage Gen1-doelaccounts.Data Lake Storage public IP address – Use the public IP address for your target Data Lake Storage Gen1 accounts. U kunt de IP-adressen voor het Data Lake Storage Gen1-account identificeren door de DNS-namen van de accounts om te zetten.To identify the IP addresses for your Data Lake Storage Gen1 account, resolve the DNS names of your accounts. Maak een afzonderlijke vermelding voor elk adres.Create a separate entry for each address.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

Gegevensoverdracht vanuit het virtuele netwerk van de klantData exfiltration from the customer virtual network

Naast het beveiligen van de toegang tot Data Lake Storage-accounts voor toegang vanuit het virtuele netwerk, wilt u wellicht ook voorkomen dat gegevens worden overgedragen naar een niet-gemachtigd account.In addition to securing the Data Lake Storage accounts for access from the virtual network, you also might be interested in making sure there's no exfiltration to an unauthorized account.

Gebruik hiervoor een firewalloplossing in uw virtuele netwerk voor het filteren van uitgaand verkeer op basis van de URL van het doelaccount.Use a firewall solution in your virtual network to filter the outbound traffic based on the destination account URL. Verleen alleen toegang aan goedgekeurde Data Lake Storage Gen1-accounts.Allow access to only approved Data Lake Storage Gen1 accounts.

Een aantal beschikbare opties zijn:Some available options are:

  • Azure Firewall: implementeer en configureer een Azure-firewall voor uw virtuele netwerk.Azure Firewall: Deploy and configure an Azure firewall for your virtual network. Beveilig het uitgaande Data Lake Storage-verkeer en beperk het tot de bekende en goedgekeurde account-URL.Secure the outbound Data Lake Storage traffic, and lock it down to the known and approved account URL.
  • Firewall voor het virtuele netwerkapparaat: de beheerder staat mogelijk alleen het gebruik van bepaalde commerciële firewalls toe.Network virtual appliance firewall: Your administrator might allow the use of only certain commercial firewall vendors. Gebruik een firewalloplossing voor virtuele-netwerkapparaten die beschikbaar is in Azure Marketplace en waarmee dezelfde functie kan worden vervuld.Use a network virtual appliance firewall solution that's available in the Azure Marketplace to perform the same function.

Notitie

Door firewalls te gebruiken in het gegevenspad wordt er een extra sprong in het gegevenspad gecreëerd.Using firewalls in the data path introduces an additional hop in the data path. Dit kan van invloed zijn op de netwerkprestaties voor end-to-endgegevensuitwisseling.It might affect the network performance for end-to-end data exchange. De doorvoerbeschikbaarheid en verbindingslatentie kunnen worden beïnvloed.Throughput availability and connection latency might be affected.

BeperkingenLimitations

  • HDInsight-clusters die zijn gemaakt vóórdat ondersteuning van Data Lake Storage Gen1-virtuele-netwerkintegratie beschikbaar was, moeten opnieuw worden gemaakt zodat er ondersteuning wordt geboden voor de nieuwe functie.HDInsight clusters that were created before Data Lake Storage Gen1 virtual network integration support was available must be re-created to support this new feature.

  • Wanneer u een nieuw HDInsight-cluster maakt en u een Data Lake Storage Gen1-account selecteert waarvoor virtuele-netwerkintegratie is ingeschakeld, mislukt het proces.When you create a new HDInsight cluster and select a Data Lake Storage Gen1 account with virtual network integration enabled, the process fails. Schakel om te beginnen de regel voor het virtuele netwerk uit.First, disable the virtual network rule. U kunt ook op de blade Firewall en virtuele netwerken van het Data Lake Storage-account de optie Toegang vanuit alle netwerken en services toestaan selecteren.Or on the Firewall and virtual networks blade of the Data Lake Storage account, select Allow access from all networks and services. Maak vervolgens het HDInsight-cluster voordat u de regel voor het virtuele netwerk opnieuw inschakelt of Toegang uit alle netwerken en services deselecteert.Then create the HDInsight cluster before finally re-enabling the virtual network rule or de-selecting Allow access from all networks and services. Raadpleeg de sectie Uitzonderingen voor meer informatie.For more information, see the Exceptions section.

  • De van virtuele-netwerkintegratie voor Data Lake Storage Gen1 werkt niet in combinatie met beheerde identiteiten voor Azure-resources.Data Lake Storage Gen1 virtual network integration doesn't work with managed identities for Azure resources.

  • Bestands- en mapgegevens in uw Data Lake Storage Gen1-account met virtuele-netwerkfunctionaliteit zijn niet toegankelijk vanuit de portal.File and folder data in your virtual network-enabled Data Lake Storage Gen1 account isn't accessible from the portal. Deze beperking omvat toegang vanuit een VM in het virtuele netwerk en activiteiten zoals het gebruik van Data Explorer.This restriction includes access from a VM that’s within the virtual network and activities such as using Data Explorer. Accountbeheeractiviteiten blijven werken.Account management activities continue to work. Bestands- en mapgegevens in uw Data Lake Storage-account met virtuele-netwerkfunctionaliteit zijn toegankelijk via alle niet-portalresources.File and folder data in your virtual network-enabled Data Lake Storage account is accessible via all non-portal resources. Deze resources omvatten bijvoorbeeld SDK-toegang, PowerShell-scripts en andere Azure-services als deze niet afkomstig zijn uit de portal.These resources include SDK access, PowerShell scripts, and other Azure services when they don't originate from the portal.

ConfiguratieConfiguration

Stap 1: uw virtuele netwerk configureren voor het gebruik van een Azure AD-service-eindpuntStep 1: Configure your virtual network to use an Azure AD service endpoint

  1. Ga naar de Azure-portal en meld u aan bij uw account.Go to the Azure portal, and sign in to your account.

  2. Maak een nieuw virtueel netwerk in uw abonnement.Create a new virtual networkin your subscription. U kunt ook naar een bestaand virtueel netwerk gaan.Or you can go to an existing virtual network. Het virtuele netwerk moet zich in dezelfde regio bevinden als het Data Lake Store Gen 1-account.The virtual network must be in the same region as the Data Lake Storage Gen 1 account.

  3. Kies op de blade Virtueel netwerk de optie Service-eindpunten.On the Virtual network blade, select Service endpoints.

  4. Selecteer Toevoegen om een nieuw service-eindpunt toe te voegen.Select Add to add a new service endpoint.

    Een service-eindpunt voor een virtueel netwerk toevoegen

  5. Selecteer Microsoft.AzureActiveDirectory als service voor het eindpunt.Select Microsoft.AzureActiveDirectory as the service for the endpoint.

    Het service-eindpunt Microsoft.AzureActiveDirectory selecteren

  6. Selecteer de subnetten waarvoor u connectiviteit wilt toestaan.Select the subnets for which you intend to allow connectivity. Selecteer Toevoegen.Select Add.

    Het subnet selecteren

  7. Het duurt maximaal 15 minuten voordat het service-eindpunt is toegevoegd.It can take up to 15 minutes for the service endpoint to be added. Na het toevoegen wordt het in de lijst weergegeven.After it's added, it shows up in the list. Controleer of het inderdaad wordt weergegeven en of alle configuratiedetails kloppen.Verify that it shows up and that all details are as configured.

    Geslaagde toevoeging van het service-eindpunt

Stap 2: het toegestane virtuele netwerk of subnet instellen voor uw Data Lake Storage Gen1-accountStep 2: Set up the allowed virtual network or subnet for your Data Lake Storage Gen1 account

  1. Wanneer u uw virtuele netwerk hebt geconfigureerd, maakt u een nieuw account voor Azure Data Lake Storage Gen1 in uw abonnement.After you configure your virtual network, create a new Azure Data Lake Storage Gen1 account in your subscription. U kunt ook naar een bestaand Data Lake Storage Gen1-account gaan.Or you can go to an existing Data Lake Storage Gen1 account. Het Data Lake Storage Gen1-account moet zich in dezelfde regio bevinden als het virtuele netwerk.The Data Lake Storage Gen1 account must be in the same region as the virtual network.

  2. Selecteer Firewall en virtuele netwerken.Select Firewall and virtual networks.

    Notitie

    Als u Firewall en virtuele netwerken niet ziet in de instellingen, meldt u zich af bij de portal.If you don't see Firewall and virtual networks in the settings, log off the portal. Sluit de browser en wis de browsercache.Close the browser, and clear the browser cache. Start de computer opnieuw op en probeer het nog een keer.Restart the machine and retry.

    Een regel voor virtuele netwerken toevoegen aan uw Data Lake Storage-account

  3. Selecteer Geselecteerde netwerken.Select Selected networks.

  4. Selecteer bestaand virtueel netwerk toevoegen.Select Add existing virtual network.

    Bestaand virtueel netwerk toevoegen

  5. Selecteer de virtuele netwerken en subnetten om connectiviteit mogelijk te maken.Select the virtual networks and subnets to allow for connectivity. Selecteer Toevoegen.Select Add.

    Het virtuele netwerk en de subnetten kiezen

  6. Zorg ervoor dat de virtuele netwerken en subnetten juist worden weergegeven in de lijst.Make sure that the virtual networks and subnets show up correctly in the list. Selecteer Opslaan.Select Save.

    De nieuwe regel opslaan

    Notitie

    Na het opslaan duurt het maximaal 5 minuten voordat de instellingen zijn doorgevoerd.It might take up to 5 minutes for the settings to take into effect after you save.

  7. [optioneel] Op de pagina Firewall en virtuele netwerken, in het gedeelte Firewall, kunt u connectiviteit vanaf specifieke IP-adressen toestaan.[Optional] On the Firewall and virtual networks page, in the Firewall section, you can allow connectivity from specific IP addresses.

UitzonderingenExceptions

U kunt connectiviteit vanuit Azure-services en VM's buiten uw geselecteerde virtuele netwerken inschakelen.You can enable connectivity from Azure services and VMs outside of your selected virtual networks. Op de blade Firewall en virtuele netwerken kunt u in het gedeelte Uitzonderingen kiezen uit twee opties:On the Firewall and virtual networks blade, in the Exceptions area, select from two options:

  • Verleen alle Azure-services toegang tot dit Data Lake Storage Gen1-account.Allow all Azure services to access this Data Lake Storage Gen1 account. Middels deze optie kunnen Azure-services zoals Azure Data Factory, Azure Event Hubs en alle virtuele machines van Azure communiceren met uw Data Lake Storage-account.This option allows Azure services such as Azure Data Factory, Azure Event Hubs, and all Azure VMs to communicate with your Data Lake Storage account.

  • Verleen Azure Data Lake Analytics toegang tot dit Data Lake Storage Gen1-account.Allow Azure Data Lake Analytics to access this Data Lake Storage Gen1 account. Met deze optie wordt Data Lake Analytics-connectiviteit met dit Data Lake Storage-account mogelijk.This option allows Data Lake Analytics connectivity to this Data Lake Storage account.

    Uitzonderingen voor de firewall en virtuele netwerken

Het wordt aangeraden om deze uitzonderingen uitgeschakeld te houden.We recommend that you keep these exceptions turned off. Schakel ze alleen in als u connectiviteit nodig hebt via andere services buiten uw virtuele netwerk.Turn them on only if you need connectivity from these other services from outside your virtual network.