Pontos de extremidade privados para o Azure Data Explorer
Você pode usar pontos de extremidade privados para seu cluster para permitir que os clientes em uma rede virtual acessem dados com segurança por meio de um link privado. Os pontos de extremidade privados usam endereços IP privados do espaço de endereço de rede virtual para conectá-lo de forma privada ao cluster. O tráfego de rede entre clientes na rede virtual e no cluster atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública.
O uso de pontos de extremidade privados para seu cluster permite que você:
- Projeta seu cluster configurando o firewall para bloquear todas as conexões com o cluster no ponto de extremidade público.
- Aumente a segurança da rede virtual permitindo que você bloqueie o vazamento de dados da rede virtual.
- Conecte-se com segurança a clusters de redes locais que se conectam à rede virtual usando um gateway de VPN ou ExpressRoutes com emparelhamento privado.
Visão geral
Um ponto de extremidade privado é um adaptador de rede especial para um serviço do Azure em sua rede virtual que recebe endereços IP do intervalo de endereços IP da rede virtual. Quando você cria um ponto de extremidade privado para seu cluster, ele fornece conectividade segura entre clientes em sua rede virtual e seu cluster. A conexão entre o ponto de extremidade privado e o cluster usa um link privado seguro.
Os aplicativos na rede virtual podem se conectar perfeitamente ao cluster pelo ponto de extremidade privado. As cadeias de conexão e os mecanismos de autorização são os mesmos que você usaria para se conectar a um ponto de extremidade público.
Quando você cria um ponto de extremidade privado para o cluster em sua rede virtual, uma solicitação de consentimento é enviada para aprovação para o proprietário do cluster. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do cluster, a solicitação será aprovada automaticamente. Os proprietários de clusters podem gerenciar solicitações de consentimento e pontos de extremidade privados para o cluster no portal do Azure, em Pontos de extremidade privados.
Você pode proteger seu cluster para aceitar apenas conexões de sua rede virtual configurando o firewall do cluster para negar o acesso por meio de seu ponto de extremidade público por padrão. Você não precisa de uma regra de firewall para permitir o tráfego de uma rede virtual que tenha um ponto de extremidade privado porque o firewall do cluster controla apenas o acesso para o ponto de extremidade público. Em contraste, os pontos de extremidade privados dependem do fluxo de consentimento para conceder acesso de sub-redes ao cluster.
Planejar o tamanho da sub-rede em sua rede virtual
O tamanho da sub-rede usada para hospedar um ponto de extremidade privado para um cluster não pode ser alterado depois que a sub-rede é implantada. O ponto de extremidade privado consome vários endereços IP em sua rede virtual. Em cenários extremos, como ingestão de alto nível, o número de endereços IP consumidos pelo ponto de extremidade privado pode aumentar. Esse aumento é causado um número maior de contas de armazenamento temporárias exigidas como contas de preparo para ingestão em seu cluster. Se o cenário for relevante em seu ambiente, você precisará planejar isso ao determinar o tamanho da sub-rede.
Observação
Os cenários de ingestão relevantes que seriam responsáveis por expandir as contas de armazenamento transitórias são ingestão de um arquivo local e ingestão assíncrona de um blob.
Use as seguintes informações para ajudar a determinar o número total de endereços IP necessários em seu ponto de extremidade privado:
| Use | Número de endereços IP |
|---|---|
| Serviço de mecanismo | 1 |
| Serviço de gerenciamento de dados | 1 |
| Contas de armazenamento temporárias | 6 |
| Endereços reservados do Azure | 5 |
| Total | 13 |
Observação
O tamanho mínimo absoluto da sub-rede deve ser /28 (14 endereços IP utilizáveis). Se você planeja criar um cluster do Azure Data Explorer para cargas de trabalho de ingestão extremas, você estará no lado seguro com um máscara de rede /24.
Se você criou uma sub-rede muito pequena, pode excluí-la e criar outra com um intervalo de endereços maior. Depois de recriar a sub-rede, você pode criar um novo ponto de extremidade privado para o cluster.
Conectar-se a um ponto de extremidade privado
Os clientes em uma rede virtual usando um ponto de extremidade privado devem usar o mesmo cadeia de conexão para o cluster que os clientes que se conectam a um ponto de extremidade público. A resolução DNS roteia automaticamente as conexões da rede virtual para o cluster por meio de um link privado.
Importante
Use a mesma cadeia de conexão para se conectar ao cluster usando pontos de extremidade privados que você usaria para se conectar a um ponto de extremidade público. Não se conecte ao cluster usando a URL de subdomínio de link privado.
Por padrão, o Azure Data Explorer cria uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados. No entanto, se você estiver usando seu próprio servidor DNS, talvez seja necessário fazer mais alterações na configuração do DNS.
Importante
Para a configuração ideal, recomendamos que você alinhe sua implantação com as recomendações no artigo Ponto de Extremidade Privado e DNS em Escala Cloud Adoption Framework artigo. Use as informações no artigo para automatizar DNS privado criação de entrada usando as Políticas do Azure, facilitando o gerenciamento da implantação conforme você dimensiona.
O Azure Data Explorer cria vários FQDNs visíveis do cliente como parte da implantação de ponto de extremidade privado. Além do FQDN de consulta e ingestão, ele vem com vários FQDNs para pontos de extremidade de blob/tabela/fila (necessários para cenários de ingestão)
Desabilitar o acesso público
Para aumentar a segurança, você também pode desabilitar o acesso público ao cluster no portal do Azure.
Pontos de extremidade privados gerenciados
Você pode usar um ponto de extremidade privado gerenciado para permitir que o cluster acesse com segurança seus serviços relacionados à ingestão ou consulta por meio do ponto de extremidade privado dele. Isso permite que o cluster Azure Data Explorer acesse seus recursos por meio de um endereço IP privado.
Serviços com suporte
O Azure Data Explorer dá suporte à criação de pontos de extremidade privados gerenciados para os seguintes serviços:
- Hubs de eventos do Azure
- Hubs IoT do Azure
- Conta de Armazenamento do Azure
- Azure Data Explorer
- SQL do Azure
- Gêmeos Digitais do Azure
Limitações
Não há suporte para pontos de extremidade privados para clusters do Azure Data Explorer injetados na rede virtual.
Implicações no custo
Pontos de extremidade privados ou pontos de extremidade privados gerenciados são recursos que incorrem em custos adicionais. O custo varia dependendo da arquitetura da solução selecionada. Para obter mais informações, consulte Link Privado do Azure preços.
Conteúdo relacionado
- Criar um ponto de extremidade privado para o Azure Data Explorer
- Criar um ponto de extremidade privado gerenciado para o Azure Data Explorer
- Como restringir o acesso público ao Azure Data Explorer
- Como restringir o acesso de saída do Azure Data Explorer
- Conectar um cluster por trás de um ponto de extremidade privado a um serviço do Power BI
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de