Azure Data Lake Storage 1. için sanal ağ tümleştirmesi

Bu makalede Azure Data Lake Storage 1. için sanal ağ tümleştirmesi tanıtılmaktadır. Sanal ağ tümleştirmesi ile hesaplarınızı yalnızca belirli sanal ağlardan ve alt ağlardan gelen trafiği kabul edecek şekilde yapılandırabilirsiniz.

Bu özellik, Data Lake Storage hesabınızı dışarıdan gelebilecek tehditlere karşı korumanıza yardımcı olur.

Data Lake Storage 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinde ek güvenlik talepleri oluşturmak için sanal ağınızla Azure Active Directory (Azure AD) arasında sanal ağ hizmet uç noktası güvenliğini kullanır. Ardından bu talepler sanal ağınız için Data Lake Storage 1. Nesil hesabınızda kimlik doğrulaması gerçekleştirme ve erişim izni verme amacıyla kullanılır.

Not

Bu özellikler ek ücrete tabi değildir. Hesabınız Data Lake Storage 1. Nesil için standart ücretler üzerinden faturalandırılır. Daha fazla bilgi için bkz. Fiyatlandırma. Kullandığınız diğer tüm Azure hizmetleri için bkz. Fiyatlandırma.

Data Lake Storage 1. Nesil sanal ağ tümleştirmesi senaryoları

Data Lake Storage 1. Nesil sanal ağ tümleştirmesi ile Data Lake Storage 1. Nesil hesabınıza erişimi belirli sanal ağlar ve alt ağlar ile sınırlandırabilirsiniz. Hesabınız belirtilen sanal ağ alt ağına kilitlendikten sonra Azure'daki diğer sanal ağlar/VM'ler tarafından erişim sağlanamaz. Data Lake Storage 1. Nesil sanal ağ tümleştirmesi, işlev açısından sanal ağ hizmet uç noktaları ile aynı senaryoyu etkinleştirir. İki senaryo arasındaki önemli farklar aşağıdaki bölümlerde belirtilmiştir.

Data Lake Storage 1. Nesil sanal ağ tümleştirmesi senaryo diyagramı

Not

Sanal ağ kurallarına ek olarak var olan IP güvenlik duvarı kurallarını kullanarak şirket içi ağlardan erişime de izin verebilirsiniz.

Data Lake Storage 1. Nesil sanal ağ tümleştirmesi için en uygun rota

Sanal ağ hizmet uç noktalarının temel avantajlarından biri, sanal ağınızdan en iyi rotayı kullanma seçeneğidir. Data Lake Storage 1. Nesil hesaplarında aynı rota iyileştirme adımlarını gerçekleştirebilirsiniz. Sanal ağınızdan Data Lake Storage 1. Nesil hesabınıza aşağıdaki kullanıcı tanımlı rotaları kullanın.

Data Lake Storage genel IP adresi: Hedef Data Lake Storage 1. Nesil hesaplarınız için genel IP adresini kullanın. Hesaplarınızın DNS adlarını çözümleyerek Data Lake Storage 1. Nesil hesabınızın IP adresini tanımlayabilirsiniz. Her adres için ayrı bir giriş oluşturun.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

Müşteri sanal ağından veri sızdırma

Data Lake Storage hesaplarını sanal ağ erişimiyle sınırlandırmaya ek olarak yetkisiz hesaba sızma olmamasını da sağlamak isteyebilirsiniz.

Giden trafiği hedef hesap URL'sine göre filtrelemek için sanal ağınızda bir güvenlik duvarı çözümü kullanın. Yalnızca onaylanan Data Lake Storage 1. Nesil hesaplarına erişim izni verin.

Kullanılabilen seçeneklerin bazıları şunlardır:

  • Azure Güvenlik Duvarı: Sanal ağınızda bir Azure Güvenlik Duvarı dağıtın ve yapılandırın. Giden Data Lake Storage trafiğinin güvenliğini sağlayın, bilinen ve onaylı hesap URL'si ile kilitleyin.
  • Sanal ağ gereci güvenlik duvarı: Yöneticiniz yalnızca belirli ticari güvenlik duvarı satıcılarının kullanılmasına izin veriyor olabilir. Aynı işlevi gerçekleştirmek için Azure Market'te bulunan ağ sanal gereci güvenlik duvarı çözümlerinden birini kullanın.

Not

Veri yolunda güvenlik duvarı kullanmak yeni bir atlama eklenmesine neden olur. Bu durum ağ performansını ve uçtan uca veri alışverişini etkileyebilir. Kullanılabilen aktarım hızı ve bağlantı gecikme süresi bu durumdan etkilenebilir.

Sınırlamalar

  • Sanal ağ tümleştirme desteği Data Lake Storage 1. önce oluşturulan HDInsight kümeleri, bu yeni özelliği desteklemek için yeniden oluşturulmalıdır.

  • Yeni bir HDInsight kümesi oluşturduğunuzda ve sanal ağ tümleştirmesi etkinleştirilmiş bir Data Lake Storage 1. Nesil hesabını seçtiğinizde bu işlem başarısız olur. Öncelikle sanal ağ kuralını devre dışı bırakmanız gerekir. Alternatif olarak Data Lake Storage hesabının Güvenlik duvarı ve sanal ağlar dikey penceresinde Tüm ağlardan ve hizmetlerden erişime izin ver'i seçebilirsiniz. Ardından, son olarak sanal ağ kuralını yeniden etkinleştirmeden önce HDInsight kümesini oluşturun veya tüm ağlardan ve hizmetlerden erişime Izin ver seçimini kaldırın. Daha fazla bilgi için Özel durumlar bölümüne bakın.

  • Data Lake Storage 1. sanal ağ tümleştirmesi, Azure kaynakları için yönetilen kimliklerlebirlikte çalışmaz.

  • Sanal ağ tümleştirmesi etkin Data Lake Storage 1. Nesil hesabınızdaki dosya ve klasör verilerine portaldan erişim sağlayamazsınız. Bu kısıtlamaya sanal ağ içindeki VM'lerden erişim ve Veri Gezgini kullanımı gibi etkinlikler dahildir. Hesap yönetimi etkinlikleri çalışmaya devam eder. Sanal ağ tümleştirmesi etkin Data Lake Storage hesabınızdaki dosya ve klasör verilerine portal dışı kaynaklardan erişim sağlayabilirsiniz. Bu kaynaklara SDK erişimi, PowerShell betikleri ve portaldan başlatılmayan diğer tüm Azure hizmetleri dahildir.

Yapılandırma

1. Adım: Sanal ağınızı bir Azure AD hizmet uç noktasını kullanacak şekilde yapılandırma

  1. Azure portala gidin ve hesabınızda oturum açın.

  2. Aboneliğinizde Yeni bir sanal ağ oluşturun. İsterseniz var olan bir sanal ağa da gidebilirsiniz. Sanal ağın Data Lake Storage 1. Nesil hesabıyla aynı bölgede olması gerekir.

  3. Sanal ağ dikey penceresinde Hizmet uç noktaları'nı seçin.

  4. Ekle'yi seçerek yeni bir hizmet uç noktası ekleyin.

    Sanal ağ hizmet uç noktası ekleme

  5. Uç noktası hizmeti olarak Microsoft.AzureActiveDirectory seçeneğini belirleyin.

    Select the Microsoft.AzureActiveDirectory hizmet uç noktasını seçme

  6. Bağlantı izni vermek istediğiniz alt ağları seçin. Add (Ekle) seçeneğini belirleyin.

    Alt ağı seçme

  7. Hizmet uç noktasının eklenmesi 15 dakika sürebilir. Eklendikten sonra listede gösterilir. Göründüğünden ve tüm ayrıntıların yapılandırmaya uygun olduğundan emin olun.

    Hizmet uç noktası ekleme başarılı

2. Adım: Data Lake Storage 1. Nesil hesabınız için izin verilen sanal ağı veya alt ağı ayarlama

  1. Sanal ağınızı yapılandırdıktan sonra aboneliğinizde yeni bir Azure Data Lake Storage 1. Nesil hesabı oluşturun. İsterseniz var olan bir Data Lake Storage 1. Nesil hesabına da gidebilirsiniz. Data Lake Storage 1. Nesil hesabının sanal ağ ile aynı bölgede olması gerekir.

  2. Güvenlik duvarı ve sanal ağlar'ı seçin.

    Not

    Ayarlarda Güvenlik duvarı ve sanal ağlar seçeneği görünmüyorsa portal oturumunu kapatın. Tarayıcıyı kapatın ve tarayıcı önbelleğini temizleyin. Makineyi yeniden başlatın ve yeniden deneyin.

    Data Lake Storage hesabınıza sanal ağ kuralı ekleme

  3. Seçili ağlar'ı seçin.

  4. Var olan sanal ağı ekle' yi seçin.

    Var olan sanal ağı ekle

  5. Bağlantıya izin vermek istediğiniz sanal ağları ve alt ağları seçin. Add (Ekle) seçeneğini belirleyin.

    Sanal ağı ve alt ağları seçme

  6. Sanal ağların ve alt ağların listede düzgün şekilde gösterildiğinden emin olun. Kaydet’i seçin.

    Yeni kuralı kaydetme

    Not

    Kaydettikten sonra ayarların geçerli olması 5 dakika sürebilir.

  7. [İsteğe bağlı] Güvenlik duvarı ve sanal ağlar sayfasının Güvenlik duvarı bölümünde belirli IP adreslerinden gelen bağlantılara izin verebilirsiniz.

Özel durumlar

Seçtiğiniz sanal ağların dışındaki Azure hizmetlerinden ve VM'lerden gelen bağlantılara izin verebilirsiniz. Güvenlik duvarı ve sanal ağlar dikey penceresinin Özel durumlar bölümündeki iki seçenekten birini belirleyin:

  • Tüm Azure hizmetlerinin bu Data Lake Storage 1. Nesil hesabına erişmesine izin ver. Bu seçenek Azure Data Factory ve Azure Event Hubs gibi Azure hizmetlerinin ve tüm Azure VM'lerinin Data Lake Storage hesabınızla iletişim kurmasına izin verir.

  • Azure Data Lake Analytics'in bu Data Lake Storage 1. Nesil hesabına erişmesine izin ver. Bu seçenek, Data Lake Analytics hizmetinin bu Data Lake Storage hesabına bağlanmasını sağlar.

    Güvenlik duvarı ve sanal ağ özel durumları

Bu özel durumları kapalı tutmanızı öneririz. Bunları ancak sanal ağınızdaki diğer hizmetlerden bağlantı kurulmasını istiyorsanız açmanız önerilir.