Azure Data Lake Storage 1. Nesil için sanal ağ tümleştirmesi
Bu makalede, Azure Data Lake Storage 1. Nesil için sanal ağ tümleştirmesi tanıt gerçekleştirilir. Sanal ağ tümleştirmesi ile hesaplarınızı yalnızca belirli sanal ağlardan ve alt ağlardan gelen trafiği kabul edecek şekilde yapılandırabilirsiniz.
Bu özellik, Data Lake Storage hesabınızı dışarıdan gelebilecek tehditlere karşı korumanıza yardımcı olur.
Data Lake Storage 1. Nesil için sanal ağ tümleştirmesi, erişim belirtecinde ek güvenlik talepleri oluşturmak için sanal ağınızla Microsoft Entra ID arasındaki sanal ağ hizmet uç noktası güvenliğini kullanır. Ardından bu talepler sanal ağınız için Data Lake Storage 1. Nesil hesabınızda kimlik doğrulaması gerçekleştirme ve erişim izni verme amacıyla kullanılır.
Not
Bu özellikler ek ücrete tabi değildir. Hesabınız Data Lake Storage 1. Nesil için standart ücretler üzerinden faturalandırılır. Daha fazla bilgi için bkz. fiyatlandırma. Kullandığınız diğer tüm Azure hizmetleri için bkz. Fiyatlandırma.
Data Lake Storage 1. Nesil sanal ağ tümleştirmesi senaryoları
Data Lake Storage 1. Nesil sanal ağ tümleştirmesi ile Data Lake Storage 1. Nesil hesabınıza erişimi belirli sanal ağlar ve alt ağlar ile sınırlandırabilirsiniz. Hesabınız belirtilen sanal ağ alt ağına kilitlendikten sonra Azure'daki diğer sanal ağlar/VM'ler tarafından erişim sağlanamaz. Data Lake Storage 1. Nesil sanal ağ tümleştirmesi, işlev açısından sanal ağ hizmet uç noktaları ile aynı senaryoyu etkinleştirir. İki senaryo arasındaki önemli farklar aşağıdaki bölümlerde belirtilmiştir.
Not
Sanal ağ kurallarına ek olarak var olan IP güvenlik duvarı kurallarını kullanarak şirket içi ağlardan erişime de izin verebilirsiniz.
Data Lake Storage 1. Nesil sanal ağ tümleştirmesi için en uygun rota
Sanal ağ hizmet uç noktalarının temel avantajlarından biri, sanal ağınızdan en iyi rotayı kullanma seçeneğidir. Data Lake Storage 1. Nesil hesaplarında aynı rota iyileştirme adımlarını gerçekleştirebilirsiniz. Sanal ağınızdan Data Lake Storage 1. Nesil hesabınıza aşağıdaki kullanıcı tanımlı rotaları kullanın.
Data Lake Storage genel IP adresi: Hedef Data Lake Storage 1. Nesil hesaplarınız için genel IP adresini kullanın. Hesaplarınızın DNS adlarını çözümleyerek Data Lake Storage 1. Nesil hesabınızın IP adresini tanımlayabilirsiniz. Her adres için ayrı bir giriş oluşturun.
# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName
# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address.
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet
# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName
Müşteri sanal ağından veri sızdırma
Data Lake Storage hesaplarını sanal ağ erişimiyle sınırlandırmaya ek olarak yetkisiz hesaba sızma olmamasını da sağlamak isteyebilirsiniz.
Giden trafiği hedef hesap URL'sine göre filtrelemek için sanal ağınızda bir güvenlik duvarı çözümü kullanın. Yalnızca onaylanan Data Lake Storage 1. Nesil hesaplarına erişim izni verin.
Kullanılabilen seçeneklerin bazıları şunlardır:
- Azure Güvenlik Duvarı: Sanal ağınızda bir Azure Güvenlik Duvarı dağıtın ve yapılandırın. Giden Data Lake Storage trafiğinin güvenliğini sağlayın, bilinen ve onaylı hesap URL'si ile kilitleyin.
- Sanal ağ gereci güvenlik duvarı: Yöneticiniz yalnızca belirli ticari güvenlik duvarı satıcılarının kullanılmasına izin veriyor olabilir. Aynı işlevi gerçekleştirmek için Azure Market'te bulunan ağ sanal gereci güvenlik duvarı çözümlerinden birini kullanın.
Not
Veri yolunda güvenlik duvarı kullanmak yeni bir atlama eklenmesine neden olur. Bu durum ağ performansını ve uçtan uca veri alışverişini etkileyebilir. Kullanılabilen aktarım hızı ve bağlantı gecikme süresi bu durumdan etkilenebilir.
Sınırlamalar
Data Lake Storage 1. Nesil sanal ağ tümleştirme desteği kullanılabilir olmadan önce oluşturulan HDInsight kümeleri, bu yeni özelliği desteklemek için yeniden oluşturulmalıdır.
Yeni bir HDInsight kümesi oluşturduğunuzda ve sanal ağ tümleştirmesi etkinleştirilmiş bir Data Lake Storage 1. Nesil hesabını seçtiğinizde bu işlem başarısız olur. Öncelikle sanal ağ kuralını devre dışı bırakmanız gerekir. Alternatif olarak Data Lake Storage hesabının Güvenlik duvarı ve sanal ağlar dikey penceresinde Tüm ağlardan ve hizmetlerden erişime izin ver'i seçebilirsiniz. Ardından, son olarak sanal ağ kuralını yeniden etkinleştirmeden veya Tüm ağlardan ve hizmetlerden erişime izin ver seçeneğini kaldırmadan önce HDInsight kümesini oluşturun. Daha fazla bilgi için Özel durumlar bölümüne bakın.
Data Lake Storage 1. Nesil sanal ağ tümleştirmesi, Azure kaynakları için yönetilen kimliklerle çalışmaz.
Sanal ağ tümleştirmesi etkin Data Lake Storage 1. Nesil hesabınızdaki dosya ve klasör verilerine portaldan erişim sağlayamazsınız. Bu kısıtlamaya sanal ağ içindeki VM'lerden erişim ve Veri Gezgini kullanımı gibi etkinlikler dahildir. Hesap yönetimi etkinlikleri çalışmaya devam eder. Sanal ağ tümleştirmesi etkin Data Lake Storage hesabınızdaki dosya ve klasör verilerine portal dışı kaynaklardan erişim sağlayabilirsiniz. Bu kaynaklara SDK erişimi, PowerShell betikleri ve portaldan başlatılmayan diğer tüm Azure hizmetleri dahildir.
Yapılandırma
1. Adım: Sanal ağınızı Microsoft Entra hizmet uç noktası kullanacak şekilde yapılandırma
Azure portala gidin ve hesabınızda oturum açın.
Aboneliğinizde yeni bir sanal ağ oluşturun. İsterseniz var olan bir sanal ağa da gidebilirsiniz. Sanal ağın Data Lake Storage 1. Nesil hesabıyla aynı bölgede olması gerekir.
Sanal ağ dikey penceresinde Hizmet uç noktaları'nı seçin.
Ekle'yi seçerek yeni bir hizmet uç noktası ekleyin.
Uç noktası hizmeti olarak Microsoft.AzureActiveDirectory seçeneğini belirleyin.
Bağlantı izni vermek istediğiniz alt ağları seçin. Add (Ekle) seçeneğini belirleyin.
Hizmet uç noktasının eklenmesi 15 dakika sürebilir. Eklendikten sonra listede gösterilir. Göründüğünden ve tüm ayrıntıların yapılandırmaya uygun olduğundan emin olun.
2. Adım: Data Lake Storage 1. Nesil hesabınız için izin verilen sanal ağı veya alt ağı ayarlama
Sanal ağınızı yapılandırdıktan sonra aboneliğinizde yeni bir Azure Data Lake Storage 1. Nesil hesabı oluşturun. İsterseniz var olan bir Data Lake Storage 1. Nesil hesabına da gidebilirsiniz. Data Lake Storage 1. Nesil hesabının sanal ağ ile aynı bölgede olması gerekir.
Güvenlik duvarı ve sanal ağlar'ı seçin.
Not
Ayarlarda Güvenlik duvarı ve sanal ağlar seçeneği görünmüyorsa portal oturumunu kapatın. Tarayıcıyı kapatın ve tarayıcı önbelleğini temizleyin. Makineyi yeniden başlatın ve yeniden deneyin.
Seçili ağlar'ı seçin.
Var olan sanal ağı ekle'yi seçin.
Bağlantıya izin vermek istediğiniz sanal ağları ve alt ağları seçin. Add (Ekle) seçeneğini belirleyin.
Sanal ağların ve alt ağların listede düzgün şekilde gösterildiğinden emin olun. Kaydet’i seçin.
Not
Kaydettikten sonra ayarların geçerli olması 5 dakika sürebilir.
[İsteğe bağlı] Güvenlik duvarı ve sanal ağlar sayfasının Güvenlik duvarı bölümünde belirli IP adreslerinden gelen bağlantılara izin verebilirsiniz.
Özel durumlar
Seçtiğiniz sanal ağların dışındaki Azure hizmetlerinden ve VM'lerden gelen bağlantılara izin verebilirsiniz. Güvenlik duvarı ve sanal ağlar dikey penceresinin Özel durumlar bölümündeki iki seçenekten birini belirleyin:
Tüm Azure hizmetlerinin bu Data Lake Storage 1. Nesil hesabına erişmesine izin ver. Bu seçenek Azure Data Factory ve Azure Event Hubs gibi Azure hizmetlerinin ve tüm Azure VM'lerinin Data Lake Storage hesabınızla iletişim kurmasına izin verir.
Azure Data Lake Analytics'in bu Data Lake Storage 1. Nesil hesabına erişmesine izin ver. Bu seçenek, Data Lake Analytics hizmetinin bu Data Lake Storage hesabına bağlanmasını sağlar.
Bu özel durumları kapalı tutmanızı öneririz. Bunları ancak sanal ağınızdaki diğer hizmetlerden bağlantı kurulmasını istiyorsanız açmanız önerilir.