你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 数据资源管理器专用终结点

可以为群集使用 专用终结点 ，以允许 虚拟网络 上的客户端通过 专用链接安全地访问数据。 专用终结点使用虚拟网络地址空间中的专用 IP 地址将你以私密方式连接到群集。 虚拟网络和群集上的客户端之间的网络流量通过虚拟网络和 Microsoft 主干网络上的专用链接进行遍历，消除了公共 Internet 的暴露。

通过为群集使用专用终结点，你可以：

• 通过将防火墙配置为阻止公共终结点上与群集的所有连接来保护群集。
• 阻止数据从虚拟网络泄露，从而提高虚拟网络的安全性。
• 使用 VPN 网关 或具有专用对等互连的 ExpressRoutes 从连接到虚拟网络的本地网络安全地连接到群集。

概述

专用终结点是虚拟网络中 Azure 服务的特殊网络接口，该服务从虚拟网络的 IP 地址范围分配了 IP 地址。 为群集创建专用终结点时，它会在虚拟网络上的客户端和群集之间提供安全连接。 专用终结点与群集之间的连接使用安全的专用链接。

虚拟网络中的应用程序可以通过专用终结点无缝连接到群集。 连接字符串和授权机制与用于连接到公共终结点的机制相同。

为虚拟网络中的群集创建专用终结点时，会向群集所有者发送许可请求以供批准。 如果请求创建专用终结点的用户也是群集的所有者，此请求会自动获得批准。 群集所有者可以在 Azure 门户中的“专用终结点”下管理群集的同意请求和专用终结点。

可以通过将群集防火墙配置为默认拒绝通过其公共终结点进行访问，来保护群集，使其仅接受来自虚拟网络的连接。 不需要防火墙规则即可允许来自具有专用终结点的虚拟网络的流量，因为群集防火墙仅控制公共终结点的访问。 相反，专用终结点则是依赖于“同意流”来授予子网对群集的访问权限。

规划虚拟网络中子网的大小

部署子网后，无法更改用于托管群集专用终结点的子网的大小。 专用终结点使用虚拟网络中的多个 IP 地址。 在高端引入等极端情况下，专用终结点使用的 IP 地址数可能会增加。 这种增加是由于需要作为暂存帐户来引入到群集中的暂时性存储帐户数量增加所致。 如果该场景与环境相关，则必须在确定子网大小时对其进行规划。

注意

负责横向扩展暂时性存储帐户的相关引入方案是从本地文件引入和从 Blob 异步引入。

使用以下信息可帮助确定专用终结点所需 IP 地址的总数：

用途	IP 地址数
引擎服务	1
数据管理服务	1
暂时性存储帐户	6
Azure 保留地址	5
总计	13

注意

子网的绝对最小大小必须为 /28（14 个可用 IP 地址）。 如果计划创建一个 Azure 数据资源管理器群集，用于极端的引入工作负载，则使用 /24 网络掩码是稳妥的。

如果已创建的子网过小，可以删除子网，重新创建一个地址范围更大的子网。 重新创建子网后，可以为群集创建新的专用终结点。

连接到专用终结点

使用专用终结点的虚拟网络上的客户端应为群集使用与连接到公共终结点的客户端相同的连接字符串。 DNS 解析通过专用链接自动将连接从虚拟网络路由到群集。

重要

使用与连接到公共终结点相同的连接字符串通过专用终结点连接到群集。 请勿使用其专用链接子域 URL 连接到群集。

默认情况下，Azure 数据资源管理器会创建一个附加到虚拟网络的专用 DNS 区域，其中包含专用终结点的必要更新。 但是，如果使用自己的 DNS 服务器，则可能需要对 DNS 配置进行更多更改。

重要

为了获得最佳配置，建议将部署与大规模云采用框架专用终结点和 DNS 配置一文中的建议保持一致。 使用本文中的信息使用 Azure 策略自动创建专用 DNS条目，从而更轻松地在缩放时管理部署。

在专用终结点部署过程中，Azure 数据资源管理器会创建多个客户可见的 FQDN。 除了查询和引入 FQDN 之外，它还附带了几个用于 blob/表/队列终结点的 FQDN（引入方案所需）

禁用公共访问

为了提高安全性，还可以在 Azure 门户中禁用对群集的公共访问。

托管专用终结点

可以使用托管专用终结点来使群集能够通过其专用终结点安全地访问与引入或查询相关的服务。 这允许 Azure 数据资源管理器群集通过专用 IP 地址访问你的资源。

支持的服务

Azure 数据资源管理器支持为以下服务创建托管专用终结点：

• Azure 事件中心
• Azure IoT 中心
• Azure 存储帐户
• Azure 数据资源管理器
• Azure SQL
• Azure 数字孪生

限制

已注入虚拟网络的 Azure 数据资源管理器群集不支持专用终结点。

对成本的影响

专用终结点或托管专用终结点是产生额外成本的资源。 成本因所选解决方案体系结构而异。 有关详细信息，请参阅 Azure 专用链接定价。

相关内容

• 为 Azure 数据资源管理器创建专用终结点
• 为 Azure 数据资源管理器创建托管专用终结点
• 如何限制对 Azure 数据资源管理器的公共访问
• 如何限制来自 Azure 数据资源管理器的出站访问
• 将专用终结点后面的群集连接到Power BI 服务