建立適用于 Azure Data Explorer的受控私人端點
必須有受控私人端點,才能連線到高度保護的 Azure 資源。 它們是單向私人連線,可讓 Azure Data Explorer連線到其他受保護的服務。 在本文中,您將瞭解如何建立受控私人端點,並將其連線到您的資料來源。
必要條件
- Azure 訂用帳戶。 建立 Azure 免費帳戶。
- 未插入虛擬網路的Azure Data Explorer 叢集。
- 訂用帳戶中已註冊至 Microsoft.Network 資源提供者 的事件中樞 或 Azure 儲存體 Blob。 如需詳細資訊,請參閱 向資源提供者註冊訂用帳戶。
使用 Azure 入口網站 建立受控私人端點
您可以使用入口網站建立受控私人端點,讓叢集在存取儲存體時使用。
在 Azure 入口網站中,瀏覽至您的叢集,然後選取 [網路]。
選取 [受控私人端點],然後選取 [ 新增]。
在 [ 新增受控私人端點] 窗格中,以下列資訊填寫資源詳細資料,然後選取 [ 下一步]。
設定 建議的值 欄位描述 名稱 mpeToStorage 受控私人端點的名稱 訂用帳戶 您的訂用帳戶 選取您想要用於叢集的 Azure 訂用帳戶 資源類型 Microsoft.Storage/storageAccounts 選取您想要用於資料來源的相關資源類型。 資源名稱 共用 選擇應該作為新 Azure 私人端點目的地的叢集 目標子資源 Blob 選取資料來源的相關目標。 選取 [建立 ] 以建立受控私人端點資源。
使用 REST API 建立受控私人端點
建立受控私人端點需要對 Kusto 資源提供者進行單一 API 呼叫。 您可以建立受控私人端點至下列資源類型:
- Microsoft.Storage/storageAccounts (子資源可能是 「blob」 或 「dfs」)
- Microsoft.EventHub/namespaces (子資源 「namespace」)
- Microsoft.Devices/IoTHubs (子資源 「iotHub」)
- Microsoft.KeyVault/vaults (子資源 「vault」)
- Microsoft.Sql/servers (子資源 「sqlServer」)
- Microsoft.Kusto/clusters (子資源 「cluster」)
- Microsoft.DigitalTwins/digitalTwinsInstance (子資源 「digitaltwinsinstance」)
在此範例中,您將使用 PowerShell 中的 ARMclient ,使用 REST API 建立受控私人端點。
注意
連線到儲存體帳戶「dfs」 資源需要額外的受控私人端點至 「blob」 子資源。
使用 REST API 的必要條件
安裝 choco
安裝 ARMClient
choco install armclient
使用 ARMClient 登入
armclient login
建立受控私人端點以Azure 事件中樞
使用下列 REST API 呼叫來啟用事件中樞服務的受控私人端點:
執行下列命令,以建立事件中樞服務的受控私人端點:
# Replace the <...> placeholders with the correct values armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @" { 'properties': { 'privateLinkResourceId':'/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>', 'groupId':'namespace', 'requestMessage':'Please Approve.' } } "@
檢查回應。
{ "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>", "name": "<clusterName>/<newMpeName>", "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints", "location": "DummyLocation", "properties": { "privateLinkResourceId": "/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>", "groupId": "namespace", "requestMessage": "Please Approve.", "provisioningState": "Creating" } }
建立 Azure 儲存體帳戶的受控私人端點
使用下列 REST API 呼叫,將受控私人端點啟用至 Azure 儲存體 Blob:
執行下列命令,以建立事件中樞的受控私人端點:
#replace the <...> placeholders with the correct values armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @" { 'properties': { 'privateLinkResourceId':'/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>', 'groupId':'blob', 'requestMessage':'Please Approve.' } } "@
檢查回應。
{ "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>", "name": "<clusterName>/<newMpeName>", "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints", "location": "DummyLocation", "properties": { "privateLinkResourceId": "/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>", "groupId": "blob", "requestMessage": "Please Approve.", "provisioningState": "Creating" } }
如何檢查進度
若要檢查受控私人端點移轉的進度,請使用下列命令:
執行以下命令:
#replace the <...> placeholders with the correct values armclient GET /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01
檢查回應。
{ "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>", "name": "<clusterName>/<newMpeName>", "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints", "location": "DummyLocation", "properties": { "privateLinkResourceId": "/subscriptions/02de0e00-8c52-405c-9088-1342de78293d/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.<service>/<...>/<name>", "groupId": "<groupId>", "requestMessage": "Please Approve.", "provisioningState": "Succeeded" }, "systemData": { "createdBy": "<UserName>", "createdByType": "User", "createdAt": "2022-02-05T08:29:54.2912851Z", "lastModifiedBy": "chrisqpublic@contoso.com", "lastModifiedByType": "User", "lastModifiedAt": "2022-02-05T08:29:54.2912851Z" } }
核准受控私人端點
無論您用來建立受控私人端點的方法,都必須核准其在目標資源上建立。 下列範例顯示受控私人端點對事件中樞服務的核准。
在Azure 入口網站中,流覽至您的事件中樞服務,然後選取 [網路]。
選取 [私人端點連線],選取您所建立的受控私人端點,然後選取 [ 核准]。
在 [ 線上狀態 ] 資料行中,確認受控私人端點已核准。
您的叢集現在可以使用受控私人端點連線來連線到資源。
相關內容
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應