共用方式為

建立適用于 Azure Data Explorer的受控私人端點

  • 發行項

必須有受控私人端點,才能連線到高度保護的 Azure 資源。 它們是單向私人連線,可讓 Azure Data Explorer連線到其他受保護的服務。 在本文中,您將瞭解如何建立受控私人端點,並將其連線到您的資料來源。

必要條件

使用 Azure 入口網站 建立受控私人端點

您可以使用入口網站建立受控私人端點,讓叢集在存取儲存體時使用。

  1. 在 Azure 入口網站中,瀏覽至您的叢集,然後選取 [網路]。

  2. 選取 [受控私人端點],然後選取 [ 新增]。

    網路頁面的螢幕擷取畫面,其中顯示建立受控私人端點的第一個步驟。

  3. 在 [ 新增受控私人端點] 窗格中,以下列資訊填寫資源詳細資料,然後選取 [ 下一步]。

    網路頁面的螢幕擷取畫面,其中顯示建立受控私人端點的第二個步驟。

    設定 建議的值 欄位描述
    名稱 mpeToStorage 受控私人端點的名稱
    訂用帳戶 您的訂用帳戶 選取您想要用於叢集的 Azure 訂用帳戶
    資源類型 Microsoft.Storage/storageAccounts 選取您想要用於資料來源的相關資源類型。
    資源名稱 共用 選擇應該作為新 Azure 私人端點目的地的叢集
    目標子資源 Blob 選取資料來源的相關目標。

  4. 選取 [建立 ] 以建立受控私人端點資源。

使用 REST API 建立受控私人端點

建立受控私人端點需要對 Kusto 資源提供者進行單一 API 呼叫。 您可以建立受控私人端點至下列資源類型:

  • Microsoft.Storage/storageAccounts (子資源可能是 「blob」 或 「dfs」)
  • Microsoft.EventHub/namespaces (子資源 「namespace」)
  • Microsoft.Devices/IoTHubs (子資源 「iotHub」)
  • Microsoft.KeyVault/vaults (子資源 「vault」)
  • Microsoft.Sql/servers (子資源 「sqlServer」)
  • Microsoft.Kusto/clusters (子資源 「cluster」)
  • Microsoft.DigitalTwins/digitalTwinsInstance (子資源 「digitaltwinsinstance」)

在此範例中,您將使用 PowerShell 中的 ARMclient ,使用 REST API 建立受控私人端點。

注意

連線到儲存體帳戶「dfs」 資源需要額外的受控私人端點至 「blob」 子資源。

使用 REST API 的必要條件

  1. 安裝 choco

  2. 安裝 ARMClient

    choco install armclient

  3. 使用 ARMClient 登入

    armclient login

建立受控私人端點以Azure 事件中樞

使用下列 REST API 呼叫來啟用事件中樞服務的受控私人端點:

  1. 執行下列命令,以建立事件中樞服務的受控私人端點:

    # Replace the <...> placeholders with the correct values
armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @"
{
    'properties': {
        'privateLinkResourceId':'/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>',
        'groupId':'namespace',
        'requestMessage':'Please Approve.'
    }
}
"@

  2. 檢查回應。

    {
  "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
  "name": "<clusterName>/<newMpeName>",
  "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
  "location": "DummyLocation",
  "properties": {
    "privateLinkResourceId": "/subscriptions/<subscriptionIdEventHub>/resourceGroups/<resourceGroupNameEventHub>/providers/Microsoft.EventHub/namespaces/<EventHubNamespace>",
    "groupId": "namespace",
    "requestMessage": "Please Approve.",
    "provisioningState": "Creating"
  }
}

建立 Azure 儲存體帳戶的受控私人端點

使用下列 REST API 呼叫,將受控私人端點啟用至 Azure 儲存體 Blob:

  1. 執行下列命令,以建立事件中樞的受控私人端點:

    #replace the <...> placeholders with the correct values
armclient PUT /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01 @"
{
    'properties': {
        'privateLinkResourceId':'/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>',
        'groupId':'blob',
        'requestMessage':'Please Approve.'
    }
}
"@

  2. 檢查回應。

    {
  "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
  "name": "<clusterName>/<newMpeName>",
  "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
  "location": "DummyLocation",
  "properties": {
    "privateLinkResourceId": "/subscriptions/<subscriptionIdStorage>/resourceGroups/<resourceGroupNameStorage>/providers/Microsoft.Storage/storageAccounts/<storageAccountName>",
    "groupId": "blob",
    "requestMessage": "Please Approve.",
    "provisioningState": "Creating"
  }
}

如何檢查進度

若要檢查受控私人端點移轉的進度,請使用下列命令:

  1. 執行以下命令:

    #replace the <...> placeholders with the correct values
armclient GET /subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/clusters/<clusterName>/managedPrivateEndpoints/<newMpeName>?api-version=2022-02-01

  2. 檢查回應。

    {
  "id": "/subscriptions/<subscriptionIdADX>/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.Kusto/Clusters/<clusterName>/ManagedPrivateEndpoints/<newMpeName>",
  "name": "<clusterName>/<newMpeName>",
  "type": "Microsoft.Kusto/Clusters/ManagedPrivateEndpoints",
  "location": "DummyLocation",
  "properties": {
    "privateLinkResourceId": "/subscriptions/02de0e00-8c52-405c-9088-1342de78293d/resourceGroups/<resourceGroupNameADX>/providers/Microsoft.<service>/<...>/<name>",
    "groupId": "<groupId>",
    "requestMessage": "Please Approve.",
    "provisioningState": "Succeeded"
  },
  "systemData": {
    "createdBy": "<UserName>",
    "createdByType": "User",
    "createdAt": "2022-02-05T08:29:54.2912851Z",
    "lastModifiedBy": "chrisqpublic@contoso.com",
    "lastModifiedByType": "User",
    "lastModifiedAt": "2022-02-05T08:29:54.2912851Z"
  }
}

核准受控私人端點

無論您用來建立受控私人端點的方法,都必須核准其在目標資源上建立。 下列範例顯示受控私人端點對事件中樞服務的核准。

  1. 在Azure 入口網站中,流覽至您的事件中樞服務,然後選取 [網路]。

  2. 選取 [私人端點連線],選取您所建立的受控私人端點,然後選取 [ 核准]。

    網路頁面的螢幕擷取畫面,其中顯示事件中樞服務的受控私人端點核准。

  3. 在 [ 線上狀態 ] 資料行中,確認受控私人端點已核准。

    網路頁面的螢幕擷取畫面,其中顯示事件中樞服務的已核准受控私人端點。

您的叢集現在可以使用受控私人端點連線來連線到資源。

相關內容