Integrering av virtuella nätverk för Azure Data Lake Storage Gen1

Den här artikeln introducerar integrering av virtuella nätverk för Azure Data Lake Storage Gen1. Med integrering av virtuella nätverk kan du konfigurera dina konton för att endast acceptera trafik från specifika virtuella nätverk och undernät.

Den här funktionen hjälper till att skydda ditt Data Lake Storage-konto från externa hot.

Integrering av virtuella nätverk för Data Lake Storage Gen1 använder slutpunktssäkerheten för det virtuella nätverket mellan ditt virtuella nätverk och Microsoft Entra-ID för att generera ytterligare säkerhetsanspråk i åtkomsttoken. Dessa anspråk används sedan för att autentisera ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto och tillåta åtkomst.

Scenarier för integrering av virtuella nätverk för Data Lake Storage Gen1

Med integrering av virtuella nätverk för Data Lake Storage Gen1 kan du begränsa åtkomsten till ditt Data Lake Storage Gen1-konto från specifika virtuella nätverk och undernät. När ditt konto är låst till de angivna virtuella nätverkets undernät tillåts inte åtkomst för andra virtuella nätverk/virtuella datorer i Azure. Funktionellt möjliggör integrering av virtuella nätverk i Data Lake Storage Gen1 samma scenario som tjänstslutpunkter för virtuella nätverk. Det finns några viktiga skillnader som beskrivs i följande avsnitt.

Optimal routning med integrering av virtuella nätverk med Data Lake Storage Gen1

En viktig fördel med tjänstslutpunkter för virtuella nätverk är optimal routning från ditt virtuella nätverk. Du kan utföra samma vägoptimering till Data Lake Storage Gen1-konton. Använd följande användardefinierade vägar från ditt virtuella nätverk till ditt Data Lake Storage Gen1-konto.

Offentlig IP-adress för Data Lake Storage – Använd den offentliga IP-adressen för dina Data Lake Storage Gen1-målkonton. Lös DNS-namnen på dina konton för att identifiera IP-adresserna för ditt Data Lake Storage Gen1-konto. Skapa en separat post för varje adress.

# Create a route table for your resource group.
az network route-table create --resource-group $RgName --name $RouteTableName

# Create route table rules for Data Lake Storage public IP addresses.
# There's one rule per Data Lake Storage public IP address. 
az network route-table route create --name toADLSregion1 --resource-group $RgName --route-table-name $RouteTableName --address-prefix <ADLS Public IP Address> --next-hop-type Internet

# Update the virtual network, and apply the newly created route table to it.
az network vnet subnet update --vnet-name $VnetName --name $SubnetName --resource-group $RgName --route-table $RouteTableName

Dataexfiltrering från kundens virtuella nätverk

Utöver att skydda Data Lake Storage-konton för åtkomst från det virtuella nätverket är du kanske även intresserad av att se till att det inte finns någon exfiltrering till ett obehörigt konto.

Använd en brandväggslösning i det virtuella nätverket för att filtrera utgående trafik baserat på målkontots URL. Tillåt åtkomst endast till godkända Data Lake Storage Gen1-konton.

Några tillgängliga alternativ är:

• Azure Firewall: Distribuera och konfigurera en Azure-brandvägg för ditt virtuella nätverk. Skydda den utgående Data Lake Storage-trafiken och låsa den till den kända och godkända konto-URL:en.
• Brandvägg för virtuell nätverksinstallation : Administratören kan tillåta användning av endast vissa kommersiella brandväggsleverantörer. Använd en brandväggslösning för virtuell nätverksinstallation som är tillgänglig på Azure Marketplace för att utföra samma funktion.

Begränsningar

• HDInsight-kluster som skapades innan det fanns stöd för integrering av virtuella nätverk med Data Lake Storage Gen1 måste återskapas för att ge stöd för den här nya funktionen.

• När du skapar ett nytt HDInsight-kluster och väljer ett Data Lake Storage Gen1-konto med integrering av virtuella nätverk aktiverat misslyckas processen. Inaktivera först regeln för virtuellt nätverk. Eller på bladet Brandvägg och virtuella nätverk i Data Lake Storage-kontot väljer du Tillåt åtkomst från alla nätverk och tjänster. Skapa sedan HDInsight-klustret innan du slutligen återaktiverar regeln för virtuellt nätverk eller avmarkerar Tillåt åtkomst från alla nätverk och tjänster. Mer information finns i avsnittet Undantag .

• Integrering av virtuella nätverk i Data Lake Storage Gen1 fungerar inte med hanterade identiteter för Azure-resurser.

• Fil- och mappdata i ditt Data Lake Storage Gen1-konto med virtuellt nätverk aktiverat är inte tillgängliga från portalen. Den här begränsningen omfattar åtkomst från en virtuell dator som finns i det virtuella nätverket och aktiviteter som att använda Datautforskaren. Kontohanteringsaktiviteter fortsätter att fungera. Fil- och mappdata i ditt Data Lake Storage-konto med virtuellt nätverk aktiverat är tillgängliga via alla icke-portalresurser. Dessa resurser inkluderar SDK-åtkomst, PowerShell-skript och andra Azure-tjänster när de inte kommer från portalen.

Konfiguration

Steg 1: Konfigurera ditt virtuella nätverk så att det använder en Microsoft Entra-tjänstslutpunkt

1. Gå till Azure-portalen och logga in på ditt konto.

2. Skapa ett nytt virtuellt nätverki din prenumeration. Eller så går du till ett befintligt virtuellt nätverk. Det virtuella nätverket måste finnas i samma region som Data Lake Storage Gen1-kontot.

3. På bladet Virtuellt nätverk väljer du Tjänstslutpunkter.

4. Välj Lägg till för att lägga till en ny tjänstslutpunkt.

   

5. Välj Microsoft.AzureActiveDirectory som tjänst för slutpunkten.

   

6. Välj de undernät som du vill tillåta anslutningsmöjligheter för. Välj Lägg till.

   

7. Det kan ta upp till 15 minuter för tjänstslutpunkten att läggas till. När den har lagts till visas den i listan. Kontrollera att den visas och att all information är enligt konfigurationen.

   

Steg 2: Konfigurera det tillåtna virtuella nätverket eller undernätet för ditt Data Lake Storage Gen1-konto

1. När du har konfigurerat ditt virtuella nätverk skapar du ett nytt Azure Data Lake Storage Gen1-konto i din prenumeration. Eller så går du till ett befintligt Data Lake Storage Gen1-konto. Data Lake Storage Gen1-kontot måste finnas i samma region som det virtuella nätverket.

2. Välj Brandvägg och virtuella nätverk.

   Anmärkning

   Om du inte ser brandväggen och virtuella nätverk i inställningarna loggar du ut från portalen. Stäng webbläsaren och rensa webbläsarens cacheminne. Starta om datorn och försök igen.

   

3. Välj Valda nätverk.

4. Välj Lägg till befintligt virtuellt nätverk.

   

5. Välj de virtuella nätverk och undernät som du vill tillåtna för anslutningar. Välj Lägg till.

   

6. Se till att de virtuella nätverken och undernäten visas korrekt i listan. Välj Spara.

   

   Anmärkning

   Det kan ta upp till 5 minuter innan inställningarna börjar gälla när du har sparat.

7. [Valfritt] På sidan Brandvägg och virtuella nätverk i avsnittet Brandvägg kan du tillåta anslutning från specifika IP-adresser.

Undantag

Du kan aktivera anslutningar från Azure-tjänster och virtuella datorer utanför dina valda virtuella nätverk. På bladet Brandvägg och virtuella nätverk går du till området Undantag och väljer bland två alternativ:

• Tillåt att alla Azure-tjänster får åtkomst till det här Data Lake Storage Gen1-kontot. Det här alternativet tillåter att Azure-tjänster som Azure Data Factory, Azure Event Hubs och alla virtuella Azure-datorer kommunicerar med ditt Data Lake Storage-konto.

• Tillåt Att Azure Data Lake Analytics får åtkomst till det här Data Lake Storage Gen1-kontot. Det här alternativet tillåter Data Lake Analytics-anslutning till det här Data Lake Storage-kontot.

  

Vi rekommenderar att du behåller de här undantagen avstängda. Aktivera dem bara om du behöver anslutning mellan dessa andra tjänster utifrån ditt virtuella nätverk.