Azure Veri Gezgini için ağ güvenliği
Azure Veri Gezgini kümeleri genel URL'ler kullanılarak erişilebilir olacak şekilde tasarlanmıştır. Bir kümede geçerli kimliği olan herkes bu kimliğe herhangi bir konumdan erişebilir. Kuruluş olarak, verilerin güvenliğini sağlamak en yüksek öncelikli görevlerinizden biri olabilir. Bu nedenle, kümenize erişimi sınırlamak ve güvenli hale getirmek, hatta yalnızca özel sanal ağınız üzerinden kümenize erişime izin vermek isteyebilirsiniz. Bu hedefe ulaşmak için aşağıdaki seçeneklerden birini kullanabilirsiniz:
- Özel uç nokta (önerilen)
- Sanal ağ (VNet) ekleme
Kümenize ağ erişiminin güvenliğini sağlamak için özel uç noktaları kullanmanızı kesinlikle öneririz. Bu seçeneğin sanal ağ eklemeye kıyasla daha basit bir dağıtım işlemi ve sanal ağ değişikliklerine karşı daha sağlam olması da dahil olmak üzere daha düşük bakım yüküne neden olan birçok avantajı vardır.
Aşağıdaki bölümde özel uç noktaları ve sanal ağ eklemeyi kullanarak kümenizin güvenliğini sağlama açıklanmaktadır.
Özel uç nokta
Özel uç nokta, sanal ağınızdaki özel IP adreslerini kullanan bir ağ arabirimidir. Bu ağ arabirimi sizi Azure Özel Bağlantı tarafından desteklenen kümenize özel ve güvenli bir şekilde bağlar. Özel uç noktayı etkinleştirerek hizmeti sanal ağınıza getirmiş olursunuz.
Kümenizi özel bir uç noktaya başarıyla dağıtmak için yalnızca bir dizi özel IP adresi gerekir.
Not
Özel uç noktalar, sanal ağa eklenen bir küme için desteklenmez.
Sanal ağ ekleme
Uyarı
Sanal Ağ Ekleme, Azure Veri Gezgini için 1 Şubat 2025'e kadar kullanımdan kaldırılacaktır. Kullanımdan kaldırma hakkında daha fazla bilgi için bkz. Azure Veri Gezgini için Sanal Ağ Eklemenin Kullanımdan Kaldırılması.
Sanal ağ ekleme, kümenizi doğrudan bir sanal ağa dağıtmanızı sağlar. Kümeye sanal ağ içinden ve vpn ağ geçidi üzerinden veya şirket içi ağlardan Azure ExpressRoute üzerinden özel olarak erişilebilir. Bir kümeyi sanal ağa eklemek, tüm trafiğini yönetmenizi sağlar. Bu, kümeye erişim trafiğini ve tüm veri alımını veya dışarı aktarmalarını içerir. Ayrıca, Microsoft'un yönetim ve sistem durumu izleme için kümeye erişmesine izin vermek sizin sorumluluğundadır.
Kümenizi bir sanal ağa başarıyla eklemek için, sanal ağınızı aşağıdaki gereksinimleri karşılayacak şekilde yapılandırmanız gerekir:
- Hizmeti etkinleştirmek ve dağıtım önkoşullarını ağ amacı ilkeleri biçiminde tanımlamak için alt ağı Microsoft.Kusto/clusters'a devretmeniz gerekir
- Küme kullanımının gelecekteki büyümesini desteklemek için alt ağın iyi ölçeklendirilmesi gerekir
- Kümeyi yönetmek ve iyi durumda olduğundan emin olmak için iki genel IP adresi gerekir
- İsteğe bağlı olarak, ağınızın güvenliğini sağlamak için ek bir güvenlik duvarı gereci kullanıyorsanız, kümenizin giden trafik için bir dizi Tam Etki Alanı Adı'na (FQDN) bağlanmasına izin vermelisiniz
Özel uç nokta ile sanal ağ ekleme karşılaştırması
Sanal ağ ekleme, güvenlik duvarlarında FQDN listelerinin korunması veya genel IP adreslerinin kısıtlanmış bir ortamda dağıtılması gibi uygulama ayrıntılarının bir sonucu olarak yüksek bakım ek yüküne yol açabilir. Bu nedenle, kümenize bağlanmak için özel bir uç nokta kullanmanızı öneririz.
Aşağıdaki tabloda, ağ güvenliğiyle ilgili özelliklerin sanal ağa eklenen veya özel uç nokta kullanılarak güvenliği sağlanan bir kümeye göre nasıl uygulanabileceği gösterilmektedir.
| Özellik | Özel uç nokta | Sanal ağ ekleme |
|---|---|---|
| Gelen IP adresi filtreleme | Genel erişimi yönetme | Gelen Ağ Güvenlik Grubu kuralı oluşturma |
| Diğer hizmetlere (Depolama, Event Hubs vb.) geçişli erişim | Yönetilen özel uç nokta oluşturma | Kaynağa özel uç nokta oluşturma |
| Giden erişimi kısıtlama | Belirtme Çizgisi ilkelerini veya AllowedFQDNList'i kullanma | Alt ağın giden trafiği filtrelemek için sanal gereç kullanma |