Azure 数据资源管理器专用终结点

可以为群集使用专用终结点,以便虚拟网络上的客户端能够通过专用链接安全地访问数据。 专用终结点使用虚拟网络地址空间中的专用 IP 地址以私密方式将你连接到群集。 虚拟网络上的客户端与群集之间的网络流量将穿过虚拟网络以及 Microsoft 主干网络上的专用链接,因此不会从公共 Internet 公开。

通过为群集使用专用终结点,你可以:

  • 通过将防火墙配置为阻止公共终结点上与群集的所有连接来保护群集。
  • 阻止数据从虚拟网络泄露,从而提高虚拟网络的安全性。
  • 使用 VPN 网关ExpressRoutes 通过专用对等互连从连接到虚拟网络的本地网络安全地连接到群集。

概述

专用终结点是虚拟网络中 Azure 服务的一个特殊网络接口,它被分配了来自虚拟网络 IP 地址范围的 IP 地址。 为群集创建专用终结点时,它将在虚拟网络上的客户端和群集之间提供安全连接。 专用终结点与群集之间的连接使用安全的专用链接。

显示专用终结点体系结构的架构示意图。

虚拟网络中的应用程序可以通过专用终结点无缝连接到群集。 连接字符串和授权机制与用于连接到公共终结点的机制相同。

在虚拟网络中创建用于群集的专用终结点时,会将一个申请批准的同意请求发送到群集所有者。 如果请求创建专用终结点的用户也是群集的所有者,此请求会自动获得批准。 群集所有者可以在 Azure 门户中的“专用终结点”下管理群集的同意请求和专用终结点。

通过配置群集防火墙,使其默认拒绝通过其公共终结点进行的访问,可以保护群集,使其仅接受来自虚拟网络的连接。 无需防火墙规则来允许来自某个具有专用终结点的虚拟网络的流量,因为群集防火墙只控制公共终结点的访问。 相反,专用终结点则是依赖于“同意流”来授予子网对群集的访问权限。

规划虚拟网络中子网的大小

部署子网后,无法更改用于托管群集专用终结点的子网的大小。 专用终结点使用虚拟网络中的多个 IP 地址。 在极端情况下,例如高端引入,专用终结点使用的 IP 地址数可能会增加。 这种增加是由于需要作为暂存帐户来引入到群集中的暂时性存储帐户数量增加所致。 如果该场景与环境相关,则必须在确定子网大小时对其进行规划。

注意

负责横向扩展暂时性存储帐户的相关引入方案是从本地文件引入从 Blob 异步引入

使用以下信息可帮助确定专用终结点所需 IP 地址的总数:

用途 IP 地址数
引擎服务 1
数据管理服务 1
暂时性存储帐户 6
Azure 保留地址 5
总计 13

注意

子网的绝对最小大小必须为 /28(14 个可用 IP 地址)。 如果计划创建一个 Azure 数据资源管理器群集,用于极端的引入工作负载,则使用 /24 网络掩码是稳妥的。

如果已创建的子网过小,可以删除子网,重新创建一个地址范围更大的子网。 重新创建子网后,可以为群集创建新的专用终结点。

连接到专用终结点

使用专用终结点的虚拟网络上的客户端应该为群集使用与连接到公共终结点的客户端相同的连接字符串。 DNS 解析会通过专用链接自动将连接从虚拟网络路由到群集。

重要

使用与连接到公共终结点相同的连接字符串通过专用终结点连接到群集。 请勿使用其专用链接子域 URL 连接到群集。

默认情况下,Azure 数据资源管理器会创建一个附加到虚拟网络的专用 DNS 区域,带有专用终结点的必要更新。 但是,如果使用自己的 DNS 服务器,则可能需要对 DNS 配置进行其他更改。

DNS 配置页面的屏幕截图,其中显示了专用终结点的 DNS 配置。

在专用终结点部署过程中,Azure 数据资源管理器会创建多个客户可见的 FQDN。 除了查询和引入 FQDN 之外,它还附带了几个用于 blob/表/队列终结点的 FQDN(引入方案所需)

禁用公共访问

为了提高安全性,还可以在 Azure 门户中禁用对群集的公共访问。

网络页面的屏幕截图,其中显示了禁用公共访问选项。

托管专用终结点

可以使用托管专用终结点来使群集能够通过其专用终结点安全地访问与引入或查询相关的服务。 这允许 Azure 数据资源管理器群集通过专用 IP 地址访问你的资源。

显示托管专用终结点体系结构的架构示意图。

支持的服务

Azure 数据资源管理器支持为以下服务创建托管专用终结点:

限制

已注入虚拟网络的 Azure 数据资源管理器群集不支持专用终结点。

对成本的影响

专用终结点或托管专用终结点是产生额外成本的资源。 成本因所选解决方案体系结构而异。 有关详细信息,请参阅 Azure 专用链接定价