标注策略

适用于:✅Azure 数据资源管理器

群集可以在许多不同的方案中与外部服务通信。 群集管理员可以通过更新群集的标注策略来管理用于外部调用的授权域。

标注的受支持的属性

标注策略由以下属性组成:

名称 Type 说明
CalloutType string 定义标注类型,可以是标注类型中列出的类型之一。
CalloutUriRegex string 指定正则表达式,其匹配项表示标注域的资源的域。
CanCall bool 标注是允许的还是拒绝的外部调用。

标注的类型

标注策略在群集级别进行管理,分为以下类型:

标注策略类型 说明
kusto 控制跨群集查询。
sql 控制 SQL 插件
mysql 控制 MySQL 插件
postgresql 控制 PostgreSql 插件
cosmosdb 控制 Cosmos DB 插件
sandbox_artifacts 控制沙盒插件(pythonR)。
external_data 通过外部表externaldata 运算符控制对外部数据的访问。
webapi 控制对 http 终结点的访问。

预定义标注策略

下表显示了一组预定义的标注策略,这些策略已在群集上进行了预配置,以使标注能够选择服务:

服务 指定用途 允许的域
Kusto 跨群集查询 [a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.chinacloudapi\\.cn/?$
Kusto 跨群集查询 ^https://[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse | kustodev\\.azuresynapse-dogfood)\\.net/?$
Kusto 跨群集查询 ^https://([A-Za-z0-9]+\\.)?(ade | adx)\\.(int\\. | aimon\\.)?(applicationinsights | loganalytics | monitor)\\.(io | chinacloudapi\\.cn)/
Azure DB SQL 请求 [a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.chinacloudapi\\.cn/?$
Synapse Analytics SQL 请求 [a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$
外部数据 外部数据 .*

群集上的更多预定义策略可能会在下一次查询中出现:

.show cluster policy callout 
| where EntityType == 'Cluster immutable policy'
| project Policy

备注

如果给定类型的外部资源与为该类型定义的多个策略匹配,并且至少有一个已匹配策略的 CanCall 属性设置为 false,则拒绝访问该资源。