标注策略
群集可以在许多不同的方案中与外部服务通信。 群集管理员可以通过更新群集的标注策略来管理用于外部调用的授权域。
标注的受支持的属性
标注策略由以下属性组成:
| 名称 | Type | 说明 |
|---|---|---|
| CalloutType | string |
定义标注类型,可以是标注类型中列出的类型之一。 |
| CalloutUriRegex | string |
指定正则表达式,其匹配项表示标注域的资源的域。 |
| CanCall | bool |
标注是允许的还是拒绝的外部调用。 |
标注的类型
标注策略在群集级别进行管理,分为以下类型:
| 标注策略类型 | 说明 |
|---|---|
| kusto | 控制跨群集查询。 |
| sql | 控制 SQL 插件。 |
| mysql | 控制 MySQL 插件。 |
| cosmosdb | 控制 Cosmos DB 插件。 |
| sandbox_artifacts | 控制沙盒插件(python 和 R)。 |
| external_data | 通过外部表或 externaldata 运算符控制对外部数据的访问。 |
| webapi | 控制对 http 终结点的访问。 |
预定义标注策略
下表显示了一组预定义的标注策略,这些策略已在群集上进行了预配置,以使标注能够选择服务:
| 服务 | 指定用途 | 允许的域 |
|---|---|---|
| Kusto | 跨群集查询 | [a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.chinacloudapi\\.cn/?$ |
| Kusto | 跨群集查询 | ^https://[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse|kustodev\\.azuresynapse-dogfood)\\.net/?$ |
| Kusto | 跨群集查询 | ^https://([A-Za-z0-9]+\\.)?(ade|adx)\\.(int\\.|aimon\\.)?(applicationinsights|loganalytics|monitor)\\.(io|chinacloudapi\\.cn)/ |
| Azure DB | SQL 请求 | [a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.chinacloudapi\\.cn/?$ |
| Synapse Analytics | SQL 请求 | [a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$ |
| 外部数据 | 外部数据 | .* |
群集上的更多预定义策略可能会在下一次查询中出现:
.show cluster policy callout
| where EntityType == 'Cluster immutable policy'
| project Policy
备注
如果给定类型的外部资源与为该类型定义的多个策略匹配,并且至少有一个已匹配策略的 CanCall 属性设置为 false,则拒绝访问该资源。