Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Da Organisationen zunehmend Clouddienste einführen, wird der sichere und effiziente Zugriff auf diese Ressourcen von größter Bedeutung. FinOps-Hubs bieten flexible Optionen zur Unterstützung des öffentlichen oder privaten Zugriffs auf Datennetzwerke, je nach Ihren Anforderungen. In diesem Handbuch wird erläutert, wie jede Datenzugriffsoption funktioniert und wie Sie private Netzwerke konfigurieren, um sicher auf Daten in FinOps-Hubs zuzugreifen.
Funktionsweise des öffentlichen Zugriffs
Der öffentliche Zugriff in FinOps-Hubs hat die folgenden Merkmale:
- Der Zugriff wird über rollenbasierte Zugriffssteuerung (RBAC) und kommunikation gesteuert, die über TLS (Transport Layer Security) verschlüsselt wird.
- Auf den Speicher kann über öffentliche IP-Adressen zugegriffen werden (Firewall ist auf öffentlich festgelegt).
- Auf den Daten-Explorer (sofern bereitgestellt) kann über öffentliche IP-Adressen zugegriffen werden (Firewall ist auf öffentlich festgelegt).
- Der Schlüsseltresor ist über öffentliche IP-Adressen zugänglich (Firewall ist auf "öffentlich" festgelegt).
- Azure Data Factory ist für die Verwendung der laufzeit der öffentlichen Integration konfiguriert.
Funktionsweise des privaten Zugriffs
Der private Zugriff ist eine sicherere Option, die FinOps-Hubs-Ressourcen in einem isolierten Netzwerk platziert und den Zugriff über private Netzwerke beschränkt:
- Der Zugriff auf öffentliche Netzwerke ist standardmäßig deaktiviert.
- Auf den Speicher kann über private IP-Adressen und vertrauenswürdige Azure-Dienste zugegriffen werden . Die Firewall ist auf die Standardverweigerung mit Umgehung für Dienste in der vertrauenswürdigen Liste festgelegt.
- Auf den Daten-Explorer (sofern bereitgestellt) kann über die private IP-Adresse zugegriffen werden. Die Firewall ist ohne Ausnahmen auf Standardverweigerung festgelegt.
- Auf den Schlüsseltresor kann über private IP-Adressen und vertrauenswürdige Azure-Dienste zugegriffen werden. Die Firewall ist auf die Standardverweigerung mit Umgehung für Dienste in der vertrauenswürdigen Liste festgelegt.
- Azure Data Factory ist so konfiguriert, dass die öffentliche Integrationslaufzeit verwendet wird, wodurch Kosten reduziert werden.
- Ein virtuelles Netzwerk wird bereitgestellt, um sicherzustellen, dass die Kommunikation zwischen allen Komponenten während der Bereitstellung und zur Laufzeit privat bleibt.
Beachten Sie, dass private Netzwerke zusätzliche Kosten für Netzwerkressourcen, Konnektivität und dedizierte Compute in Azure Data Factory verursachen. Eine detaillierte Kostenschätzung finden Sie im Azure-Preisrechner.
Vergleichen von Netzwerkzugriffsoptionen
In der folgenden Tabelle werden die in FinOps-Hubs verfügbaren Netzwerkzugriffsoptionen verglichen:
| Komponente | Öffentlichkeit | Privat | Nutzen |
|---|---|---|---|
| Lagerung | Zugänglich über das Internet¹ | Zugriff auf das FinOps-Hubnetzwerk, Peered-Netzwerke (z. B. Unternehmens-VNet) und vertrauenswürdige Azure-Dienste | Daten, auf die nur bei der Arbeit oder im Unternehmens-VPN zugegriffen werden kann |
| Azure-Daten-Explorer | Zugänglich über das Internet¹ | Zugriff auf das FinOps-Hubnetzwerk, Peered-Netzwerke (z. B. Unternehmens-VNet) und vertrauenswürdige Azure-Dienste | Daten, auf die nur bei der Arbeit oder im Unternehmens-VPN zugegriffen werden kann |
| Schlüsseltresor | Zugänglich über das Internet¹ | Zugriff auf das FinOps-Hubnetzwerk, Peered-Netzwerke (z. B. Unternehmens-VNet) und vertrauenswürdige Azure-Dienste | Schlüssel und Geheimnisse sind niemals über das offene Internet zugänglich |
| Azure Data Factory | Verwendet öffentlichen Computepool | Verwaltete Integration Runtime in einem privaten Netzwerk mit Daten-Explorer, Speicher und Schlüsseltresor | Alle Datenverarbeitungen werden innerhalb des Netzwerks verarbeitet. |
| Virtuelles Netzwerk | Nicht verwendet | FinOps-Hubdatenverkehr erfolgt in einem isolierten vNet | Alles bleibt privat; ideal für regulierte Umgebungen |
¹ Während Ressourcen über das Internet zugänglich sind, wird der Zugriff weiterhin durch rollenbasierte Zugriffssteuerung (RBAC) geschützt.
Aktivieren von privaten Netzwerken
Um private Netzwerke beim Bereitstellen einer neuen oder Aktualisierung einer vorhandenen FinOps-Hubinstanz zu aktivieren, legen Sie access auf der Registerkarte "Erweitert" auf "Privat" fest.
Bevor Sie den privaten Zugriff aktivieren, überprüfen Sie die Netzwerkdetails auf dieser Seite, um die zusätzliche Konfiguration zu verstehen, die erforderlich ist, um eine Verbindung mit Ihrer Hubinstanz herzustellen. Nach der Aktivierung kann auf Ihre FinOps-Hubinstanz nicht mehr zugegriffen werden, bis der Netzwerkzugriff außerhalb der FinOps-Hubinstanz konfiguriert ist. Es wird empfohlen, dies mit Ihren Netzwerkadministratoren zu teilen, um sicherzustellen, dass der IP-Bereich den Netzwerkstandards entspricht, und sie verstehen, wie Sie Ihre Hubinstanz mit dem vorhandenen Netzwerk verbinden.
Virtuelles FinOps-Hub-Netzwerk
Wenn der private Zugriff ausgewählt ist, enthält Ihre FinOps-Hubinstanz ein virtuelles Netzwerk, um sicherzustellen, dass die Kommunikation zwischen den verschiedenen Komponenten privat bleibt.
- Das virtuelle Netzwerk sollte eine Größe von /26 (64 IP-Adressen) aufweisen. Diese Einstellung aktiviert die minimal erforderlichen Subnetzgrößen für Containerdienste (die während der Bereitstellungen für ausgeführte Skripts verwendet werden) und den Daten-Explorer.
- Der IP-Bereich kann zum Zeitpunkt der Bereitstellung und standardmäßig auf 10.20.30.0/26 festgelegt werden.
Bei Bedarf können Sie das virtuelle Netzwerk, Subnetze erstellen und optional mit Ihrem Hubnetzwerk verbinden, indem Sie diese Anforderungen erfüllen, bevor Sie FinOps-Hubs bereitstellen:
- Das virtuelle Netzwerk sollte ein /26 sein (d.h. es sollte 64 IP-Adressen umfassen).
- Der Name sollte sein
<HubName>-vNet. - Das virtuelle Netzwerk muss in drei Subnetze unterteilt werden, wobei die Dienstdelegierungen wie angegeben festgelegt sind.
- privates Endpunkt-Subnetz (/28) – keine Dienstdelegierungen konfiguriert; hostet private Endpunkte für Speicher und Schlüsseltresor.
- script-subnet (/28) – delegiert an Containerdienste für die Ausführung von Skripts während der Bereitstellung.
- dataExplorer-subnet (/27) – delegiert an Azure Data Explorer.
Private Endpunkte und DNS
Die Kommunikation zwischen den verschiedenen FinOps-Hubkomponenten wird mithilfe von TLS verschlüsselt. Damit die TLS-Zertifikatüberprüfung erfolgreich ist, wenn private Netzwerke verwendet werden, ist eine zuverlässige DNS-Namensauflösung (Domain Name System) erforderlich. DNS-Zonen, private Endpunkte und DNS-Einträge gewährleisten die Namensauflösung zwischen den Komponenten des FinOps-Hubs.
- privatelink.blob.core.windows.net – für den Daten-Explorer und die Speicherung, die von Bereitstellungsskripten genutzt wird
- privatelink.dfs.core.windows.net – für den Daten-Explorer und den Data Lake, der die FinOps-Daten- und Pipelinekonfiguration hostet
- privatelink.table.core.windows.net – für den Daten-Explorer
- privatelink.queue.core.windows.net – für den Daten-Explorer
- privatelink.vaultcore.azure.net – für Azure Key Vault
- privatelink.{location}.kusto.windows.net – für Data Explorer
Wichtig
Das Ändern der DNS-Konfiguration des virtuellen FinOps-Hub-Netzwerks wird nicht empfohlen. FinOps-Hubkomponenten erfordern eine zuverlässige Namensauflösung für Bereitstellungen und Upgrades, um erfolgreich zu sein. Data Factory-Pipelines erfordern außerdem eine zuverlässige Namensauflösung zwischen den Komponenten.
Netzwerk-Peering, Routing und Namensauflösung
Wenn der private Zugriff ausgewählt ist, wird die FinOps-Hubinstanz in einem isolierten virtuellen Netzwerk bereitgestellt. Es gibt mehrere Optionen, um private Verbindungen mit dem virtuellen FinOps-Hub-Netzwerk zu ermöglichen, einschließlich:
- Peering des FinOps-Hubnetzwerks mit anderen Azure-VNets
- Peering des FinOps-Hubnetzwerks mit einem Azure-vWAN-Hub
- Erweitern des FinOps-Hub-Netzwerkadressraums und Bereitstellen eines VPN-Gateways.
- Erweitern des FinOps-Hub-Netzwerkadressraums und Bereitstellen eines Power BI-Datengateways.
- Zulassen des Zugriffs über eine Unternehmensfirewall und aus VPN-IP-Bereichen über das öffentliche Internet über die Speicher- und Daten-Explorer-Firewalls.
Um auf FinOps-Hubdaten aus einem vorhandenen virtuellen Netzwerk zuzugreifen, konfigurieren Sie A-Einträge in Ihrem vorhandenen virtuellen Netzwerk für den Zugriff auf Speicher oder Data Explorer. Je nach DNS-Lösung sind möglicherweise auch CNAME-Einträge erforderlich.
| Erforderlich | Name | BESCHREIBUNG |
|---|---|---|
| Erforderlich | <Speicherkontoname>.privatelink.dfs.core.windows.net | Ein Datensatz für den Zugriff auf den Speicher |
| Wahlfrei | < >storage_account_name.dfs.core.windows.net | CNAME für den A-Datensatz des Speichers |
| Erforderlich | <Daten-Explorer-Name>.privatelink.<Azure-Standort>.kusto.windows.net | A-Datensatz für den Zugriff auf den Daten-Explorer |
| Wahlfrei | <Daten-Explorer-Name>.<Azure-Standort>.kusto.windows.net | CNAME im A-Datensatz des Daten-Explorers |
Wichtig
Achten Sie bei der Verwendung privater Endpunkte in Verbindung mit einem Power BI-Datengateway darauf, den vollqualifizierten Domänennamen (FQDN) des Azure Data Explorer-Clusters (z clustername.region.kusto.windows.net. B. ) anstelle der gekürzten Version (z clustername.region. B. ) zu verwenden. Dadurch wird die richtige Namensauflösung für die private Endpunktfunktionen wie erwartet sichergestellt.
Beispiel für Netzwerk-Peering
In diesem Beispiel:
- Das virtuelle FinOps-Hub-Netzwerk ist mit einem Netzwerkhub verbunden.
- Die Azure-Firewall fungiert als Kern des Routers.
- DNS-Einträge für Speicher und Daten-Explorer werden Azure DNS Resolver hinzugefügt, um eine zuverlässige Namensauflösung sicherzustellen.
- Eine Routingtabelle wird an das Subnetz des Netzwerkgateways angefügt, um sicherzustellen, dass Datenverkehr von der lokalen Bereitstellung an das Peering-VNet weitergeleitet werden kann.
Diese Netzwerktopologie folgt den richtlinien für die Hub-Spoke Netzwerkarchitektur, die im Cloud Adoption Framework für Azure und im Azure Architecture Center beschrieben ist.
Feedback senden
Lassen Sie uns mit einer kurzen Bewertung wissen, wie wir abschneiden. Wir verwenden diese Rezensionen, um FinOps-Tools und -Ressourcen zu verbessern und zu erweitern.
Wenn Sie nach etwas Spezifischem suchen, wählen Sie eine vorhandene Idee aus, oder erstellen Sie eine neue Idee. Teilen Sie Ideen mit anderen, um mehr Stimmen zu erhalten. Wir konzentrieren uns auf Ideen mit den meisten Stimmen.