Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
À medida que as organizações adotam cada vez mais os serviços de nuvem, garantir o acesso seguro e eficiente a esses recursos torna-se primordial. Os hubs FinOps oferecem opções flexíveis para dar suporte ao acesso público ou privado à rede de dados, dependendo de suas necessidades. Este guia explica como cada opção de acesso a dados funciona e como configurar a rede privada para acessar dados com segurança em hubs FinOps.
Como funciona o acesso público
O acesso público nos hubs FinOps tem as seguintes características:
- O acesso é controlado por meio do RBAC (controle de acesso baseado em função) e das comunicações criptografadas por meio da TLS (segurança da camada de transporte).
- O armazenamento é acessível por meio de endereços IP públicos (firewall definido como público).
- O Data Explorer (se implantado) é acessível por meio de endereços IP públicos (firewall definido como público).
- O Key Vault é acessível por meio de endereços IP públicos (firewall definido como público).
- O Azure Data Factory está configurado para usar o runtime de integração pública.
Como funciona o acesso privado
O acesso privado é uma opção mais segura que coloca recursos de hubs FinOps em uma rede isolada e limita o acesso por meio de rede privada:
- O acesso à rede pública é desabilitado por padrão.
- O armazenamento é acessível por meio de endereço IP privado e serviços confiáveis do Azure – o firewall é configurado para negar por padrão, mas permite exceções para serviços na lista confiável.
- O Data Explorer (se implantado) é acessível por meio de endereço IP privado – o firewall é definido como negação padrão sem exceções.
- O cofre de chaves é acessível por meio de endereço IP privado e serviços confiáveis do Azure - o firewall está configurado para negar por padrão com bypass para serviços na lista confiável.
- O Azure Data Factory está configurado para usar o runtime de integração pública, o que ajuda a reduzir os custos.
- Uma rede virtual é implantada para garantir que a comunicação entre todos os componentes durante a implantação e em runtime permaneça privada.
Observe que a rede privada gera um custo extra para recursos de rede, conectividade e computação dedicada no Azure Data Factory. Para obter uma estimativa de custo detalhada, consulte a calculadora de preços do Azure.
Comparando opções de acesso à rede
A tabela a seguir compara as opções de acesso à rede disponíveis nos hubs FinOps:
| Componente | Público | Privado | Benefício |
|---|---|---|---|
| Armazenamento | Acessível pela Internet¹ | Acesso restrito à rede do hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Dados acessíveis somente quando estiverem no trabalho ou na VPN corporativa |
| Azure Data Explorer (Explorador de Dados do Azure) | Acessível pela Internet¹ | Acesso restrito à rede do hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Dados acessíveis somente quando estiverem no trabalho ou na VPN corporativa |
| Cofre de chaves criptográficas | Acessível pela Internet¹ | Acesso restrito à rede do hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Chaves e segredos nunca são acessíveis por meio da Internet aberta |
| Fábrica de dados do Azure | Usa o pool de computação pública | Runtime de integração gerenciado em uma rede privada com Data Explorer, armazenamento e cofre de chaves | Todo o processamento de dados ocorre dentro da rede |
| Rede Virtual | Não usado | O tráfego do hub FinOps ocorre dentro de uma vNet isolada | Tudo permanece privado; ideal para ambientes regulamentados |
¹ Embora os recursos estejam acessíveis pela Internet, o acesso ainda é protegido pelo RBAC (controle de acesso baseado em função).
Habilitando a rede privada
Para habilitar a rede privada ao implantar uma instância do hub FinOps nova ou atualizada, defina o Access como Privado na guia Avançado .
Antes de habilitar o acesso privado, examine os detalhes de rede nesta página para entender a configuração extra necessária para se conectar à instância do hub. Uma vez habilitada, a instância do hub FinOps fica inacessível até que o acesso à rede seja configurado fora da instância do hub FinOps. Recomendamos compartilhar isso com os administradores de rede para garantir que o intervalo de IP atenda aos padrões de rede e eles entendam como conectar sua instância de hub à rede existente.
Rede virtual do hub FinOps
Quando o acesso privado é selecionado, sua instância do hub FinOps inclui uma rede virtual para garantir que a comunicação entre seus vários componentes permaneça privada.
- A rede virtual deve ter um tamanho /26 (64 endereços IP). Essa configuração permite os tamanhos mínimos de sub-rede necessários para os Serviços de Contêiner (usados durante as implantações para executar scripts) e o Data Explorer.
- O intervalo de IP pode ser definido no momento da implantação e o padrão é 10.20.30.0/26.
Se necessário, você pode criar a rede virtual, as sub-redes e, opcionalmente, emparelhá-la com a rede do hub antes de implantar hubs FinOps se seguir estes requisitos:
- A rede virtual deve ser um /26 (com 64 endereços IP).
- O nome deve ser
<HubName>-vNet. - A rede virtual deve ser dividida em três sub-redes com as delegações de serviço, conforme especificado:
- private-endpoint-subnet (/28) – nenhuma delegação de serviço configurada; hospeda endpoints privados para armazenamento e cofre de chaves.
- script-subnet (/28) – delegado a serviços de contêiner para execução de scripts durante a implantação.
- dataExplorer-subnet (/27) – delegada ao Azure Data Explorer.
Pontos de extremidade privados e DNS
A comunicação entre os vários componentes do hub FinOps é criptografada usando TLS. Para que a validação de certificado TLS tenha êxito ao usar a rede privada, a resolução de nomes de DNS (sistema de nomes de domínio) confiável é necessária. Zonas DNS, pontos de extremidade privados e entradas DNS garantem a resolução de nomes entre os componentes do hub FinOps.
- privatelink.blob.core.windows.net – para o Data Explorer e armazenamento usado por scripts de implantação
- privatelink.dfs.core.windows.net – para Data Explorer e o data lake que hospeda os dados do FinOps e a configuração do pipeline
- privatelink.table.core.windows.net – para o Data Explorer
- privatelink.queue.core.windows.net – para o Data Explorer
- privatelink.vaultcore.azure.net – para o Azure Key Vault
- privatelink.{location}.kusto.windows.net – para Data Explorer
Importante
Não é recomendável alterar a configuração DNS da rede virtual do hub FinOps. Os componentes do hub FinOps exigem uma resolução de nome confiável para que implantações e atualizações tenham êxito. Os pipelines do Data Factory também exigem resolução de nomes confiáveis entre componentes.
Emparelhamento de rede, roteiros e resolução de nomes
Quando o acesso privado é selecionado, a instância do hub FinOps é implantada em uma rede virtual satélite isolada. Existem várias opções para habilitar a conectividade privada à rede virtual do hub FinOps, incluindo:
- Emparelhamento da rede do hub FinOps com outra vNet do Azure.
- Emparelhamento da rede do hub FinOps com um hub de vWAN do Azure.
- Estendendo o espaço de endereço de rede do hub FinOps e implantando um gateway de VPN.
- Estendendo o espaço de endereço de rede do hub FinOps e implantando um gateway de dados do Power BI.
- Permitir que faixas de IP da VPN e do firewall corporativo acessem a Internet pública por meio dos firewalls de armazenamento e do Data Explorer.
Para acessar dados do hub FinOps de uma rede virtual existente, configure registros A em sua rede virtual existente para acessar o armazenamento ou o Data Explorer. Os registros CNAME também podem ser necessários dependendo da solução DNS.
| Obrigatório | Nome | Descrição |
|---|---|---|
| Obrigatório | < >storage_account_name.privatelink.dfs.core.windows.net | Um registro para acessar o armazenamento |
| Opcional | < >storage_account_name.dfs.core.windows.net | CNAME para o registro A do armazenamento |
| Obrigatório | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | Um registro para acessar o Data Explorer |
| Opcional | < >data_explorer_name.<>azure_location.kusto.windows.net | CNAME para o registro A do Data Explorer |
Importante
Ao usar pontos de extremidade privados em conjunto com um gateway de dados do Power BI, certifique-se de usar o nome de domínio totalmente qualificado (FQDN) do cluster do Azure Data Explorer (como clustername.region.kusto.windows.net) em vez da versão abreviada (como clustername.region). Isso garante a resolução adequada de nomes para as funções de endpoint privado como esperado.
Exemplo de emparelhamento de rede
Neste exemplo:
- A rede virtual do hub FinOps está conectada a um hub de rede.
- O firewall do Azure atua como núcleo do roteador.
- As entradas DNS para armazenamento e Data Explorer são adicionadas ao resolvedor DNS do Azure para garantir uma resolução de nomes confiável.
- Uma tabela de rotas está anexada à sub-rede do gateway de rede para garantir que o tráfego local possa ser roteado para a vNet emparelhada.
Essa topologia de rede segue as diretrizes de arquitetura de rede Hub-Spoke descritas no Cloud Adoption Framework para a Azure e no Centro de Arquitetura do Azure.
Fornecer comentários
Deixe-nos saber como estamos indo com uma avaliação rápida. Usamos essas revisões para melhorar e expandir ferramentas e recursos do FinOps.
Se você estiver procurando algo específico, vote em um existente ou crie uma ideia. Compartilhe ideias com outras pessoas para obter mais votos. Nos concentramos em ideias com a maioria dos votos.