Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
À medida que as organizações adotam cada vez mais serviços em nuvem, garantir o acesso seguro e eficiente a esses recursos torna-se primordial. Os hubs FinOps oferecem opções flexíveis para suportar o acesso público ou privado à rede de dados, dependendo das suas necessidades. Este guia explica como cada opção de acesso a dados funciona e como configurar a rede privada para acessar dados com segurança em hubs FinOps.
Como funciona o acesso do público
O acesso público nos hubs FinOps tem as seguintes características:
- O acesso é controlado por meio de controle de acesso baseado em função (RBAC) e comunicações criptografadas por meio de TLS (Transport Layer Security).
- O armazenamento é acessível através de endereços IP públicos (firewall definido como público).
- O Data Explorer (se implantado) pode ser acessado por meio de endereços IP públicos (firewall definido como público).
- O Cofre de Chaves é acessível através de endereços IP públicos (firewall definido como público).
- O Azure Data Factory está configurado para usar o runtime de integração público.
Como funciona o acesso privado
O acesso privado é uma opção mais segura que coloca os recursos dos hubs FinOps em uma rede isolada e limita o acesso via rede privada:
- O acesso à rede pública está desativado por padrão.
- O armazenamento é acessível por meio de endereço IP privado e por serviços de confiança do Azure - o firewall está definido como negação padrão com bypass para serviços na lista de confiança.
- O Data Explorer (se implantado) pode ser acessado por meio do endereço IP privado - o firewall está definido como negação padrão sem exceções.
- Key Vault é acessível através de endereço IP privado e serviços fidedignos da Azure - o firewall está configurado para negação padrão com bypass para serviços na lista de confiança.
- O Azure Data Factory está configurado para usar o tempo de execução de integração pública, o que ajuda a reduzir custos.
- Uma rede virtual é implantada para garantir que a comunicação entre todos os componentes durante a implantação e em tempo de execução permaneça privada.
Observe que a rede privada incorre em custo extra para recursos de rede, conectividade e computação dedicada no Azure Data Factory. Para obter uma estimativa de custo detalhada, consulte a calculadora de preços do Azure.
Comparando as opções de acesso à rede
A tabela a seguir compara as opções de acesso à rede disponíveis nos hubs FinOps:
| Componente | Público | Privado | Benefício |
|---|---|---|---|
| Armazenamento | Acessível através da internet¹ | Acesso restrito à rede de hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Dados acessíveis apenas quando no trabalho ou na VPN corporativa |
| Explorador de Dados Azure | Acessível através da internet¹ | Acesso restrito à rede de hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Dados acessíveis apenas quando no trabalho ou na VPN corporativa |
| Cofre de chaves criptográficas | Acessível através da internet¹ | Acesso restrito à rede de hub FinOps, redes emparelhadas (por exemplo, vNet corporativa) e serviços confiáveis do Azure | Chaves e segredos nunca são acessíveis através da internet aberta |
| Azure Data Factory | Usa pool de computação público | Tempo de execução de integração gerenciado em uma rede privada com Data Explorer, armazenamento e cofre de chaves | Todo o processamento de dados acontece dentro da rede |
| Rede Virtual | Não utilizado | O tráfego do hub FinOps acontece dentro de uma vNet isolada | Tudo permanece privado; ideal para ambientes regulados |
¹ Embora os recursos estejam acessíveis pela Internet, o acesso ainda é protegido pelo controle de acesso baseado em função (RBAC).
Habilitando a rede privada
Para habilitar a rede privada ao implantar uma nova instância de hub FinOps ou atualizá-la existente, defina Access como Private na guia Advanced.
Antes de habilitar o acesso privado, revise os detalhes da rede nesta página para entender a configuração extra necessária para se conectar à sua instância de hub. Uma vez habilitada, sua instância de hub FinOps fica inacessível até que o acesso à rede seja configurado fora da instância de hub FinOps. Recomendamos compartilhar isso com os administradores de rede para garantir que o intervalo de IP atenda aos padrões de rede e eles entendam como conectar sua instância de hub à rede existente.
Rede virtual do hub FinOps
Quando o acesso privado é selecionado, sua instância de hub FinOps inclui uma rede virtual para garantir que a comunicação entre seus vários componentes permaneça privada.
- A rede virtual deve ter um /26 (64 endereços IP) de tamanho. Essa configuração habilita os tamanhos mínimos de sub-rede necessários para Serviços de Contêiner (usados durante implantações para execução de scripts) e Data Explorer.
- O intervalo de IP pode ser definido no momento da implantação e o padrão é 10.20.30.0/26.
Se necessário, você pode criar a rede virtual, sub-redes e, opcionalmente, emparelhá-la com sua rede de hub antes de implantar hubs FinOps se seguir estes requisitos:
- A rede virtual deve ser um /26 (com 64 endereços IP).
- O nome deve ser
<HubName>-vNet. - A rede virtual deve ser dividida em três sub-redes com as delegações de serviço conforme especificado:
- ponto de extremidade privado de sub-rede (/28) – nenhuma delegação de serviço configurada; hospeda pontos de extremidade privados para armazenamento e cofre de chaves.
- sub-rede de script (/28) – atribuída a serviços de contentor para execução de scripts durante a implementação.
- dataExplorer-subnet (/27) – delegado ao Azure Data Explorer.
Pontos de extremidade privados e DNS
A comunicação entre os vários componentes do hub FinOps é criptografada usando TLS. Para que a validação do certificado TLS seja bem-sucedida ao usar redes privadas, é necessária uma resolução de nomes de sistema de nomes de domínio (DNS) confiável. Zonas DNS, pontos de extremidade privados e entradas DNS garantem a resolução de nomes entre os componentes do hub FinOps.
- privatelink.blob.core.windows.net – para Data Explorer e armazenamento usado por scripts de implantação
- privatelink.dfs.core.windows.net – para o Data Explorer e o data lake que hospeda os dados do FinOps e a configuração do pipeline
- privatelink.table.core.windows.net – para o Data Explorer
- privatelink.queue.core.windows.net – para o Data Explorer
- privatelink.vaultcore.azure.net – para o Azure Key Vault
- privatelink.{location}.kusto.windows.net – para Data Explorer
Importante
Não é recomendável alterar a configuração DNS da rede virtual do hub FinOps. Os componentes do hub FinOps exigem uma resolução de nomes confiável para que as implantações e atualizações sejam bem-sucedidas. Os pipelines do Data Factory também exigem uma resolução de nomes confiável entre componentes.
Emparelhamento de rede, roteamento e resolução de nomes
Quando o acesso privado é selecionado, a instância do hub FinOps é implantada em uma rede virtual isolada. Existem várias opções para habilitar a conectividade privada com a rede virtual do hub FinOps, incluindo:
- Emparelhar a rede de hub FinOps com outro Azure vNet.
- Integração da rede de hub FinOps com um hub vWAN do Azure.
- Estender o espaço de endereço de rede do hub FinOps e implantar um gateway VPN.
- Estender o espaço de endereçamento de rede do hub FinOps e implantar um gateway de dados do Power BI.
- Permitir o acesso das faixas de IP do firewall corporativo e da VPN pela internet pública via os firewalls de armazenamento e do Data Explorer.
Para aceder aos dados do hub FinOps a partir de uma rede virtual existente, configure os registos A na sua rede virtual existente para aceder ao armazenamento ou ao Data Explorer. registos CNAME também podem ser necessários, dependendo da sua solução de DNS.
| Obrigatório | Nome | Descrição |
|---|---|---|
| Obrigatório | <storage_account_name.privatelink.dfs.core.windows.net> | Um registro para acessar o armazenamento |
| Opcional | <storage_account_name.dfs.core.windows.net> | CNAME para o registro de armazenamento A |
| Obrigatório | <data_explorer_name.privatelink.>azure_location.kusto.windows.net< | Um registro para acessar o Data Explorer |
| Opcional | <data_explorer_name>.<azure_location.kusto.windows.net> | CNAME para o registro A do Data Explorer |
Importante
Ao usar pontos de extremidade privados em conjunto com um gateway de dados do Power BI, certifique-se de usar o FQDN (nome de domínio totalmente qualificado) do cluster do Azure Data Explorer (como clustername.region.kusto.windows.net) em vez da versão abreviada (como clustername.region). Isso garante a resolução de nomes adequada para as funções de ponto de extremidade privado, conforme o esperado.
Exemplo de interconexão de rede
Neste exemplo:
- A rede virtual do hub FinOps é emparelhada a um hub de rede.
- O firewall do Azure atua como núcleo do roteador.
- As entradas DNS para armazenamento e exploração de dados são adicionadas ao resolvedor de DNS do Azure para garantir uma resolução de nomes confiável.
- Uma tabela de rotas é anexada à sub-rede do gateway de rede para garantir que o tráfego proveniente das instalações possa ser encaminhado para a vNet emparelhada através do gateway de rede.
Essa topologia de rede segue as diretrizes de arquitetura de rede Hub-Spoke descritas no Cloud Adoption Framework for Azure e no Azure Architecture Center.
Enviar comentários
Dê-nos a sua opinião com uma breve avaliação. Usamos essas análises para melhorar e expandir as ferramentas e os recursos do FinOps.
Se você está procurando algo específico, vote em uma ideia existente ou crie uma nova. Partilhe ideias com outras pessoas para obter mais votos. Focamo-nos nas ideias mais votadas.