Azure Data Lake Storage Gen1 是在公共 Internet IP 地址上运行的 PaaS 服务。 任何能够连接到公共 Internet 的服务器通常也可以与 Azure Data Lake Storage Gen1 终结点相连。 默认情况下,Azure VNET 中的所有 VM 都可以访问 Internet,因此可以访问 Azure Data Lake Storage Gen1。 但是,可以将 VNET 中的 VM 配置为无法访问 Internet。 对于此类 VM,对 Azure Data Lake Storage Gen1 的访问也会受到限制。 可以使用以下任一方法阻止 Azure VNET 中 VM 的公共 Internet 访问:
- 通过配置网络安全组(NSG)
- 通过配置用户定义的路由(UDR)
- 使用 ExpressRoute 时,通过 BGP(行业标准动态路由协议)交换路由,以阻止连接到 Internet。
本文介绍如何从 Azure VM 启用对 Azure Data Lake Storage Gen1 的访问,这些 VM 已限制为使用前面列出的三种方法之一访问资源。
从具有受限连接的 VM 启用与 Azure Data Lake Storage Gen1 的连接
若要从此类 VM 访问 Azure Data Lake Storage Gen1,必须将其配置为访问 Azure Data Lake Storage Gen1 帐户可用的区域的 IP 地址。 可以通过解析帐户的 DNS 名称来标识 Data Lake Storage Gen1 帐户区域的 IP 地址。<account>.azuredatalakestore.net 若要解析帐户的 DNS 名称,可以使用 nslookup 等工具。 在计算机上打开命令提示符并运行以下命令:
nslookup mydatastore.azuredatalakestore.net
输出如下所示。 针对 Address 属性的值是与 Data Lake Storage Gen1 帐户关联的 IP 地址。
Non-authoritative answer:
Name: 1434ceb1-3a4b-4bc0-9c69-a0823fd69bba-mydatastore.projectcabostore.net
Address: 104.44.88.112
Aliases: mydatastore.azuredatalakestore.net
使用 NSG 启用来自受限制的 VM 的连接
当 NSG 规则用于阻止访问 Internet 时,可以创建另一个允许访问 Data Lake Storage Gen1 IP 地址的 NSG。 有关 NSG 规则的详细信息,请参阅 网络安全组概述。 有关如何创建 NSG 的说明,请参阅 如何创建网络安全组。
使用 UDR 或 ExpressRoute 从受限制的 VM 启用连接
路由(UDR 或 BGP 交换路由)用于阻止对 Internet 的访问时,需要配置特殊路由,以便此类子网中的 VM 可以访问 Data Lake Storage Gen1 终结点。 有关详细信息,请参阅 用户定义的路由概述。 有关创建 UDR 的说明,请参阅 Resource Manager 中的“创建 UDR”。
使用 ExpressRoute 从受限制的 VM 启用连接
配置 ExpressRoute 线路后,本地服务器可以通过公共对等互连访问 Data Lake Storage Gen1。 有关为公共对等互连配置 ExpressRoute 的更多详细信息,请参阅 ExpressRoute 常见问题解答。