随着组织越来越多地采用云服务,确保对这些资源的安全和高效访问变得至关重要。 FinOps 中心提供了灵活的选项,支持对数据网络的公共或专用访问,具体取决于你的需求。 本指南介绍了每个数据访问选项的工作原理以及如何配置专用网络以安全地访问 FinOps 中心中的数据。
公共访问的工作原理
FinOps 中心的公共访问具有以下特征:
- 通过基于角色的访问控制(RBAC)和通过传输层安全性(TLS)加密的通信来控制访问。
- 可通过公共 IP 地址(防火墙设置为公共)访问存储。
- 数据资源管理器(如果已部署)可通过公共 IP 地址(防火墙设置为公共)进行访问。
- Key Vault 可通过公共 IP 地址(防火墙设置为公共)进行访问。
- Azure 数据工厂配置为使用公共集成运行时。
专用访问的工作原理
专用访问是一种更安全的选项,用于将 FinOps 中心资源置于隔离网络上,并通过专用网络限制访问:
- 默认情况下禁用公用网络访问。
- 可通过专用 IP 地址和受信任的 Azure 服务访问存储 - 防火墙设置为默认拒绝,对于受信任列表中的服务,将绕过。
- 数据资源管理器(如果已部署)可通过专用 IP 地址进行访问 - 防火墙设置为默认拒绝,没有任何例外。
- 密钥保管库可通过专用 IP 地址和受信任的 Azure 服务进行访问 - 防火墙设置为默认拒绝,对于受信任列表中的服务,防火墙将绕过。
- Azure 数据工厂配置为使用公共集成运行时,这有助于降低成本。
- 部署虚拟网络以确保在部署期间和运行时的所有组件之间的通信保持私密。
请注意,专用网络对 Azure 数据工厂中的网络资源、连接和专用计算会产生额外的成本。 有关详细的成本估算,请参阅 Azure 定价计算器。
比较网络访问选项
下表比较了 FinOps 中心可用的网络访问选项:
| 元件 | 公共 | 私人 | 好处 |
|---|---|---|---|
| 存储 | 可通过 Internet 访问 | 仅限于 FinOps 中心网络、对等网络(例如企业 vNet)和受信任的 Azure 服务的访问权限 | 在工作时或使用企业 VPN 时才能访问数据 |
| Azure 数据资源管理器 | 可通过 Internet 访问 | 仅限于 FinOps 中心网络、对等网络(例如企业 vNet)和受信任的 Azure 服务的访问权限 | 在工作时或使用企业 VPN 时才能访问数据 |
| 密钥保管库 | 可通过 Internet 访问 | 仅限于 FinOps 中心网络、对等网络(例如企业 vNet)和受信任的 Azure 服务的访问权限 | 无法通过打开的 Internet 访问密钥和机密 |
| Azure 数据工厂 | 使用公共计算池 | 使用数据资源管理器、存储和密钥保管库在专用网络中托管集成运行时 | 所有数据处理都在网络中发生 |
| 虚拟网络 | 未使用 | FinOps 中心流量发生在隔离的 vNet 中 | 所有内容都保持私密;非常适合受监管的环境 |
ー 虽然可通过 Internet 访问资源,但访问仍受基于角色的访问控制(RBAC)的保护。
启用专用网络
若要在部署新的或更新现有 FinOps 中心实例时启用专用网络,请将 Access 设置为“高级”选项卡上的“专用”。
启用专用访问之前,请查看此页面上的网络详细信息,以了解连接到中心实例所需的额外配置。 启用后,在 FinOps 中心实例外部配置网络访问之前,无法访问 FinOps 中心实例。 我们建议与网络管理员共享这一点,以确保 IP 范围符合网络标准,并了解如何将中心实例连接到现有网络。
FinOps 中心虚拟网络
选择专用访问后,FinOps 中心实例包括一个虚拟网络,以确保其各个组件之间的通信保持专用。
- 虚拟网络的大小应为 /26(64 个 IP 地址)。 此设置定义了容器服务(在部署期间用于运行脚本)和数据探查器所需的最小子网大小。
- 可以在部署时设置 IP 范围,默认值为 10.20.30.0/26。
如有必要,可以在部署 FinOps 中心之前创建虚拟网络、子网,并根据需要将其与中心网络对等互连,前提是满足以下要求:
- 虚拟网络应为 /26(大小为 64 个 IP 地址)。
- 名称应
<HubName>-vNet。 - 虚拟网络必须分为三个子网,并指定了服务委派:
- 专用终结点子网 (/28) - 未配置服务委派;托管用于存储和密钥保管库的专用终结点。
- 脚本子网 (/28) – 委托给容器服务,以便在部署期间运行脚本。
- dataExplorer-subnet (/27) – 委托给 Azure 数据资源管理器。
专用终结点和 DNS
使用 TLS 对各种 FinOps 中心组件之间的通信进行加密。 若要使 TLS 证书验证在使用专用网络时成功,需要可靠的域名系统 (DNS) 名称解析。 DNS 区域、专用终结点和 DNS 条目保证 FinOps 中心组件之间的名称解析。
- privatelink.blob.core.windows.net – 适用于部署脚本使用的数据资源管理器和存储
- privatelink.dfs.core.windows.net – 用于托管 FinOps 数据和管道配置的数据资源管理器和数据湖
- privatelink.table.core.windows.net - 用于 Data Explorer
- privatelink.queue.core.windows.net – 数据浏览器
- privatelink.vaultcore.azure.net - 适用于 Azure Key Vault
- 专用链接。{___location}.kusto.windows.net – 数据浏览器
重要
不建议更改 FinOps 中心虚拟网络的 DNS 配置。 FinOps 中心组件需要可靠的名称解析才能成功部署和升级。 数据工厂管道还需要组件之间的可靠名称解析。
网络对等互连、路由和名称解析
选择专用访问后,FinOps 中心实例将部署到隔离的分支虚拟网络。 存在多个选项来启用与 FinOps 中心虚拟网络的专用连接,包括:
- 将 FinOps 中心网络与另一个 Azure 虚拟网络对等连接。
- 将 FinOps 枢纽网络与 Azure vWAN 枢纽对等互连。
- 扩展 FinOps 中心网络地址空间并部署 VPN 网关。
- 扩展 FinOps 中心网络地址空间并部署 Power BI 数据网关。
- 允许通过存储和数据资源管理器防火墙通过公共 Internet 访问企业防火墙和 VPN IP 范围。
若要从现有虚拟网络访问 FinOps 中心数据,请在现有虚拟网络中配置 A 记录以访问存储或 Data Explorer。 根据您的 DNS 解决方案,可能需要 CNAME 记录。
| 必填 | 名字 | 描述 |
|---|---|---|
| 必需 | < >storage_account_name.privatelink.dfs.core.windows.net | 用于访问存储的记录 |
| 可选 | < >storage_account_name.dfs.core.windows.net | 将 CNAME 指向存储的 A 记录 |
| 必需 | <data_explorer_name>.privatelink。<azure_location>.kusto.windows.net | 用于访问数据资源管理器的记录 |
| 可选 | <data_explorer_name>。<azure_location>.kusto.windows.net | 数据资源管理器 A 记录的 CNAME |
重要
使用专用终结点与 Power BI 数据网关结合时,请确保使用完整的 Azure 数据资源管理器群集的完全限定域名(例如 clustername.region.kusto.windows.net),而非缩写版本(例如 clustername.region)。 这可确保按预期方式对专用终结点函数进行正确的名称解析。
网络对等互连示例
在此示例中:
- FinOps 中心虚拟网络与网络中心对等互连。
- Azure 防火墙充当路由器的核心。
- 存储和数据资源管理器的 DNS 条目将添加到 Azure DNS 解析程序,以确保可靠的名称解析。
- 路由表被附加到网络网关子网,以确保来自本地的流量可以路由到对等虚拟网络 (vNet)。
此网络拓扑遵循 Azure 云采用框架 和 Azure 体系结构中心中概述的 Hub-Spoke 网络体系结构指南。
提供反馈
请您给我们一个简短的评价,让我们知道我们做得怎么样。 我们将使用这些评审来改进和扩展 FinOps 工具和资源。
如果您在寻找特定的东西,可以为现有想法投票或者创建新想法。 与他人分享想法,以获得更多的选票。 我们专注于拥有最多选票的想法。