在以前的博客,我們討論了如何安全地從Azure磚使用Azure數據的訪問服務虛擬網絡服務端點或私人聯係。給定一個基線的最佳實踐,在本文中,我們介紹如何硬著Azure磚部署的詳細步驟從網絡安全的角度,以防止數據漏出。
按維基百科:數據漏出時發生的惡意軟件和/或惡意演員進行未經授權的數據傳輸從一台電腦。通常也稱為數據擠壓或數據出口。漏出的數據也被認為是一種數據盜竊。自2000年以來,許多數據漏出的努力嚴重損害了消費者的信心,公司估值和知識產權的企業和各國政府的國家安全。問題承擔更多的意義,企業開始存儲和處理敏感數據(PII,φ或戰略機密)與公共雲服務。
解決數據漏出可以成為一個難以控製的問題如果PaaS服務需要存儲你的數據與他們或流程中的數據服務提供者的網絡。但Azure的磚,我們的客戶要保持所有數據在Azure訂閱和處beplay体育app下载地址理它自己的私有虛擬網絡管理(s),同時保留PaaS自然增長最快的數據和人工智能在Azure服務。我們想出了一個安全的部署架構平台工作時我們最安全的一些客戶,現在是時候,我們廣泛分享出來。beplay体育app下载地址Beplay体育安卓版本
高級數據漏出保護建築
我們推薦一個中心與分支拓撲風格的參考體係結構。房屋中心虛擬網絡連接驗證所需的共享基礎設施資源和選擇一個本地環境。和說虛擬網絡對等的中心,而住房孤立Azure磚為不同的業務單位或隔離團隊工作空間。
藝術的高級視圖:
以下是高級步驟建立一個安全的Azure磚部署(參見下麵的對應圖):
- 部署Azure磚與安全集群連接(SCC)啟用了虛擬網絡使用VNet注入(在下麵圖azuredatabricks-spoke-vnet)
- 設置私人聯係Azure數據服務端點在一個單獨的子網內的Azure磚說虛擬網絡(privatelink-subnet下麵的圖)。這將確保所有工作負載數據是通過網絡訪問安全Azure支柱使用默認數據漏出保護(見這更多信息)。還一般,完全可以在另一個虛擬網絡部署這些端點的視線的一個托管Azure磚工作區。
- 可選地,設置SQL Azure數據庫外部蜂巢Metastore覆蓋的主要metastore在工作區中所有集群。這是為了覆蓋配置合並metastore安置在控製飛機。
- 部署Azure防火牆(或其他網絡虛擬設備)在一個中心虛擬網絡(shared-infra-hub-vnet下麵的圖)。Azure的防火牆,可以配置:
•應用程序規則定義完全限定域名(fqdn)通過防火牆來訪問。一些Azure磚所需的流量可以使用應用程序白名單規則。
•網絡規則定義的IP地址、端口和協議不能使用的fqdn配置的端點。一些必需的Azure磚交通需要白名單使用網絡規則。
我們的一些客戶喜歡使用第beplay体育app下载地址三方防火牆設備代替Azure防火牆,通常工作很好。不過請注意,每個產品都有自己的細微差別,最好從事相關產品支持和網絡安全團隊任何相關的故障診斷問題。
•設置服務端點Azure存儲Azure防火牆子網,這樣所有流量白名單地區或in-paired-region存儲超過Azure網絡骨幹(包括端點在Azure磚控製平麵,如果客戶數據平麵區域匹配或配對)。
- 創建一個用戶定義的路由表使用以下規則和將它附加到Azure磚子網。
- 配置虛擬網絡對等Azure磚說話和Azure防火牆之間的虛擬網絡中心。
這樣一個星型架構允許創建多個說話聯接為不同的目的和團隊。雖然我們已經看到了我們的一些客戶實施不同的團隊通過創建單獨的beplay体育app下载地址子網隔離在一個大的連續的虛擬網絡。在這種情況下,它完全可以設置多個孤立Azure磚工作區在自己的子網,並部署Azure防火牆在另一個妹妹子網在同一個虛擬網絡。
現在我們將詳細討論上述設置如下。
安全Azure磚部署細節
先決條件
請注意Azure磚控製飛機端點從這裏您的工作區(地圖基於地區的工作區)。我們需要這些細節配置Azure防火牆規則。
| 的名字 |
源 |
目的地 |
協議:港口 |
目的 |
| databricks-webapp |
Azure磚工作區子網 |
地區特定Webapp端點 |
https: 443 |
與Azure磚webapp的溝通 |
| databricks-webapp |
Azure磚工作區子網 |
地區特定Webapp端點 |
https: 443 |
與Azure磚webapp的溝通 |
| databricks-observability-eventhub |
Azure磚工作區子網 |
地區特定的端點可觀測性的活動中心 |
https: 9093 |
交通Azure磚集群服務特定的遙測 |
| databricks-artifact-blob-storage |
Azure磚工作區子網 |
地區特定的工件Blob存儲端點 |
https: 443 |
商店磚運行時圖像是部署在集群節點 |
| databricks-dbfs |
Azure磚工作區子網 |
DBFS Blob存儲端點 |
https: 443 |
Azure磚工作區根存儲 |
databricks-sql-metastore
(可選-請見下麵的步驟3外部蜂巢Metastore) |
Azure磚工作區子網 |
地區特定的SQL Metastore端點 |
tcp: 3306 |
數據庫和子對象的元數據存儲在Azure磚工作區 |
步驟1:部署Azure磚工作空間在你的虛擬網絡
Azure磚的默認部署創建一個新的虛擬網絡(有兩個子網)資源組管理的磚。使必要的定製一個安全的部署,工作區數據平麵應該部署在自己的虛擬網絡。本快速入門顯示了如何用幾個簡單的步驟。在此之前,你應該創建一個虛擬網絡名叫azuredatabricks-spoke-vnet地址空間10.2.1.0/24在資源組adblabs-rg(名稱和地址空間是特定於這個測試設置)。
指Azure磚部署文檔:
-
- 創建一個Azure磚工作區使用Azure資源管理器的模板(手臂)。
-
- 單擊部署到Azure按鈕將帶你到Azure門戶
- 從Azure門戶,選擇編輯模板。
" enableNoPublicIp ": {
“defaultValue”:“真實的”,
“類型”:“bool”
}
向下滾動到底部,在工作區屬性部分添加:
" enableNoPublicIp ": {
“價值”:“(參數(enableNoPublicIp)] "}
}
| 設置 |
建議值 |
描述 |
| 工作區名稱 |
adblabs-ws |
選擇一個名稱為您的Azure磚工作區。 |
| 訂閱 |
“你的訂閱” |
選擇您想要使用Azure訂閱。 |
| 資源組 |
adblabs-rg |
選擇您用於相同的資源組的虛擬網絡。 |
| 位置 |
美國中部 |
選擇相同的位置作為你的虛擬網絡。 |
| 使沒有公共IP |
真正的 |
禁用公共ip在Azure磚集群節點。 |
| 定價層 |
溢價 |
定價層的更多信息,看到Azure磚價格頁麵。 |
-
-
- 一旦你完成了進入基本設置,選擇Next。網絡>並應用以下設置:
部署Azure磚工作空間在你的虛擬網絡(聯接)是的此設置允許你部署一個Azure磚工作空間在你的虛擬網絡。
| 設置 |
價值 |
描述 |
| 虛擬網絡 |
azuredatabricks-spoke-vnet |
選擇前麵創建的虛擬網絡。 |
| 公共子網名稱 |
public-subnet |
使用默認的公共子網名稱,您可以使用任何名稱。 |
| 公共子網CIDR範圍 |
10.2.1.64/26 |
使用CIDR範圍包括/ 26。 |
| 私人子網名稱 |
的子網 |
使用默認的子網名稱,您可以使用任何名稱。 |
| CIDR的子網範圍 |
10.2.1.128/26 |
使用CIDR範圍包括/ 26。 |
點擊審查和創造。一些注意事項:
-
-
- 虛擬網絡必須包括兩個子網致力於Azure磚工作區:a的子網和公共子網(請使用不同的術語)。公眾的私有IP子網是每個集群節點的主機VM。私人的私有IP子網是源數據磚運行時容器部署在每個集群節點。它表明每個集群節點有兩個私有IP地址。
- 每個工作區子網大小可以從/ 18到26日,和實際大小將基於預測的整體工作負載/工作區。地址空間可能是任意的(包括非RFC 1918的),但它必須與企業內部+雲網絡策略一致。
- Azure磚將為您創建這些子網使用Azure門戶部署工作空間時,將執行子網代表團微軟。磚/工作區服務。這允許Azure磚創建所需的網絡安全集團(NSG)規則。Azure磚總是會提前通知如果我們需要添加或更新Azure Databricks-managed NSG規則的範圍。請注意,如果這些子網已經存在,服務將使用這些。
- 這些子網之間有一對一的關係和Azure磚工作區。你不能在同一子網對共享多個工作區,並且必須使用一個新的子網對每個不同的工作區。
- 注意資源組和管理資源組在Azure磚在Azure門戶資源概述頁麵。你不能創造任何托管資源組的資源,你也不能編輯任何現有的。
第二步:設置端點私人聯係
如前所述安全地訪問Azure數據服務的博客,我們將使用Azure私有鏈接安全地連接以前創建的Azure磚工作區Azure數據服務。我們不推薦設置訪問這些數據服務通過網絡虛擬設備/防火牆,作為潛在的不利影響,大數據的工作負載的性能和中間基礎設施。
請創建一個子網privatelink-subnet的地址空間10.2.1.0/26在虛擬網絡中azuredatabricks-spoke-vnet。
為測試設置,我們將部署一個樣本存儲賬戶,然後創建一個私有鏈接端點。指的是建立私人鏈接文檔:
-
-
- 在屏幕的左上角一邊在Azure門戶,選擇創建一個資源> >存儲賬戶。
- 在創建存儲帳戶——基礎知識輸入或選擇這些信息:
資源groupSelectadblabs-rg。你這在前一節中創建的。
| 設置 |
價值 |
| 項目詳細信息 |
|
| 訂閱 |
選擇您的訂閱。 |
| 實例細節 |
|
| 存儲帳戶名稱 |
輸入myteststorageaccount。如果這個名字,請提供一個惟一名稱。 |
| 地區 |
選擇美國中部(或同一地區用於Azure磚工作區和虛擬網絡)。 |
| 性能 |
保留默認的標準。 |
| 複製 |
選擇geo-redundant存儲器的讀取訪問權限(RA-GRS)。 |
選擇第二:網絡>
-
-
- 在創建一個存儲賬戶——網絡、連接方法、選擇私人端點。
- 在創建一個存儲賬戶——網絡選擇Add私人端點。
- 在創建私人端點輸入或選擇這些信息:
項目詳細信息
| 設置 |
價值 |
| 訂閱 |
選擇您的訂閱。 |
| 資源組 |
選擇adblabs-rg。你這在前一節中創建的。 |
| 位置 |
選擇美國中部(或同一地區用於Azure磚工作區和虛擬網絡)。 |
| 的名字 |
輸入myStoragePrivateEndpoint。 |
| 存儲sub-resource |
選擇dfs。 |
| 網絡 |
|
| 虛擬網絡 |
選擇azuredatabricks-spoke-vnet從資源組adblabs-rg。 |
| 子網 |
選擇privatelink-subnet。 |
| 私人DNS集成 |
| 集成與私人DNS區域 |
保持默認是的。 |
| 私人DNS區域 |
保留默認(新)privatelink.dfs.core.windows.net。 |
選擇好吧。
-
-
- 選擇回顧+創建。你帶到評審+創建頁麵,Azure驗證您的配置。
- 當你看到驗證信息,通過選擇創建。
- 瀏覽到您剛剛創建的存儲賬戶資源。
可以創建多個私有鏈接Azure支持數據服務的端點。配置這樣的端點附加服務,請參考相關的Azure文檔。
步驟3:設置外部蜂巢Metastore
提供SQL Azure數據庫
這一步是可選的。默認情況下,整合區域metastore用於Azure磚工作區。請跳到下一步如果你想避免這個端到端部署SQL Azure數據庫管理。
指的是提供一個SQL Azure數據庫文檔請提供一個SQL Azure數據庫,我們將使用一個外部的蜂巢metastore Azure磚工作區。
-
-
- 在屏幕的左上角一邊在Azure門戶,選擇創建一個資源> >數據庫SQL數據庫。
- 在創建SQL數據庫——基礎知識輸入或選擇這些信息:
| 設置 |
價值 |
| 數據庫的細節 |
|
| 訂閱 |
選擇您的訂閱。 |
| 資源組 |
選擇adblabs-rg。你這在前一節中創建的。 |
| 實例細節 |
|
| 數據庫名稱 |
輸入myhivedatabase。如果這個名字,請提供一個惟一名稱。 |
-
-
- 在服務器中,選擇創建新的。
- 在新服務器中,輸入或選擇這些信息:
| 設置 |
價值 |
| 服務器名稱 |
輸入mysqlserver。如果這個名字,請提供一個惟一名稱。 |
| 服務器管理員登錄 |
您所選擇的輸入管理員名稱。 |
| 密碼 |
輸入您選擇的密碼。密碼必須至少8個字符長,滿足定義的需求。 |
| 位置 |
選擇美國中部(或同一地區用於Azure磚工作區和虛擬網絡)。 |
選擇好吧。
-
-
- 選擇回顧+創建。你帶到評審+創建頁麵,Azure驗證您的配置。
- 當你看到驗證信息,通過選擇創建。
創建一個私人鏈接端點
在本節中,您將添加一個私人端點為上麵創建的SQL Azure數據庫的鏈接。指從這個來源
-
-
- 在屏幕的左上角一邊在Azure門戶,選擇創建一個資源中心>網絡>私人聯係。
- 在私人聯係中心-概述在選擇建立一個私人連接到服務,選擇Start。
- 在創建一個私人端點——基礎知識輸入或選擇這些信息:
| 設置 |
價值 |
| 項目詳細信息 |
|
| 訂閱 |
選擇您的訂閱。 |
| 資源組 |
選擇adblabs-rg。你這在前一節中創建的。 |
| 實例細節 |
|
| 的名字 |
輸入mySqlDBPrivateEndpoint。如果這個名字,請提供一個惟一名稱。 |
| 地區 |
選擇美國中部(或同一地區用於Azure磚工作區和虛擬網絡)。 |
| 選擇下一個:資源 |
|
在創建一個私人端點——資源輸入或選擇這些信息:
| 設置 |
價值 |
| 連接方法 |
選擇連接到一個Azure資源目錄。 |
| 訂閱 |
選擇您的訂閱。 |
| 資源類型 |
選擇Microsoft.Sql /服務器。 |
| 資源 |
選擇mysqlserver |
| 目標sub-resource |
選擇sqlServer |
選擇下一個:配置
在創建一個私人端點——配置輸入或選擇這些信息:
網絡
| 設置 |
價值 |
| 虛擬網絡 |
選擇azuredatabricks-spoke-vnet |
子網 |
選擇privatelink-subnet |
私人DNS集成 |
集成與私人DNS區域 |
選擇Yes。 |
私人DNS區域 |
選擇(新)privatelink.database.windows.net |
-
-
- 選擇回顧+創建。你帶到評審+創建頁麵,Azure驗證您的配置。
- 當你看到驗證信息,通過選擇創建。
配置外部蜂巢Metastore
-
-
- 從Azure門戶,搜索adblabs-rg資源組
- 去Azure磚工作區資源
- 點擊啟動工作空間
- 請按照指令記錄在這裏將上麵創建的SQL Azure數據庫配置為外部蜂巢metastore Azure磚工作區。
步驟4:部署Azure防火牆
我們建議Azure防火牆作為一個可伸縮的雲防火牆Azure磚作為過濾裝置控製平麵交通,DBFS存儲,任何允許公共端點從Azure磚工作區訪問。
指文檔配置Azure防火牆,你可以將Azure防火牆部署到一個新的虛擬網絡。請創建虛擬網絡命名hub-vnet的地址空間10.3.1.0/24在資源組adblabs-rg(名稱和地址空間是特定於這個測試設置)。還創建一個子網AzureFirewallSubnet的地址空間10.3.1.0/26在hub-vnet。
-
-
- 在Azure門戶主頁的菜單或選擇創建一個資源。
- 類型防火牆在搜索框中,然後按回車。
- 選擇防火牆然後選擇創建。
- 在創建一個防火牆頁麵,使用下麵的表格來配置防火牆:
| 設置 |
價值 |
| 訂閱 |
“你的訂閱” |
| 資源組 |
adblabs-rg |
| 的名字 |
防火牆 |
| 位置 |
選擇美國中部(或同一地區用於Azure磚工作區和虛擬網絡)。 |
| 選擇一個虛擬網絡 |
使用現有的:hub-vnet |
| 公共IP地址 |
添加新的。公共IP地址必須是標準的SKU類型。它的名字fw-public-ip |
-
-
- 選擇回顧+創建。
- 查看摘要,然後選擇創建部署防火牆。
- 這需要幾分鍾。
- 完成部署後,去adblabs-rg資源組,選擇防火牆
- 注意私有IP地址。您將使用它後,你從Azure磚子網的創建自定義默認路由。
Azure防火牆規則配置
Azure的防火牆,您可以配置:
-
-
- 應用程序規則,定義完全限定域名(fqdn),可以訪問從一個子網。
- 網絡規則,定義源地址、協議目的港和目的地地址。
- 網絡流量時受到防火牆規則配置路由網絡流量防火牆作為子網默認網關。
配置應用程序規則
我們首先需要配置應用程序規則,允許境外訪問日誌Blob存儲和工件Blob存儲加上端點在Azure磚控製飛機DBFS根Blob存儲的工作空間。
-
-
- 資源組adblabs-rg,並選擇防火牆。
- 在防火牆頁麵,下設置中,選擇規則。
- 選擇應用程序規則集合選項卡。
- 選擇添加應用程序規則集合。
- 對於名稱,類型databricks-control-plane-services。
- 對於優先級、類型200年。
- 行動,選擇允許。
- 配置在規則- >目標的fqdn
| 的名字 |
源type |
源 |
協議:港口 |
目標的fqdn |
| databricks-spark-log-blob-storage |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
參考上麵指出的先決條件(美國中部) |
| databricks-audit-log-blob-storage |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
參考上麵指出的先決條件(美國中部) 這對我們隻是單獨的日誌存儲區域 |
| databricks-artifact-blob-storage |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
參考上麵指出的先決條件(美國中部) |
| databricks-dbfs |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
請參考上麵的先決條件 |
| 公共存儲庫Python和R庫 (可選——如果工作區允許用戶從公共回購安裝庫) |
IP地址 |
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
* pypi.org, pythonhosted.org, cran.r-project.org
根據需要添加任何其他公共回購 |
| 所使用的神經節用戶界麵 |
IP地址 |
10.2.1.128/26,10.2.1.64/26 |
https: 443 |
cdnjs.com或cdnjs.cloudflare.com |
配置網絡規則
一些端點使用fqdn不能被配置為應用程序規則。所以我們將這些設置為網絡規則,即可觀測性活動中心和Webapp。
-
-
- 打開資源組adblabs-rg,並選擇防火牆。
- 在防火牆頁麵,下設置中,選擇規則。
- 選擇網絡規則集合選項卡。
- 選擇添加網絡規則集合。
- 對於名稱,類型databricks-control-plane-services。
- 對於優先級、類型200年。
- 行動,選擇允許。
- 配置在規則- > IP地址。
| 的名字 |
協議 |
源類型 |
源 |
目的地類型 |
目的地址 |
目的地港口 |
|
| databricks-webapp |
TCP |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
IP地址 |
參考上麵指出的先決條件(美國中部) |
443年 |
|
| databricks-observability-eventhub |
TCP |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
IP地址 |
參考上麵指出的先決條件(美國中部) |
9093年 |
|
databricks-sql-metastore
(可選——請參閱步驟3外部蜂巢Metastore上圖) |
TCP |
IP地址 |
Azure磚工作區子網
10.2.1.128/26,10.2.1.64/26 |
IP地址 |
參考上麵指出的先決條件(美國中部) |
3306年 |
配置虛擬網絡服務端點
-
-
- 在hub-vnet頁麵,點擊服務端點然後添加
- 從服務選擇“Microsoft.Storage”
- 在子網中,選擇AzureFirewallSubnet
服務端點將允許流量AzureFirewallSubnet來日誌Blob存儲,工件Blob存儲,DBFS存儲在Azure網絡骨幹,從而消除接觸公共網絡。
如果用戶要訪問Azure存儲使用服務主體,我們建議創建一個額外的服務端點從Azure磚工作區子網Microsoft.AzureActiveDirectory。
第五步:創建用戶定義的路線(一起)
在這一點上,大多數基礎設施設置一個安全、鎖定的部署已完成。現在我們需要適當的交通從Azure磚工作區子網的路由到控製平麵SCC繼電器IP(參見下麵的常見問題)和Azure防火牆設置。
他指的是文檔用戶定義的路線:
-
-
- 在Azure門戶菜單,選擇所有的服務和搜索路由表。去那個部分。
- 選擇添加
- 對於名稱,類型firewall-route。
- 訂閱,選擇您的訂閱。
- 資源組,選擇adblabs-rg。
- 的位置,選擇你以前也就是相同的位置。美國中部
- 選擇創建。
- 選擇刷新,然後選擇firewall-route-table路由表。
- 選擇路線然後選擇添加。
- 線路名稱,添加為防火牆。
- 的地址前綴,添加0.0.0.0/0。
- 對於下一個躍點類型,選擇虛擬設備。
- 下一跳地址,添加的私有IP地址Azure防火牆,你前麵提到的。
- 選擇好吧。
現在添加一個途徑Azure磚SCC繼電器的IP。
-
-
- 選擇路線然後選擇添加。
- 線路名稱,添加to-central-us-databricks-SCC-relay-ip。
- 的地址前綴,添加控製平麵SCC繼電器服務IP地址美國中部從在這裏。請注意,可能有一個以上的中繼服務的ip地址,在這種情況下添加額外的規定相應的UDR。為了得到SCC繼電器IP,請在繼電器上運行網路資訊查詢服務端點。
- 對於下一個躍點類型,選擇互聯網Azure磚之間,雖然說網絡、交通數據平麵和Azure磚SCC繼電器服務IP停留在Azure的網絡,不旅行在公共互聯網,更多細節請參考本指南)。
- 選擇好吧。
相關的路由表需要的Azure磚工作區子網。
-
-
- 去firewall-route-table。
- 選擇子網然後選擇副。
- 選擇V虛擬網絡>azuredatabricks-spoke-vnet。
- 為子網,選擇工作區子網。
- 選擇好吧。
第六步:配置VNET凝視
我們現在在最後一步。虛擬網絡azuredatabricks-spoke-vnet和hub-vnet需要早些時候的視線,這樣配置的路由表可以正常工作。
他指的是文檔配置VNET凝視:
在搜索框的頂部Azure門戶,進入虛擬網絡在搜索框。當虛擬網絡出現在搜索結果中,選擇這一觀點。
-
-
- 去hub-vnet。
- 下設置中,選擇凝視。
- 選擇添加、和輸入或選擇值如下:
| 的名字 |
價值 |
| 的名字從hub-vnet凝視到遠程虛擬網絡 |
from-hub-vnet-to-databricks-spoke-vnet |
| 虛擬網絡部署模型 |
資源管理器 |
| 訂閱 |
選擇您的訂閱 |
| 虛擬網絡 |
azuredatabricks-spoke-vnet或選擇部署Azure磚的聯接 |
| 的名字從遠程虛擬網絡hub-vnet凝視 |
from-databricks-spoke-vnet-to-hub-vnet |
安裝已經完成。
第七步:驗證部署
現在是時候把所有的測試:
如果數據訪問工作沒有任何問題,這意味著你已經完成的Azure磚的最佳安全部署你的訂閱。這是相當多的體力勞動,但這是對一次性展示。實際上,你想這樣的設置自動化使用手臂的組合模板,Azure CLI, Azure SDK等等。
常見問題與數據漏出保護建築
我可以使用服務端點安全數據出口政策Azure數據服務?
是的,隻有VNet注入。服務端點的政策提供安全的和直接連接到Azure服務在一個優化的路線在Azure骨幹網絡。服務端點可以用來獲得連接到外部Azure資源隻有你的虛擬網絡。服務端點安全隻有與正確地定義網絡防火牆規則結合使用Azure服務使用服務端點。不能使用服務端點在標準部署,因為虛擬網絡管理和不能用於磚根DBFS存儲。
我可以用網絡虛擬設備(後)除了Azure防火牆?
是的,你可以使用一個第三方後,隻要網絡交通規則被配置為本文中討論。請注意,我們已經測試了這個設置Azure的防火牆,盡管我們的一些客戶使用其他第三方設備。beplay体育app下载地址是理想的設備部署在雲而不是本地的。
可以給我一個防火牆在Azure磚一樣的虛擬網絡子網?
是的,你可以。按Azure參考體係結構時,建議使用一個樞紐輪輻虛擬網絡拓撲規劃更好的未來。你應該選擇創建Azure防火牆子網在Azure磚一樣的虛擬網絡空間中子網,你不會需要配置虛擬網絡凝視如上步驟6中討論。
我可以過濾Azure磚控製平麵的SCC繼電器ip流量通過Azure防火牆?
是的,你可以,但我們不建議,因為:
-
-
- Azure磚之間的交通集群(數據平麵),通過網絡和SCC繼電器服務保持Azure公共互聯網和不不流。
- CC繼電器服務和數據平麵需要高校平麵啟動穩定可靠通信,它們之間有防火牆或虛擬設備引入了一個單點故障,例如,以防任何防火牆規則的錯誤配置或計劃停機時間在集群引導(瞬態防火牆問題)或無法創建新集群或影響調度和運行工作
我可以用Azure分析接受或阻塞流量防火牆?
我們建議使用Azure防火牆日誌和度量的要求。
開始使用數據漏出保護Azure的磚
我們討論了利用原生雲安全控製來實現數據漏出保護Azure磚部署,所有它可以自動啟用數據團隊規模。一些其他的東西,你可能想要考慮和實施作為這個項目的一部分:
請聯係你的微軟或磚客戶服務團隊的任何問題。