Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Naarmate organisaties steeds vaker gebruikmaken van cloudservices, wordt het garanderen van veilige en efficiënte toegang tot deze resources cruciaal. FinOps-hubs bieden flexibele opties voor het ondersteunen van openbare of persoonlijke toegang tot gegevensnetwerken, afhankelijk van uw behoeften. In deze handleiding wordt uitgelegd hoe elke optie voor gegevenstoegang werkt en hoe u privénetwerken configureert om veilig toegang te krijgen tot gegevens in FinOps-hubs.
Hoe openbare toegang werkt
Openbare toegang in FinOps-hubs heeft de volgende kenmerken:
- Toegang wordt beheerd via op rollen gebaseerd toegangsbeheer (RBAC) en communicatie versleuteld via TLS (Transport Layer Security).
- Opslag is toegankelijk via openbare IP-adressen (firewall ingesteld op openbaar).
- Data Explorer (indien geïmplementeerd) is toegankelijk via openbare IP-adressen (firewall ingesteld op openbaar).
- Key Vault is toegankelijk via openbare IP-adressen (firewall ingesteld op openbaar).
- Azure Data Factory is geconfigureerd voor het gebruik van de openbare integratieruntime.
Hoe privétoegang werkt
Privétoegang is een veiligere optie die FinOps-hubs-resources op een geïsoleerd netwerk plaatst en de toegang beperkt via privénetwerken:
- Openbare netwerktoegang is standaard uitgeschakeld.
- Opslag is toegankelijk via privé-IP-adres en vertrouwde Azure-services. Firewall is ingesteld op standaard weigeren met bypass voor services op de vertrouwde lijst.
- Data Explorer (indien geïmplementeerd) is toegankelijk via privé-IP-adres: firewall is ingesteld op standaard weigeren zonder uitzonderingen.
- Sleutelkluis is toegankelijk via privé-IP-adres en vertrouwde Azure-services. Firewall is ingesteld op standaard weigeren met bypass voor services op de vertrouwde lijst.
- Azure Data Factory is geconfigureerd voor het gebruik van de openbare integration runtime, waarmee u de kosten kunt verlagen.
- Er wordt een virtueel netwerk geïmplementeerd om ervoor te zorgen dat de communicatie tussen alle onderdelen tijdens de implementatie en tijdens runtime privé blijft.
Voor privénetwerken worden extra kosten in rekening gebracht voor netwerkresources, connectiviteit en toegewezen rekenkracht in Azure Data Factory. Raadpleeg de Azure-prijscalculator voor een gedetailleerde kostenraming.
Opties voor netwerktoegang vergelijken
De volgende tabel vergelijkt de netwerktoegangsopties die beschikbaar zijn in FinOps-hubs:
| Bestanddeel | Publiek | Privé | Voordeel |
|---|---|---|---|
| Opslag | Toegankelijk via internet¹ | Toegang beperkt tot het FinOps-hubnetwerk, gekoppelde netwerken (bijvoorbeeld bedrijfs-vNet) en vertrouwde Azure-services | Gegevens die alleen toegankelijk zijn op het werk of op het bedrijfs-VPN |
| Azure-gegevensverkenner | Toegankelijk via internet¹ | Toegang beperkt tot het FinOps-hubnetwerk, gekoppelde netwerken (bijvoorbeeld bedrijfs-vNet) en vertrouwde Azure-services | Gegevens die alleen toegankelijk zijn op het werk of op het bedrijfs-VPN |
| Sleutelopslagplaats | Toegankelijk via internet¹ | Toegang beperkt tot het FinOps-hubnetwerk, gekoppelde netwerken (bijvoorbeeld bedrijfs-vNet) en vertrouwde Azure-services | Sleutels en geheimen zijn nooit toegankelijk via het open internet |
| Azure Data Factory | Maakt gebruik van een openbare rekengroep | Beheerde integratieruntime in een privé netwerk met Data Explorer, opslag en Key Vault | Alle gegevensverwerking vindt plaats in het netwerk |
| Virtueel netwerk | Niet gebruikt | FinOps-hubverkeer vindt plaats in een geïsoleerd vNet | Alles blijft privé; ideaal voor gereguleerde omgevingen |
¹ Hoewel resources toegankelijk zijn via internet, wordt de toegang nog steeds beveiligd door op rollen gebaseerd toegangsbeheer (RBAC).
Privénetwerken inschakelen
Als u privénetwerken wilt inschakelen wanneer u een nieuw exemplaar van een FinOps-hub implementeert of bijwerkt, stelt u Access- in op Privé- op het tabblad Geavanceerd.
Voordat u privétoegang inschakelt, bekijkt u de netwerkdetails op deze pagina om inzicht te krijgen in de extra configuratie die nodig is om verbinding te maken met uw hub-exemplaar. Zodra dit is ingeschakeld, is uw FinOps Hub-exemplaar niet toegankelijk totdat de netwerktoegang buiten het FinOps Hub-exemplaar is geconfigureerd. We raden u aan dit te delen met uw netwerkbeheerders om ervoor te zorgen dat het IP-bereik voldoet aan de netwerkstandaarden en ze begrijpen hoe u uw hub-exemplaar verbindt met het bestaande netwerk.
Privénetwerken verwijderen
Als u de kosten wilt verlagen of de implementatie van de FinOps-hub wilt vereenvoudigen, kunt u privénetwerken verwijderen en terugkeren naar openbare toegang. Deze wijziging doet het volgende:
- Het virtuele netwerk en de bijbehorende netwerkkosten verwijderen
- Privé-eindpunten en DNS-zones uitschakelen
- Opslag, Data Explorer en Key Vault configureren om openbare toegang te gebruiken
- Azure Data Factory terugschakelen naar de openbare integration runtime
Waarschuwing
Het verwijderen van privénetwerken is een belangrijke wijziging die van invloed is op de toegang tot uw FinOps-hub. Zorg ervoor dat alle belanghebbenden de gevolgen voor de beveiliging begrijpen voordat u doorgaat.
Stappen voor het verwijderen van privénetwerken
Plan de overgang:
- Alle gebruikers en systemen identificeren die momenteel toegang hebben tot de hub via privénetwerken
- Coördineren met uw netwerkbeheerders over de wijziging
- Onderhoudsvenster plannen omdat de hub tijdelijk niet toegankelijk is tijdens de overgang
Werk de implementatie van de FinOps-hub bij:
U hebt twee opties om uw FinOps-hub opnieuw te implementeren met openbare toegang:
Optie 1: Opnieuw implementeren vanuit bestaande implementatie
- Navigeer naar uw FinOps Hub-resourcegroep in Azure Portal
- Ga naar het tabblad Implementaties in de resourcegroep
- De oorspronkelijke FinOps-hubimplementatie zoeken en openen
- Klik op Opnieuw implementeren
- Stel op het tabblad Geavanceerdtoegang in op Openbaar
- Controleer alle andere instellingen om ervoor te zorgen dat ze naar wens blijven
- De bijgewerkte configuratie implementeren
Optie 2: De nieuwste toolkitversie implementeren
- De nieuwste huidige versie van de FinOps-toolkit installeren
- Gebruik dezelfde resourcegroepnaam, hubnaam en Data Explorer-clusternaam als uw bestaande implementatie
- Deze waarden kunnen worden verkregen uit de oorspronkelijke implementatiesjabloon of het config.json-bestand in uw hubopslagaccount
- Stel op het tabblad Geavanceerdtoegang in op Openbaar
- Implementeren met dezelfde configuratie om uw bestaande hub bij te werken
Controleer de wijzigingen:
- Controleer of opslagaccounts, Data Explorer en Key Vault toegankelijk zijn via openbare eindpunten
- Gegevenstoegang testen vanuit Power BI en andere verbonden systemen
- Controleer of Azure Data Factory-pijplijnen succesvol blijven draaien
Netwerkresources opschonen (optioneel):
- Zodra u hebt bevestigd dat de hub correct werkt met openbare toegang, kunt u de netwerkresources verwijderen om te stoppen met het maken van netwerkkosten
- Verwijder resources in de volgende volgorde om afhankelijkheidsconflicten te voorkomen:
- Privé-eindpunten
- Persoonlijke DNS-zones
- Virtuele netwerk- en netwerkbeveiligingsgroepen (NSG's)
- Wees voorzichtig bij het handmatig verwijderen van resources: zorg ervoor dat ze niet worden gebruikt door andere systemen
Verwijderen beheerde integratieruntime van Azure Data Factory (optioneel):
- Wanneer privénetwerken zijn ingeschakeld, kan Azure Data Factory een beheerde integratieruntime hebben gemaakt voor beveiligde gegevensverwerking
- Hoewel het verlaten van de beheerde integration runtime de functionaliteit niet schaadt, brengt het wel doorlopende kosten met zich mee.
- De beheerde integratieruntime verwijderen:
- Navigeer naar uw Azure Data Factory-exemplaar in Azure Portal
- Ga naarIntegratieruntimes>
- Identificeer alle beheerde integratie-runtime-omgevingen die zijn gemaakt voor een privénetwerk (meestal genaamd met uw hub-exemplaar)
- De beheerde integratieruntime stoppen en verwijderen als deze niet meer nodig is
- Controleer of uw gegevenspijplijnen blijven werken met de openbare integration runtime
- Alleen beheerde-integratieruntimes verwijderen die specifiek zijn gemaakt voor de aanleg van privénetwerken van de FinOps-hub.
Opmerking
Na het verwijderen van privénetwerken zijn uw FinOps-hubgegevens toegankelijk via internet, hoewel ze nog steeds worden beveiligd door op rollen gebaseerd toegangsbeheer (RBAC) en TLS (Transport Layer Security). Controleer het beveiligingsbeleid van uw organisatie om ervoor te zorgen dat dit voldoet aan uw vereisten.
Aanbevelingen voor beveiliging:
- Controleer de beveiligingsinstellingen voor opslagaccounts en Azure Data Explorer-clusters om ervoor te zorgen dat deze overeenkomen met uw beveiligingsvereisten
- Overweeg het gebruik van netwerkbeveiligingsgroepen (NSG's) of firewallregels om de toegang tot bekende IP-adressen, zoals uw bedrijfsfirewall, VPN-eindpunten of specifieke kantoorlocaties, te beperken
- Netwerktoegangsregels voor opslagaccounts controleren en configureren om de toegang van vertrouwde netwerken te beperken, indien nodig
- Controleer of de netwerkinstellingen van het Azure Data Explorer-cluster juist zijn geconfigureerd voor uw toegangsvereisten
Virtueel netwerk van FinOps Hub
Wanneer persoonlijke toegang is geselecteerd, bevat uw FinOps-hub-exemplaar een virtueel netwerk om ervoor te zorgen dat de communicatie tussen de verschillende onderdelen privé blijft.
- Het virtuele netwerk kan elke subnetgrootte van /8 tot /26 zijn, met minimaal /26 (64 IP-adressen) vereist. De standaardwaarde is /26 om IP-adressen te besparen terwijl de minimaal vereiste subnetgrootten worden opgegeven voor Container Services (gebruikt tijdens implementaties voor het uitvoeren van scripts) en Data Explorer.
- Het IP-bereik kan worden ingesteld op het moment van implementatie en standaard ingesteld op 10.20.30.0/26. Kies een groter subnet (zoals /24 of kleiner) als u extra adresruimte nodig hebt voor services zoals Power BI VNet-gegevensgateway.
Indien nodig kunt u het virtuele netwerk, subnetten maken en eventueel peeren met uw hubnetwerk voordat u FinOps-hubs implementeert als u aan deze vereisten voldoet:
- Het virtuele netwerk moet minimaal /26 groot zijn (64 IP-adressen), maar kan elke grootte hebben tot /8 (16.777.216 IP-adressen).
- De naam moet
<HubName>-vNetzijn. - Het virtuele netwerk moet worden onderverdeeld in drie subnetten met de servicedelegaties zoals opgegeven:
- privé-eindpuntsubnet (/28) – er zijn geen servicedelegaties geconfigureerd; host privé-eindpunten voor opslag en sleutelkluis.
- scriptsubnet (/28) – gedelegeerd aan containerservices voor het uitvoeren van scripts tijdens de implementatie.
- dataExplorer-subnet (/27) – gedelegeerd aan Azure Data Explorer.
Privé-eindpunten en DNS
Communicatie tussen de verschillende Onderdelen van de FinOps-hub wordt versleuteld met BEHULP van TLS. Voor een geslaagde TLS-certificaatvalidatie bij het gebruik van privénetwerken is een betrouwbare DNS-naamomzetting (Domain Name System) vereist. DNS-zones, privé-eindpunten en DNS-vermeldingen garanderen naamresolutie tussen FinOps-hub-onderdelen.
- privatelink.blob.core.windows.net: voor Data Explorer en opslag die wordt gebruikt door implementatiescripts
- privatelink.dfs.core.windows.net: voor Data Explorer en de data lake die als host fungeert voor de FinOps-gegevens- en pijplijnconfiguratie
- privatelink.table.core.windows.net – voor Data Explorer
- privatelink.queue.core.windows.net – voor Data Explorer
- privatelink.vaultcore.azure.net : voor Azure Key Vault
- privatelink.{location}.kusto.windows.net – voor Data Explorer
Belangrijk
Het wijzigen van de DNS-configuratie van het virtuele FinOps-hubnetwerk wordt niet aanbevolen. Om succesvol te zijn, vereisen FinOps-hubonderdelen betrouwbare naamomzetting voor implementaties en upgrades. Data Factory-pijplijnen vereisen ook een betrouwbare naamomzetting tussen onderdelen.
Netwerkpeering, routering en naamomzetting
Wanneer privétoegang wordt geselecteerd, wordt het FinOps-hubexemplaar geïmplementeerd in een geïsoleerd spoke-virtueel netwerk. Er zijn meerdere opties om privéconnectiviteit met het virtuele FinOps Hub-netwerk mogelijk te maken, waaronder:
- Peering van het FinOps-hubnetwerk met een ander Azure vNet.
- Peering van het FinOps-hubnetwerk met een Azure vWAN-hub.
- De netwerkadresruimte van de FinOps-hub uitbreiden en een VPN-gateway implementeren.
- De netwerkadresruimte van de FinOps-hub uitbreiden en een Power BI-gegevensgateway implementeren.
- Het toestaan van toegang tot de IP-bereiken van een bedrijfs-firewall en VPN via het openbare internet via de opslag- en Data Explorer-firewalls.
Als u toegang wilt krijgen tot FinOps-hubgegevens vanuit een bestaand virtueel netwerk, configureert u A records in uw bestaande virtuele netwerk voor toegang tot opslag of Data Explorer. CNAME records zijn mogelijk ook vereist, afhankelijk van uw DNS-oplossing.
| Vereist | Naam | Beschrijving |
|---|---|---|
| Vereist | < >storage_account_name.privatelink.dfs.core.windows.net | Een record voor toegang tot opslag |
| Optionele | < >storage_account_name.dfs.core.windows.net | CNAME naar het opslag-A-record |
| Vereist | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | Een record voor toegang tot Data Explorer |
| Optionele | < >data_explorer_name.<>azure_location.kusto.windows.net | CNAME naar het Data Explorer A-record |
Belangrijk
Wanneer u privé-eindpunten gebruikt in combinatie met een Power BI-gegevensgateway, moet u de FQDN (Fully Qualified Domain Name) van het Azure Data Explorer-cluster (zoals clustername.region.kusto.windows.net) gebruiken in plaats van de verkorte versie (zoals clustername.region). Dit zorgt ervoor dat de juiste naamsresolutie voor het privé-eindpunt werkt zoals verwacht.
Voorbeeld van netwerkpeering
In dit voorbeeld:
- Het virtuele FinOps-hubnetwerk is gekoppeld aan een netwerkhub.
- Azure Firewall fungeert als kern van de router.
- DNS-vermeldingen voor opslag en Data Explorer worden toegevoegd aan Azure DNS Resolver om betrouwbare naamomzetting te garanderen.
- Er wordt een routetabel gekoppeld aan het netwerkgatewaysubnet om ervoor te zorgen dat verkeer vanuit het lokale netwerk naar het gekoppelde vNet gerouteerd kan worden.
Deze netwerktopologie volgt de Hub-Spoke richtlijnen voor netwerkarchitectuur die worden beschreven in de Cloud Adoption Framework- voor Azure en het Azure Architecture Center.
Feedback geven
Laat ons weten hoe we het doen met een korte recensie. We gebruiken deze beoordelingen om FinOps-hulpprogramma's en -resources te verbeteren en uit te breiden.
Als u op zoek bent naar iets specifieks, stem dan op een bestaande of maak een nieuw idee. Deel ideeën met anderen om meer stemmen te krijgen. We richten ons op ideeën met de meeste stemmen.