Zugreifen auf Azure Data Lake Storage Gen1 von virtuellen Computern in einem Azure-VNET
Bei Azure Data Lake Storage Gen1 handelt es sich um einen PaaS-Dienst, der unter öffentlichen Internet-IP-Adressen ausgeführt wird. Jeder Server, der eine Verbindung mit dem öffentlichen Internet herstellen kann, kann in der Regel auch eine Verbindung mit Azure Data Lake Storage Gen1-Endpunkten herstellen. Standardmäßig können alle virtuellen Computer in Azure-VNETs auf das Internet und damit auf Azure Data Lake Storage Gen1 zugreifen. Allerdings ist es möglich, virtuelle Computer in einem VNet so zu konfigurieren, dass sie nicht auf das Internet zugreifen können. Bei diesen virtuellen Computern ist auch der Zugriff auf Azure Data Lake Storage Gen1 eingeschränkt. Der Zugriff auf das öffentliche Internet kann für virtuelle Computer in Azure-VNETs mit einer der folgenden Methoden blockiert werden:
- Konfigurieren von Netzwerksicherheitsgruppen (NSG)
- Konfigurieren von benutzerdefinierten Routen (User Defined Routes, UDR)
- Austauschen von Routen, die den Zugriff auf das Internet blockieren, über BGP (Branchenstandardprotokoll für das dynamische Routing) bei Verwendung von ExpressRoute
In diesem Artikel erfahren Sie, wie Sie den Zugriff auf Azure Data Lake Storage Gen1 von Azure-VMs aktivieren, deren Zugriff auf Ressourcen mit einer der zuvor aufgeführten Methoden eingeschränkt wurde.
Aktivieren von Verbindungen mit Azure Data Lake Storage Gen1 von virtuellen Computern mit eingeschränkter Konnektivität
Um von diesen virtuellen Computern auf Azure Data Lake Storage Gen1 zugreifen zu können, müssen Sie sie für den Zugriff auf die IP-Adresse für die Region konfigurieren, unter der das Azure Data Lake Storage Gen1-Konto verfügbar ist. Sie können die IP-Adressen für Ihre Data Lake Storage Gen1-Konten ermitteln, indem Sie die DNS-Namen der Kontenregionen auflösen (<account>.azuredatalakestore.net). Zum Auflösen von DNS-Namen Ihrer Konten können Sie Tools wie nslookup nutzen. Öffnen Sie eine Eingabeaufforderung auf dem Computer, und führen Sie den folgenden Befehl aus:
nslookup mydatastore.azuredatalakestore.net
Die Ausgabe sieht ungefähr wie folgt aus. Der Wert der Address-Eigenschaft ist die dem Data Lake Storage Gen1-Konto zugeordnete IP-Adresse.
Non-authoritative answer:
Name: 1434ceb1-3a4b-4bc0-9c69-a0823fd69bba-mydatastore.projectcabostore.net
Address: 104.44.88.112
Aliases: mydatastore.azuredatalakestore.net
Aktivieren der Konnektivität von virtuellen Computern, deren Konnektivität mithilfe von Netzwerksicherheitsgruppen eingeschränkt wurde
Wenn eine NSG-Regel zum Blockieren des Internetzugriffs verwendet wird, können Sie eine weitere NSG erstellen, die den Zugriff auf die Data Lake Storage Gen1-IP-Adresse zulässt. Weitere Informationen zu Netzwerksicherheitsgruppen-Regeln finden Sie unter Netzwerksicherheit. Anweisungen zum Erstellen von Netzwerksicherheitsgruppen finden Sie unter Erstellen einer Netzwerksicherheitsgruppe.
Ermöglichen der Verbindungsherstellung von virtuellen Computern, deren Konnektivität mithilfe von UDR oder ExpressRoute eingeschränkt wurde
Wenn der Internetzugriff mithilfe von benutzerdefinierten Routen oder über BGP ausgetauschten Routen blockiert wird, muss eine spezielle Route konfiguriert werden, damit virtuelle Computer in diesen Subnetzen auf Data Lake Storage Gen1-Endpunkte zugreifen können. Weitere Informationen finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke. Anleitungen zum Erstellen von benutzerdefinierten Routen finden Sie unter Erstellen von benutzerdefinierten Routen (UDR) im Resource Manager mit PowerShell.
Ermöglichen der Verbindungsherstellung von virtuellen Computern, deren Konnektivität mithilfe von ExpressRoute eingeschränkt wurde
Wenn eine ExpressRoute-Verbindung konfiguriert wird, können die lokalen Server über öffentliches Peering auf Data Lake Storage Gen1 zugreifen. Weitere Informationen zum Konfigurieren von ExpressRoute für öffentliches Peering stehen unter ExpressRoute – FAQ zur Verfügung.