Scopri perché Microsoft sta deprecando l’iniezione di reti virtuali per Azure Data Explorer e come migrarne le impostazioni.
L’iniezione di reti virtuali per Azure Data Explorer verrà deprecata a causa delle limitazioni e delle sfide che essa comporta. Questa decisione è stata presa principalmente per garantire una maggiore sicurezza, scalabilità e una gestione più semplice delle reti che ospitano i cluster di Azure Data Explorer.
Motivazioni per la deprecazione
L’iniezione di reti virtuali permette ai clienti di inserire i loro cluster di Azure Data Explorer nella propria rete virtuale e di controllare il traffico in entrata e in uscita. Tuttavia, presenta numerosi ostacoli:
- Richiede un notevole impegno di manutenzione, come aggiornare le liste di firewall degli FQDNs o utilizzare indirizzi IP pubblici in ambienti restrittivi e sicuri.
- I clienti devono garantire il corretto funzionamento della comunicazione intra-cluster.
- Necessita di una subnet dedicata per ogni cluster, causando potenziale esaurimento delle subnet e aumentando il carico di gestione.
- Non supporta scenari cross-region o cross-subscription, limitando la scalabilità e la flessibilità della piattaforma.
Azioni necessarie
Poiché questa funzionalità verrà deprecata, Microsoft incoraggia i clienti a passare il prima possibile a una rete di sicurezza basata su private endpoint. Un endpoint privato è un’interfaccia di rete che connette in modo privato e sicuro un servizio tramite Azure Private Link, utilizzando un indirizzo IP privato dalla rete virtuale. Con gli endpoint privati, si può:
- Connettersi in modo sicuro a Azure Data Explorer dalla propria rete virtuale o da reti on-premises tramite VPN o ExpressRoute.
- Accedere a Azure Data Explorer da diverse regioni o sottoscrizioni senza esposizione Internet pubblica.
- Utilizzare tutte le funzionalità di Azure Data Explorer senza limitazioni o compromessi.
- Ridurre la complessità della rete e il carico di gestione usando una unica subnet per più cluster e servizi.
Per assistere nella migrazione, è stato creato un processo di migrazione che comporta quasi zero downtime. Microsoft offre supporto, orari d’ufficio dedicati e assistenza via email per facilitare questo cambio.
Tempistiche
È importante considerare le seguenti date e azioni riguardanti la migrazione:
- Da subito, i nuovi clienti non potranno creare cluster con iniezione di reti virtuali, ma gli esistenti potranno usarli fino alla scadenza della migrazione.
- Dal 1 febbraio 2025, tutti i cluster esistenti con iniezione di reti virtuali verranno arrestati e non potranno essere riavviati fino al completamento del processo di migrazione.
- Per evitare interruzioni, si raccomanda di completare la migrazione il prima possibile, seguendo le istruzioni contenute nel documento ufficiale.
Apprezziamo la vostra comprensione e cooperazione mentre passiamo a un’architettura di sicurezza di rete più sicura, scalabile e ricca di funzionalità per Azure Data Explorer.