Azure Kusto管理库3.4.0版本发布：增强集群安全与扩展能力

Azure Kusto（也称为Azure Data Explorer）是微软提供的一个快速、完全托管的数据分析服务，用于实时分析海量数据流。azure-mgmt-kusto是Azure SDK for Python中专门用于管理Kusto服务的客户端库，它允许开发者通过Python代码来创建、配置和管理Kusto集群、数据库及其他相关资源。

主要更新内容

1. 新增Callout策略管理功能

3.4.0版本引入了Callout策略管理功能，这是对Kusto集群安全架构的重要增强。Callout策略允许管理员定义特定的出站访问规则，精确控制集群对外部服务的访问权限。

新增的CalloutPolicy模型支持配置以下属性：

• 策略名称
• Callout类型（通过CalloutType枚举定义）
• 目标服务URL
• 授权头信息

开发者现在可以通过以下方法管理Callout策略：

• begin_add_callout_policies：批量添加Callout策略
• begin_remove_callout_policy：移除指定Callout策略
• list_callout_policies：列出当前配置的所有Callout策略

2. 区域状态监控支持

新版本在Cluster和ClusterUpdate模型中新增了zone_status属性，使用ZoneStatus枚举来表示集群在各个可用区的运行状态。这一改进使得开发者能够：

• 实时监控集群在不同可用区的健康状态
• 及时发现和处理区域级别的故障
• 为多区域部署提供更细粒度的状态信息

3. 脚本执行权限控制增强

Script模型新增了两个重要属性：

• script_level：通过ScriptLevel枚举定义脚本的执行级别
• principal_permissions_action：使用PrincipalPermissionsAction枚举控制脚本对主体权限的操作

这些增强使得管理员能够更精细地控制：

• 脚本的执行上下文和安全沙箱
• 脚本对数据库主体权限的修改能力
• 不同安全级别的脚本隔离执行

4. 新增Python语言扩展支持

在LanguageExtensionImageName枚举中新增了两个Python运行时环境：

• PYTHON3_11_7：标准Python 3.11.7环境
• PYTHON3_11_7_DL：专为深度学习优化的Python 3.11.7环境

这使得Kusto查询能够利用Python 3.11的最新特性，特别是在机器学习和数据分析场景下，开发者现在可以使用更现代的Python生态系统。

5. 沙盒镜像管理改进

SandboxCustomImage模型新增了base_image_name属性，允许开发者明确指定自定义沙盒镜像所基于的基础镜像。这一改进使得：

• 镜像构建过程更加透明
• 更容易跟踪镜像的依赖关系
• 简化了镜像版本管理

6. 跟随者数据库管理增强

新增了FollowerDatabaseDefinitionGet和FollowerDatabaseListResultGet模型，提供了更丰富的跟随者数据库信息获取能力。配合新增的list_follower_databases_get方法，开发者现在能够：

• 获取跟随者数据库的详细配置信息
• 批量查询集群的所有跟随者数据库
• 更有效地管理分布式数据库架构

技术影响与最佳实践

1. 安全最佳实践：新引入的Callout策略功能应该成为生产环境部署的标准配置，特别是对于需要访问外部服务的场景。建议：

   • 为每个外部服务创建专用的Callout策略
   • 定期审计和更新策略配置
   • 使用最小权限原则配置授权头信息

2. 多区域部署监控：利用新的zone_status属性，开发者可以构建更健壮的多区域监控方案：

   • 实现自动化的区域故障检测
   • 建立跨区域流量切换机制
   • 设计区域级别的容量规划

3. 脚本安全控制：对于需要执行自定义脚本的场景，建议：

   • 根据脚本的信任级别设置适当的script_level
   • 严格控制具有权限修改能力的脚本
   • 实现脚本执行的审批工作流

4. Python扩展使用：当升级到Python 3.11环境时，注意：

   • 测试现有Python脚本的兼容性
   • 评估是否需要迁移到新的深度学习专用环境
   • 利用Python 3.11的性能改进优化查询

升级建议

对于现有项目，升级到3.4.0版本时需要注意：

1. 新增的Callout策略功能会改变集群的网络访问行为，建议在测试环境充分验证后再部署到生产环境。

2. 如果使用了自定义沙盒镜像，需要检查base_image_name属性的设置，确保与现有部署兼容。

3. 使用脚本功能的应用程序需要评估新的权限控制属性，避免升级后出现权限问题。

4. 对于多区域部署，建议更新监控系统以利用新的zone_status信息。

这个版本为Azure Kusto服务的管理提供了更强大的安全控制和更丰富的监控能力，特别是在企业级安全合规和复杂部署场景下，这些新功能将大大提升管理效率和安全性。