Azure Private Link az Azure Data Factoryhez
A következőkre vonatkozik: Azure Data Factory
Azure Synapse Analytics
Tipp.
Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!
Az Azure Private Link használatával egy privát végponton keresztül csatlakozhat az Azure különböző szolgáltatásként (PaaS- ) üzemelő példányaihoz. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül. A Private Link funkciót támogató PaaS-üzemelő példányok listáját a Private Link dokumentációjában találja.
Biztonságos kommunikáció az ügyfélhálózatok és a Data Factory között
Beállíthat egy Azure-beli virtuális hálózatot hálózatának felhőbeli logikai megfelelőjeként. Ez a következő előnyökkel jár:
- Azure-erőforrásai védettek lehetnek a nyilvános hálózatokon elkövetett támadásokkal szemben.
- Lehetővé teszi, hogy a hálózatok és az adat-előállító biztonságosan kommunikáljanak egymással.
Helyszíni hálózatot is csatlakoztathat a virtuális hálózathoz. Állítson be egy internetprotokoll biztonsági VPN-kapcsolatot, amely egy helyek közötti kapcsolat. Vagy állítson be egy Azure ExpressRoute-kapcsolatot. amely egy privát társviszony-létesítési kapcsolat.
Saját üzemeltetésű integrációs modult (IR) is telepíthet egy helyszíni gépre vagy egy virtuális gépre a virtuális hálózaton. Ez az alábbiakat teszi lehetővé:
- Másolási tevékenységeket végezhet a felhőalapú adattárak és a magánhálózaton található adattárak között.
- Átalakítási tevékenységeket küldhet a helyszíni vagy Azure-beli virtuális hálózaton lévő számítási erőforrásokra vonatkozóan.
Az Azure Data Factory és az ügyfél virtuális hálózata között több kommunikációs csatornára van szükség, ahogyan az az alábbi táblázatban látható:
Tartomány | Kikötő | Leírás |
---|---|---|
adf.azure.com |
443 | A Data Factory-portált a Data Factory szerzői és monitorozási szolgáltatása igényli. |
*.{region}.datafactory.azure.net |
443 | A Data Factoryhez való csatlakozáshoz a saját üzemeltetésű integrációs modul szükséges. |
*.servicebus.windows.net |
443 | Az interaktív szerzői műveletekhez a saját üzemeltetésű integrációs modul szükséges. |
download.microsoft.com |
443 | A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges. |
Feljegyzés
A nyilvános hálózati hozzáférés letiltása csak a saját üzemeltetésű integrációs modulra vonatkozik, az Azure IR-re és az SQL Server Integration Services integrációs szolgáltatására nem.
A Data Factory felé folytatott kommunikáció a Private Linken keresztül biztosítja a biztonságos privát kapcsolatot.
A Private Link engedélyezése az előző kommunikációs csatornák mindegyikéhez a következő funkciókat biztosítja:
Támogatott:
- A Data Factory portálon a virtuális hálózatról is létrehozhat és monitorozhat, még akkor is, ha minden kimenő kommunikációt letilt. Ha privát végpontot hoz létre a portálhoz, mások továbbra is hozzáférhetnek a Data Factory portálhoz a nyilvános hálózaton keresztül.
- A saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikáció biztonságosan elvégezhető magánhálózati környezetben. A saját üzemeltetésű integrációs modul és a Data Factory közötti forgalom a Private Linken keresztül halad át.
Jelenleg nem támogatott:
- A saját üzemeltetésű integrációs modult (például tesztkapcsolatot, mappalista és táblázatlista tallózását, sémák lekérését és előzetes verziójú adatokat) használó interaktív szerzői műveletek a Private Linken keresztül haladnak végig. Figyelje meg, hogy a forgalom privát kapcsolaton megy keresztül, ha az önkiszolgáló interaktív szerzői funkció engedélyezve van. Lásd : önálló interaktív szerzői műveletek.
Feljegyzés
Az "IP-cím lekérése" és a "Küldési napló" nem támogatott, ha engedélyezve van az önálló interaktív létrehozás.
- Az automatikus frissítés engedélyezése esetén automatikusan letölthető helyi integrációs modul új verziója jelenleg nem támogatott.
A jelenleg nem támogatott funkciókhoz konfigurálnia kell a korábban említett tartományt és portot a virtuális hálózaton vagy a vállalati tűzfalon.
A Data Factoryhez privát végponton keresztül történő csatlakozás csak a Data Factory saját üzemeltetésű integrációs moduljaira vonatkozik. Az Azure Synapse Analytics nem támogatja.
Figyelmeztetés
Ha engedélyezi a Private Link Data Factoryt, és egyidejűleg letiltja a nyilvános hozzáférést, a hitelesítő adatokat az Azure Key Vaultban tárolhatja, hogy biztonságosak legyenek.
Privát végpont konfigurálása a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz
Ez a szakasz azt ismerteti, hogyan konfigurálhatja a privát végpontot a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.
Privát végpont létrehozása és privát hivatkozás beállítása a Data Factoryhez
A privát végpont a virtuális hálózaton jön létre a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz. Kövesse a Data Factory privát végponthivatkozásának beállításával kapcsolatos lépéseket.
Győződjön meg arról, hogy a DNS-konfiguráció helyes
A DNS-beállítások ellenőrzéséhez vagy konfigurálásához kövesse a privát végpontok DNS-módosításainak utasításait.
Helyezze az Azure Relay és a Letöltőközpont teljes tartományneveit a tűzfal engedélyezett listájába
Ha a saját üzemeltetésű integrációs modul telepítve van a virtuális hálózat virtuális gépére, engedélyezze a kimenő forgalmat a virtuális hálózat NSG-jében lévő teljes tartománynevek alá.
Ha a saját üzemeltetésű integrációs modul a helyszíni környezetben található számítógépre van telepítve, engedélyezze a kimenő forgalmat a helyszíni környezet és a virtuális hálózat NSG tűzfalán a teljes tartománynevek alá.
Tartomány | Kikötő | Leírás |
---|---|---|
*.servicebus.windows.net |
443 | A saját üzemeltetésű integrációs modul az interaktív szerzői műveletekhez szükséges |
download.microsoft.com |
443 | A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges |
Ha nem engedélyezi az előző kimenő forgalmat a tűzfalban és az NSG-ben, a saját üzemeltetésű integrációs modul korlátozott állapotban jelenik meg. De továbbra is használhatja tevékenységek végrehajtására. Csak az interaktív szerkesztés és az automatikus frissítés nem működik.
Feljegyzés
Ha egy (megosztott) adat-előállító saját üzemeltetésű integrációs modullal rendelkezik, és a saját üzemeltetésű integrációs modul meg van osztva más (csatolt) adat-előállítókkal, akkor csak egy privát végpontot kell létrehoznia a megosztott adat-előállítóhoz. Más kapcsolt adat-előállítók ezt a privát kapcsolatot használhatják a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.
Feljegyzés
Jelenleg nem támogatjuk a privát kapcsolat létrehozását egy saját üzemeltetésű integrációs modul és egy Synapse Analytics-munkaterület között. A saját üzemeltetésű integrációs modul továbbra is képes kommunikálni a Synapse-szel akkor is, ha az adatkiszivárgás elleni védelem engedélyezve van a Synapse-munkaterületen.
DNS-módosítások privát végpontokhoz
Privát végpont létrehozásakor az adat-előállító DNS CNAME erőforrásrekordja a privatelink előtaggal rendelkező altartomány aliasára frissül. Alapértelmezés szerint a privát kapcsolat altartományának megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.
Ha a data factory végpontJÁNAK URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a Data Factory nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.
Az előző példában bemutatott példában a DataFactoryA nevű adat-előállító DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:
Név | Típus | Érték |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | < A Data Factory nyilvános végpontja > |
< A Data Factory nyilvános végpontja > | A | < Data Factory nyilvános IP-címe > |
A DataFactoryA DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton feloldva a következő lesznek:
Név | Típus | Érték |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | DataFactoryA. {region}.privatelink.datafactory.azure.net |
DataFactoryA. {region}.privatelink.datafactory.azure.net | A | < privát végpont IP-címe > |
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani az adat-előállító végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a Private Link altartományt a virtuális hálózat privát DNS-zónájához. Vagy konfigurálhatja a DataFactoryA A rekordjait. {region}.datafactory.azure.net a privát végpont IP-címével.
Feljegyzés
Jelenleg csak egy Data Factory-portálvégpont létezik, így a portálhoz csak egy privát végpont van egy DNS-zónában. A második vagy az azt követő privát portálvégpont létrehozása felülírja a portálhoz korábban létrehozott privát DNS-bejegyzést.
Privát végponthivatkozás beállítása a Data Factoryhez
Ebben a szakaszban beállít egy privát végponthivatkozást a Data Factoryhez.
A Data Factory létrehozási lépése során a Nyilvános végpont vagy a Privát végpont kiválasztásával eldöntheti, hogy csatlakoztatja-e a saját üzemeltetésű integrációs modult a Data Factoryhez, az itt látható módon:
A kijelölést a létrehozás után bármikor módosíthatja a Data Factory portáljának Hálózatkezelés ablaktábláján. Miután engedélyezte a privát végpontot , magánvégpontot is hozzá kell adnia az adat-előállítóhoz.
A privát végponthoz virtuális hálózatra és alhálózatra van szükség a hivatkozáshoz. Ebben a példában az alhálózaton belüli virtuális gép a saját üzemeltetésű integrációs modul futtatására szolgál, amely a privát végpont hivatkozásán keresztül csatlakozik.
Virtuális hálózat létrehozása
Ha nem rendelkezik meglévő virtuális hálózattal a privát végpontkapcsolattal való használathoz, létre kell hoznia egyet, és hozzá kell rendelnie egy alhálózatot.
Jelentkezzen be az Azure Portalra.
A képernyő bal felső sarkában válassza az Erőforrás-hálózat>létrehozása>virtuális hálózat létrehozása vagy a Virtuális hálózat keresése lehetőséget a keresőmezőben.
A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki ezeket az információkat az Alapszintű beállítások lapon:
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válasszon egy erőforráscsoportot a virtuális hálózathoz. Példány részletei Név Adja meg a virtuális hálózat nevét. Régió Fontos: Válassza ki azt a régiót, amelyet a privát végpont használ. Válassza az IP-címek lapot, vagy válassza a Tovább: IP-címek lehetőséget a lap alján.
Az IP-címek lapon adja meg az alábbi adatokat:
Beállítás Érték IPv4-címtér Adja meg a 10.1.0.0/16 értéket. Az Alhálózat neve területen válassza ki az alapértelmezett szót.
A Szerkesztés alhálózatban adja meg az alábbi adatokat:
Beállítás Érték Alhálózat neve Adja meg az alhálózat nevét. Alhálózati címtartomány Adja meg a 10.1.0.0/24 értéket. Válassza a Mentés lehetőséget.
Válassza a Véleményezés + létrehozás lapot, vagy válassza a Véleményezés + létrehozás gombot.
Válassza a Létrehozás lehetőséget.
Virtuális gép létrehozása a saját üzemeltetésű integrációs modulhoz
Az előző lépésekben létrehozott új alhálózaton is létre kell hoznia vagy hozzárendelnie kell egy meglévő virtuális gépet a saját üzemeltetésű integrációs modul futtatásához.
A portál bal felső sarkában válassza az Erőforrás>számítási>virtuális gép létrehozása vagy a Virtuális gép keresése lehetőséget a keresőmezőben.
A Virtuális gép létrehozása lapon adja meg vagy válassza ki az alapértékeket :
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válasszon ki egy erőforráscsoportot. Példány részletei Virtuális gép neve Adja meg a virtuális gép nevét. Régió Válassza ki a virtuális hálózathoz használt régiót. Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget. Kép Válassza a Windows Server 2019 Datacenter – Gen1 vagy bármely más Windows rendszerképet, amely támogatja a saját üzemeltetésű integrációs modult. Azure-kihasználatlan példány Válassza a Nem lehetőséget. Méret Válassza ki a virtuális gép méretét, vagy használja az alapértelmezett beállítást. Rendszergazdai fiók Felhasználónév Adjon meg egy felhasználónevet. Jelszó Adjon meg egy jelszót. Jelszó megerősítése A jelszó újraküldése. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek>tovább: Hálózatkezelés lehetőséget.
A Hálózatkezelés lapon válassza ki vagy írja be a következőt:
Beállítás Érték Hálózati adapter Virtuális hálózat Válassza ki a létrehozott virtuális hálózatot. Alhálózat Válassza ki a létrehozott alhálózatot. Nyilvános IP-cím Válassza a Nincs lehetőséget. Hálózati hálózati biztonsági csoport Alapszintű. Nyilvános bejövő portok Válassza a Nincs lehetőséget. Válassza az Áttekintés + létrehozás lehetőséget.
Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.
Feljegyzés
Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.
Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:
- A virtuális géphez nyilvános IP-cím van hozzárendelve.
- A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
- Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.
A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.
Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.
Privát végpont létrehozása
Végül létre kell hoznia egy privát végpontot az adat-előállítóban.
Az adat-előállító Azure Portal lapján válassza a Hálózatkezelés>privát végpont kapcsolatai lehetőséget, majd válassza a + Privát végpont lehetőséget.
A privát végpont létrehozása alapszintű lapján adja meg vagy válassza ki az alábbi adatokat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válasszon ki egy erőforráscsoportot. Példány részletei Név Adja meg a végpont nevét. Régió Válassza ki a létrehozott virtuális hálózat régióját. Válassza az Erőforrás lapot vagy a Következő: Erőforrás gombot a képernyő alján.
Az erőforrásban adja meg vagy válassza ki az alábbi adatokat:
Beállítás Érték Kapcsolati módszer Válassza a Csatlakozás azure-erőforráshoz lehetőséget a címtáramban. Előfizetés Válassza ki előfizetését. Erőforrás típusa Válassza a Microsoft.Datafactory/factorys lehetőséget. Erőforrás Válassza ki az adat-előállítót. Célzott alerőforrás Ha a privát végpontot szeretné használni a saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikációhoz, válassza ki az adatmappát Cél alerőforrásként. Ha a privát végpontot szeretné használni az adat-előállító létrehozásához és monitorozásához a virtuális hálózaton, válassza a portált cél-alerőforrásként. Válassza a Konfiguráció lapot vagy a Következő: Konfiguráció gombot a képernyő alján.
A konfigurációban adja meg vagy válassza ki az alábbi adatokat:
Beállítás Érték Hálózat Virtuális hálózat Válassza ki a létrehozott virtuális hálózatot. Alhálózat Válassza ki a létrehozott alhálózatot. saját DNS integráció Integrálás saját DNS-zónával Hagyja meg az Igen alapértelmezett értékét. Előfizetés Válassza ki előfizetését. Privát DNS-zónák Hagyja meg az alapértelmezett értéket mindkét cél-alerőforrásban: 1. datafactory: (Új) privatelink.datafactory.azure.net. 2. portál: (új) privatelink.adf.azure.com. Válassza az Áttekintés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
A Data Factory-erőforrások hozzáférésének korlátozása a Private Link használatával
Ha privát kapcsolattal szeretné korlátozni a Data Factory-erőforrások hozzáférését az előfizetéseiben, kövesse a Használati portál lépéseit , és hozzon létre egy privát hivatkozást az Azure-erőforrások kezeléséhez.
Ismert probléma
Nem fér hozzá az egyes PaaS-erőforrásokhoz, ha mindkét oldal privát kapcsolatnak és privát végpontnak van kitéve. Ez a probléma a Private Link és a privát végpontok ismert korlátozása.
Az A ügyfél például egy privát hivatkozást használ az A virtuális hálózat A adat-előállító portáljának eléréséhez. Ha az A adat-előállító nem blokkolja a nyilvános hozzáférést, a B ügyfél a B virtuális hálózaton keresztül hozzáférhet az A adat-előállító portálhoz. Amikor azonban a B ügyfél létrehoz egy privát végpontot a B virtuális hálózat B adat-előállítója ellen, akkor a B ügyfél már nem tudja elérni az A adat-előállítót nyilvánosan a B virtuális hálózatban.