Vytvoření a konfigurace místního prostředí Integration Runtime

VZTAHUJE SE NA: Azure Data Factory Azure Synapse Analytics

Návod

Data Factory v Microsoft Fabric je nová generace Azure Data Factory s jednodušší architekturou, integrovanou AI a novými funkcemi. Pokud s integrací dat začínáte, začněte Fabric Data Factory. Stávající úlohy ADF lze upgradovat na Fabric pro přístup k novým funkcím v oblastech datové vědy, analýz v reálném čase a vytváření sestav.

• Začněte bezplatnou zkušební verzi Fabric.
• Upgrade z Azure Data Factory do služby Data Factory v Microsoft Fabric

Modul integration runtime (IR) je výpočetní infrastruktura, kterou Azure Data Factory a kanály Synapse používají k poskytování funkcí integrace dat v různých síťových prostředích.

Místní prostředí Integration Runtime poskytuje tyto funkce mezi cloudovým úložištěm dat a úložištěm dat v privátní síti, například místní sítí nebo Azure virtuální sítí. Tento článek popisuje, jak můžete vytvořit a nakonfigurovat místní prostředí IR na počítači v privátní síti, abyste mohli zdroj dat připojit k prostředkům integrace dat.

Poznámka:

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Install Azure PowerShell. Informace o migraci do modulu Az PowerShell najdete v tématu Migrace Azure PowerShell z AzureRM do Az.

Úvahy o použití samostatně hostovaného IR

• Pro více místních zdrojů dat můžete použít jednu lokální instanci Integration Runtime. Můžete ho také sdílet s jinou datovou továrnou ve stejném tenantovi Microsoft Entra. Další informace najdete v tématu Sdílení místního prostředí Integration Runtime.
• Na jakýkoli počítač je možné nainstalovat pouze jednu instanci místního prostředí Integration Runtime. Pokud máte dvě datové továrny, které potřebují přístup k místním zdrojům dat, použijte buď funkci sdílení místního prostředí IR ke sdílení místního prostředí IR, nebo nainstalujte místní prostředí IR na dva místní počítače, jedno pro každou datovou továrnu nebo pracovní prostor Synapse. Pracovní prostor Synapse nepodporuje sdílení Integration Runtime.
• Místní prostředí Integration Runtime nemusí být na stejném počítači jako zdroj dat. Vlastní hostované prostředí Integration Runtime umístěné blízko zdroje dat snižuje dobu potřebnou k připojení k datovému zdroji. Doporučujeme nainstalovat vlastní hostované integrační runtime na počítač, který se liší od toho, který hostuje lokální zdroj dat. Pokud jsou místní prostředí Integration Runtime a zdroj dat na různých počítačích, místní prostředí Integration Runtime nekonkuruje se zdrojem dat pro prostředky.
• Na různých počítačích můžete mít několik samo-hostovaných Integration Runtime, které se připojují ke stejnému místnímu zdroji dat. Pokud máte například dva místní prostředí Integration Runtime, které obsluhují dvě datové továrny, může být stejný místní zdroj dat zaregistrovaný v obou datových továrnách.
• Použijte vlastního hostovaného integračního runtime k podpoře integrace dat v Azure virtuální síti.
• Zacházejte s datovým zdrojem jako s lokálním datovým zdrojem, který se nachází za bránou firewall, i když používáte Azure ExpressRoute. K připojení služby ke zdroji dat použijte místní prostředí Integration Runtime.
• Použijte samostatně hostovanou Integration Runtime, i když je úložiště dat v cloudu na virtuálním počítači Azure Infrastructure as a Service (IaaS).
• Úlohy můžou selhat v místním prostředí Integration Runtime, který jste nainstalovali na server Windows, pro který je povolené šifrování kompatibilní s standardem FIPS. Chcete-li tento problém vyřešit, máte dvě možnosti: uložení přihlašovacích údajů nebo tajných kódů v Azure Key Vault nebo zakázání šifrování kompatibilního se standardem FIPS na serveru. Chcete-li zakázat šifrování kompatibilní se standardem FIPS, změňte hodnotu následujícího podklíče registru z 1 (povoleno) na hodnotu 0 (zakázáno): HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled. Pokud jako proxy server pro prostředí Integration Runtime SSIS použijete self-hosted Integration Runtime, je možné povolit šifrování kompatibilní se standardem FIPS, které se použije při přesouvání dat z místního prostředí do Azure Blob Storage jako dočasné úložiště.
• Úplné podrobnosti o licencování jsou uvedeny na první stránce instalace místního prostředí Integration Runtime.

Poznámka:

V současné době je možné prostředí Integration Runtime v místním prostředí sdílet pouze s několika datovými továrnami. Nejde ho sdílet mezi pracovními prostory Synapse ani mezi datovou továrnou a pracovním prostorem Synapse.

Tok příkazů a tok dat

Když přesouváte data mezi místním prostředím a cloudem, aktivita používá místní prostředí Integration Runtime k přenosu dat mezi místním zdrojem dat a cloudem.

Tady je souhrnný přehled kroků toku dat pro kopírování pomocí místního prostředí IR:

1. Vývojář dat nejprve vytvoří vlastní prostředí Integration Runtime v prostředí Azure Data Factory nebo pracovním prostoru Synapse pomocí portálu Azure nebo cmdletu PowerShell. Pak vývojář dat vytvoří propojenou službu pro místní úložiště dat a určí instanci místního prostředí Integration Runtime, kterou má služba použít pro připojení k úložištím dat.

2. Uzel místního prostředí Integration Runtime šifruje přihlašovací údaje pomocí Windows rozhraní DPAPI (Data Protection Application Programming Interface) a uloží přihlašovací údaje místně. Pokud je pro vysokou dostupnost nastaveno více uzlů, přihlašovací údaje se dále synchronizují mezi jinými uzly. Každý uzel zašifruje přihlašovací údaje pomocí rozhraní DPAPI a uloží je místně. Synchronizace přihlašovacích údajů je pro vývojáře dat transparentní a zpracovává se místním prostředím IR.

3. Azure Data Factory a kanály Synapse komunikují s místním prostředím Integration Runtime za účelem plánování a správy úloh. Komunikace je prostřednictvím řídicího kanálu, který používá sdílené připojení Azure Relay. Když je potřeba spustit aktivitu, služba zařadí žádost do fronty spolu s jakýmikoli informacemi o přihlašovacích údajích. Provede to v případě, že přihlašovací údaje ještě nejsou uložené v místním prostředí Integration Runtime. Místní prostředí Integration Runtime spustí úlohu po dotazování fronty.

4. Místní prostředí Integration Runtime kopíruje data mezi místním úložištěm a cloudovým úložištěm. Směr kopírování závisí na konfiguraci aktivity kopírování v datovém kanálu. V tomto kroku prostředí Integration Runtime v místním prostředí komunikuje přímo se cloudovými službami úložiště, jako je Azure Blob Storage přes zabezpečený kanál HTTPS.

Požadavky

• Podporované verze Windows jsou:
  • Systém Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Instalace místního prostředí Integration Runtime na řadiči domény se nepodporuje.

• Místní prostředí Integration Runtime vyžaduje 64bitový operační systém s rozhraním .NET Framework 4.7.2 nebo novějším. Podrobnosti najdete v tématu Požadavky na systém .NET Framework.
• Doporučená minimální konfigurace pro počítač s místním prostředím Integration Runtime je procesor 2 GHz se 4 jádry, 8 GB paměti RAM a 80 GB volného místa na pevném disku. Podrobnosti o požadavcích na systém najdete v tématu Stažení.
• Pokud hostitelský počítač přejde do režimu hibernace, místní prostředí Integration Runtime nereaguje na žádosti o data. Před instalací místního prostředí Integration Runtime nakonfigurujte na počítači odpovídající plán napájení. Pokud je počítač nakonfigurovaný na hibernaci, instalační program prostředí Integration Runtime v místním prostředí zobrazí výzvu se zprávou.
• Abyste mohli úspěšně nainstalovat a nakonfigurovat místní prostředí Integration Runtime, musíte být na počítači správcem.
• Spuštění aktivit kopírování probíhá s konkrétní frekvencí. Využití procesoru a paměti RAM na počítači se řídí stejným vzorem s dobou špičky a nečinnosti. Využití prostředků také výrazně závisí na množství přesunutých dat. Když probíhá více úloh kopírování, využití zdrojů se během špiček zvyšuje.
• Úkoly můžou selhat při extrakci dat ve formátech Parquet, ORC nebo Avro. Další informace o formátu Parquet najdete v tématu Parquet ve službě Azure Data Factory. Vytváření souborů se spouští na místním počítači integrace. Pokud chcete pracovat podle očekávání, vytvoření souboru vyžaduje následující požadavky:
  • Java Runtime (JRE) verze 11 od poskytovatele JRE, jako je Microsoft OpenJDK 11 nebo Eclipse Temurin 11. Ujistěte se, že systémová proměnná prostředí JAVA_HOME je nastavena na složku JDK (ne pouze na složku JRE). Také budete možná muset přidat složku bin do proměnné prostředí PATH ve vašem systému.

  Poznámka:

  Může být nutné upravit nastavení Java, pokud dojde k chybám paměti, jak je popsáno ve formátu Parquet dokumentaci.

Poznámka:

Pokud používáte cloud pro státní správu, přečtěte si téma Připojení ke cloudu státní správy.

Nastavení samostatně hostovaného integračního modulu runtime

K vytvoření a nastavení místního prostředí Integration Runtime použijte následující postupy.

Vytvoření místního prostředí IR prostřednictvím Azure PowerShell

1. Pro tento úkol můžete použít Azure PowerShell. Tady je příklad:

   Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName -Type SelfHosted -Description "selfhosted IR description"
   

2. Stáhněte a nainstalujte místní prostředí Integration Runtime na místním počítači.

3. Načtěte ověřovací klíč a zaregistrujte místní prostředí Integration Runtime s klíčem. Tady je příklad PowerShellu:

   
   Get-AzDataFactoryV2IntegrationRuntimeKey -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName  
   
   

Poznámka:

Pokud používáte cloud pro státní správu, přečtěte si téma Připojení ke cloudu státní správy.

Vytvoření místního prostředí IR prostřednictvím uživatelského rozhraní

Pomocí následujícího postupu vytvořte místní prostředí IR pomocí Azure Data Factory nebo uživatelského rozhraní Azure Synapse.

Azure Data Factory

1. Na domovské stránce uživatelského rozhraní Azure Data Factory vyberte v levém podokně kartu Manage.

   

2. V levém podokně vyberte Integration Runtimes a pak vyberte +Nové.

   

3. Na stránce Integration Runtime vyberte Azure, Vlastní Hostování, a pak vyberte Pokračovat.

4. Na následující stránce vyberte Místní prostředí a vytvořte místní prostředí IR a pak vyberte Pokračovat.

Azure Synapse

1. Na domovské stránce uživatelského rozhraní Azure Synapse vyberte kartu Spravovat v levém podokně.

   

2. V levém podokně vyberte Integration Runtimes a pak vyberte +Nové.

   

3. Na následující stránce vyberte Místní prostředí a vytvořte místní prostředí IR a pak vyberte Pokračovat.

Konfigurace místního prostředí IR prostřednictvím uživatelského rozhraní

1. Zadejte název prostředí IR a vyberte Vytvořit.

2. Na stránce nastavení prostředí Integration Runtime vyberte odkaz v části Možnost 1 a otevřete expresní instalaci na vašem počítači. Nebo postupujte podle kroků v části Možnost 2 a nastavte je ručně. Následující pokyny jsou založené na ručním nastavení:

   

   1. Zkopírujte a vložte ověřovací klíč. Vyberte Stáhnout a nainstalovat prostředí Integration Runtime.

   2. Stáhněte samoobslužné prostředí Integration Runtime na počítač s Windows. Spusťte instalační program.

   3. Na stránce Register Integration Runtime (v místním prostředí) vložte dříve uložený klíč a vyberte Register.

      

   4. Na stránce Nový Integration Runtime (místní) uzel vyberte Dokončit.

3. Po úspěšné registraci místního prostředí Integration Runtime se zobrazí následující okno:

   

Nastavení místního prostředí IR na virtuálním počítači Azure prostřednictvím šablony Azure Resource Manager

Nastavení místního prostředí IR na virtuálním počítači Azure můžete automatizovat pomocí šablony Vytvoření šablony místního hostitelského prostředí IR. Šablona poskytuje snadný způsob, jak mít plně funkční místní prostředí IR uvnitř Azure virtuální sítě. Prostředí IR má funkce vysoké dostupnosti a škálovatelnosti, pokud nastavíte počet uzlů na 2 nebo vyšší.

Nastavte existující lokální integrační runtime pomocí místního prostředí PowerShell.

K nastavení nebo správě existujícího místního prostředí IR můžete použít příkazový řádek. Toto použití může zvlášť pomoct automatizovat instalaci a registraci uzlů místního prostředí IR.

Dmgcmd.exe je součástí místního instalačního programu. Obvykle se nachází ve složce C:\Program Files\Microsoft Integration Runtime\5.0\Shared\. Tato aplikace podporuje různé parametry a lze ji vyvolat pomocí příkazového řádku pomocí dávkových skriptů pro automatizaci.

Aplikaci použijte následujícím způsobem:

dmgcmd ACTION args...

Tady jsou podrobnosti o akcích a argumentech aplikace:

AKCE	argumenty	Popis
-rn, -RegisterNewNode	<AuthenticationKey> ["<NodeName>"]	Zaregistrujte uzel místního prostředí Integration Runtime se zadaným ověřovacím klíčem a názvem uzlu.
-era, -EnableRemoteAccess	<port> ["<thumbprint>"]	Povolte vzdálený přístup na aktuálním uzlu a nastavte cluster s vysokou dostupností. Nebo povolte nastavení přihlašovacích údajů přímo proti místnímu prostředí IR, aniž byste museli procházet Azure Data Factory nebo Azure Synapse pracovním prostorem. Provedete to tak, že použijete rutinu New-AzDataFactoryV2LinkedServiceEncryptedCredential ze vzdáleného počítače ve stejné síti.
-erac, -EnableRemoteAccessInContainer	<port> ["<thumbprint>"]	Povolte vzdálený přístup k aktuálnímu uzlu, když uzel běží v kontejneru.
-dra, -DisableRemoteAccess		Zakažte vzdálený přístup k aktuálnímu uzlu. Pro nastavení více uzlu je potřeba vzdálený přístup. Rutina PowerShellu New-AzDataFactoryV2LinkedServiceEncryptedCredential stále funguje i v případě, že je zakázaný vzdálený přístup. Toto chování platí, pokud se rutina spustí na stejném počítači jako uzel místního prostředí IR.
-k, -Key	<AuthenticationKey>	Přepište nebo aktualizujte předchozí ověřovací klíč. Buďte opatrní s touto akcí. Pokud je klíč nového prostředí Integration Runtime, může předchozí uzel místního prostředí IR přejít do režimu offline.
-gbf, -GenerateBackupFile	"<filePath>" "<password>"	Vygenerujte záložní soubor pro aktuální uzel. Záložní soubor obsahuje klíč uzlu a přihlašovací údaje k úložišti dat.
-ibf, -ImportBackupFile	"<filePath>" "<password>"	Obnovte uzel ze záložního souboru.
-r, -Restart		Restartujte hostitelskou službu prostředí Integration Runtime v místním prostředí.
-s, -Start		Spusťte hostitelskou službu místního prostředí Integration Runtime.
-t, -Stop		Zastavte hostitelskou službu místního prostředí Integration Runtime.
-sus, -StartUpgradeService		Spusťte službu upgradu místního prostředí Integration Runtime.
-tus, -StopUpgradeService		Zastavte službu upgradu místního prostředí Integration Runtime.
-tonau, -TurnOnAutoUpdate		Zapněte automatickou aktualizaci místního prostředí Integration Runtime. Tento příkaz je určený pouze pro Azure Data Factory V1.
-toffau, -TurnOffAutoUpdate		Vypněte automatickou aktualizaci místního prostředí Integration Runtime. Tento příkaz je určený pouze pro Azure Data Factory V1.
-ssa, -SwitchServiceAccount	<domain\user> ["<password>"]	Nastavte DIAHostService tak, aby běžel jako nový účet. Použijte prázdné heslo "" pro systémové účty a virtuální účty.
-elma, -EnableLocalMachineAccess		Na aktuálním uzlu samoobslužného IR povolte přístup k místnímu počítači (localhost, privátní IP adresa). Ve scénáři vysoké dostupnosti místního prostředí IR je potřeba vyvolat akci na každém uzlu místního prostředí IR.
-dlma, -DisableLocalMachineAccess		Zakažte přístup k místnímu počítači (localhost, privátní IP adresa) na aktuálním uzlu místního prostředí IR. Ve scénáři vysoké dostupnosti místního prostředí IR je potřeba vyvolat akci na každém uzlu místního prostředí IR.
-DisableLocalFolderPathValidation		Zakažte ověření zabezpečení a povolte přístup k systému souborů místního počítače.
-EnableLocalFolderPathValidation		Povolením ověření zabezpečení zakažte přístup k systému souborů místního počítače.
-eesp, -EnableExecuteSsisPackage		Povolte spouštění balíčků SSIS na uzlu místního prostředí IR.
-desp, -DisableExecuteSsisPackage		Zakažte spouštění balíčků SSIS na uzlu místního prostředí IR.
-gesp, -GetExecuteSsisPackage		Získejte hodnotu, pokud je na uzlu místního prostředí IR povolená možnost ExecuteSsisPackage. Pokud je vrácená hodnota true, je povoleno ExecuteSSISPackage; Pokud je vrácená hodnota false nebo null, je funkce ExecuteSSISPackage zakázaná.

Instalace a registrace místního prostředí IR z Microsoft Download Center

1. Přejděte na stránku stažení Microsoft Integration Runtime.

2. Vyberte Stáhnout, vyberte 64bitovou verzi a vyberte Další. 32bitová verze není podporovaná.

3. Spusťte soubor MSI přímo nebo ho uložte na pevný disk a spusťte ho.

4. V úvodním okně vyberte jazyk a vyberte Další.

5. Přijměte Microsoft Software License Terms a vyberte Dalši.

6. Vyberte složku, do které chcete nainstalovat místní prostředí Integration Runtime, a vyberte Další.

7. Na stránce Připraveno k instalaci vyberte Nainstalovat.

8. Chcete-li dokončit instalaci, vyberte Dokončit .

9. Získejte ověřovací klíč pomocí PowerShellu. Tady je příklad PowerShellu pro načtení ověřovacího klíče:

   Get-AzDataFactoryV2IntegrationRuntimeKey -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName
   

10. V okně Register Integration Runtime (v místním prostředí) Microsoft Integration Runtime Configuration Manager spuštěném na vašem počítači proveďte následující kroky:

    1. Vložte ověřovací klíč do textové oblasti.

    2. Volitelně můžete vybrat Zobrazit ověřovací klíč a zobrazit text klíče.

    3. Vyberte Zaregistrovat.

Poznámka:

Poznámky k verzi jsou k dispozici na stejné stránce stahování Microsoft Integration Runtime.

Účet služby pro lokálně hostovaný Integration Runtime

Výchozí přihlašovací účet služby pro lokálně hostované prostředí pro integraci Runtime je NT SERVICE\DIAHostService. Můžete ji zobrazit v Services -> Integration Runtime Service -> Vlastnosti -> Přihlášení.

Ujistěte se, že účet má oprávnění přihlásit se jako služba. Jinak samostatně hostovaný Integration Runtime nejde úspěšně spustit. Oprávnění můžete zkontrolovat v místních zásadách zabezpečení –> Nastavení zabezpečení –> Místní zásady –> Přiřazení uživatelských práv –> Přihlášení jako služba

Ikony a oznámení oznamovací oblasti

Pokud přesunete kurzor na ikonu nebo zprávu v oznamovací oblasti, zobrazí se podrobnosti o stavu místního prostředí Integration Runtime.

Vysoká dostupnost a škálovatelnost

Místní prostředí Integration Runtime můžete přidružit k několika místním počítačům nebo virtuálním počítačům v Azure. Tyto počítače se nazývají uzly. K místnímu prostředí Integration Runtime můžete mít přidružené až čtyři uzly. Výhody, které mají několik uzlů na místních počítačích s nainstalovanou bránou pro logickou bránu, jsou:

• Vyšší dostupnost místního prostředí Integration Runtime, aby už nedošlo k jedinému bodu selhání v řešení pro velké objemy dat nebo integraci cloudových dat. Tato dostupnost pomáhá zajistit kontinuitu při použití až čtyř uzlů.
• Lepší výkon a propustnost během přesunu dat mezi místními a cloudovými úložišti dat. Získejte další informace o porovnání výkonu.

Více uzlů můžete přidružit instalací softwaru samohostovaného Integration Runtime z Download Centra. Pak ho zaregistrujte pomocí některého z ověřovacích klíčů získaných z rutiny New-AzDataFactoryV2IntegrationRuntimeKey , jak je popsáno v tomto kurzu.

Poznámka:

K přidružení jednotlivých uzlů nemusíte vytvářet nový místní prostředí Integration Runtime. Místní prostředí Integration Runtime můžete nainstalovat na jiný počítač a zaregistrovat ho pomocí stejného ověřovacího klíče.

Poznámka:

Před přidáním dalšího uzlu pro zajištění vysoké dostupnosti a škálovatelnosti se ujistěte, že je na prvním uzlu povolený vzdálený přístup k intranetu . Vyberte Microsoft Integration Runtime Configuration Manager>Nastavení>Vzdálený přístup k intranetu.

Úvahy o škálování

Horizontální navýšení kapacity

Pokud je využití procesoru vysoké a dostupná paměť je nízká v místním prostředí IR, přidejte nový uzel, který pomáhá škálovat zatížení napříč počítači. Pokud aktivity selžou, protože vyprší jejich časový limit nebo je uzel místního prostředí IR offline, pomůže vám to, když do brány přidáte uzel. Pokud chcete přidat uzel, proveďte následující kroky:

1. Stáhněte si instalační balíček SHIR z portálu Azure Data Factory.
2. Spusťte instalační program na uzlu, který chcete přidat do clusteru.
3. Během instalace vyberte možnost připojení existujícího prostředí Integration Runtime a zadejte ověřovací klíč z existujícího prostředí SHIR, který propojí nový uzel s existujícím clusterem SHIR.

Navýšení kapacity

Pokud procesor a dostupná paměť RAM nejsou dobře využité, ale provádění souběžných úloh dosáhne limitů uzlu, vertikálně navyšte kapacitu zvýšením počtu souběžných úloh, které může uzel spustit. Můžete také chtít škálovat kapacitu, když dojde k vypršení časového limitu aktivit, protože je přetížený vlastní hostovaný IR. Jak je znázorněno na následujícím obrázku, můžete zvýšit maximální kapacitu uzlu:

Požadavky na certifikát TLS/SSL

Pokud chcete povolit vzdálený přístup z intranetu s certifikátem TLS/SSL (Advanced), abyste mohli zabezpečit komunikaci mezi uzly prostředí Integration Runtime, můžete postupovat podle kroků v tématu Povolení vzdáleného přístupu z intranetu pomocí certifikátu TLS/SSL.

Poznámka:

Tento certifikát se používá:

• Šifrování portů na uzlu místního prostředí IR
• Pro komunikaci mezi uzly pro synchronizaci stavu, která zahrnuje synchronizaci přihlašovacích údajů propojených služeb mezi uzly.
• Pokud se příkaz cmdlet PowerShell používá pro nastavení přihlašovacích údajů služby propojené z lokální sítě.

Tento certifikát doporučujeme použít, pokud vaše privátní síťové prostředí není zabezpečené nebo pokud chcete zabezpečit komunikaci mezi uzly v rámci privátní sítě.

Přesun dat při přenosu z místního prostředí IR do jiných úložišť dat se vždy provádí v rámci šifrovaného kanálu bez ohledu na to, jestli je tento certifikát nastavený nebo ne.

Synchronizace přihlašovacích údajů

Pokud do Azure Key Vault neukládáte přihlašovací údaje nebo tajné hodnoty, uloží se přihlašovací údaje nebo tajné hodnoty na počítačích, kde se nachází místní prostředí Integration Runtime. Každý uzel bude mít kopii autentizačních údajů ve specifické verzi. Aby všechny uzly fungovaly společně, mělo by být číslo verze stejné pro všechny uzly.

Důležité informace o proxy serveru

Pokud vaše prostředí podnikové sítě používá pro přístup k internetu proxy server, nakonfigurujte místní prostředí Integration Runtime tak, aby používalo odpovídající nastavení proxy serveru. Proxy server můžete nastavit během počáteční fáze registrace.

Při konfiguraci se místní prostředí Integration Runtime pomocí proxy serveru připojí ke zdroji a cíli cloudové služby (které používají protokol HTTP nebo HTTPS). Proto při počátečním nastavení vyberete změnit odkaz .

Existují tři možnosti konfigurace:

• Nepoužívejte proxy: Samostatně hostované Integration Runtime explicitně nepoužívá žádný proxy server pro připojení ke cloudovým službám.
• Použití systémového proxy serveru: Místní prostředí Integration Runtime používá nastavení proxy, které je nakonfigurované v diahost.exe.config a diawp.exe.config. Pokud tyto soubory nezadávají žádnou konfiguraci proxy serveru, místní prostředí Integration Runtime se připojí ke cloudové službě přímo bez průchodu proxy serverem.
• Použijte vlastní proxy server: Nakonfigurujte nastavení HTTP proxy serveru tak, aby se používalo pro self-hosted Integration Runtime místo použití konfigurací v souborech diahost.exe.config a diawp.exe.config. Je nutné zadat hodnoty pro adresu a port. Hodnoty uživatelského jména a hesla jsou volitelné v závislosti na nastavení ověřování vašeho proxy serveru. Všechna nastavení se šifrují pomocí Windows DPAPI v místním prostředí Integration Runtime a ukládají se místně na počítači.

Hostitelská služba prostředí Integration Runtime se po uložení aktualizovaných nastavení proxy serveru automaticky restartuje.

Po registraci integration runtime v místním prostředí použijte Microsoft Integration Runtime Configuration Manager, pokud chcete zobrazit nebo aktualizovat nastavení proxy serveru.

1. Otevřete Microsoft Integration Runtime Configuration Manager.
2. Vyberte kartu Nastavení.
3. V části HTTP Proxy server vyberte odkaz Změnit a otevřete dialogové okno Nastavit HTTP proxy server.
4. Vyberte Další. Zobrazí se upozornění, které požádá o vaše oprávnění k uložení nastavení proxy serveru a restartování hostitelské služby Integration Runtime.

Nástroj Configuration Manager můžete použít k zobrazení a aktualizaci proxy serveru HTTP.

Poznámka:

Pokud nastavíte proxy server s ověřováním NTLM, hostitelská služba prostředí Integration Runtime běží pod účtem domény. Pokud později změníte heslo pro účet domény, nezapomeňte aktualizovat nastavení konfigurace pro službu a restartovat službu. Kvůli tomuto požadavku doporučujeme, abyste k proxy serveru přistupovali pomocí vyhrazeného účtu domény, který nevyžaduje časté aktualizace hesla.

Konfigurace nastavení proxy serveru

Pokud vyberete možnost Použít systémový proxy server pro proxy server HTTP, místní prostředí Integration Runtime použije nastavení proxy serveru v souboru diahost.exe.config a diawp.exe.config. Pokud tyto soubory nezadávají žádný proxy server, místní prostředí Integration Runtime se připojí ke cloudové službě přímo bez průchodu proxy serverem. Následující postup obsahuje pokyny k aktualizaci souboru diahost.exe.config:

1. V Průzkumníku souborů vytvořte bezpečnou kopii souboru C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config jako zálohu původního souboru.

2. Otevřete Poznámkový blok spuštěný jako správce.

3. V Poznámkovém bloku otevřete textový soubor C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config.

4. Najděte výchozí značku system.net , jak je znázorněno v následujícím kódu:

   <system.net>
       <defaultProxy useDefaultCredentials="true" />
   </system.net>
   

   Pak můžete přidat podrobnosti proxy serveru, jak je znázorněno v následujícím příkladu:

   <system.net>
       <defaultProxy enabled="true">
             <proxy bypassonlocal="true" proxyaddress="http://proxy.domain.org:8888/" />
       </defaultProxy>
   </system.net>
   

   Značka proxy umožňuje dalším vlastnostem zadat požadovaná nastavení, jako je scriptLocation. Syntaxi <najdete v části Element proxy> (Nastavení sítě).

   <proxy autoDetect="true|false|unspecified" bypassonlocal="true|false|unspecified" proxyaddress="uriString" scriptLocation="uriString" usesystemdefault="true|false|unspecified "/>
   

5. Uložte konfigurační soubor do původního umístění. Potom restartujte hostitelskou službu prostředí Integration Runtime v místním prostředí, která převezme změny.

   Pokud chcete službu restartovat, použijte aplet služeb z Control Panel. Nebo v Integration Runtime Configuration Manager vyberte tlačítko Stop Service a pak vyberte Start Service.

   Pokud se služba nespustí, pravděpodobně jste do konfiguračního souboru aplikace, který jste upravili, přidali nesprávnou syntaxi značky XML.

Důležité

Nezapomeňte aktualizovat diahost.exe.config i diawp.exe.config.

Musíte se také ujistit, že Microsoft Azure je v seznamu povolených ve vaší společnosti. Můžete si stáhnout seznam platných Azure IP adres. Rozsahy IP pro každý cloud, rozdělené podle regionu a označených služeb, jsou nyní k dispozici ke stažení na MS Download.

• Veřejný: https://www.microsoft.com/download/details.aspx?id=56519
• Americká vláda: https://www.microsoft.com/download/details.aspx?id=57063
• Německo: https://www.microsoft.com/download/details.aspx?id=57064
• Čína: https://www.microsoft.com/download/details.aspx?id=57062

Konfigurace nastavení proxy serveru při použití privátního koncového bodu

Pokud síťová architektura vaší společnosti zahrnuje použití privátních koncových bodů a z bezpečnostních důvodů a zásady vaší společnosti neumožňují přímé připojení k internetu z virtuálního počítače hostujícího místní Integration Runtime na adresu URL služby Azure Data Factory, budete muset povolit obejití adresy URL služby ADF kvůli úplnému připojení. Následující postup obsahuje pokyny k aktualizaci souboru diahost.exe.config. Tento postup byste také měli zopakovat pro soubor diawp.exe.config.

1. V Průzkumníku souborů vytvořte bezpečnou kopii C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config jako zálohu původního souboru.

2. Otevřete Poznámkový blok spuštěný jako správce.

3. V Poznámkovém bloku otevřete C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config.

4. Najděte výchozí system.net značku, jak je znázorněno tady:

   <system.net>
       <defaultProxy useDefaultCredentials="true" />
   </system.net>
   

   Pak můžete přidat podrobnosti bypasslistu, jak je znázorněno v následujícím příkladu:

   <system.net>
     <defaultProxy>
         <bypasslist>
             <add address = "[adfresourcename].[adfresourcelocation].datafactory.azure.net" />
         </bypasslist>
         <proxy 
         usesystemdefault="True"
         proxyaddress="http://proxy.domain.org:8888/"
         bypassonlocal="True"
         />
     </defaultProxy>
   </system.net>
   

Možné příznaky problémů souvisejících s bránou firewall a proxy serverem

Pokud se zobrazí chybové zprávy podobné následujícím zprávám, je pravděpodobné, že je nesprávná konfigurace brány firewall nebo proxy serveru. Tato konfigurace brání místnímu prostředí Integration Runtime v připojení k kanálům Data Factory nebo Synapse, aby se ověřilo. Informace o správné konfiguraci brány firewall a proxy serveru najdete v předchozí části.

• Když se pokusíte zaregistrovat integration runtime v místním prostředí, zobrazí se následující chybová zpráva: "Nepodařilo se zaregistrovat tento Integration Runtime uzel! Ověřte, že je ověřovací klíč platný a na tomto počítači je spuštěná hostitelská služba integrační služby.

• Po otevření Integration Runtime Configuration Manager se zobrazí stav Disconnected nebo Pojení. Při zobrazení protokolů událostí Windows v části Event Viewer>Aplikace a protokoly služeb>Microsoft Integration Runtime se zobrazí chybové zprávy podobné této:

  Unable to connect to the remote server
  A component of Integration Runtime has become unresponsive and restarts automatically. Component name: Integration Runtime (self-hosted).
  

Povolení vzdáleného přístupu z intranetu

Pokud používáte PowerShell k šifrování přihlašovacích údajů z jiného síťového počítače, než je místo, kde jste nainstalovali místní prostředí Integration Runtime, můžete povolit vzdálený přístup z intranetu. Pokud spustíte PowerShell pro šifrování přihlašovacích údajů na počítači, na kterém jste nainstalovali místní prostředí Integration Runtime, nemůžete povolit vzdálený přístup z intranetu.

Před přidáním dalšího uzlu pro zajištění vysoké dostupnosti a škálovatelnosti povolte vzdálený přístup z intranetu .

Při spuštění instalace místního prostředí Integration Runtime verze 3.3 nebo novější ve výchozím nastavení instalační program prostředí Integration Runtime v místním prostředí zakáže vzdálený přístup z intranetu na počítači s místním prostředím Integration Runtime.

Pokud používáte bránu firewall od partnera nebo jiného uživatele, můžete ručně otevřít port 8060 nebo port nakonfigurovaný uživatelem. Pokud máte potíže s bránou firewall při nastavování místního prostředí Integration Runtime, pomocí následujícího příkazu nainstalujte místní prostředí Integration Runtime bez konfigurace brány firewall:

msiexec /q /i IntegrationRuntime.msi NOFIREWALL=1

Pokud se rozhodnete neotevřít port 8060 na počítači se samostatně hostovaným prostředím Integration Runtime, použijte k konfiguraci přihlašovacích údajů jiné mechanismy než aplikaci Nastavení přihlašovacích údajů. Můžete například použít rutinu PowerShellu New-AzDataFactoryV2LinkedServiceEncryptCredential .

Porty a brány firewall

Je třeba zvážit dva firewally:

• Firewall společnosti běží na centrálním směrovači organizace.
• Brána firewall Windows nakonfigurovaná jako démon na místním počítači, na kterém je nainstalovaný místní prostředí Integration Runtime

Na úrovni podnikové brány firewall je potřeba nakonfigurovat následující domény a odchozí porty:

Názvy domén	Odchozí porty	Popis
Veřejný cloud: *.servicebus.windows.net Azure pro státní správu: *.servicebus.usgovcloudapi.net Čína: *.servicebus.chinacloudapi.cn	443	Vyžaduje místní prostředí Integration Runtime pro interaktivní vytváření. Nevyžaduje se, pokud je povolené samostatné interaktivní vytváření.
Veřejný cloud: {datafactory}.{region}.datafactory.azure.net nebo *.frontend.clouddatahub.net Azure pro státní správu: {datafactory}.{region}.datafactory.azure.us Čína: {datafactory}.{region}.datafactory.azure.cn	443	Vyžaduje místní prostředí Integration Runtime pro připojení ke službě Data Factory. V případě nově vytvořené služby Data Factory v cloudu vyhledejte plně kvalifikovaný název domény (FQDN) z vašeho self-hostovaného Integration Runtime klíče, který je ve formátu {data factory}.{region}.datafactory.azure.net. Pokud v původní službě Data Factory a jakékoli verzi Azure Synapse Analytics nevidíte plně kvalifikovaný název domény ve svém místním integračním klíči, použijte místo toho *.frontend.clouddatahub.net.
download.microsoft.com	443	Vyžadováno samohostovaným integračním runtime pro stahování aktualizací. Pokud jste zakázali automatické aktualizace, můžete přeskočit konfiguraci této domény.
adresa URL Key Vault	443	Vyžaduje Azure Key Vault, pokud přihlašovací údaje uložíte do Key Vault.

Na úrovni brány firewall Windows nebo na úrovni počítače jsou tyto odchozí porty normálně povolené. Pokud ne, můžete nakonfigurovat domény a porty na počítači s místním prostředím Integration Runtime.

Poznámka:

Vzhledem k tomu, že v současné době Azure Relay nepodporuje značku služby, musíte v pravidlech NSG použít značku služby AzureCloud nebo Internet v pravidlech NSG pro komunikaci s Azure Relay. Pro komunikaci s pracovními prostory Azure Data Factory a Synapse můžete v nastavení pravidla NSG použít značku služby DataFactoryManagement.

V závislosti na vašich zdrojích a cílech možná budete muset povolit další domény a odchozí porty ve své firemní bráně firewall nebo Windows Firewall.

Názvy domén	Odchozí porty	Popis
*.core.windows.net	443	Prostředí Self-hosted Integration Runtime se používá k připojení k účtu úložiště Azure při použití funkce fázované kopie.
*.database.windows.net	1433	Vyžaduje se pouze v případě, že kopírujete z Azure SQL Database nebo do Azure Synapse Analytics a v opačném případě volitelné. Pomocí funkce fázovaného kopírování můžete kopírovat data do služby SQL Database nebo Azure Synapse Analytics bez otevření portu 1433.
*.azuredatalakestore.net login.microsoftonline.com/<tenant>/oauth2/token	443	Vyžaduje se pouze v případě, že kopírujete z nebo do Azure Data Lake Storu a v opačném případě volitelné.

U některých cloudových databází, jako jsou Azure SQL Database a Azure Data Lake, možná budete muset povolit IP adresy počítačů místního prostředí Integration Runtime v konfiguraci brány firewall.

Poznámka:

Není vhodné nainstalovat Integration Runtime i bránu Power BI na stejný počítač, protože hlavně Integration Runtime používá port číslo 443, což je jeden z hlavních portů používaných také bránou Power BI.

Interaktivní vytváření s vlastním obsahem

Aby bylo možné provádět interaktivní akce vytváření, jako je náhled dat a testování připojení, vyžaduje místní prostředí Integration Runtime připojení k Azure Relay. Pokud se připojení nenaváže, existují dvě možná řešení, která zajistí nepřerušenou funkčnost. První možností je přidat koncové body Azure Relay do seznamu povolených adres brány firewall Get URL of Azure Relay. Alternativně můžete povolit samostatné interaktivní vytváření.

Poznámka:

Pokud se místnímu prostředí Integration Runtime nepodaří navázat připojení k Azure Relay, bude jeho stav označený jako omezený.

Poznámka:

I když je povolené samostatné interaktivní vytváření, veškerý interaktivní provoz vytváření se bude směrovat výhradně prostřednictvím této funkce a obejít Azure Relay. Provoz se přesměruje zpět na Azure Relay jakmile se rozhodnete tuto funkci zakázat.

Poznámka:

Pokud je povoleno zcela samostatné interaktivní vytváření, nepodporuje se ani „Get IP“, ani „Send log“.

Získejte URL Azure Relay

Jedna požadovaná doména a port, které musí být vloženy do seznamu povolených položek vaší brány firewall, jsou pro komunikaci s Azure Relay. Lokalizované hostované prostředí Integration Runtime používá k interaktivnímu vytváření, jako je testování připojení, procházení seznamu složek a tabulek, získávání schémat a zobrazení náhledu dat. Pokud nechcete povolit .servicebus.windows.net a chcete mít konkrétnější adresy URL, zobrazí se všechny plně kvalifikované názvy domén, které vyžadují místní prostředí Integration Runtime, z portálu služby.

Získání adresy URL Azure Relay přes uživatelské rozhraní:

Postupujte následovně:

1. Přejděte na portál služby a vyberte místní prostředí Integration Runtime.

2. Na stránce Upravit vyberte Uzly.

3. Výběrem Zobrazit URL adresy služby získáte všechny FQDN (plně kvalifikované názvy domén).

   

4. Tyto plně kvalifikované názvy domén můžete přidat do seznamu povolených pravidel brány firewall.

Poznámka:

Podrobnosti týkající se protokolu připojení Azure Relay najdete v tématu Azure Relay Protokol hybridních připojení.

Získejte adresu URL Azure Relay prostřednictvím skriptu:

# The documentation of Synapse self hosted integration runtime (SHIR) mentions that the SHIR requires access to the Azure Service Bus IP addresses
# https://learn.microsoft.com/en-us/azure/data-factory/create-self-hosted-integration-runtime
# It is a requirement to use a wildcard (*.servicebus.windows.net) in your firewalls.
# While this is the easiest way to clear the firewall, it also opens the firewall to all Azure Service Bus IP addresses, including malicious_actor.servicebus.windows.net.
# This might be restricted by your security policies.
# This script resolves the Azure Service Bus IP addresses used by an integration runtime and adds them to the network security group (NSG) rule for the Synapse self-hosted integration runtime (SHIR).
# As the mapping of IP addresses to Domain Names might change, we recommend to run at least once a day to keep the NSG up to date.
# An alternative to running this script is to use the "Self-contained interactive authoring" feature of the self hosted integration runtime.

# Prerequisites:
# - PowerShell installed
# - Azure CLI (az) installed and logged in (https://learn.microsoft.com/en-us/cli/azure/)
# - signed in user needs rights to modify NSG (e.g. Network contributor) and to read status of the SHIR (e.g. reader), plus reader on the subscription

param (
    [string]$synapseResourceGroupName = "synapse_test",
    [string]$nsgResourceGroupName = "adf_shir_rg",
    [string]$synapseWorkspaceName = "synapse-test-jugi2",
    [string]$integrationRuntimeName = "IntegrationRuntime2",
    [string]$networkSecurityGroupName = "jugis-shir-nsg",
    [string]$securityRuleName = "AllowSynapseServiceBusIPs",
    [int]$priority = 100
)

# Check if the user is already logged in
$azAccount = az account show 2>$null

if (-not $azAccount) {
    # Run az login with managed identity if not logged in
    az login --identity
}

# Retrieve the URLs of the connections from the Synapse self-hosted integration runtime
$urls = az synapse integration-runtime get-status `
    --resource-group $synapseResourceGroupName `
    --workspace-name $synapseWorkspaceName `
    --name $integrationRuntimeName `
    --query "properties.serviceUrls" -o tsv

# Initialize an empty array to hold the IP addresses
$ipAddresses = @()

# Iterate over the URLs to resolve and collect the IP addresses
# The proper DNS resolution might only work within Azure, not locally
foreach ($url in $urls) {
    Write-Output "Processing URL: $url"
    $ip = [System.Net.Dns]::GetHostAddresses($url) | Where-Object { $_.AddressFamily -eq 'InterNetwork' } | Select-Object -ExpandProperty IPAddressToString
    if ($ip) {
        $ipAddresses += $ip
    }
}

# Remove duplicate IP addresses from the array
$ipAddresses = $ipAddresses | Sort-Object -Unique

# Convert the array of IP addresses to a space-separated string
$ipAddressesString = $ipAddresses -join ' '

# Create or update the network security group rule to allow outbound traffic for the collected IP addresses
# Using Invoke-Expression to handle the command string
$az_cmd = "az network nsg rule create --resource-group $nsgResourceGroupName --nsg-name $networkSecurityGroupName --name $securityRuleName --priority $priority --destination-address-prefixes $ipAddressesString --destination-port-ranges '443' --direction Outbound --access Allow --protocol '*' --description 'Allow outbound access to Synapse servicebus IPs'"
Invoke-Expression $az_cmd

Kopírování dat ze zdroje do jímky

Ujistěte se, že správně povolíte pravidla firewallu na podnikové bráně firewall, Windows Firewall samostatně hostovaného počítače pro Integration Runtime a samotném úložišti dat. Povolením těchto pravidel se místní prostředí Integration Runtime úspěšně připojí ke zdroji i jímce. Povolte pravidla pro každé úložiště dat, které je součástí operace kopírování.

Pokud například chcete zkopírovat z místního úložiště dat do jímky SQL Database nebo z jímky Azure Synapse Analytics, postupujte takto:

1. Povolte odchozí komunikaci TCP na portu 1433 pro bránu firewall Windows i podnikovou bránu firewall.
2. Nakonfigurujte nastavení brány firewall služby SQL Database tak, aby do seznamu povolených IP adres přidala IP adresu počítače místního prostředí Integration Runtime.

Poznámka:

Pokud brána firewall nepovoluje odchozí port 1433, místní prostředí Integration Runtime nemá přímý přístup k databázi SQL. V tomto případě můžete použít stupňovanou kopii do služby SQL Database a Azure Synapse Analytics. V tomto scénáři vyžadujete pouze HTTPS (port 443) pro přesun dat.

Pokud jsou všechny vaše datové zdroje, datový úložiště a samo-hostovaný integrační runtime v místním prostředí, pak kopírovaná data nebudou přenášena do cloudu, ale přísně zůstanou v místním prostředí.

Uložení přihlašovacích údajů

Přihlašovací údaje se dají ukládat dvěma způsoby při použití místního prostředí Integration Runtime:

1. Použijte Azure Key Vault (doporučeno) – Místní prostředí Integration Runtime může přímo získat přihlašovací údaje z Azure Key Vault, což může vysoce zabránit některým potenciálním problémům se zabezpečením nebo problémům se synchronizací přihlašovacích údajů mezi uzly místního prostředí Integration Runtime.

2. Ukládat přihlašovací údaje místně – Přihlašovací údaje budou přeneseny do zařízení, kde je instalováno samohostované prostředí pro integraci runtime, a budou zašifrovány.

   Poznámka:

   Pokud dáváte přednost místnímu ukládání přihlašovacích údajů, musíte doménu pro interaktivní vytváření umístit do seznamu povolených bran firewall a otevřít port. Tento kanál také umožňuje místnímu prostředí Integration Runtime získat přihlašovací údaje. Informace o doméně a portech požadovaných pro interaktivní vytváření najdete v části Porty a brány firewall.

Pokud obnovíte místní prostředí Integration Runtime z chybového ukončení, můžete buď obnovit přihlašovací údaje z prostředí, které jste uložili jako zálohu, nebo upravit propojenou službu a umožnit opětovné vložení přihlašovacích údajů do místního prostředí Integration Runtime. Jinak kanál využívající místní prostředí Integration Runtime nebude fungovat kvůli nedostatku přihlašovacích údajů.

Osvědčené postupy instalace

Samostatně hostované prostředí Integration Runtime můžete nainstalovat stažením instalačního balíčku spravované identity z Microsoft Download Center. Podrobné pokyny najdete v článku Přesun dat mezi místním prostředím a cloudem .

• Nakonfigurujte plán napájení na hostitelském počítači pro místní prostředí Integration Runtime, aby se počítač nepřestavil do režimu hibernace. Pokud hostitelský počítač přejde do režimu hibernace, místní prostředí Integration Runtime přejde do režimu offline.
• Pravidelně zálohujte přihlašovací údaje přidružené k místnímu prostředí Integration Runtime.
• Pokud chcete automatizovat operace nastavení místního prostředí IR, přečtěte si informace o nastavení existujícího místního prostředí IR prostřednictvím PowerShellu.
• Nainstalujte self-hosted Integration Runtime na vyhrazené počítače pro lepší oddělení a výkon zdrojů.

Důležitá poznámka

Při instalaci místního prostředí Integration Runtime zvažte následující:

• Mějte ho blízko ke zdroji dat, ale ne nutně na stejném počítači.
• Nenainstalujte ho na stejný počítač jako brána Power BI
• pouze Windows Server (šifrovací servery kompatibilní se standardem FIPS můžou způsobit selhání úloh)
• Sdílení napříč několika zdroji dat
• Sdílení napříč několika datovými továrnami

Související obsah

Podrobné pokyny najdete v kurzu : Kopírování místních dat do cloudu.