Sdílet prostřednictvím


Azure Private Link pro Azure Data Factory

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Pomocí služby Azure Private Link se můžete připojit k různým nasazením paaS (platforma jako služba) v Azure prostřednictvím privátního koncového bodu. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě. Seznam nasazení PaaS, která podporují funkce služby Private Link, najdete v dokumentaci k Private Linku.

Zabezpečená komunikace mezi sítěmi zákazníků a službou Data Factory

Virtuální síť Azure můžete nastavit jako logickou reprezentaci vaší sítě v cloudu. Získáte tím následující výhody:

  • Pomoc s ochranou vašich prostředků Azure před útoky ve veřejných sítích
  • Sítě a datová továrna umožňují zabezpečenou komunikaci mezi sebou.

Můžete také připojit místní síť k virtuální síti. Nastavte připojení VPN pro zabezpečení protokolu INTERNET, což je připojení typu site-to-site. Nebo nastavte připojení Azure ExpressRoute. což je privátní připojení peeringu.

Místní prostředí Integration Runtime (IR) můžete také nainstalovat na místní počítač nebo virtuální počítač ve virtuální síti. Získáte tím následující možnosti:

  • Spouštění aktivit kopírování mezi úložištěm dat v cloudu a úložištěm dat v privátní síti
  • Odesílání aktivit transformace do výpočetních prostředků v místní síti nebo virtuální síti Azure

Mezi službou Azure Data Factory a virtuální sítí zákazníka se vyžaduje několik komunikačních kanálů, jak je znázorněno v následující tabulce:

Doména Port Description
adf.azure.com 443 Portál služby Data Factory vyžaduje vytváření a monitorování služby Data Factory.
*.{region}.datafactory.azure.net 443 Vyžaduje místní prostředí IR pro připojení ke službě Data Factory.
*.servicebus.windows.net 443 Vyžaduje místní prostředí IR pro interaktivní vytváření.
download.microsoft.com 443 Vyžaduje místní prostředí IR pro stahování aktualizací.

Poznámka:

Zakázání přístupu k veřejné síti se vztahuje pouze na místní prostředí IR, nikoli na prostředí AZURE IR a PROSTŘEDÍ IR služby SQL Server Integration Services.

Komunikace se službou Data Factory prochází službou Private Link a pomáhá poskytovat zabezpečené privátní připojení.

Diagram znázorňující architekturu služby Private Link pro službu Data Factory

Povolení služby Private Link pro každý z předchozích komunikačních kanálů nabízí následující funkce:

  • Podporováno:

    • Na portálu Data Factory můžete vytvářet a monitorovat z virtuální sítě, i když zablokujete veškerou odchozí komunikaci. Pokud pro portál vytvoříte privátní koncový bod, budou mít ostatní přístup k portálu Data Factory prostřednictvím veřejné sítě.
    • Komunikace příkazů mezi místním prostředím IR a data Factory je možné bezpečně provádět v prostředí privátní sítě. Provoz mezi místním prostředím IR a službou Data Factory prochází přes Private Link.
  • Aktuálně se nepodporuje:

    • Interaktivní vytváření, které používá místní prostředí IR, jako je testovací připojení, seznam složek a seznam tabulek, získání schématu a náhled dat, prochází službou Private Link. Všimněte si, že provoz prochází privátním propojením, pokud je povolené samostatné interaktivní vytváření. Podívejte se na interaktivní vytváření v samostatném obsahu.

    Poznámka:

    Pokud je povolené samostatné interaktivní vytváření, nepodporuje se jak získání IP adresy, tak odesílání protokolu.

    • Nová verze místního prostředí IR, která se dá automaticky stáhnout z webu Microsoft Download Center, pokud v tuto chvíli povolíte automatickou aktualizaci, není podporovaná.

    U funkcí, které nejsou aktuálně podporované, je potřeba nakonfigurovat dříve uvedenou doménu a port ve virtuální síti nebo v podnikové bráně firewall.

    Připojení ke službě Data Factory prostřednictvím privátního koncového bodu se vztahuje pouze na místní prostředí IR ve službě Data Factory. Azure Synapse Analytics ji nepodporuje.

Upozorňující

Pokud povolíte službu Private Link Data Factory a současně zablokujete veřejný přístup, uložte přihlašovací údaje do služby Azure Key Vault, abyste zajistili jejich zabezpečení.

Konfigurace privátního koncového bodu pro komunikaci mezi místním prostředím IR a službou Data Factory

Tato část popisuje, jak nakonfigurovat privátní koncový bod pro komunikaci mezi místním prostředím IR a službou Data Factory.

Privátní koncový bod se vytvoří ve vaší virtuální síti pro komunikaci mezi místním prostředím IR a službou Data Factory. Postupujte podle kroků v tématu Nastavení odkazu privátního koncového bodu pro službu Data Factory.

Ujistěte se, že je správná konfigurace DNS.

Postupujte podle pokynů v změnách DNS pro privátní koncové body a zkontrolujte nebo nakonfigurujte nastavení DNS.

Plně kvalifikované názvy domén služby Azure Relay a Download Center umístěte do seznamu povolených bran firewall.

Pokud je na virtuálním počítači ve vaší virtuální síti nainstalované místní prostředí IR, povolte odchozí provoz do následujících plně kvalifikovaných názvů domén ve skupině zabezpečení sítě vaší virtuální sítě.

Pokud je na počítači v místním prostředí nainstalované místní prostředí IR, povolte odchozí provoz do následujících plně kvalifikovaných názvů domén v bráně firewall vašeho místního prostředí a skupiny zabezpečení sítě ve vaší virtuální síti.

Doména Port Description
*.servicebus.windows.net 443 Vyžaduje místní prostředí IR pro interaktivní vytváření
download.microsoft.com 443 Vyžaduje místní prostředí IR pro stahování aktualizací.

Pokud nepovolíte předchozí odchozí provoz v bráně firewall a skupině zabezpečení sítě, zobrazí se místní prostředí IR s omezeným stavem. Přesto ho ale můžete použít k provádění aktivit. Nefunguje jenom interaktivní vytváření a automatická aktualizace.

Poznámka:

Pokud jedna datová továrna (sdílená) má místní prostředí IR a místní prostředí IR se sdílí s ostatními datovými továrnami (propojenými), stačí vytvořit privátní koncový bod jen pro sdílenou datovou továrnu. Další propojené datové továrny můžou využít toto privátní propojení pro komunikaci mezi místním prostředím IR a službou Data Factory.

Poznámka:

V současné době nepodporujeme vytvoření privátního propojení mezi místním prostředím Integration Runtime a pracovním prostorem Synapse Analytics. A místní prostředí Integration Runtime může i nadále komunikovat se službou Synapse, i když je v pracovním prostoru Synapse povolená ochrana před exfiltrací dat.

Změny DNS pro privátní koncové body

Při vytváření privátního koncového bodu se záznam prostředku DNS CNAME pro datovou továrnu aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení vytvoříme také privátní zónu DNS odpovídající subdoméně privatelinku se záznamy prostředků DNS A pro privátní koncové body.

Když přeložíte adresu URL koncového bodu datové továrny mimo virtuální síť s privátním koncovým bodem, přeloží se na veřejný koncový bod služby Data Factory. Při překladu z virtuální sítě hostující privátní koncový bod se adresa URL koncového bodu úložiště přeloží na IP adresu privátního koncového bodu.

V předchozím příkladu jsou záznamy prostředků DNS pro datovou továrnu s názvem DataFactoryA při překladu mimo virtuální síť, která je hostitelem privátního koncového bodu, následující:

Name Typ Hodnota
DataFactoryA. {region}.datafactory.azure.net CNAME < Veřejný koncový bod služby Data Factory >
< Veřejný koncový bod služby Data Factory > A < Veřejná IP adresa služby Data Factory >

Záznamy prostředků DNS pro DataFactoryA při překladu ve virtuální síti, která je hostitelem privátního koncového bodu, budou:

Name Typ Hodnota
DataFactoryA. {region}.datafactory.azure.net CNAME DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net A < IP adresa privátního koncového bodu >

Pokud ve své síti používáte vlastní server DNS, klienti musí být schopni přeložit plně kvalifikovaný název domény koncového bodu datové továrny na IP adresu privátního koncového bodu. Server DNS byste měli nakonfigurovat tak, aby delegovali subdoménu služby Private Link do privátní zóny DNS pro virtuální síť. Nebo můžete nakonfigurovat záznamy A pro DataFactoryA. {region}.datafactory.azure.net s IP adresou privátního koncového bodu.

Poznámka:

V současné době je v zóně DNS jenom jeden koncový bod portálu Data Factory, takže pro portál existuje jenom jeden privátní koncový bod. Pokus o vytvoření druhého nebo následného privátního koncového bodu portálu přepíše dříve vytvořenou položku privátního DNS pro portál.

V této části nastavíte propojení privátního koncového bodu pro službu Data Factory.

Výběrem veřejného koncového bodu nebo privátního koncového bodu během kroku vytvoření služby Data Factory můžete zvolit, jestli se má místní prostředí IR připojit ke službě Data Factory:

Snímek obrazovky znázorňující blokování veřejného přístupu k místnímu prostředí IR

Výběr můžete kdykoli změnit po vytvoření na stránce portálu Data Factory v podokně Sítě . Jakmile tam povolíte privátní koncový bod , musíte do datové továrny přidat také privátní koncový bod.

Privátní koncový bod vyžaduje pro propojení virtuální síť a podsíť. V tomto příkladu se virtuální počítač v rámci podsítě používá ke spuštění místního prostředí IR, které se připojuje přes propojení privátního koncového bodu.

Vytvoření virtuální sítě

Pokud nemáte existující virtuální síť, kterou byste mohli použít s propojením privátního koncového bodu, musíte ji vytvořit a přiřadit podsíť.

  1. Přihlaste se k portálu Azure.

  2. V levém horním rohu obrazovky vyberte Vytvořit virtuální síť sítě>prostředků>nebo vyhledejte virtuální síť ve vyhledávacím poli.

  3. V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte skupinu prostředků pro vaši virtuální síť.
    Podrobnosti o instanci
    Název Zadejte název vaší virtuální sítě.
    Oblast Důležité: Vyberte stejnou oblast, jakou používá váš privátní koncový bod.
  4. Vyberte kartu IP adresy nebo vyberte Další: IP adresy v dolní části stránky.

  5. Na kartě IP adresy zadejte tyto informace:

    Nastavení Hodnota
    Adresní prostor IPv4 Zadejte 10.1.0.0/16.
  6. V části Název podsítě vyberte výchozí slovo.

  7. Do pole Upravit podsíť zadejte tyto informace:

    Nastavení Hodnota
    Název podsítě Zadejte název podsítě.
    Rozsah adres podsítě Zadejte 10.1.0.0/24.
  8. Zvolte Uložit.

  9. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit.

  10. Vyberte Vytvořit.

Vytvoření virtuálního počítače pro místní prostředí IR

Musíte také vytvořit nebo přiřadit existující virtuální počítač ke spuštění místního prostředí IR v nové podsíti vytvořené v předchozích krocích.

  1. V levém horním rohu portálu vyberte Vytvořit výpočetní>virtuální počítač prostředku>nebo vyhledejte virtuální počítač ve vyhledávacím poli.

  2. V části Vytvořit virtuální počítač zadejte nebo vyberte hodnoty na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Virtual machine name Zadejte název virtuálního počítače.
    Oblast Vyberte oblast, kterou jste použili pro virtuální síť.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Image Vyberte Windows Server 2019 Datacenter – Gen1 nebo jakoukoli jinou image Windows, která podporuje místní prostředí IR.
    Spotová instance Azure Vyberte možnost Ne.
    Velikost Zvolte velikost virtuálního počítače nebo použijte výchozí nastavení.
    Účet správce
    Username Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
  3. Vyberte kartu Sítě nebo vyberte Další: Disky>Další: Sítě.

  4. Na kartě Sítě vyberte nebo zadejte:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili.
    Podsíť Vyberte podsíť, kterou jste vytvořili.
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Basic.
    Veřejné příchozí porty Vyberte Žádná.
  5. Vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte nastavení a pak vyberte Vytvořit.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Vytvoření privátního koncového bodu

Nakonec musíte ve své datové továrně vytvořit privátní koncový bod.

  1. Na stránce webu Azure Portal pro vaši datovou továrnu vyberte připojení privátního koncového bodu sítě>a pak vyberte + privátní koncový bod.

    Snímek obrazovky znázorňující podokno připojení privátního koncového bodu použité k vytvoření privátního koncového bodu

  2. Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Název Zadejte název koncového bodu.
    Oblast Vyberte oblast virtuální sítě, kterou jste vytvořili.
  3. Vyberte kartu Zdroj nebo tlačítko Další: Prostředek v dolní části obrazovky.

  4. Do pole Zdroj zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Způsob připojení V adresáři vyberte Připojit k prostředku Azure.
    Předplatné Vyberte své předplatné.
    Typ prostředku Vyberte Microsoft.Datafactory/factory.
    Prostředek Vyberte datová továrna.
    Target sub-resource Pokud chcete použít privátní koncový bod pro komunikaci příkazů mezi místním prostředím IR a službou Data Factory, vyberte jako cílový dílčí prostředek datafactory. Pokud chcete použít privátní koncový bod pro vytváření a monitorování datové továrny ve vaší virtuální síti, vyberte portál jako cílový dílčí prostředek.
  5. Vyberte kartu Konfigurace nebo tlačítko Další: Konfigurace v dolní části obrazovky.

  6. V části Konfigurace zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Sítě
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili.
    Podsíť Vyberte podsíť, kterou jste vytvořili.
    integrace Privátní DNS
    Integrovat s privátní zónou DNS Ponechte výchozí hodnotu Ano.
    Předplatné Vyberte své předplatné.
    Privátní zóny DNS Ponechte výchozí hodnotu v obou cílových dílčích prostředcích: 1. datafactory: (Nový) privatelink.datafactory.azure.net. 2. portál: (nový) privatelink.adf.azure.com.
  7. Vyberte Zkontrolovat a vytvořit.

  8. Vyberte Vytvořit.

Pokud chcete omezit přístup k prostředkům služby Data Factory ve vašich předplatných službou Private Link, postupujte podle pokynů na portálu Use Portal a vytvořte privátní propojení pro správu prostředků Azure.

Známý problém

Nemůžete získat přístup k jednotlivým prostředkům PaaS, když jsou obě strany vystavené službě Private Link a privátnímu koncovému bodu. Tento problém je známým omezením privátních koncových bodů služby Private Link a privátních koncových bodů.

Zákazník A například používá privátní propojení pro přístup k portálu datové továrny A ve virtuální síti A. Pokud objekt pro vytváření dat A neblokuje veřejný přístup, zákazník B má přístup k portálu datové továrny A ve virtuální síti B prostřednictvím veřejné. Když ale zákazník B vytvoří privátní koncový bod pro datovou továrnu B ve virtuální síti B, zákazník B už nemá přístup k datové továrně A prostřednictvím veřejné ve virtuální síti B.