Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
APPLIES TO:
Azure Data Factory 
Azure Synapse Analytics
Návod
Data Factory v Microsoft Fabric je nová generace Azure Data Factory s jednodušší architekturou, integrovanou AI a novými funkcemi. Pokud s integrací dat začínáte, začněte Fabric Data Factory. Stávající úlohy ADF lze upgradovat na Fabric pro přístup k novým funkcím v oblastech datové vědy, analýz v reálném čase a vytváření sestav.
Pomocí Azure Private Link se můžete připojit k různým nasazením paaS (platforma jako služba) v Azure prostřednictvím privátního koncového bodu. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě. Seznam nasazení PaaS, která podporují funkce Private Link, najdete v Private Link dokumentaci.
Zabezpečená komunikace mezi sítěmi zákazníků a službou Data Factory
Virtuální síť Azure můžete nastavit jako logickou reprezentaci sítě v cloudu. Tímto způsobem získáte následující výhody:
- Pomáháte chránit své Azure prostředky před útoky ve veřejných sítích.
- Umožňujete sítím a datové továrně bezpečně komunikovat mezi sebou.
Můžete také připojit místní síť k virtuální síti. Nastavte připojení VPN pro zabezpečení protokolu INTERNET, což je připojení typu site-to-site. Nebo nastavte připojení Azure ExpressRoute. což je privátní peeringová připojení.
Místní prostředí Integration Runtime (IR) můžete také nainstalovat na místní počítač nebo virtuální počítač ve virtuální síti. To vám umožní:
- Spouštění aktivit kopírování mezi cloudovým úložištěm dat a úložištěm dat v privátní síti
- Provádění transformačních aktivit na výpočetních prostředcích v místní síti nebo v Azure virtuální síti.
Mezi Azure Data Factory a virtuální sítí zákazníka se vyžaduje několik komunikačních kanálů, jak je znázorněno v následující tabulce:
| Domain (Doména) | Přístav | Popis |
|---|---|---|
adf.azure.com |
443 | Portál služby Data Factory je nezbytný pro vytváření a monitorování služby Data Factory. |
*.{region}.datafactory.azure.net |
443 | Samostatně hostovaný IR je vyžadován pro připojení ke službě Data Factory. |
*.servicebus.windows.net |
443 | Vyžaduje samostatně hostované IR pro interaktivní autorskou činnost. |
download.microsoft.com |
443 | Vyžaduje místní prostředí IR pro stahování aktualizací. |
Poznámka:
Zakázání přístupu k veřejné síti se vztahuje pouze na místní prostředí IR, nikoli na Azure IR a Služby Integrace SQL Serveru IR.
Komunikace se službou Data Factory prochází Private Link a pomáhá poskytovat zabezpečené privátní připojení.
Povolení Private Link pro každý z předchozích komunikačních kanálů nabízí následující funkce:
Podporováno:
- Na portálu Data Factory můžete vytvářet a monitorovat z virtuální sítě, i když zablokujete veškerou odchozí komunikaci. Pokud pro portál vytvoříte privátní koncový bod, budou mít ostatní přístup k portálu Data Factory prostřednictvím veřejné sítě.
- Komunikace příkazů mezi místním prostředím IR a data Factory je možné bezpečně provádět v prostředí privátní sítě. Provoz mezi samohostovaným IR a službou Data Factory probíhá prostřednictvím Private Link.
Aktuálně se nepodporuje:
- Interaktivní vytváření, které používá samohostovaný IR, jako je testovací připojení, procházení seznamu složek a tabulek, získání schématu a náhled dat, jde přes Private Link. Všimněte si, že pokud je povoleno samostatné interaktivní autorování, provoz probíhá přes soukromé spojení. Podívejte se na samostatné interaktivní autorství.
Poznámka:
Pokud je povoleno samostatné interaktivní vytváření obsahu, nejsou podporovány funkce „Získat IP“ a „Odeslat protokol“.
- Nová verze místního prostředí IR, která se dá automaticky stáhnout z Microsoft Download Center, pokud v tuto chvíli povolíte automatickou aktualizaci, není podporovaná.
U funkcí, které nejsou aktuálně podporované, je potřeba nakonfigurovat dříve uvedenou doménu a port ve virtuální síti nebo v podnikové bráně firewall.
Připojení ke službě Data Factory prostřednictvím privátního koncového bodu se vztahuje pouze na místní prostředí IR ve službě Data Factory. Nepodporuje se pro Azure Synapse Analytics.
Výstraha
Pokud povolíte Private Link Data Factory a současně zablokujete veřejný přístup, uložte přihlašovací údaje do Azure Key Vault, abyste zajistili jejich zabezpečení.
Konfigurace privátního koncového bodu pro komunikaci mezi místním prostředím IR a službou Data Factory
Tato část popisuje, jak nakonfigurovat privátní koncový bod pro komunikaci mezi místním prostředím IR a službou Data Factory.
Vytvoření privátního koncového bodu a nastavení privátního propojení pro službu Data Factory
Privátní koncový bod se vytvoří ve vaší virtuální síti pro komunikaci mezi místním prostředím IR a službou Data Factory. Postupujte podle kroků v tématu Nastavení odkazu privátního koncového bodu pro službu Data Factory.
Ujistěte se, že je správná konfigurace DNS.
Postupujte podle pokynů v změnách DNS pro privátní koncové body a zkontrolujte nebo nakonfigurujte nastavení DNS.
Plně kvalifikované názvy domén Azure Relay a Download Center přidejte do seznamu povolených položek na firewallu.
Pokud je na virtuálním počítači ve vaší virtuální síti nainstalované místní prostředí IR, povolte odchozí provoz do následujících plně kvalifikovaných názvů domén ve skupině zabezpečení sítě vaší virtuální sítě.
Pokud je IR hostované na místním prostředí nainstalováno na počítači ve vašem místním prostředí, povolte odchozí provoz do následujících plně kvalifikovaných názvů domén v bráně firewall vašeho místního prostředí a v skupině zabezpečení sítě vaší virtuální sítě.
| Domain (Doména) | Přístav | Popis |
|---|---|---|
*.servicebus.windows.net |
443 | Vyžaduje místní prostředí IR pro interaktivní vytváření |
download.microsoft.com |
443 | Vyžaduje samostatně hostované prostředí IR ke stahování aktualizací. |
Pokud nepovolíte předchozí odchozí provoz v bráně firewall a skupině zabezpečení sítě, zobrazí se IR hostován lokálně s omezeným stavem. Přesto ho ale můžete použít k provádění aktivit. Nefunguje jenom interaktivní vytváření a automatická aktualizace.
Poznámka:
Pokud jedna datová továrna (sdílená) má místní prostředí IR a místní prostředí IR se sdílí s ostatními datovými továrnami (propojenými), stačí vytvořit privátní koncový bod jen pro sdílenou datovou továrnu. Další propojené datové továrny můžou využít toto privátní propojení pro komunikaci mezi místním prostředím IR a službou Data Factory.
Poznámka:
V současné době nepodporujeme vytvoření privátního propojení mezi místním prostředím Integration Runtime a pracovním prostorem Synapse Analytics. A místní prostředí Integration Runtime může i nadále komunikovat se službou Synapse, i když je v pracovním prostoru Synapse povolená ochrana před exfiltrací dat.
Změny DNS pro privátní koncové body
Při vytváření privátního koncového bodu se záznam DNS CNAME pro datovou továrnu aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení vytvoříme také privátní zónu DNS odpovídající subdoméně privatelinku se záznamy prostředků DNS A pro privátní koncové body.
Když určíte adresu URL koncového bodu datové továrny zvenčí virtuální sítě s ohledem na privátní koncový bod, výsledkem je veřejný koncový bod služby Data Factory. Při překladu z virtuální sítě hostující privátní koncový bod se adresa URL koncového bodu úložiště přeloží na IP adresu privátního koncového bodu.
V předchozím příkladu jsou záznamy prostředků DNS pro datovou továrnu s názvem DataFactoryA při překladu mimo virtuální síť, která je hostitelem privátního koncového bodu, následující:
| Název | Typ | Hodnota |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | < Veřejný koncový bod služby Data Factory > |
| < Veřejný koncový bod služby Data Factory > | A | < Veřejná IP adresa služby Data Factory > |
Záznamy prostředků DNS pro DataFactoryA, při vyhledání ve virtuální síti, která je hostitelem privátního koncového bodu, budou:
| Název | Typ | Hodnota |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | DataFactoryA.{region}.privatelink.datafactory.azure.net |
| DataFactoryA.{region}.privatelink.datafactory.azure.net | A | < IP adresa privátního koncového bodu > |
Pokud ve své síti používáte vlastní server DNS, klienti musí být schopni přeložit název domény koncového bodu výrobního datového procesu na IP adresu privátního koncového bodu. Server DNS byste měli nakonfigurovat tak, aby delegovali Private Link subdoménu do privátní zóny DNS pro virtuální síť. Nebo můžete nakonfigurovat záznamy A pro DataFactoryA. {region}.datafactory.azure.net s IP adresou privátního koncového bodu.
Poznámka:
V současné době je v zóně DNS jenom jeden koncový bod portálu Data Factory, takže pro portál existuje jenom jeden privátní koncový bod. Pokus o vytvoření druhého nebo následného privátního koncového bodu portálu přepíše dříve vytvořenou položku privátního DNS pro portál.
Nastavení propojení privátního koncového bodu pro službu Data Factory
V této části nastavíte propojení privátního koncového bodu pro službu Data Factory.
Výběrem veřejného koncového bodu nebo privátního koncového bodu během kroku vytvoření služby Data Factory můžete zvolit, jestli se má místní prostředí IR připojit ke službě Data Factory:
Výběr můžete kdykoli změnit po vytvoření na stránce portálu Data Factory v podokně Sítě . Jakmile tam povolíte privátní koncový bod, musíte přidat privátní koncový bod také do Datové továrny.
Privátní koncový bod vyžaduje pro propojení virtuální síť a podsíť. V tomto příkladu se virtuální počítač v rámci podsítě používá ke spuštění místního prostředí IR, které se připojuje přes propojení privátního koncového bodu.
Vytvoření virtuální sítě
Pokud nemáte existující virtuální síť, kterou byste mohli použít s propojením privátního koncového bodu, musíte ji vytvořit a přiřadit podsíť.
Přihlaste se k portálu Azure.
V levém horním rohu obrazovky vyberte Vytvořit prostředek>Sítě>Virtuální síť nebo vyhledejte Virtuální síť ve vyhledávacím poli.
V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své Azure předplatné. Skupina zdrojů Vyberte skupinu prostředků pro vaši virtuální síť. Podrobnosti o instanci Název Zadejte název vaší virtuální sítě. Región Důležitý: Vyberte stejnou oblast, jakou používá váš privátní koncový bod. Vyberte kartu IP adresy nebo vyberte Další: IP adresy v dolní části stránky.
Na kartě IP adresy zadejte tyto informace:
Nastavení Hodnota Adresní prostor IPv4 Zadejte 10.1.0.0/16. V části Název podsítě vyberte výchozí slovo.
Do pole Upravit podsíť zadejte tyto informace:
Nastavení Hodnota Název podsítě Zadejte název podsítě. Rozsah adres podsítě Zadejte 10.1.0.0/24. Vyberte Uložit.
Vyberte kartu Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit .
Vyberte Vytvořit.
Vytvoření virtuálního počítače pro místní prostředí IR
Musíte také vytvořit nebo přiřadit existující virtuální počítač ke spuštění místního prostředí IR v nové podsíti vytvořené v předchozích krocích.
V levém horním rohu portálu vyberte Vytvořit prostředek>Výpočet>Virtuální počítač nebo vyhledejte Virtuální počítač ve vyhledávacím poli.
V části Vytvořit virtuální počítač zadejte nebo vyberte hodnoty na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své Azure předplatné. Skupina zdrojů Vyberte skupinu prostředků. Podrobnosti o instanci Název virtuálního počítače Zadejte název virtuálního počítače. Región Vyberte oblast, kterou jste použili pro virtuální síť. Možnosti dostupnosti Vyberte Žádná redundance infrastruktury není nutná. Obrázek Vyberte Windows Server 2019 Datacenter – Gen1 nebo jakoukoli jinou image Windows, která podporuje místní prostředí IR. Azure spotová instance Vyberte možnost Ne. Velikost Zvolte velikost virtuálního počítače nebo použijte výchozí nastavení. Účet správce Uživatelské jméno Zadejte uživatelské jméno. Heslo Zadejte heslo. Potvrdit heslo Zadejte znovu heslo. Vyberte kartu Sítě nebo vyberte Další: Disky>Další: Sítě.
Na kartě Sítě vyberte nebo zadejte:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte virtuální síť, kterou jste vytvořili. Podsíť Vyberte podsíť, kterou jste vytvořili. Veřejná IP adresa Vyberte Žádné. Skupina zabezpečení sítě NIC Základní. Veřejné příchozí porty Vyberte Žádné. Vyberte možnost Zkontrolovat a vytvořit.
Zkontrolujte nastavení a pak vyberte Vytvořit.
Poznámka:
Azure poskytuje výchozí IP adresu odchozího přístupu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.
Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:
- Virtuálnímu počítači se přiřadí veřejná IP adresa.
- Virtuální počítač je umístěn do back-end poolu standardního load balanceru s odchozími pravidly nebo bez nich.
- Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.
Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.
Další informace o odchozích připojeních v Azure najdete v dokumentaci Výchozí odchozí přístup v Azure a Použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.
Vytvoření privátního koncového bodu
Nakonec musíte ve své datové továrně vytvořit privátní koncový bod.
Na stránce portálu Azure pro vaší datovou továrnu vyberte Sítě>Připojení koncových bodů Private a pak vyberte + Privátní koncový bod.
Na kartě Základy v části Vytvořit privátní koncový bod zadejte nebo vyberte tyto informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina zdrojů Vyberte skupinu prostředků. Podrobnosti o instanci Název Zadejte název koncového bodu. Región Vyberte oblast virtuální sítě, kterou jste vytvořili. Vyberte kartu Zdroj nebo tlačítko Další: Zdroj v dolní části obrazovky.
Do pole Zdroj zadejte nebo vyberte tyto informace:
Nastavení Hodnota Způsob připojení Vyberte Připojte se k prostředku Azure v mém adresáři. Předplatné Vyberte své předplatné. Typ zdroje Vyberte Microsoft.Datafactory/factories. Zdroj Vyberte datovou továrnu. Cílová podresursa Pokud chcete použít privátní koncový bod pro komunikaci příkazů mezi místním prostředím IR a službou Data Factory, vyberte jako cílový dílčí prostředekdatafactory. Pokud chcete použít privátní koncový bod pro vytváření a monitorování datové továrny ve vaší virtuální síti, vyberte portál jako cílový dílčí prostředek. Vyberte kartu Konfigurace nebo tlačítko Další: Konfigurace v dolní části obrazovky.
V části Konfigurace zadejte nebo vyberte tyto informace:
Nastavení Hodnota Síťování Virtuální síť Vyberte virtuální síť, kterou jste vytvořili. Podsíť Vyberte podsíť, kterou jste vytvořili. integrace Privátní DNS Integrovat s privátní zónou DNS Ponechte výchozí hodnotu Ano. Předplatné Vyberte své předplatné. Privátní DNS zóny Ponechte výchozí hodnotu v obou cílových dílčích prostředcích: 1. datová továrna: (Nový) privatelink.datafactory.azure.net. 2. portál: (nový) privatelink.adf.azure.com. Vyberte možnost Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Omezení přístupu k prostředkům služby Data Factory pomocí Private Link
Pokud chcete omezit přístup k prostředkům služby Data Factory ve vašich předplatných pomocí Private Link, postupujte podle kroků v části Použití portálu k vytvoření Private Link pro správu prostředků Azure.
Známý problém
Nemůžete získat přístup k jednotlivým prostředkům PaaS, když jsou obě strany vystavené Private Link a privátnímu koncovému bodu. Tento problém představuje známé omezení Private Link a privátních koncových bodů.
Zákazník A například používá privátní propojení pro přístup k portálu datové továrny A ve virtuální síti A. Pokud objekt pro vytváření dat A neblokuje veřejný přístup, zákazník B má přístup k portálu datové továrny A ve virtuální síti B prostřednictvím veřejné. Když ale zákazník B vytvoří privátní koncový bod pro datovou továrnu B ve virtuální síti B, zákazník B už nemá přístup k datové továrně A prostřednictvím veřejné ve virtuální síti B.