Κοινή χρήση μέσω

Σύνδεση προελεύσεων δεδομένων εσωτερικής εγκατάστασης στο Microsoft Fabric με χρήση διαχειριζόμενων ιδιωτικών τελικών σημείων

Με τα διαχειριζόμενα ιδιωτικά τελικά σημεία, μπορείτε να συνδέσετε με ασφάλεια φόρτους εργασίας Microsoft Fabric, όπως το Spark ή τις διοχετεύσεις δεδομένων, στις προελεύσεις δεδομένων εσωτερικής εγκατάστασης ή στις προσαρμοσμένες φιλοξενούμενες προελεύσεις δεδομένων σας μέσω μιας εγκεκριμένης ρύθμισης ιδιωτικής σύνδεσης.
Αυτή η προσέγγιση διασφαλίζει ότι η κυκλοφορία ρέει μέσω του δικτύου κορμού της Microsoft αντί του δημόσιου Internet, διατηρώντας το απόρρητο και τη συμμόρφωση των δεδομένων από άκρο σε άκρο.

Οι συνήθεις περιπτώσεις χρήσης περιλαμβάνουν την πρόσβαση:

  • Προελεύσεις δεδομένων όπως SAP, βάσεις δεδομένων Oracle, Elastic, μη εγγενείς προελεύσεις Azure όπως Confluent Kafka, Elasticsearch ή προελεύσεις δεδομένων που φιλοξενούνται σε περιβάλλοντα εσωτερικής εγκατάστασης.
  • Προελεύσεις δεδομένων σε εικονικές μηχανές Azure
  • Προσαρμοσμένα API ή υπηρεσίες που φιλοξενούνται σε εικονικά δίκτυα ή αυτοδιαχειριζόμενα κέντρα δεδομένων.
  • Ασφαλίστε τις εταιρικές αποθήκες δεδομένων χωρίς να εκθέτετε δημόσια τελικά σημεία.

Επισκόπηση

Τα διαχειριζόμενα ιδιωτικά τελικά σημεία (MPE) του Fabric επιτρέπουν στο Fabric να δημιουργεί εξερχόμενες συνδέσεις σε εγκεκριμένες προελεύσεις δεδομένων χρησιμοποιώντας τις υπηρεσίες ιδιωτικής σύνδεσης (PLS).
Η ρύθμιση περιλαμβάνει τρία κύρια βήματα:

  1. Ο κάτοχος ή ο διαχειριστής προέλευσης δεδομένων ρυθμίζει τις παραμέτρους μιας υπηρεσίας ιδιωτικής σύνδεσης Azure (PLS) για τον πόρο που εμφανίζεται από μια ιδιωτική διεύθυνση IP.
  2. Ένας διαχειριστής χώρου εργασίας Fabric δημιουργεί ένα διαχειριζόμενο ιδιωτικό τελικό σημείο (MPE) που αναφέρεται στο πλήρως προσδιορισμένο όνομα τομέα (FQDN) με το αναγνωριστικό πόρου της υπηρεσίας ιδιωτικής σύνδεσης.
  3. Ο κάτοχος ή ο διαχειριστής της προέλευσης δεδομένων εξετάζει και εγκρίνει την αίτηση σύνδεσης στο Azure.

Μόλις εγκριθούν, όλοι οι φόρτοι εργασίας Fabric Data Engineering (όπως σημειωματάρια, ορισμοί εργασιών Spark, υλοποιημένες προβολές λίμνης, τελικά σημεία Livy) μπορούν να συνδεθούν με ασφάλεια στον εγκεκριμένο πόρο.

Προϋποθέσεις

Πριν να ξεκινήσετε:

  • Ένας χώρος εργασίας Microsoft Fabric με ρόλο διαχειριστή χώρου εργασίας.
  • Η συνδρομή Azure πρέπει να έχει καταχωρημένη την υπηρεσία παροχής πόρων Microsoft.Network .
  • Οι προελεύσεις δεδομένων ή οι υπηρεσίες εκτελούνται πίσω από ένα τυπικό Load Balancer, το οποίο είναι προσβάσιμο από μια υπηρεσία ιδιωτικής σύνδεσης. Μάθετε περισσότερα σχετικά με την υπηρεσία Private Link Service

Για να εκθέσετε την προέλευση δεδομένων εσωτερικής εγκατάστασης ή προσαρμοσμένης φιλοξενίας (όπως ο SQL Server) στο Fabric, πρέπει πρώτα να δημιουργήσετε μια υπηρεσία ιδιωτικής σύνδεσης (PLS) στο Azure.

  1. Εισέλθετε στην Πύλη Azure.
  2. Στη γραμμή αναζήτησης, πληκτρολογήστε Private Link Service και επιλέξτε Create.
  3. Προσδιορίζω:
    • Ομάδα συνδρομών και πόρων
    • Περιοχή
    • Όνομα της υπηρεσίας ιδιωτικών συνδέσμων
  4. Στην περιοχή Ρύθμιση παραμέτρων IP του Frontend, συσχετίστε το πρόγραμμα εξισορρόπησης φόρτου που δρομολογεί την κυκλοφορία στην εσωτερική εγκατάσταση ή στην εικονική μηχανή σας.
  5. Ορίστε αναγνωριστικά συνδρομής αυτόματης έγκρισης για αυτόματη έγκριση αιτήσεων σύνδεσης από αξιόπιστους μισθωτές Fabric.

Φιλοδώρημα

Εάν η προέλευση δεδομένων σας φιλοξενείται εσωτερικής εγκατάστασης, χρησιμοποιήστε την Πύλη VPN Azure ή το Azure ExpressRoute για να συνδέσετε το τοπικό σας δίκτυο στο Azure πριν ρυθμίσετε τις παραμέτρους του PLS σας.

Βήμα 2: Δημιουργία διαχειριζόμενου ιδιωτικού τελικού σημείου με χρήση του Fabric REST API

Όταν η υπηρεσία ιδιωτικής σύνδεσης είναι έτοιμη, δημιουργήστε ένα διαχειριζόμενο ιδιωτικό τελικό σημείο (MPE) στο Fabric καλώντας το REST API διαχειριζόμενων ιδιωτικών τελικών σημείων. Το τρέχον υποστηριζόμενο σχήμα τελικού σημείου χρησιμοποιεί τη διαδρομή:

POST https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/managedPrivateEndpoints

Χρησιμοποιήστε αυτήν την επιλογή όταν στοχεύετε είτε:

  • Μια υπηρεσία ιδιωτικής σύνδεσης (χρησιμοποιήστε targetPrivateLinkResourceId + προαιρετικά) targetSubresourceTypeή/και
  • Ένα ή περισσότερα πλήρως προσδιορισμένα ονόματα τομέα (targetFQDNs) που θέλετε να επιλύσει ιδιωτικά το Fabric μετά την έγκριση.

Μπορείτε να χρησιμοποιήσετε οποιοδήποτε πρόγραμμα-πελάτη REST API, όπως Bruno, Insomnia ή Postman για να στείλετε το αίτημα.

Βήμα 2.1: Λήψη διακριτικού ελέγχου ταυτότητας

Πριν καλέσετε το Fabric REST API, αποκτήστε ένα διακριτικό κομιστή χρησιμοποιώντας τα διαπιστευτήριά σας Azure Active Directory (Entra ID).

Μπορείτε να το κάνετε αυτό χρησιμοποιώντας το Azure CLI:

az login
az account get-access-token --resource https://api.fabric.microsoft.com

Αυτή η εντολή επιστρέφει ένα αντικείμενο JSON που περιέχει το διακριτικό πρόσβασης. Αντιγράψτε την τιμή "accessToken" για να τη χρησιμοποιήσετε ως κεφαλίδα εξουσιοδότησης.

Βήμα 2.2: Κατασκευάστε το αίτημα API

Χρησιμοποιήστε την ακόλουθη δομή τελικού σημείου και ωφέλιμου φορτίου για να δημιουργήσετε ένα διαχειριζόμενο ιδιωτικό τελικό σημείο. Προσαρμόστε τα πεδία με βάση το αν συνδέεστε με μια υπηρεσία Private Link, παρέχετε FQDN ή και τα δύο.

Αίτηση

POST https://api.fabric.microsoft.com/v1/workspaces/{workspaceId}/managedPrivateEndpoints

Κεφαλίδες

Κλειδί Τιμή
Authorization Κομιστής <access_token>
Τύπος περιεχομένου application/json

Σώμα (παράδειγμα στόχευσης υπηρεσίας ιδιωτικής σύνδεσης + FQDN)

{
   "name": "onprem-sql-endpoint",
   "targetPrivateLinkResourceId": "/subscriptions/<subId>/resourceGroups/<rg>/providers/Microsoft.Network/privateLinkServices/<plsName>",
   "targetSubresourceType": "sql", 
   "targetFQDNs": ["sqlserver.corp.contoso.com"],
   "requestMessage": "Private connection request from Fabric to on-premises SQL"
}

Αναφορά πεδίου σώματος:

Πεδίο Απαιτείται Τύπος Σημειώσεις
όνομα Όχι συμβολοσειρά <= 64 χαρακτήρες. Μοναδικό στον χώρο εργασίας.
targetPrivateLinkResourceId Yes* συμβολοσειρά Αναγνωριστικό πόρου της υπηρεσίας ιδιωτικής σύνδεσης ή άλλου υποστηριζόμενου πόρου ιδιωτικής σύνδεσης (*απαιτείται, εκτός εάν υποστηρίζεται μόνο η ροή εργασίας FQDN σε μελλοντικές παραλλαγές—συμβουλευτείτε τα τρέχοντα έγγραφα).
αίτημαΜήνυμα Όχι συμβολοσειρά <= 140 χαρακτήρες. Εμφανίζεται στον υπεύθυνο έγκρισης.
στόχοςFQDNs Όχι string[] Έως 20 FQDN για συσχέτιση για ιδιωτική ανάλυση.
targetSubresourceType Όχι συμβολοσειρά Ομάδα υποπόρων (π.χ. sql, , blobσυγκεκριμένη υπηρεσία).

Βήματα εκτέλεσης:

  1. Ανοίξτε το πρόγραμμα-πελάτη REST.
  2. Ορίστε τη μέθοδο σε POST και επικολλήστε τη διεύθυνση URL του τελικού σημείου (αντικατάσταση {workspaceId}).
  3. Προσθήκη κεφαλίδας εξουσιοδότησης με το διακριτικό κομιστή από το Βήμα 2.1.
  4. Επικολλήστε το σώμα JSON και προσαρμόστε τις τιμές.
  5. Στείλτε το αίτημα.

Βήμα 2.3: Επαληθεύστε το αίτημα σύνδεσης

Ένα παράδειγμα (απλοποιημένου) ωφέλιμου φορτίου επιτυχημένης απόκρισης μπορεί να μοιάζει με το εξής:

{
   "id": "f2cbd8d1-23f1-4b9a-9db2-23ad1e7b5129",
   "name": "onprem-sql-endpoint",
   "targetPrivateLinkResourceId": "/subscriptions/<subId>/resourceGroups/<rg>/providers/Microsoft.Network/privateLinkServices/<plsName>",
   "targetFQDNs": ["sqlserver.corp.contoso.com"],
   "targetSubresourceType": "sql",
   "provisioningState": "PendingApproval",
   "createdBy": "user@contoso.com",
   "createdDateTime": "2025-10-14T10:12:37Z"
}

Τα ονόματα πεδίων μπορούν να εξελιχθούν. Εάν λείπει ένα πεδίο που περιμένετε, ελέγξτε ξανά την πιο πρόσφατη επίσημη τεκμηρίωση. Σε αυτό το σημείο, η αίτηση ιδιωτικής σύνδεσης έχει σταλεί στον διαχειριστή προέλευσης δεδομένων προορισμού (για παράδειγμα, στον κάτοχο της υπηρεσίας ιδιωτικής σύνδεσης στο Azure). Μόλις εγκρίνουν τη σύνδεση, η κατάσταση παροχής ενημερώνεται σε Εγκρίθηκε και μπορείτε να αρχίσετε να έχετε πρόσβαση στα δεδομένα εσωτερικής εγκατάστασης με ασφάλεια από το Fabric.

Παράδειγμα: Χρήση Bruno ή Insomnia

Μπορείτε επίσης να δημιουργήσετε και να δοκιμάσετε το τελικό σημείο απευθείας στο Bruno ή στο Insomnia:

  1. Ορίστε τον τύπο αιτήματος σε POST.
  2. Επικολλήστε το τελικό σημείο του Fabric REST API.
  3. Στο Auth, επιλέξτε Bearer Token και επικολλήστε το διακριτικό που ανακτήθηκε νωρίτερα.
  4. Στο «Σώμα», επικολλήστε το φορτίο «JSON».
  5. Κάντε κλικ στην επιλογή Αποστολή.

Το API θα απαντήσει με τις λεπτομέρειες του διαχειριζόμενου ιδιωτικού τελικού σημείου και την κατάσταση σύνδεσης.

Αφού στείλετε την αίτηση, το Fabric θα επιχειρήσει να ξεκινήσει μια ιδιωτική σύνδεση.

Ο διαχειριστής του δικτύου σας θα δει αυτήν την αίτηση σύνδεσης σε εκκρεμότητα στην πύλη Azure στην ενότητα:

Υπηρεσία ιδιωτικής σύνδεσης → λεπίδα ιδιωτικών συνδέσεων τελικού σημείου .

Βήμα 3: Εγκρίνετε την αίτηση σύνδεσης ιδιωτικού τελικού σημείου

  1. Εισέλθετε στην Πύλη Azure.
  2. Μεταβείτε στον πόρο της υπηρεσίας ιδιωτικής σύνδεσης .
  3. Επιλέξτε Ιδιωτικές συνδέσεις τελικού σημείου στην ενότητα Δικτύωση .
  4. Εξετάστε την εκκρεμή αίτηση σύνδεσης από το Microsoft Fabric.
  5. Επιλέξτε Έγκριση και δώστε μια προαιρετική αιτιολόγηση.

Βήμα 4: Πρόσβαση στον SQL Server εσωτερικής εγκατάστασης από σημειωματάρια Fabric

Μετά την έγκριση, το διαχειριζόμενο ιδιωτικό τελικό σημείο σας ενεργοποιείται και μπορεί να χρησιμοποιηθεί από σημειωματάρια Spark ή διοχετεύσεις δεδομένων.

Παράδειγμα χρήσης του PySpark για σύνδεση σε SQL Server εσωτερικής εγκατάστασης:

serverName = "sqlserver.corp.contoso.com"
database = "SalesDB"
dbPort = 1433
dbUserName = "<username>"
dbPassword = "<password or Key Vault reference>"

jdbcURL = f"jdbc:sqlserver://{serverName}:{dbPort};database={database}"
connectionProps = {
    "user": dbUserName,
    "password": dbPassword,
    "driver": "com.microsoft.sqlserver.jdbc.SQLServerDriver"
}

df = spark.read.jdbc(url=jdbcURL, table="dbo.Customers", properties=connectionProps)
display(df)

# Write back to your Fabric Lakehouse
df.write.mode("overwrite").format("delta").saveAsTable("Customers")

Βήμα 5: Επικύρωση και αντιμετώπιση προβλημάτων της ιδιωτικής σας σύνδεσης

Μόλις εγκριθεί η σύνδεση, είναι σημαντικό να επιβεβαιώσετε ότι η κυκλοφορία Fabric ρέει ιδιωτικά και ότι δεν χρησιμοποιείται δημόσιο τελικό σημείο.

Επαλήθευση της κατάστασης τελικού σημείου στο Fabric

  1. Στον χώρο εργασίας Fabric, μεταβείτε στις Ρυθμίσεις → Ασφάλεια δικτύου.
  2. Στην περιοχή Διαχειριζόμενα ιδιωτικά τελικά σημεία, βεβαιωθείτε ότι η Κατάσταση σύνδεσης εμφανίζει Εγκρίθηκε.
  3. Επιλέξτε το όνομα του τελικού σημείου για να δείτε λεπτομέρειες όπως:
    • FQDN
    • Κατάσταση σύνδεσης
    • Ημερομηνία έγκρισης
    • Αναγνωριστικό πόρου ιδιωτικού συνδέσμου

Εάν η κατάσταση εμφανίζεται Σε εκκρεμότητα ή Απέτυχε, ελέγξτε ότι:

  • Ο διαχειριστής Azure έχει εγκρίνει την αίτηση στη συνδεδεμένη υπηρεσία ιδιωτικής σύνδεσης.
  • Η ανάλυση DNS για το FQDN οδηγεί στην ιδιωτική διεύθυνση IP τελικού σημείου.
  • Η ιδιωτική σύνδεση και η περιοχή Fabric βρίσκονται εντός της ίδιας γεωγραφίας Azure.

Επικύρωση δρομολόγησης DNS

Εκτελέστε την ακόλουθη εντολή από ένα σημειωματάριο Fabric ή μια συνδεδεμένη εικονική μηχανή στο ίδιο εικονικό δίκτυο:

nslookup sqlserver.corp.contoso.com

Επιβεβαιώστε ότι η διεύθυνση IP που επιστρέφεται είναι ιδιωτική IP 10.x.x.x ή 172.x.x.x και όχι δημόσια IP. Αυτό επιβεβαιώνει ότι το Fabric επιλύει το FQDN μέσω της δρομολόγησης ιδιωτικής σύνδεσης.

[! ΣΥΜΒΟΥΛΗ] Εάν το DNS εξακολουθεί να επιλύεται σε μια δημόσια IP, ενημερώστε την ιδιωτική ζώνη DNS στο Azure για να συμπεριλάβετε μια εγγραφή A για το FQDN που αντιστοιχίζεται στο ιδιωτικό τελικό σημείο.

Συνήθη ζητήματα και λύσεις

Ζήτημα Πιθανή αιτία Ψήφισμα
ProvisioningState = Failed Ο διαχειριστής εσωτερικής εγκατάστασης απέρριψε ή διέγραψε την υπηρεσία ιδιωτικής σύνδεσης (PLS). Δημιουργήστε ξανά το διαχειριζόμενο ιδιωτικό τελικό σημείο (MPE) και βεβαιωθείτε ότι το PLS εξακολουθεί να υπάρχει και να είναι προσβάσιμο.
Το DNS επιλύεται σε μια δημόσια διεύθυνση IP Η ζώνη DNS δεν είναι συνδεδεμένη με την ιδιωτική ζώνη DNS του Fabric. Προσθέστε ή συνδέστε μια ιδιωτική ζώνη DNS στο εικονικό δίκτυο του χώρου εργασίας σας και δημιουργήστε μια εγγραφή A για το FQDN που οδηγεί στην ιδιωτική IP.
Χρονικό όριο σύνδεσης από Spark ή διοχετεύσεις δεδομένων Τα ACL δικτύου ή τα τείχη προστασίας αποκλείουν το υποδίκτυο Fabric. Ανοίξτε τις απαιτούμενες θύρες (για παράδειγμα, 1433 για SQL Server, 1521 για Oracle) και βεβαιωθείτε ότι επιτρέπεται η εξερχόμενη πρόσβαση στο τελικό σημείο ιδιωτικής σύνδεσης.
Η αίτηση έγκρισης δεν είναι ορατή στο Azure Ο κάτοχος της υπηρεσίας ιδιωτικής σύνδεσης δεν ενεργοποίησε την "αυτόματη έγκριση" ή το αναγνωριστικό μισθωτή Fabric δεν παρατίθεται. Ζητήστε από τον διαχειριστή δικτύου να ελέγξει τις εκκρεμείς συνδέσεις στην περιοχή Υπηρεσία ιδιωτικής σύνδεσης → Ιδιωτικές συνδέσεις τελικού σημείου στην πύλη Azure.
Το τελικό σημείο διαγράφηκε απροσδόκητα Ο χώρος εργασίας ή οι εκχωρημένοι πόροι Fabric ανατέθηκαν εκ νέου ή άλλαξαν τα δικαιώματα. Δημιουργήστε ξανά το MPE και επαληθεύστε την ιδιοκτησία του χώρου εργασίας Fabric και τις ρυθμίσεις δικτύου.
Η σύνδεση δεδομένων εξακολουθεί να αποτυγχάνει μετά την έγκριση Αναντιστοιχία DNS ή δρομολόγησης μεταξύ του Azure και του δικτύου εσωτερικής εγκατάστασης. Επικυρώστε τους πίνακες δρομολόγησης και χρησιμοποιήστε nslookup ή Test-NetConnection για να επιβεβαιώσετε την ιδιωτική διαδρομή IP.

Για να διατηρήσετε ασφαλή και συμβατή πρόσβαση:

  • Χρησιμοποιήστε το Azure Key Vault για την αποθήκευση διαπιστευτηρίων και μυστικών συνδέσεων αντί για κωδικούς πρόσβασης με ενσωματωμένη κωδικοποίηση.
  • Περιορίστε την έκθεση του δικτύου εγκρίνοντας μόνο τα απαιτούμενα τελικά σημεία στην υπηρεσία ιδιωτικής σύνδεσης.
  • Παρακολουθήστε τα αρχεία καταγραφής ελέγχου Fabric για δραστηριότητες δημιουργίας, έγκρισης ή διαγραφής τελικού σημείου.
  • Ενεργοποιήστε τα κλειδιάCustomer-Managed (CMK) για κρυπτογράφηση σε κατάσταση αδράνειας κατά τη σύνδεση από φόρτους εργασίας Spark.
  • Περιορίστε την εξερχόμενη πρόσβαση χρησιμοποιώντας την προστασία εξερχόμενης πρόσβασης (OAP) του Fabric για να εξασφαλίσετε ότι οι φόρτοι εργασίας μπορούν να φτάσουν μόνο σε εγκεκριμένα ιδιωτικά τελικά σημεία.
  • Εναλλάσσετε τα διαπιστευτήρια και ελέγχετε περιοδικά τις εγκρίσεις τελικών σημείων.

Ρύθμιση από άκρο σε άκρο: Σύνδεση Fabric σε SQL Server εσωτερικής εγκατάστασης

Εάν δεν έχετε ρυθμίσει ακόμα την υπηρεσία ιδιωτικής σύνδεσης, ακολουθήστε τα παρακάτω βήματα για να δημιουργήσετε ολόκληρη την τοπολογία — από το επίπεδο δικτύου έως την ενοποίηση Fabric.

Προϋποθέσεις

Βήμα 1: Δημιουργία υποδικτύων για πόρους

Υποδίκτυο Περιγραφή
be-subnet Backend υποδίκτυο που φιλοξενεί εικονικές μηχανές προώθησης IP
fe-υποδίκτυο Υποδίκτυο Frontend για εσωτερικό Load Balancer
pls-υποδίκτυο Υποδίκτυο για τη φιλοξενία της υπηρεσίας Private Link Service

Βήμα 2: Δημιουργήστε έναν τυπικό εσωτερικό εξισορροπητή φορτίου

  1. Μεταβείτε στην επιλογή Δημιουργία εξισορρόπησης φόρτου δικτύου > πόρων>.
  2. Ρυθμίσετε:
    • Τύπος: Εσωτερικός
    • Κωδικός προϊόντος: Standard
    • Υποδίκτυο: fe-subnet
    • Εκχώρηση IP: Δυναμική
  3. Δημιουργήστε χώρο συγκέντρωσης παρασκηνίου, διερεύνηση εύρυθμης λειτουργίας (TCP 22 ή 1433) και κανόνα (TCP 1433 → 1433).

Βήμα 3: Δημιουργία VM προώθησης backend

Δημιουργήστε ένα ή περισσότερα ελαφριά Ubuntu VM στο be-subnet. Κατά τη δημιουργία, συσχετίστε τα με την ομάδα υποστήριξης του Load Balancer (myBackendPool).

Μετά την παροχή, ενεργοποιήστε την προώθηση IP και δημιουργήστε κανόνες NAT στην IP του SQL Server εσωτερικής εγκατάστασης (π.χ. 10.0.0.47) ακολουθώντας τα εξής βήματα:

  1. Ενεργοποιήστε την προώθηση IP στην εικονική μηχανή.
  2. Δημιουργήστε έναν κανόνα DNAT για να προωθήσετε την κυκλοφορία από το πρόγραμμα εξισορρόπησης φόρτου στη θύρα 1433 στην IP του SQL Server εσωτερικής εγκατάστασης (π.χ. 10.0.0.47) στη θύρα 1433.
  3. Δημιουργήστε έναν κανόνα MASQUERADE για το NAT.

Μπορείτε να εκτελέσετε τις ακόλουθες εντολές στο VM:

sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to-destination 10.0.0.47:1433
sudo iptables -t nat -A POSTROUTING -j MASQUERADE

Φιλοδώρημα

Μπορείτε να το αυτοματοποιήσετε χρησιμοποιώντας το βοηθητικό σενάριο ip_fwd.sh .

  1. Μεταβείτε στο Κέντρο ιδιωτικών συνδέσεων → Δημιουργία υπηρεσίας ιδιωτικών συνδέσεων.
  2. Στην περιοχή Ρυθμίσεις εξερχομένων:
    • Εξισορρόπηση φορτίου: επιλέξτε την εσωτερική σας εξισορρόπηση φορτίου
    • Frontend IP: LoadBalancerFrontEnd
    • Πηγή υποδικτύου NAT:pls-subnet
  3. Αφήστε τις προεπιλογές και επιλέξτε Δημιουργία.

Αυτή η υπηρεσία εκθέτει τώρα τον εσωτερικό σας SQL Server μέσω ενός τελικού σημείου ιδιωτικής σύνδεσης.

Βήμα 5: Συνδέστε το Fabric χρησιμοποιώντας το REST API

Μόλις δημιουργηθεί και ενεργοποιηθεί η υπηρεσία ιδιωτικής σύνδεσης, επιστρέψτε στο Βήμα 2 στον παραπάνω οδηγό για να δημιουργήσετε το διαχειριζόμενο ιδιωτικό τελικό σημείο (MPE) στο Fabric.

Βήμα 6 – Δημιουργία του διαχειριζόμενου ιδιωτικού τελικού σημείου

Χρησιμοποιήστε το REST API που έχει ήδη τεκμηριωθεί στο Βήμα 2 του κύριου οδηγού. Στο σώμα JSON, ορίστε targetPrivateLinkResourceId στο αναγνωριστικό πόρου PLS και (προαιρετικά) συμπεριλάβετε ένα FQDN στο targetFQDNs οποίο θα χρησιμοποιήσετε στον κώδικα Spark.

Βήμα 7 – Έγκριση και δοκιμή

Εγκρίνετε την εκκρεμή σύνδεση στο PLS (πύλη Azure → ιδιωτικές συνδέσεις τελικού σημείου). Στη συνέχεια, εκτελέστε μια ανάγνωση Spark JDBC χρησιμοποιώντας το FQDN για να επιβεβαιώσετε την ιδιωτική συνδεσιμότητα.

Παράδειγμα προτύπου ARM (προαιρετικό)

Χρησιμοποιήστε το παρακάτω πρότυπο ως σημείο εκκίνησης για να αναπτύξετε τα στοιχεία του δικτύου σας.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "subscriptionId": { "type": "string", "defaultValue": "<subscriptionId>" },
    "resourceGroupName": { "type": "string", "defaultValue": "<resourceGroupName>" },
    "location": { "type": "string", "defaultValue": "eastus" },
    "vnetName": { "type": "string", "defaultValue": "fabric-onprem-vnet" }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2023-09-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": { "addressPrefixes": ["192.168.0.0/16"] },
        "subnets": [
          { "name": "be-subnet", "properties": { "addressPrefix": "192.168.1.0/24" } },
          { "name": "fe-subnet", "properties": { "addressPrefix": "192.168.2.0/24" } },
          { "name": "pls-subnet", "properties": { "addressPrefix": "192.168.3.0/24" } }
        ]
      }
    },
    {
      "type": "Microsoft.Network/loadBalancers",
      "apiVersion": "2023-09-01",
      "name": "myLoadBalancer",
      "location": "[parameters('location')]",
      "sku": { "name": "Standard" },
      "properties": {
        "frontendIPConfigurations": [
          {
            "name": "LoadBalancerFrontEnd",
            "properties": { "subnet": { "id": "[concat(resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName')), '/subnets/fe-subnet')]" } }
          }
        ]
      }
    }
  ]
}

Μπορείτε να επεκτείνετε αυτό το πρότυπο για να συμπεριλάβετε ορισμούς ανάπτυξης εικονικής μηχανής και υπηρεσίας ιδιωτικής σύνδεσης.

Κοινές προηγμένες σημειώσεις μοτίβων

Παράγοντες που πρέπει να ληφθούν υπόψη Καθοδήγηση
Θύρα ανιχνευτή υγείας Χρησιμοποιήστε μια σταθερά προσβάσιμη θύρα (22 ή ένα ελαφρύ πρόγραμμα ακρόασης TCP), ώστε το LB να βλέπει το backend υγιές.
Τείχος προστασίας των Windows Βεβαιωθείτε ότι δεν υπάρχει Τείχος προστασίας των Windows που εμποδίζει τις θύρες στις οποίες προωθείται η κυκλοφορία
Διαστασιολόγηση εικονικής μηχανής NAT Ένα μικρό VM είναι συνήθως αρκετό. Παρακολουθήστε εάν αναμένονται υψηλές ταυτόχρονες συνεδρίες.
Υψηλή διαθεσιμότητα Για την παραγωγή, χρησιμοποιήστε πολλαπλές εικονικές μηχανές προώθησης σε ένα σύνολο / ζώνη διαθεσιμότητας με διανομή LB.
Συνδεσιμότητα Βεβαιωθείτε ότι έχετε δημιουργήσει τη συνδεσιμότητα μεταξύ της εικονικής μηχανής IP και της πηγής δεδομένων χρησιμοποιώντας ένα όνομα ή τη διεύθυνση IP.
Ασφάλεια Περιορίστε τα NSG μόνο στις απαιτούμενες εισερχόμενες (1433 προς προωθητή) και θύρες διαχείρισης (22) από αξιόπιστες περιοχές.

Μάθετε περισσότερα

  • Last updated on