Azure Private Link para Azure Data Factory

  • Artículo

SE APLICA A: Azure Data Factory Azure Synapse Analytics

Sugerencia

Pruebe Data Factory en Microsoft Fabric, una solución de análisis todo en uno para empresas. Microsoft Fabric abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis en tiempo real, la inteligencia empresarial y los informes. Obtenga información sobre cómo iniciar una nueva evaluación gratuita.

Con Azure Private Link, puede conectarse a varias implementaciones de plataforma como servicio (PaaS) en Azure a través de un punto de conexión privado. Un punto de conexión privado es una dirección IP privada dentro de una red virtual y una subred específicas. Para obtener una lista de las implementaciones PaaS que admiten la funcionalidad Private Link, vea la documentación de Private Link.

Comunicación segura entre las redes del cliente y Azure Data Factory

Puede configurar una red virtual de Azure como una representación lógica de la red en la nube. Esta acción tiene estas ventajas derivadas:

  • Ayuda a proteger los recursos de Azure frente a ataques en redes públicas.
  • Permite que las redes y Data Factory se comuniquen entre sí de forma segura.

También puede conectar una red local a la red virtual. Configure una conexión VPN de seguridad de protocolo de Internet, que es una conexión de sitio a sitio. O bien, configure una conexión de Azure ExpressRoute, que es una conexión de emparejamiento privado.

También puede instalar un entorno de ejecución de integración (IR) autohospedado en una máquina local o en una máquina virtual de la red virtual. Esto le permite:

  • Ejecutar actividades de copia entre un almacén de datos en la nube y un almacén de datos en una red privada.
  • Distribuir las actividades de transformación frente a los recursos de proceso en una red local o una red virtual de Azure.

Se requieren varios canales de comunicación entre Azure Data Factory y la red virtual del cliente, tal y como se muestra en la tabla siguiente:

Domain Port Descripción
adf.azure.com 443 El portal de Data Factory es necesario para la creación y supervisión en Data Factory.
*.{region}.datafactory.azure.net 443 Requisito del IR autohospedado para la conexión a Data Factory.
*.servicebus.windows.net 443 Requisito del IR autohospedado para la creación interactiva.
download.microsoft.com 443 Requisito del IR autohospedado para la descarga de actualizaciones.

Nota:

La deshabilitación del acceso a la red pública solo se aplica al IR autohospedado, no a Azure IR ni SQL Server Integration Services IR.

Las comunicaciones con el servicio Data Factory pasan a través de Private Link y permiten ofrecer conectividad privada segura.

Diagrama que muestra la arquitectura de Private Link para Data Factory.

La habilitación del servicio Private Link para cada uno de los canales de comunicación anteriores ofrece la siguiente funcionalidad:

  • Admitido:

    • Puede crear y supervisar recursos en el portal de Data Factory desde la red virtual, aunque bloquee todas las comunicaciones salientes. Si crea un punto de conexión privado para el portal, otros usuarios podrán acceder al portal de Data Factory a través de la red pública.
    • Las comunicaciones de comandos entre el IR autohospedado y Data Factory se pueden realizar de forma segura en un entorno de red privado. El tráfico entre el IR autohospedado y Data Factory pasa por Private Link.

  • No admitido actualmente:

    • La creación interactiva que usa un IR autohospedado, como una conexión de prueba, el examen de la lista de carpetas y la lista de tablas, la obtención de esquemas y la vista previa de datos, pasa a través de Private Link. Tenga en cuenta que el tráfico pasa por un vínculo privado si la creación interactiva independiente está habilitada. Consulte Creación interactiva independiente.

    Nota:

    No se admiten "Obtener IP" ni "Enviar registro" cuando está habilitada la creación interactiva independiente.

    • La nueva versión del IR autohospedado que se puede descargar automáticamente desde el Centro de descarga de Microsoft si habilita la actualización automática no es compatible en este momento.

    Para la funcionalidad que no se admite actualmente, debe configurar el dominio y el puerto previamente mencionados en la red virtual o el firewall corporativo.

    La conexión a Azure Data Factory a través de un punto de conexión privado solo es aplicable al IR autohospedado en Data Factory. Esta característica no es compatible con Azure Synapse Analytics.

Advertencia

Si habilita Private Link para Data Factory y bloquea el acceso público al mismo tiempo, guarde sus credenciales en Azure Key Vault para mantenerlas seguras.

Configuración del punto de conexión privado para la comunicación entre el IR autohospedado y Data Factory

En esta sección se describe cómo configurar el punto de conexión privado para la comunicación entre el IR autohospedado y Data Factory.

El punto de conexión privado se crea en la red virtual para la comunicación entre el IR autohospedado y Data Factory. Siga los pasos descritos en Configuración de un vínculo de punto de conexión privado para Data Factory.

Comprobación de la configuración de DNS

Siga las instrucciones incluidas en Cambios de DNS en puntos de conexión privados para comprobar o ajustar la configuración de DNS.

Inclusión de los nombres de dominio completo de Azure Relay y el centro de descarga en la lista de permitidos del firewall

Si el IR autohospedado está instalado en la máquina virtual de la red virtual, permita el tráfico saliente a los nombres de dominio completo siguientes en el grupo de seguridad de red de la red virtual.

Si el IR autohospedado está instalado en la máquina del entorno local, permita el tráfico saliente a los nombres de dominio completo siguientes en el firewall del entorno local y el grupo de seguridad de la red virtual.

Domain Port Descripción
*.servicebus.windows.net 443 Requisito del IR autohospedado para la creación interactiva
download.microsoft.com 443 Requisito del IR autohospedado para la descarga de actualizaciones

Si no permite el tráfico saliente anterior en el firewall y el grupo de seguridad de red, el IR autohospedado muestra un estado limitado. Pero podrá seguir usándolo para ejecutar actividades. Únicamente no funcionarán la creación interactiva y la actualización automática.

Nota:

Si una factoría de datos (compartida) tiene un IR autohospedado y este se comparte con otras factorías de datos (vinculadas), solo deberá que crear un punto de conexión privado para la factoría de datos compartida. Otras factorías de datos vinculadas pueden aprovechar este vínculo privado para las comunicaciones entre el IR autohospedado y Data Factory.

Cambios de DNS en puntos de conexión privados

Al crear un punto de conexión privado, el registro del recurso CNAME de DNS de Data Factory se actualiza con un alias de un subdominio que tiene el prefijo privatelink. De forma predeterminada, también se crea una zona DNS privada, que se corresponde con el subdominio privatelink, con los registros de recursos A de DNS para los puntos de conexión privados.

Cuando se resuelve la dirección URL del punto de conexión de la factoría de datos desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público de Data Factory. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de almacenamiento se resuelve en la dirección IP del punto de conexión privado.

En el ejemplo anterior, cuando se resuelven fuera de la red virtual que hospeda el punto de conexión privado, los registros de recursos DNS de Data Factory llamados "DataFactoryA" serán:

Nombre Tipo Value
DataFactoryA.{region}.datafactory.azure.net CNAME < Punto de conexión público de Data Factory >
< Punto de conexión público de Data Factory > A < Dirección IP pública de Data Factory >

Los registros de recursos DNS para DataFactoryA, cuando se resuelvan en la red virtual que hospeda el punto de conexión privado, serán:

Nombre Tipo Value
DataFactoryA.{region}.datafactory.azure.net CNAME DataFactoryA.{region}.privatelink.datafactory.azure.net
DataFactoryA.{region}.privatelink.datafactory.azure.net A < dirección IP del punto de conexión privado >

Si va a usar un servidor DNS personalizado en la red, los clientes deben ser capaces de resolver el FQDN del punto de conexión de la factoría de datos en la dirección IP del punto de conexión privado. Debe configurar el servidor DNS para delegar el subdominio de Private Link en la zona DNS privada de la red virtual. O bien, configure los registros A para DataFactoryA.{region}.datafactory.azure.net con la dirección IP del punto de conexión privado.

Nota

Actualmente, solo hay un punto de conexión del portal de Data Factory, por lo que solo hay un punto de conexión privado para el portal en una zona DNS. Si se intentan crear más puntos de conexión privado del portal, se sobrescribirá la entrada DNS privada creada anteriormente para el portal.

En esta sección configurará un vínculo de punto de conexión privado para Data Factory.

Para determinar si desea conectar el IR autohospedado a Data Factory, seleccione un punto de conexión público o un punto de conexión privado durante el paso de creación de Data Factory, que se muestra a continuación:

Captura de pantalla que muestra el bloqueo del acceso público a las IR autohospedadas.

Puede cambiar la selección en cualquier momento después de la operación de creación desde la página del portal de Data Factory en el panel Redes. Después de habilitar el punto de conexión privado, debe agregar un punto de conexión privado a la factoría de datos.

Un punto de conexión privado requiere una red virtual y una subred para el vínculo. En este ejemplo, se usará una máquina virtual dentro de la subred para ejecutar el IR autohospedado, que se conecta a través del vínculo del punto de conexión privado.

Creación de una red virtual

Si no tiene una red virtual para usarla con el vínculo de punto de conexión privado, deberá crearla y asignar una subred.

  1. Inicie sesión en Azure Portal.

  2. En la parte superior izquierda de la pantalla, seleccione Crear un recurso>Redes>Red virtual. O bien, busque Red virtual en el cuadro de búsqueda.

  3. En Crear red virtual, escriba o seleccione la información siguiente en la pestaña Aspectos básicos:

    Configuración Valor
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione un grupo de recursos para la red virtual.
    Detalles de instancia
    Nombre Escriba un nombre para la red virtual.
    Region (Región) Importante: Seleccione la misma región que usa el punto de conexión privado.

  4. Seleccione la pestaña Direcciones IP o Siguiente: Direcciones IP situado en la parte inferior de la página.

  5. En la pestaña Direcciones IP, especifique esta información:

    Configuración Value
    Espacio de direcciones IPv4 Escriba 10.1.0.0/16.

  6. En Nombre de subred, seleccione la palabra predeterminada.

  7. En Editar subred, especifique esta información:

    Configuración Value
    Nombre de subred Escriba un nombre para la subred.
    Intervalo de direcciones de subred Escriba 10.1.0.0/24.

  8. Seleccione Guardar.

  9. Seleccione la pestaña Revisar y crear o el botón Revisar y crear.

  10. Seleccione Crear.

Creación de una máquina virtual para el IR autohospedado

También debe crear o asignar una máquina virtual para ejecutar el IR autohospedado en la subred creada durante los pasos anteriores.

  1. En la parte superior izquierda del portal, seleccione Crear un recurso>Proceso>Máquina virtual. O bien, busque Máquina virtual en el cuadro de búsqueda.

  2. En Crear una máquina virtual, escriba o seleccione los valores en la pestaña Aspectos básicos:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione un grupo de recursos.
    Detalles de instancia
    Nombre de la máquina virtual Escriba un nombre para la máquina virtual.
    Region (Región) Seleccione la región que ha usado para la red virtual.
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Imagen Seleccione Windows Server 2019 Datacenter - Gen1 o cualquier otra imagen de Windows que admita el IR autohospedado.
    Instancia de Azure Spot así que seleccione No.
    Size Seleccione el tamaño de la máquina virtual o use la configuración predeterminada.
    Cuenta de administrador
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmar contraseña Reescriba la contraseña.

  3. Seleccione la pestaña Redes o Siguiente: Discos>Siguiente: Redes.

  4. En la pestaña Redes, seleccione o escriba lo siguiente:

    Configuración Valor
    Interfaz de red
    Virtual network Seleccione la red virtual que creó.
    Subnet Seleccione la subred que creó.
    Dirección IP pública Seleccione Ninguno.
    Grupo de seguridad de red de NIC Básico.
    Puertos de entrada públicos Seleccione Ninguno.

  5. Seleccione Revisar + crear.

  6. Revise la configuración y, a continuación, seleccione Crear.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Creación de un punto de conexión privado

Por último, debe crear el punto de conexión privado en la factoría de datos.

  1. En la página de Azure Portal para su factoría de datos, seleccione Redes>Conexiones de punto de conexión privado y + Punto de conexión privado.

    Captura de pantalla que muestra el panel de conexiones de puntos de conexión privados que se usa para crear un punto de conexión privado.

  2. En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione un grupo de recursos.
    Detalles de instancia
    Nombre Escriba un nombre para el punto de conexión.
    Region (Región) Seleccione la región de la red virtual que creó anteriormente.

  3. Seleccione la pestaña Recurso o el botón Siguiente: Recurso en la parte inferior de la página.

  4. En Recurso, escriba o seleccione esta información:

    Parámetro Value
    Método de conexión Seleccione Conectarse a un recurso de Azure en mi directorio.
    Subscription Seleccione su suscripción.
    Tipo de recurso Seleccione Microsoft.Datafactory/factories.
    Recurso Seleccione su factoría de datos.
    Recurso secundario de destino Si desea crear un punto de conexión privado para las comunicaciones de comandos entre el IR autohospedado y Data Factory, seleccione dataFactory como subrecurso de destino. Si desea usar un punto de conexión privado para la creación y supervisión de la factoría de datos en la red virtual, seleccione Portal para Subrecurso de destino.

  5. Seleccione la pestaña Configuración o el botón Siguiente: Configuración situado en la parte inferior de la pantalla.

  6. En Configuración, escriba o seleccione esta información:

    Configuración Value
    Redes
    Virtual network Seleccione la red virtual que creó.
    Subnet Seleccione la subred que creó.
    Integración de DNS privado
    Integración con una zona DNS privada Deje el valor predeterminado de .
    Subscription Seleccione su suscripción.
    Zonas DNS privadas Mantenga el valor predeterminado en los dos subrecursos de destino: 1. datafactory: (New) privatelink.datafactory.azure.net. 2. portal: (New) privatelink.adf.azure.com.

  7. Seleccione Revisar + crear.

  8. Seleccione Crear.

Si desea restringir el acceso a recursos de Data Factory en las suscripciones mediante Private Link, siga los pasos descritos en Uso del portal para crear un vínculo privado para administrar recursos de Azure.

Problema conocido

No puede acceder a cada recurso de PaaS cuando ambos lados están expuestos a Private Link y al punto de conexión privado. Este problema es una limitación conocida de Private Link y de los puntos de conexión privados.

Por ejemplo, el cliente A utiliza un enlace privado para acceder al portal de la fábrica de datos A en la red virtual A. Cuando la fábrica de datos A no bloquea el acceso público, el cliente B puede acceder al portal de la fábrica de datos A en la red virtual B a través de la vía pública. Pero cuando el cliente B crea un punto de conexión privado en la factoría de datos B de la red virtual B, no puede acceder a la factoría de datos A de manera pública en la red virtual B.

Contenido relacionado