A Microsoft Purview üzembe helyezési ajánlott eljárásai felhőalapú elemzésekhez
Az adatkezelési célzóna felelős a felhőalapú elemzési platform irányításáért. A Microsoft Purview-ra támaszkodik, hogy a legtöbb adatkezelési képességet biztosítsa.
Megjegyzés:
Ez az útmutató a felhőalapú elemzésekre vonatkozó konfigurációkat ismerteti. Ez az Azure ajánlott eljárásainak gyűjteménye, a Microsoft Purview használatával történő adatszabályozás javítására. Az útmutató kiegészíti a Microsoft Purview hivatalos dokumentációját.
Áttekintés
A Microsoft Purview egy egységes adatszabályozási szolgáltatás, amely segít a helyszíni, többfelhős és szolgáltatott szoftveres (SaaS-) adatok kezelésében és szabályozásában. Holisztikus, naprakész térkép készítése az adatkörnyezetről automatizált adatfelderítéssel, bizalmas adatbesorolással és teljes körű adatsorokkal. Engedélyezze az adatkurátorok számára az adattulajdon kezelését és védelmét. Az adatfogyasztók számára lehetővé teheti, hogy megtalálják az értékes és megbízható adatokat.
Tipp.
Javasoljuk, hogy az ön által választott külső eszközökkel integrálja az adatkezelési célzóna fennmaradó képességeit az Azure-ral, amelyeket a Microsoft Purview jelenleg nem támogat.
Egy Microsoft Purview-fiók van üzembe helyezve az adatkezelési célzónán belül, amely központosított adatkatalógusként szolgál. Az adatkezelési célzónából a Microsoft Purview privát hálózati kapcsolaton keresztül kommunikálhat az egyes adat-kezdőzónákkal az adatkezelés, az adat-kezdőzónák és a saját üzemeltetésű integrációs futtatókörnyezetek közötti virtuális hálózatok közötti társviszony-létesítéssel. Az adattermékek felderítése a helyszíni adattárakban és más nyilvános felhőkben a saját üzemeltetésű integrációs futtatókörnyezetek további üzembe helyezésével érhető el.
Fiók beállítása
Az első lépés egy Microsoft Purview-fiók üzembe helyezése. Az adatkezelési célzóna üzembe helyezése során egyetlen Microsoft Purview-fiók automatikusan üzembe lesz helyezve az adatkezelési előfizetésben. A cél az, hogy a teljes adatleképeztetés egyetlen Microsoft Purview-fiókba legyen központosítva az összes adat-kezdőzónában. Javasoljuk, hogy környezettípusonként fontolja meg egy megosztott egyetlen Microsoft Purview-fiókot az adatkezelési kezdőzóna-előfizetésen belül.
A Microsoft Purview-fiók mellett egy felügyelt erőforráscsoport is üzembe van helyezve. A felügyelt tárfiók és a felügyelt Event Hubs-névtér ebben az erőforráscsoportban van üzembe helyezve, és az adategység metaadatainak vizsgálatokkal való betöltésére szolgál. Mivel ezeket az erőforrásokat a Microsoft Purview katalógus használja, nem szabad eltávolítani őket. Az Azure szerepköralapú hozzáférés-vezérlési RBAC megtagadási hozzárendelése automatikusan hozzáadódik az erőforráscsoport szintjén lévő összes taghoz az üzembe helyezéskor.
Előfeltételek
Az üzembe helyezés előtt tekintse át az alábbi követelményeket az adatkezelési célzóna-előfizetésen belül:
- Szabályzatkivételek: Ha meglévő Azure Policy-hozzárendeléssel rendelkezik, amely megakadályozza, hogy a rendszergazdák vagy alkalmazások Azure Storage-fiókokat, Azure Event Hubs-névteret, Microsoft Purview-fiókokat, Azure saját DNS-zónákat vagy Azure privát végpontokat hozzanak létre, Azure Policy-kivételeket kell alkalmaznia. A kivételekre szükség van, így a szükséges erőforrások üzembe helyezhetők az adatkezelési célzónában a Microsoft Purview üzembe helyezésével együtt.
- Erőforrás-szolgáltatók regisztrálása: Győződjön meg arról, hogy az alábbi Azure-erőforrás-szolgáltatókat regisztrálja az adatkezelési kezdőzóna-előfizetésben:
Microsoft.EventHubMicrosoft.PurviewMicrosoft.Storage
Fontos
Az adatkezelési célzóna Microsoft Purview-beli sikeres üzembe helyezéséhez teljesülnek az előfeltételek. Az erőforrás-szolgáltatók regisztrálásáról további információt az Azure-szolgáltatások erőforrás-szolgáltatói című témakörben talál.
Hálózatkezelés és névfeloldás
A felhőalapú elemzés egy Azure-beli privát végpontot használ a katalógushoz való biztonságos hozzáférés engedélyezéséhez az Azure Private Link segítségével. A privát végpont a Microsoft Purview-fiók virtuális hálózat címteréből származó IP-címeket használja. A virtuális hálózaton lévő ügyfelek és a Microsoft Purview-fiók közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton. A virtuális hálózat és a privát kapcsolat kiküszöböli a nyilvános internetről való kitettséget. A teljes körű vizsgálati forgatókönyvek hálózati elkülönítésének engedélyezéséhez több privát végpont van üzembe helyezve. A privát végpontok lehetővé teszik az Azure-beli és a helyszíni adatforrások Azure Private Linken keresztüli csatlakoztatását.
Azure privát végpont üzembe helyezése
A Microsoft Purview-fiók az azure-beli virtuális hálózaton (VNet) belül van üzembe helyezve az adatkezelési célzónán belül, több privát végponttal:
Fiók: A privát végpontok csak a privát hálózaton belülről érkező Microsoft Purview-ügyfélhívások engedélyezésére szolgálnak. A portál privát végpontjának előfeltételeként szükséges.
Portál: A privát végpontok privát kapcsolatot biztosítanak a Microsoft Purview szabályozási portállal. A Microsoft Purview szabályozási portál a felügyeleti felhasználói felület, amely lehetővé teszi a Microsoft Purview webböngészőből való elérését és kezelését.
Privát végpontok betöltése az Azure IaaS- és PaaS-adatforrások azure-beli virtuális hálózaton és helyszíni adatforrások privát kapcsolaton keresztüli vizsgálatához. Ez a módszer biztosítja az adatforrásból a Microsoft Purview Adattérképbe áramló metaadatok hálózati elkülönítését.
Fontos
Az adatforrások Microsoft Purview-ban történő sikeres vizsgálatához egy saját üzemeltetésű integrációs modult kell üzembe helyezni ugyanabban a virtuális hálózaton belül, ahol a Microsoft Purview betöltési privát végpontok vannak üzembe helyezve, amelyek lehetnek az adatkezelési célzónán vagy bármely adat-célzónán belül.
Az adatkezelési célzóna-hálózatkezelésről további információt a felhőalapú elemzési hálózatkezelés című témakörben talál.
További információ a Microsoft Purview privát végpontjairól: Privát végpontok használata a Microsoft Purview-fiókhoz.
Privát végpont fiókhoz és portálhoz
Ha az adattulajdont a Microsoft Purview használatával szeretné kezelni, és csatlakozni szeretne a Microsoft Purview szabályozási portálhoz, privát kapcsolatot kell használnia. A nyilvános hozzáférés az adatkezelési célzónán belül üzembe helyezett Microsoft Purview-fiókra korlátozódik a nagyobb biztonság érdekében. A fiók - és portál privát végpontok üzembe helyezése privát kapcsolatot biztosít a Microsoft Purview-fiókhoz, és hozzáférést biztosít a Microsoft Purview szabályozási portálhoz.
Hozzáférés a Microsoft Purview szabályozási portálhoz
A Microsoft Purview portál privát kapcsolaton keresztüli használatának fenntartása érdekében javasoljuk, hogy tiltsa le a nyilvános hálózati hozzáférést a Microsoft Purview beállításai között. A Microsoft Purview szabályozási portálhoz való csatlakozáshoz a hálózaton belül üzembe helyezett ugrógépre vagy jump boxra van szükség. Használhatja a hibrid hálózatról származó gépet, vagy virtuális gépként az adatkezelési célzónán belül. A jump machine egy edzett távelérési kiszolgáló, amely gyakran használja a Microsoft Remote Desktop Services vagy Secure Shell (SSH) szoftverét. A jump gépek ugródeszkaként szolgálnak azoknak a rendszergazdáknak, akik a dedikált gazdagépen végzett összes rendszergazdai művelettel hozzáférnek a kritikus rendszerekhez.
Az alábbi lehetőségek bármelyikével kezelheti adatait a Microsoft Purview használatával a Microsoft Purview szabályozási portálon keresztül:
1. lehetőség: Használjon egy ugrógépet, amely a vállalati hálózathoz csatlakozik. A kapcsolati modell használatához kapcsolatnak kell lennie a Microsoft Purview portál privát végpontját létrehozó virtuális hálózat és a vállalati hálózat között.
Tekintse át felhőadaptálási keretrendszer hálózatkezelést a hálózati topológia és a kapcsolatok további áttekintéséhez.
2. lehetőség: Ha a hibrid kapcsolat nem érhető el a szervezetben, helyezzen üzembe egy virtuális gépet az adatkezelési célzónán belül. Az Azure Bastion üzembe helyezése a Microsoft Purview-hoz való biztonságos csatlakozáshoz.
Privát végpontok a betöltéshez
A Microsoft Purview privát vagy nyilvános végpontok használatával vizsgálhat adatforrásokat azure-beli vagy helyszíni környezetekben. Az adat-célzóna hálózata automatikusan társviszonyba kerül az adatkezelési célzóna virtuális hálózatával és a kapcsolati előfizetés virtuális hálózatával. Így az adat-kezdőzónákban lévő adatforrásokat privát kapcsolatokkal lehet beolvasni.
Javasoljuk, hogy engedélyezze a privát végpontokat a kezdőzónákon belüli más adatforrásokhoz, és privát kapcsolaton keresztül vizsgálja meg az adatforrásokat.
Névfeloldás
A privát végpontok DNS-feloldását központi Azure-saját DNS zónákon keresztül kell kezelni. A következő privát DNS-zónák automatikusan üzembe lesznek helyezve a Microsoft Purview üzembe helyezésében az adatkezelési célzónában:
privatelink.purview.azure.comprivatelink.purviewstudio.azure.comprivatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
Ha hibrid felhővel rendelkezik, és a helyek közötti névfeloldás szükséges, fontos, hogy a helyszíni DNS-kiszolgálók megfelelően konfigurálva továbbíthassák a megfelelő kéréseket az Egyéni DNS-kiszolgálónak az Azure-ban.
Ha már rendelkezik egyéni DNS-rel az Azure-ban, feltételes továbbítókat kell beállítania a helyszíni DNS-kiszolgálón, amelyek arra mutatnak.
Ha nem rendelkezik egyéni DNS-virtuális géppel az Azure-ban, üzembe helyezheti az Azure-beli virtuálisgép-méretezési csoportot, amely már konfigurált NGINX-et is tartalmaz a DNS-kérések Azure által biztosított DNS-IP-címre
168.63.129.16való továbbítására. További információ: NGINX DNS-proxy virtuálisgép-méretezési készletének üzembe helyezése meglévő virtuális hálózaton.
Tipp.
Az adatkezelési célzóna és az adat-célzóna közötti névfeloldás engedélyezéséhez használja ugyanazokat a privát DNS-zónákat, amelyek az erőforráscsoporton belül {prefix}-global-dns találhatók az adatkezelési célzónán belül.
A felhőalapú elemzések hálózatkezelésével és a névfeloldással kapcsolatos további információkért lásd : Felhőalapú elemzések hálózatkezelése
Adatforrások hitelesítésének kezelése a Microsoft Purview-ban
A Microsoft Purview hozzáférést igényel a vezérlősíkhoz és az adatsíkhoz az adatforrások regisztrálásához és vizsgálatához.
Adatforrások regisztrálása
A Microsoft Purview-fiók üzembe helyezésekor a rendszer automatikusan létrehoz egy rendszer által hozzárendelt felügyelt identitást. Ez a Microsoft Entra-bérlőben jön létre, és ehhez az erőforráshoz van rendelve. Ha az azure-erőforrásokat előfizetés vagy erőforráscsoport alatt szeretné olvasni és listázni, amikor adatforrásokat regisztrál a Microsoft Purview-ban, a Microsoft Purview által felügyelt identitáshoz az Azure RBAC Reader szerepkörre van szükség a hatókörben.
Mielőtt regisztrálná ezeket az adatforrásokat a Microsoft Purview-ban, fontolja meg az Olvasó szerepkör hozzárendelését a Microsoft Purview által felügyelt identitáshoz minden adat-kezdőzóna-előfizetésben:
- Azure Blob Storage
- 1. generációs Azure Data Lake Storage
- 2. generációs Azure Data Lake Storage
- Azure SQL Database
- Azure SQL Managed Instance
- Azure Synapse Analytics
Adatforrások vizsgálata
Az új vizsgálatok futtatása előtt győződjön meg arról, hogy teljesítette a következő követelményeket:
Saját üzemeltetésű integrációs futtatókörnyezetek üzembe helyezése és regisztrálása
Saját üzemeltetésű integrációs modul (IR) virtuális gépek üzembe helyezése és regisztrálása az egyes adat-kezdőzónákhoz. Az adatforrások, például az Azure SQL Database vagy bármely virtuálisgép-alapú adatforrások vizsgálatához saját üzemeltetésű IRS-ek szükségesek. Ezek az adatforrások lehetnek a helyszínen vagy az egyes adat-kezdőzónákban. A saját üzemeltetésű integrációs modul másolási tevékenységeket futtathat egy felhőbeli adattár és egy magánhálózati adattár között. It also can dispatch transform activities against compute resources in an on-premises network or an Azure virtual network. A saját üzemeltetésű integrációs modul telepítéséhez helyszíni gépre vagy egy magánhálózaton belüli virtuális gépre van szükség.
Tipp.
Javasoljuk, hogy az integrációs modul üzemeltetéséhez dedikált gépet használjon. A gépnek külön kell lennie az adattárat üzemeltető kiszolgálótól. Emellett erősen ajánlott legalább két saját üzemeltetésű integrációs modul virtuális gép tervezése minden egyes adat-kezdőzónában vagy helyszíni környezetben.
A helyszíni adatforrások vizsgálatához a saját üzemeltetésű IRS-ek üzembe helyezhetők a helyszíni hálózaton belül, azonban az Azure-ban található adatforrások vizsgálatához a saját üzemeltetésű IRS-eket ugyanabban a virtuális hálózaton kell üzembe helyezni, mint a Microsoft Purview-betöltési privát végpontokat. Javasoljuk, hogy új betöltési privát végpontokat és új, saját üzemeltetésű IRS-eket helyezzen üzembe régiónként, ahol adatforrások találhatók.
Előfordulhat, hogy növekvő egyidejű számítási feladatot szeretne üzemeltetni. Vagy magasabb teljesítményt szeretne elérni a jelenlegi számítási feladat szintjén. A feldolgozás skáláját az alábbi módszerek egyikével javíthatja:
- Vertikális felskálázás, ha a csomópont processzora és memóriája nincs használatban
- A saját üzemeltetésű integrációs modul vertikális felskálázása további csomópontok vagy virtuálisgép-méretezési csoportok hozzáadásával
Hozzáférés hozzárendelése az adatsíkhoz adatforrások vizsgálatához
Ha hozzáférést szeretne biztosítani a Microsoft Purview-hoz az adatsíkon és az adatforrásokhoz, több lehetőség is van a hitelesítés beállítására:
- 1. lehetőség: Felügyelt identitás
- 2. lehetőség: Az Azure Key Vaultban titkos kulcsként tárolt fiókkulcsok vagy jelszavak
- 3. lehetőség: Az Azure Key Vaultban titkos kódként tárolt szolgáltatásnév
Fontos
Ha a Microsoft Purview-ban az Azure Private Linken keresztül szeretne adatforrásokat beolvasni, üzembe kell helyeznie egy saját üzemeltetésű integrációs modult, és az adatforrások közötti hitelesítési lehetőségek közül a fiókkulcsot, az SQL-hitelesítést vagy a szolgáltatásnevet kell használnia.
Tipp.
Ha egy adatforrás nem tudja használni az Azure Private Linket, javasoljuk, hogy a Microsoft Purview által felügyelt identitással vizsgálja meg az adatforrásokat. Ebben az esetben engedélyeznie kell a nyilvános hozzáférést a Microsoft Purview-fiók tűzfalbeállításaihoz.
Titkos kulcsok tárolása az Azure Key Vaultban
Több Azure Key Vault-erőforrás lesz üzembe helyezve az adatkezelési célzónán és az adat-célzóna-előfizetéseken belül. Az Azure Key Vault-erőforrások metaadat-adatforrásokhoz kapcsolódó titkos kulcsokat tárolnak az adatkezelési célzónában és az adatforrásokban. Egy adatforrás például az Azure Data Factory által használt Azure SQL Database. Vagy a Databricks-munkaterületek által az adat-kezdőzónában használt Azure Database for MySQL-hez.
Csatlakozás adat-kezdőzónák Azure-kulcstartóit a Microsoft Purview-fiókhoz
A Microsoft Purview használhatja az Azure-kulcstartókban tárolt titkos kulcsokat és hitelesítő adatokat. Ezek csak akkor használhatók, ha az Azure Key Vault-kapcsolatot a Microsoft Purview-fiókon belül hozza létre, és a titkos kód regisztrálva van. Új adat-kezdőzóna hozzáadása után létre kell hoznia egy új Azure Key Vault-kapcsolatot a Microsoft Purview-fiókon belül. A kapcsolat az Azure Key Vault-erőforrás és a Microsoft Purview-fiók egy-az-egyhez társítása. Lehetővé teszi hitelesítő adatok létrehozását a Microsoft Purview-fiókban az Azure Key Vaultban tárolt titkos kódok alapján.
További információ: Azure Key Vault-kapcsolatok létrehozása a Microsoft Purview-fiókban.
Tipp.
Távolítsa el a nem használt Azure-kulcstartókat a Key Vault-kapcsolatok minimalizálása érdekében.
Hitelesítő adatok létrehozása a Microsoft Purview-ben
Előfordulhat, hogy a hitelesítő adatokat kulcstartó titkos kulcsával kell beállítania adott forgatókönyvekhez:
- Olyan adatforrások vizsgálata, ahol a Microsoft Purview felügyelt identitása nem használható hitelesítési módszerként.
- Az adatforrások saját üzemeltetésű integrációs modullal történő vizsgálatához a támogatott hitelesítési típusokat, például a fiókkulcsokat, az SQL-hitelesítést (jelszót) vagy a szolgáltatásnevet hitelesítő adatokban kell tárolni.
- Adatforrások vizsgálata privát végponttal az adatbetöltéshez.
- Virtuális gépen vagy helyszíni környezetben található adatforrások vizsgálata.
Mielőtt hitelesítő adatokat hoz létre a Microsoft Purview-ban, a Microsoft Purview-fióknak hozzá kell férnie az Azure Key Vault titkos kulcsaihoz. Az Azure Key Vault hozzáférési szabályzatával vagy szerepköralapú hozzáférés-vezérléssel (RBAC) biztosíthatja a Microsoft Purview felügyeltszolgáltatás-identitásának (MSI) a szükséges hozzáférést. A Microsoft Purview MSI-hozzáférésének az Azure Key Vaulthoz való engedélyezéséről és a Hitelesítő adatok Microsoft Purview-ban való létrehozásáról a Forráshitelesítés hitelesítő adatai a Microsoft Purview-ban című témakörben talál további információt.
Microsoft Purview-szerepkörök és hozzáférés-vezérlés
A Microsoft Purview számos beépített szerepkört kínál, például az adatolvasót, az adatkurátort, a gyűjtemény-rendszergazdat, az adatforrás-rendszergazdat és a szabályzatkészítőt az adatsík kezeléséhez, amelyek kombinálhatók további jogosultságok biztosításához. Az Adatolvasó szerepkör például olyan szerepkörökre van megcélzva, mint az adattisztviselők, az adatgondnokok és az adattulajdonhoz írásvédett hozzáférést igénylő fő biztonsági tisztviselők. Az adattulajdon tartalmazhat besorolásokat, keresési beállításokon keresztüli levezetést és a Microsoft Purview-ban elérhető jelentéseket.
Miután az adatkezelési célzóna üzembe helyezése befejeződött, a legkevésbé jogosultsági modellel biztosítson hozzáférést a metaadatok megtekintéséhez vagy kezeléséhez a Microsoft Purview-ban.
Fontos
A Microsoft Purview adatsík-szerepköröket a Microsoft Purview szabályozási portálon vagy közvetlenül az API használatával kell felügyelni.
További információ a Microsoft Purview-szerepkörökről: Hozzáférés-vezérlés a Microsoft Purview adatsíkjában
Ajánlott Microsoft Purview-szerepkörök
Tekintse át a felhőalapú elemzések üzembe helyezésében részt vevő személyek alábbi listáját. Rendelje hozzájuk a megfelelő Microsoft Purview-szerepköröket, hogy hozzájáruljanak az üzembe helyezés sikerességéhez:
| Persona | Role | Ajánlott Microsoft Purview-szerepkör |
|---|---|---|
| Terméktulajdonosok | A terméktulajdonosok az Azure használatával alakítják át a megoldásokat, rugalmasságot biztosítanak a vállalat számára, és optimalizálják az üzleti folyamatokat. | Adatolvasó |
| Megoldástervezők | A vállalati üzleti hálózat határain áthaladó megoldások definiálása. Megtudhatja, hogyan kezelhetők az Azure-szolgáltatások diagnosztizálása, elemzése, tervezése, üzembe helyezése és integrációja. | |
| Fejlesztői és DevOps-mérnökök | Folyamatos integrációs és kézbesítési folyamat tervezése, összeállítása, üzembe helyezése, tesztelése és fenntartása az Azure DevOps vagy a GitHub használatával. | Nem alkalmazható |
| Biztonsági mérnökök | Ajánlott eljárások használatával engedélyezheti a csapatok számára, hogy biztonságos infrastruktúrát tervezhessenek és implementáljanak az Azure-ban. | |
| Műszaki és üzleti vezetők | Az Azure-szolgáltatások általános ismerete. Szabályozhatja a felhőköltségeket, optimalizálhatja a műveleteket és a csapat rugalmasságát. | Nem alkalmazható |
| Döntéshozók és üzleti felhasználók | Az Azure használatával hozzáférhet a végrehajtható megállapításokhoz, és azt várja, hogy a legrelevánsabb formában legyen kézbesítve. Az üzleti folyamatok optimalizálásához használja a meglévő megoldásokba beágyazott mesterséges intelligenciát. | Adatolvasó |
| Adatkezelők | Az adategységekhez való hozzáférés kiépítéséért és kezeléséért felelős. | Adatolvasó vagy adatkurátor |
| Adatelemzők és teljesítményelemzők | Az Azure használatával új megállapításokat fedezhet fel és oszthat meg meglévő adategységekből vagy alkalmi adatokból. Egykattintásos AI-átalakítások létrehozása, előre összeállított modellek felhasználása és gépi tanulási modellek egyszerű létrehozása. | |
| Adatmérnökök | Az Azure használatával adat- és elemzési termékeket hozhat létre, integrálhat és kezelhet. Ha szükséges, AI-kompatibilis alkalmazásokat és megoldásokat hozhat létre. | |
| Állampolgári adattudósok | Gépi tanulási modellek létrehozása hatékony vizualizációs, húzással és kód nélküli eszközökkel, ahol nincs szükség kódolásra | |
| Adattudósok | Az előnyben részesített eszközök és gépi tanulási keretrendszerek használatával méretezhető adatelemzési megoldásokat hozhat létre. Gyorsítsa fel a teljes körű gépi tanulási életciklust. | |
| Gépi tanulási mérnökök | A megfelelő folyamatok és infrastruktúra engedélyezése a modellek egyszerű üzembe helyezéséhez és a modellkezeléshez. |
További információ az adatszerepkörökről: Szerepkörök és csapatok.
Következő lépések
Azure Machine Tanulás adattermékként felhőalapú elemzésekhez