Megosztás a következőn keresztül:


Azure Private Link az Azure Data Factoryhez

A következőkre vonatkozik: Azure Data Factory Azure Synapse Analytics

Tipp.

Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!

Az Azure Private Link használatával egy privát végponton keresztül csatlakozhat az Azure különböző szolgáltatásként (PaaS- ) üzemelő példányaihoz. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül. A Private Link funkciót támogató PaaS-üzemelő példányok listáját a Private Link dokumentációjában találja.

Biztonságos kommunikáció az ügyfélhálózatok és a Data Factory között

Beállíthat egy Azure-beli virtuális hálózatot hálózatának felhőbeli logikai megfelelőjeként. Ez a következő előnyökkel jár:

  • Azure-erőforrásai védettek lehetnek a nyilvános hálózatokon elkövetett támadásokkal szemben.
  • Lehetővé teszi, hogy a hálózatok és az adat-előállító biztonságosan kommunikáljanak egymással.

Helyszíni hálózatot is csatlakoztathat a virtuális hálózathoz. Állítson be egy internetprotokoll biztonsági VPN-kapcsolatot, amely egy helyek közötti kapcsolat. Vagy állítson be egy Azure ExpressRoute-kapcsolatot. amely egy privát társviszony-létesítési kapcsolat.

Saját üzemeltetésű integrációs modult (IR) is telepíthet egy helyszíni gépre vagy egy virtuális gépre a virtuális hálózaton. Ez az alábbiakat teszi lehetővé:

  • Másolási tevékenységeket végezhet a felhőalapú adattárak és a magánhálózaton található adattárak között.
  • Átalakítási tevékenységeket küldhet a helyszíni vagy Azure-beli virtuális hálózaton lévő számítási erőforrásokra vonatkozóan.

Az Azure Data Factory és az ügyfél virtuális hálózata között több kommunikációs csatornára van szükség, ahogyan az az alábbi táblázatban látható:

Tartomány Kikötő Leírás
adf.azure.com 443 A Data Factory-portált a Data Factory szerzői és monitorozási szolgáltatása igényli.
*.{region}.datafactory.azure.net 443 A Data Factoryhez való csatlakozáshoz a saját üzemeltetésű integrációs modul szükséges.
*.servicebus.windows.net 443 Az interaktív szerzői műveletekhez a saját üzemeltetésű integrációs modul szükséges.
download.microsoft.com 443 A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges.

Feljegyzés

A nyilvános hálózati hozzáférés letiltása csak a saját üzemeltetésű integrációs modulra vonatkozik, az Azure IR-re és az SQL Server Integration Services integrációs szolgáltatására nem.

A Data Factory felé folytatott kommunikáció a Private Linken keresztül biztosítja a biztonságos privát kapcsolatot.

A Data Factory-architektúrához készült Private Linket bemutató diagram.

A Private Link engedélyezése az előző kommunikációs csatornák mindegyikéhez a következő funkciókat biztosítja:

  • Támogatott:

    • A Data Factory portálon a virtuális hálózatról is létrehozhat és monitorozhat, még akkor is, ha minden kimenő kommunikációt letilt. Ha privát végpontot hoz létre a portálhoz, mások továbbra is hozzáférhetnek a Data Factory portálhoz a nyilvános hálózaton keresztül.
    • A saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikáció biztonságosan elvégezhető magánhálózati környezetben. A saját üzemeltetésű integrációs modul és a Data Factory közötti forgalom a Private Linken keresztül halad át.
  • Jelenleg nem támogatott:

    • A saját üzemeltetésű integrációs modult (például tesztkapcsolatot, mappalista és táblázatlista tallózását, sémák lekérését és előzetes verziójú adatokat) használó interaktív szerzői műveletek a Private Linken keresztül haladnak végig. Figyelje meg, hogy a forgalom privát kapcsolaton megy keresztül, ha az önkiszolgáló interaktív szerzői funkció engedélyezve van. Lásd : önálló interaktív szerzői műveletek.

    Feljegyzés

    Az "IP-cím lekérése" és a "Küldési napló" nem támogatott, ha engedélyezve van az önálló interaktív létrehozás.

    • Az automatikus frissítés engedélyezése esetén automatikusan letölthető helyi integrációs modul új verziója jelenleg nem támogatott.

    A jelenleg nem támogatott funkciókhoz konfigurálnia kell a korábban említett tartományt és portot a virtuális hálózaton vagy a vállalati tűzfalon.

    A Data Factoryhez privát végponton keresztül történő csatlakozás csak a Data Factory saját üzemeltetésű integrációs moduljaira vonatkozik. Az Azure Synapse Analytics nem támogatja.

Figyelmeztetés

Ha engedélyezi a Private Link Data Factoryt, és egyidejűleg letiltja a nyilvános hozzáférést, a hitelesítő adatokat az Azure Key Vaultban tárolhatja, hogy biztonságosak legyenek.

Privát végpont konfigurálása a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz

Ez a szakasz azt ismerteti, hogyan konfigurálhatja a privát végpontot a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.

A privát végpont a virtuális hálózaton jön létre a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz. Kövesse a Data Factory privát végponthivatkozásának beállításával kapcsolatos lépéseket.

Győződjön meg arról, hogy a DNS-konfiguráció helyes

A DNS-beállítások ellenőrzéséhez vagy konfigurálásához kövesse a privát végpontok DNS-módosításainak utasításait.

Helyezze az Azure Relay és a Letöltőközpont teljes tartományneveit a tűzfal engedélyezett listájába

Ha a saját üzemeltetésű integrációs modul telepítve van a virtuális hálózat virtuális gépére, engedélyezze a kimenő forgalmat a virtuális hálózat NSG-jében lévő teljes tartománynevek alá.

Ha a saját üzemeltetésű integrációs modul a helyszíni környezetben található számítógépre van telepítve, engedélyezze a kimenő forgalmat a helyszíni környezet és a virtuális hálózat NSG tűzfalán a teljes tartománynevek alá.

Tartomány Kikötő Leírás
*.servicebus.windows.net 443 A saját üzemeltetésű integrációs modul az interaktív szerzői műveletekhez szükséges
download.microsoft.com 443 A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges

Ha nem engedélyezi az előző kimenő forgalmat a tűzfalban és az NSG-ben, a saját üzemeltetésű integrációs modul korlátozott állapotban jelenik meg. De továbbra is használhatja tevékenységek végrehajtására. Csak az interaktív szerkesztés és az automatikus frissítés nem működik.

Feljegyzés

Ha egy (megosztott) adat-előállító saját üzemeltetésű integrációs modullal rendelkezik, és a saját üzemeltetésű integrációs modul meg van osztva más (csatolt) adat-előállítókkal, akkor csak egy privát végpontot kell létrehoznia a megosztott adat-előállítóhoz. Más kapcsolt adat-előállítók ezt a privát kapcsolatot használhatják a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.

Feljegyzés

Jelenleg nem támogatjuk a privát kapcsolat létrehozását egy saját üzemeltetésű integrációs modul és egy Synapse Analytics-munkaterület között. A saját üzemeltetésű integrációs modul továbbra is képes kommunikálni a Synapse-szel akkor is, ha az adatkiszivárgás elleni védelem engedélyezve van a Synapse-munkaterületen.

DNS-módosítások privát végpontokhoz

Privát végpont létrehozásakor az adat-előállító DNS CNAME erőforrásrekordja a privatelink előtaggal rendelkező altartomány aliasára frissül. Alapértelmezés szerint a privát kapcsolat altartományának megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.

Ha a data factory végpontJÁNAK URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a Data Factory nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.

Az előző példában bemutatott példában a DataFactoryA nevű adat-előállító DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:

Név Típus Érték
DataFactoryA. {region}.datafactory.azure.net CNAME < A Data Factory nyilvános végpontja >
< A Data Factory nyilvános végpontja > A < Data Factory nyilvános IP-címe >

A DataFactoryA DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton feloldva a következő lesznek:

Név Típus Érték
DataFactoryA. {region}.datafactory.azure.net CNAME DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net A < privát végpont IP-címe >

Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani az adat-előállító végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a Private Link altartományt a virtuális hálózat privát DNS-zónájához. Vagy konfigurálhatja a DataFactoryA A rekordjait. {region}.datafactory.azure.net a privát végpont IP-címével.

Feljegyzés

Jelenleg csak egy Data Factory-portálvégpont létezik, így a portálhoz csak egy privát végpont van egy DNS-zónában. A második vagy az azt követő privát portálvégpont létrehozása felülírja a portálhoz korábban létrehozott privát DNS-bejegyzést.

Ebben a szakaszban beállít egy privát végponthivatkozást a Data Factoryhez.

A Data Factory létrehozási lépése során a Nyilvános végpont vagy a Privát végpont kiválasztásával eldöntheti, hogy csatlakoztatja-e a saját üzemeltetésű integrációs modult a Data Factoryhez, az itt látható módon:

Képernyőkép a saját üzemeltetésű integrációs modul nyilvános hozzáférésének letiltásáról.

A kijelölést a létrehozás után bármikor módosíthatja a Data Factory portáljának Hálózatkezelés ablaktábláján. Miután engedélyezte a privát végpontot , magánvégpontot is hozzá kell adnia az adat-előállítóhoz.

A privát végponthoz virtuális hálózatra és alhálózatra van szükség a hivatkozáshoz. Ebben a példában az alhálózaton belüli virtuális gép a saját üzemeltetésű integrációs modul futtatására szolgál, amely a privát végpont hivatkozásán keresztül csatlakozik.

Virtuális hálózat létrehozása

Ha nem rendelkezik meglévő virtuális hálózattal a privát végpontkapcsolattal való használathoz, létre kell hoznia egyet, és hozzá kell rendelnie egy alhálózatot.

  1. Jelentkezzen be az Azure Portalra.

  2. A képernyő bal felső sarkában válassza az Erőforrás-hálózat>létrehozása>virtuális hálózat létrehozása vagy a Virtuális hálózat keresése lehetőséget a keresőmezőben.

  3. A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki ezeket az információkat az Alapszintű beállítások lapon:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válasszon egy erőforráscsoportot a virtuális hálózathoz.
    Példány részletei
    Név Adja meg a virtuális hálózat nevét.
    Régió Fontos: Válassza ki azt a régiót, amelyet a privát végpont használ.
  4. Válassza az IP-címek lapot, vagy válassza a Tovább: IP-címek lehetőséget a lap alján.

  5. Az IP-címek lapon adja meg az alábbi adatokat:

    Beállítás Érték
    IPv4-címtér Adja meg a 10.1.0.0/16 értéket.
  6. Az Alhálózat neve területen válassza ki az alapértelmezett szót.

  7. A Szerkesztés alhálózatban adja meg az alábbi adatokat:

    Beállítás Érték
    Alhálózat neve Adja meg az alhálózat nevét.
    Alhálózati címtartomány Adja meg a 10.1.0.0/24 értéket.
  8. Válassza a Mentés lehetőséget.

  9. Válassza a Véleményezés + létrehozás lapot, vagy válassza a Véleményezés + létrehozás gombot.

  10. Válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása a saját üzemeltetésű integrációs modulhoz

Az előző lépésekben létrehozott új alhálózaton is létre kell hoznia vagy hozzárendelnie kell egy meglévő virtuális gépet a saját üzemeltetésű integrációs modul futtatásához.

  1. A portál bal felső sarkában válassza az Erőforrás>számítási>virtuális gép létrehozása vagy a Virtuális gép keresése lehetőséget a keresőmezőben.

  2. A Virtuális gép létrehozása lapon adja meg vagy válassza ki az alapértékeket :

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válasszon ki egy erőforráscsoportot.
    Példány részletei
    Virtuális gép neve Adja meg a virtuális gép nevét.
    Régió Válassza ki a virtuális hálózathoz használt régiót.
    Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
    Kép Válassza a Windows Server 2019 Datacenter – Gen1 vagy bármely más Windows rendszerképet, amely támogatja a saját üzemeltetésű integrációs modult.
    Azure-kihasználatlan példány Válassza a Nem lehetőséget.
    Méret Válassza ki a virtuális gép méretét, vagy használja az alapértelmezett beállítást.
    Rendszergazdai fiók
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.
    Jelszó megerősítése A jelszó újraküldése.
  3. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek>tovább: Hálózatkezelés lehetőséget.

  4. A Hálózatkezelés lapon válassza ki vagy írja be a következőt:

    Beállítás Érték
    Hálózati adapter
    Virtuális hálózat Válassza ki a létrehozott virtuális hálózatot.
    Alhálózat Válassza ki a létrehozott alhálózatot.
    Nyilvános IP-cím Válassza a Nincs lehetőséget.
    Hálózati hálózati biztonsági csoport Alapszintű.
    Nyilvános bejövő portok Válassza a Nincs lehetőséget.
  5. Válassza az Áttekintés + létrehozás lehetőséget.

  6. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

Privát végpont létrehozása

Végül létre kell hoznia egy privát végpontot az adat-előállítóban.

  1. Az adat-előállító Azure Portal lapján válassza a Hálózatkezelés>privát végpont kapcsolatai lehetőséget, majd válassza a + Privát végpont lehetőséget.

    A privát végpont létrehozásához használt Privát végpont kapcsolatok panel képernyőképe.

  2. A privát végpont létrehozása alapszintű lapján adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válasszon ki egy erőforráscsoportot.
    Példány részletei
    Név Adja meg a végpont nevét.
    Régió Válassza ki a létrehozott virtuális hálózat régióját.
  3. Válassza az Erőforrás lapot vagy a Következő: Erőforrás gombot a képernyő alján.

  4. Az erőforrásban adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Kapcsolati módszer Válassza a Csatlakozás azure-erőforráshoz lehetőséget a címtáramban.
    Előfizetés Válassza ki előfizetését.
    Erőforrás típusa Válassza a Microsoft.Datafactory/factorys lehetőséget.
    Erőforrás Válassza ki az adat-előállítót.
    Célzott alerőforrás Ha a privát végpontot szeretné használni a saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikációhoz, válassza ki az adatmappát Cél alerőforrásként. Ha a privát végpontot szeretné használni az adat-előállító létrehozásához és monitorozásához a virtuális hálózaton, válassza a portált cél-alerőforrásként.
  5. Válassza a Konfiguráció lapot vagy a Következő: Konfiguráció gombot a képernyő alján.

  6. A konfigurációban adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Hálózat
    Virtuális hálózat Válassza ki a létrehozott virtuális hálózatot.
    Alhálózat Válassza ki a létrehozott alhálózatot.
    saját DNS integráció
    Integrálás saját DNS-zónával Hagyja meg az Igen alapértelmezett értékét.
    Előfizetés Válassza ki előfizetését.
    Privát DNS-zónák Hagyja meg az alapértelmezett értéket mindkét cél-alerőforrásban: 1. datafactory: (Új) privatelink.datafactory.azure.net. 2. portál: (új) privatelink.adf.azure.com.
  7. Válassza az Áttekintés + létrehozás lehetőséget.

  8. Válassza a Létrehozás lehetőséget.

Ha privát kapcsolattal szeretné korlátozni a Data Factory-erőforrások hozzáférését az előfizetéseiben, kövesse a Használati portál lépéseit , és hozzon létre egy privát hivatkozást az Azure-erőforrások kezeléséhez.

Ismert probléma

Nem fér hozzá az egyes PaaS-erőforrásokhoz, ha mindkét oldal privát kapcsolatnak és privát végpontnak van kitéve. Ez a probléma a Private Link és a privát végpontok ismert korlátozása.

Az A ügyfél például egy privát hivatkozást használ az A virtuális hálózat A adat-előállító portáljának eléréséhez. Ha az A adat-előállító nem blokkolja a nyilvános hozzáférést, a B ügyfél a B virtuális hálózaton keresztül hozzáférhet az A adat-előállító portálhoz. Amikor azonban a B ügyfél létrehoz egy privát végpontot a B virtuális hálózat B adat-előállítója ellen, akkor a B ügyfél már nem tudja elérni az A adat-előállítót nyilvánosan a B virtuális hálózatban.