Azure Private Link az Azure Data Factoryhez

A következőkre vonatkozik: Azure Data Factory Azure Synapse Analytics

Tipp.

Próbálja ki a Data Factoryt a Microsoft Fabricben, amely egy teljes körű elemzési megoldás a nagyvállalatok számára. A Microsoft Fabric az adattovábbítástól az adatelemzésig, a valós idejű elemzésig, az üzleti intelligenciáig és a jelentéskészítésig mindent lefed. Ismerje meg, hogyan indíthat új próbaverziót ingyenesen!

Az Azure Private Link használatával egy privát végponton keresztül csatlakozhat az Azure különböző szolgáltatásként (PaaS- ) üzemelő példányaihoz. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül. A Private Link funkciót támogató PaaS-üzemelő példányok listáját a Private Link dokumentációjában találja.

Biztonságos kommunikáció az ügyfélhálózatok és a Data Factory között

Beállíthat egy Azure-beli virtuális hálózatot hálózatának felhőbeli logikai megfelelőjeként. Ez a következő előnyökkel jár:

• Azure-erőforrásai védettek lehetnek a nyilvános hálózatokon elkövetett támadásokkal szemben.
• Lehetővé teszi, hogy a hálózatok és az adat-előállító biztonságosan kommunikáljanak egymással.

Helyszíni hálózatot is csatlakoztathat a virtuális hálózathoz. Állítson be egy internetprotokoll biztonsági VPN-kapcsolatot, amely egy helyek közötti kapcsolat. Vagy állítson be egy Azure ExpressRoute-kapcsolatot. amely egy privát társviszony-létesítési kapcsolat.

Saját üzemeltetésű integrációs modult (IR) is telepíthet egy helyszíni gépre vagy egy virtuális gépre a virtuális hálózaton. Ez az alábbiakat teszi lehetővé:

• Másolási tevékenységeket végezhet a felhőalapú adattárak és a magánhálózaton található adattárak között.
• Átalakítási tevékenységeket küldhet a helyszíni vagy Azure-beli virtuális hálózaton lévő számítási erőforrásokra vonatkozóan.

Az Azure Data Factory és az ügyfél virtuális hálózata között több kommunikációs csatornára van szükség, ahogyan az az alábbi táblázatban látható:

Tartomány	Kikötő	Leírás
adf.azure.com	443	A Data Factory-portált a Data Factory szerzői és monitorozási szolgáltatása igényli.
*.{region}.datafactory.azure.net	443	A Data Factoryhez való csatlakozáshoz a saját üzemeltetésű integrációs modul szükséges.
*.servicebus.windows.net	443	Az interaktív szerzői műveletekhez a saját üzemeltetésű integrációs modul szükséges.
download.microsoft.com	443	A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges.

Feljegyzés

A nyilvános hálózati hozzáférés letiltása csak a saját üzemeltetésű integrációs modulra vonatkozik, az Azure IR-re és az SQL Server Integration Services integrációs szolgáltatására nem.

A Data Factory felé folytatott kommunikáció a Private Linken keresztül biztosítja a biztonságos privát kapcsolatot.

A Private Link engedélyezése az előző kommunikációs csatornák mindegyikéhez a következő funkciókat biztosítja:

• Támogatott:

  • A Data Factory portálon a virtuális hálózatról is létrehozhat és monitorozhat, még akkor is, ha minden kimenő kommunikációt letilt. Ha privát végpontot hoz létre a portálhoz, mások továbbra is hozzáférhetnek a Data Factory portálhoz a nyilvános hálózaton keresztül.
  • A saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikáció biztonságosan elvégezhető magánhálózati környezetben. A saját üzemeltetésű integrációs modul és a Data Factory közötti forgalom a Private Linken keresztül halad át.

• Jelenleg nem támogatott:

  • A saját üzemeltetésű integrációs modult (például tesztkapcsolatot, mappalista és táblázatlista tallózását, sémák lekérését és előzetes verziójú adatokat) használó interaktív szerzői műveletek a Private Linken keresztül haladnak végig. Figyelje meg, hogy a forgalom privát kapcsolaton megy keresztül, ha az önkiszolgáló interaktív szerzői funkció engedélyezve van. Lásd : önálló interaktív szerzői műveletek.

  Feljegyzés

  Az "IP-cím lekérése" és a "Küldési napló" nem támogatott, ha engedélyezve van az önálló interaktív létrehozás.

  • Az automatikus frissítés engedélyezése esetén automatikusan letölthető helyi integrációs modul új verziója jelenleg nem támogatott.

  A jelenleg nem támogatott funkciókhoz konfigurálnia kell a korábban említett tartományt és portot a virtuális hálózaton vagy a vállalati tűzfalon.

  A Data Factoryhez privát végponton keresztül történő csatlakozás csak a Data Factory saját üzemeltetésű integrációs moduljaira vonatkozik. Az Azure Synapse Analytics nem támogatja.

Figyelmeztetés

Ha engedélyezi a Private Link Data Factoryt, és egyidejűleg letiltja a nyilvános hozzáférést, a hitelesítő adatokat az Azure Key Vaultban tárolhatja, hogy biztonságosak legyenek.

Privát végpont konfigurálása a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz

Ez a szakasz azt ismerteti, hogyan konfigurálhatja a privát végpontot a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.

Privát végpont létrehozása és privát hivatkozás beállítása a Data Factoryhez

A privát végpont a virtuális hálózaton jön létre a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz. Kövesse a Data Factory privát végponthivatkozásának beállításával kapcsolatos lépéseket.

Győződjön meg arról, hogy a DNS-konfiguráció helyes

A DNS-beállítások ellenőrzéséhez vagy konfigurálásához kövesse a privát végpontok DNS-módosításainak utasításait.

Helyezze az Azure Relay és a Letöltőközpont teljes tartományneveit a tűzfal engedélyezett listájába

Ha a saját üzemeltetésű integrációs modul telepítve van a virtuális hálózat virtuális gépére, engedélyezze a kimenő forgalmat a virtuális hálózat NSG-jében lévő teljes tartománynevek alá.

Ha a saját üzemeltetésű integrációs modul a helyszíni környezetben található számítógépre van telepítve, engedélyezze a kimenő forgalmat a helyszíni környezet és a virtuális hálózat NSG tűzfalán a teljes tartománynevek alá.

Tartomány	Kikötő	Leírás
*.servicebus.windows.net	443	A saját üzemeltetésű integrációs modul az interaktív szerzői műveletekhez szükséges
download.microsoft.com	443	A frissítések letöltéséhez a saját üzemeltetésű integrációs modul szükséges

Ha nem engedélyezi az előző kimenő forgalmat a tűzfalban és az NSG-ben, a saját üzemeltetésű integrációs modul korlátozott állapotban jelenik meg. De továbbra is használhatja tevékenységek végrehajtására. Csak az interaktív szerkesztés és az automatikus frissítés nem működik.

Feljegyzés

Ha egy (megosztott) adat-előállító saját üzemeltetésű integrációs modullal rendelkezik, és a saját üzemeltetésű integrációs modul meg van osztva más (csatolt) adat-előállítókkal, akkor csak egy privát végpontot kell létrehoznia a megosztott adat-előállítóhoz. Más kapcsolt adat-előállítók ezt a privát kapcsolatot használhatják a saját üzemeltetésű integrációs modul és a Data Factory közötti kommunikációhoz.

Feljegyzés

Jelenleg nem támogatjuk a privát kapcsolat létrehozását egy saját üzemeltetésű integrációs modul és egy Synapse Analytics-munkaterület között. A saját üzemeltetésű integrációs modul továbbra is képes kommunikálni a Synapse-szel akkor is, ha az adatkiszivárgás elleni védelem engedélyezve van a Synapse-munkaterületen.

DNS-módosítások privát végpontokhoz

Privát végpont létrehozásakor az adat-előállító DNS CNAME erőforrásrekordja a privatelink előtaggal rendelkező altartomány aliasára frissül. Alapértelmezés szerint a privát kapcsolat altartományának megfelelő privát DNS-zónát is létrehozunk a privát végpontok DNS A erőforrásrekordjaival.

Ha a data factory végpontJÁNAK URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a Data Factory nyilvános végpontjára lesz feloldva. A privát végpontot üzemeltető virtuális hálózatról feloldva a tárvégpont URL-címe a privát végpont IP-címére lesz feloldva.

Az előző példában bemutatott példában a DataFactoryA nevű adat-előállító DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel:

Név	Típus	Érték
DataFactoryA. {region}.datafactory.azure.net	CNAME	< A Data Factory nyilvános végpontja >
< A Data Factory nyilvános végpontja >	A	< Data Factory nyilvános IP-címe >

A DataFactoryA DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton feloldva a következő lesznek:

Név	Típus	Érték
DataFactoryA. {region}.datafactory.azure.net	CNAME	DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net	A	< privát végpont IP-címe >

Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfeleknek képesnek kell lenniük feloldani az adat-előállító végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja úgy a DNS-kiszolgálót, hogy delegálja a Private Link altartományt a virtuális hálózat privát DNS-zónájához. Vagy konfigurálhatja a DataFactoryA A rekordjait. {region}.datafactory.azure.net a privát végpont IP-címével.

• Azure virtuális hálózatokon található erőforrások névfeloldása
• DNS-konfiguráció privát végpontokhoz

Feljegyzés

Jelenleg csak egy Data Factory-portálvégpont létezik, így a portálhoz csak egy privát végpont van egy DNS-zónában. A második vagy az azt követő privát portálvégpont létrehozása felülírja a portálhoz korábban létrehozott privát DNS-bejegyzést.

Privát végponthivatkozás beállítása a Data Factoryhez

Ebben a szakaszban beállít egy privát végponthivatkozást a Data Factoryhez.

A Data Factory létrehozási lépése során a Nyilvános végpont vagy a Privát végpont kiválasztásával eldöntheti, hogy csatlakoztatja-e a saját üzemeltetésű integrációs modult a Data Factoryhez, az itt látható módon:

A kijelölést a létrehozás után bármikor módosíthatja a Data Factory portáljának Hálózatkezelés ablaktábláján. Miután engedélyezte a privát végpontot , magánvégpontot is hozzá kell adnia az adat-előállítóhoz.

A privát végponthoz virtuális hálózatra és alhálózatra van szükség a hivatkozáshoz. Ebben a példában az alhálózaton belüli virtuális gép a saját üzemeltetésű integrációs modul futtatására szolgál, amely a privát végpont hivatkozásán keresztül csatlakozik.

Virtuális hálózat létrehozása

Ha nem rendelkezik meglévő virtuális hálózattal a privát végpontkapcsolattal való használathoz, létre kell hoznia egyet, és hozzá kell rendelnie egy alhálózatot.

1. Jelentkezzen be az Azure Portalra.

2. A képernyő bal felső sarkában válassza az Erőforrás-hálózat>létrehozása>virtuális hálózat létrehozása vagy a Virtuális hálózat keresése lehetőséget a keresőmezőben.

3. A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki ezeket az információkat az Alapszintű beállítások lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válasszon egy erőforráscsoportot a virtuális hálózathoz.
   Példány részletei
   Név	Adja meg a virtuális hálózat nevét.
   Régió	Fontos: Válassza ki azt a régiót, amelyet a privát végpont használ.

4. Válassza az IP-címek lapot, vagy válassza a Tovább: IP-címek lehetőséget a lap alján.

5. Az IP-címek lapon adja meg az alábbi adatokat:

   Beállítás	Érték
   IPv4-címtér	Adja meg a 10.1.0.0/16 értéket.

6. Az Alhálózat neve területen válassza ki az alapértelmezett szót.

7. A Szerkesztés alhálózatban adja meg az alábbi adatokat:

   Beállítás	Érték
   Alhálózat neve	Adja meg az alhálózat nevét.
   Alhálózati címtartomány	Adja meg a 10.1.0.0/24 értéket.

8. Válassza a Mentés lehetőséget.

9. Válassza a Véleményezés + létrehozás lapot, vagy válassza a Véleményezés + létrehozás gombot.

10. Válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása a saját üzemeltetésű integrációs modulhoz

Az előző lépésekben létrehozott új alhálózaton is létre kell hoznia vagy hozzárendelnie kell egy meglévő virtuális gépet a saját üzemeltetésű integrációs modul futtatásához.

1. A portál bal felső sarkában válassza az Erőforrás>számítási>virtuális gép létrehozása vagy a Virtuális gép keresése lehetőséget a keresőmezőben.

2. A Virtuális gép létrehozása lapon adja meg vagy válassza ki az alapértékeket :

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válasszon ki egy erőforráscsoportot.
   Példány részletei
   Virtuális gép neve	Adja meg a virtuális gép nevét.
   Régió	Válassza ki a virtuális hálózathoz használt régiót.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Kép	Válassza a Windows Server 2019 Datacenter – Gen1 vagy bármely más Windows rendszerképet, amely támogatja a saját üzemeltetésű integrációs modult.
   Azure-kihasználatlan példány	Válassza a Nem lehetőséget.
   Méret	Válassza ki a virtuális gép méretét, vagy használja az alapértelmezett beállítást.
   Rendszergazdai fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	A jelszó újraküldése.

3. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek>tovább: Hálózatkezelés lehetőséget.

4. A Hálózatkezelés lapon válassza ki vagy írja be a következőt:

   Beállítás	Érték
   Hálózati adapter
   Virtuális hálózat	Válassza ki a létrehozott virtuális hálózatot.
   Alhálózat	Válassza ki a létrehozott alhálózatot.
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   Hálózati hálózati biztonsági csoport	Alapszintű.
   Nyilvános bejövő portok	Válassza a Nincs lehetőséget.

5. Válassza az Áttekintés + létrehozás lehetőséget.

6. Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

• A virtuális géphez nyilvános IP-cím van hozzárendelve.
• A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
• Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

Privát végpont létrehozása

Végül létre kell hoznia egy privát végpontot az adat-előállítóban.

1. Az adat-előállító Azure Portal lapján válassza a Hálózatkezelés>privát végpont kapcsolatai lehetőséget, majd válassza a + Privát végpont lehetőséget.

   

2. A privát végpont létrehozása alapszintű lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válasszon ki egy erőforráscsoportot.
   Példány részletei
   Név	Adja meg a végpont nevét.
   Régió	Válassza ki a létrehozott virtuális hálózat régióját.

3. Válassza az Erőforrás lapot vagy a Következő: Erőforrás gombot a képernyő alján.

4. Az erőforrásban adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Kapcsolati módszer	Válassza a Csatlakozás azure-erőforráshoz lehetőséget a címtáramban.
   Előfizetés	Válassza ki előfizetését.
   Erőforrás típusa	Válassza a Microsoft.Datafactory/factorys lehetőséget.
   Erőforrás	Válassza ki az adat-előállítót.
   Célzott alerőforrás	Ha a privát végpontot szeretné használni a saját üzemeltetésű integrációs modul és a Data Factory közötti parancskommunikációhoz, válassza ki az adatmappát Cél alerőforrásként. Ha a privát végpontot szeretné használni az adat-előállító létrehozásához és monitorozásához a virtuális hálózaton, válassza a portált cél-alerőforrásként.

5. Válassza a Konfiguráció lapot vagy a Következő: Konfiguráció gombot a képernyő alján.

6. A konfigurációban adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Hálózat
   Virtuális hálózat	Válassza ki a létrehozott virtuális hálózatot.
   Alhálózat	Válassza ki a létrehozott alhálózatot.
   saját DNS integráció
   Integrálás saját DNS-zónával	Hagyja meg az Igen alapértelmezett értékét.
   Előfizetés	Válassza ki előfizetését.
   Privát DNS-zónák	Hagyja meg az alapértelmezett értéket mindkét cél-alerőforrásban: 1. datafactory: (Új) privatelink.datafactory.azure.net. 2. portál: (új) privatelink.adf.azure.com.

7. Válassza az Áttekintés + létrehozás lehetőséget.

8. Válassza a Létrehozás lehetőséget.

A Data Factory-erőforrások hozzáférésének korlátozása a Private Link használatával

Ha privát kapcsolattal szeretné korlátozni a Data Factory-erőforrások hozzáférését az előfizetéseiben, kövesse a Használati portál lépéseit , és hozzon létre egy privát hivatkozást az Azure-erőforrások kezeléséhez.

Ismert probléma

Nem fér hozzá az egyes PaaS-erőforrásokhoz, ha mindkét oldal privát kapcsolatnak és privát végpontnak van kitéve. Ez a probléma a Private Link és a privát végpontok ismert korlátozása.

Az A ügyfél például egy privát hivatkozást használ az A virtuális hálózat A adat-előállító portáljának eléréséhez. Ha az A adat-előállító nem blokkolja a nyilvános hozzáférést, a B ügyfél a B virtuális hálózaton keresztül hozzáférhet az A adat-előállító portálhoz. Amikor azonban a B ügyfél létrehoz egy privát végpontot a B virtuális hálózat B adat-előállítója ellen, akkor a B ügyfél már nem tudja elérni az A adat-előállítót nyilvánosan a B virtuális hálózatban.

Kapcsolódó tartalom

• Adat-előállító létrehozása az Azure Data Factory felhasználói felületével
• Az Azure Data Factory bemutatása
• Vizualizációkészítés az Azure Data Factoryben