Praktik terbaik penyebaran Microsoft Purview untuk analitik skala cloud
Zona pendaratan Manajemen data bertanggung jawab atas tata kelola platform analitik skala cloud. Ini bergantung pada Microsoft Purview untuk menyediakan sebagian besar kemampuan manajemen data.
Catatan
Panduan di bagian ini menjelaskan konfigurasi khusus untuk analitik skala cloud. Ini adalah kumpulan praktik terbaik Azure untuk meningkatkan tata kelola data Anda menggunakan Microsoft Purview. Panduan ini memuji dokumentasi resmi Microsoft Purview.
Gambaran Umum
Microsoft Purview adalah layanan tata kelola data terpadu yang membantu Anda mengelola dan mengatur data lokal, multicloud, dan perangkat lunak sebagai layanan (SaaS) Anda. Membuat peta lanskap data Anda secara holistik dan terbarukan dengan mudah dengan penemuan data, klasifikasi data sensitif, dan silsilah data menyeluruh secara otomatis. Aktifkan kurator data untuk mengelola dan mengamankan data estate Anda. Memberdayakan konsumen data untuk menemukan data yang berharga dan dapat dipercaya.
Tip
Sebaiknya gunakan alat pihak ketiga pilihan Anda untuk mengintegrasikan kemampuan zona pendaratan manajemen data yang tersisa dengan Azure yang saat ini tidak didukung oleh Microsoft Purview.
Satu akun Microsoft Purview disebarkan di dalam zona pendaratan manajemen data, yang berfungsi sebagai katalog data terpusat. Dari zona pendaratan manajemen data, Microsoft Purview dapat berkomunikasi dengan setiap zona pendaratan data melalui konektivitas jaringan privat menggunakan peering VNet di seluruh manajemen data, zona pendaratan data, dan runtime integrasi yang dihost sendiri. Penemuan produk data di penyimpanan data lokal dan cloud publik lainnya dicapai oleh lebih banyak penyebaran runtime integrasi yang dihost sendiri.
Penyiapan akun
Langkah pertama adalah penyebaran akun Microsoft Purview. Selama penyebaran zona pendaratan manajemen data, satu akun Microsoft Purview disebarkan secara otomatis di dalam langganan manajemen data. Tujuannya adalah untuk memusatkan seluruh peta data ke dalam satu akun Microsoft Purview di semua zona pendaratan data. Sebaiknya pertimbangkan satu akun Microsoft Purview bersama di dalam langganan zona pendaratan manajemen data per jenis lingkungan.
Selain akun Microsoft Purview, grup sumber daya terkelola juga disebarkan. Akun penyimpanan terkelola dan namespace Layanan Pusat Aktivitas terkelola disebarkan di dalam grup sumber daya ini dan digunakan untuk menyerap metadata aset data melalui pemindaian. Karena sumber daya ini dikonsumsi oleh katalog Microsoft Purview, sumber daya tersebut tidak boleh dihapus. Kontrol akses berbasis peran Azure RBAC menolak tugas ditambahkan secara otomatis untuk semua prinsipal di tingkat grup sumber daya pada saat penyebaran.
Prasyarat
Sebelum penyebaran, tinjau persyaratan berikut di dalam langganan zona landasan manajemen data Anda:
- Membuat pengecualian kebijakan: Jika Anda memiliki penetapan Azure Policy yang sudah ada yang mencegah administrator atau aplikasi membuat akun Azure Storage, namespace Azure Event Hubs, akun Microsoft Purview, zona DNS Privat Azure, atau titik akhir privat Azure, Anda harus menerapkan pengecualian Azure Policy. Pengecualian diperlukan, sehingga sumber daya yang diperlukan dapat disebarkan di zona pendaratan manajemen data, bersama dengan penyebaran Microsoft Purview.
- Daftarkan penyedia sumber daya: Pastikan Anda mendaftarkan penyedia sumber daya Azure berikut di langganan zona pendaratan manajemen data:
Microsoft.EventHubMicrosoft.PurviewMicrosoft.Storage
Penting
Agar berhasil menyebarkan zona pendaratan manajemen data dengan Microsoft Purview, prasyarat harus dipenuhi. Untuk mempelajari selengkapnya tentang cara mendaftarkan penyedia sumber daya, lihat Penyedia sumber daya untuk layanan Azure.
Resolusi jaringan dan nama
Analitik skala cloud menggunakan titik akhir privat Azure untuk mengaktifkan akses aman ke katalog, yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat VNet untuk akun Microsoft Purview Anda. Lalu lintas jaringan antara klien di VNet dan akun Microsoft Purview melintasi VNet dan Private Link di jaringan backbone Microsoft. VNet dan Private Link menghilangkan eksposur dari internet publik. Untuk mengaktifkan isolasi jaringan untuk skenario pemindaian ujung-ke-ujung, semakin banyak titik akhir privat yang disebarkan. Titik akhir privat memungkinkan sumber data di Azure dan sumber lokal untuk dihubungkan melalui Azure Private Link.
Penyebaran titik akhir privat Azure
Akun Microsoft Purview disebarkan di dalam jaringan virtual Azure (VNet) dalam zona pendaratan manajemen data dengan beberapa titik akhir privat:
Akun: Titik akhir privat digunakan untuk hanya mengizinkan panggilan klien ke Microsoft Purview yang berasal dari dalam jaringan privat. Hal ini diperlukan sebagai prasyarat untuk titik akhir privat portal.
Portal: Titik akhir privat dimaksudkan untuk menyediakan konektivitas privat ke portal tata kelola Microsoft Purview. Portal tata kelola Microsoft Purview adalah antarmuka pengguna manajemen yang memungkinkan Anda mengakses dan mengelola Microsoft Purview dari browser web.
Penyerapan titik akhir privat untuk memindai sumber data infrastruktur sebagai layanan dan PaaS Azure di dalam Azure Virtual Network dan sumber data lokal melalui koneksi privat. Metode ini memastikan isolasi jaringan untuk metadata Anda mengalir dari sumber data ke Microsoft Purview Data Map.
Penting
Agar berhasil memindai sumber data di Microsoft Purview, runtime integrasi yang dihost sendiri harus disebarkan di dalam jaringan virtual yang sama tempat titik akhir privat penyerapan Microsoft Purview disebarkan, yang dapat berada di dalam zona pendaratan manajemen data atau zona pendaratan data apa pun.
Untuk informasi selengkapnya tentang jaringan zona pendaratan manajemen data, lihat Jaringan analitik skala cloud.
Untuk informasi selengkapnya tentang titik akhir privat Microsoft Purview, lihat Menggunakan titik akhir privat untuk akun Microsoft Purview Anda.
Titik akhir privat untuk akun dan portal
Untuk mengelola data estate menggunakan Microsoft Purview dan untuk menyambungkan ke portal tata kelola Microsoft Purview, Anda harus menggunakan konektivitas privat. Akses publik dibatasi untuk akun Microsoft Purview yang disebarkan di dalam zona pendaratan manajemen data untuk menambahkan lebih banyak keamanan. Titik akhir privat akun dan portal disebarkan untuk menyediakan konektivitas privat ke akun Microsoft Purview Anda dan akses ke portal tata kelola Microsoft Purview.
Akses ke portal tata kelola Microsoft Purview
Untuk mempertahankan penggunaan portal Microsoft Purview melalui konektivitas privat, sebaiknya tolak akses jaringan publik di pengaturan Microsoft Purview. Untuk menyambungkan ke portal tata kelola Microsoft Purview, diperlukan mesin lompat atau jump box yang disebarkan di dalam jaringan Anda. Anda dapat menggunakan mesin dari jaringan hibrid atau sebagai mesin virtual di dalam zona landasan manajemen data. Mesin lompat adalah server akses jarak jauh yang diperketat, yang biasanya menggunakan perangkat lunak Layanan Desktop Jauh Microsoft atau Secure Shell (SSH). Mesin lompat bertindak sebagai titik loncatan bagi administrator yang mengakses sistem penting dengan semua tindakan administratif yang dilakukan dari host khusus.
Gunakan salah satu opsi ini untuk mengelola data Anda menggunakan Microsoft Purview melalui portal tata kelola Microsoft Purview:
Opsi 1: Gunakan mesin lompat yang terhubung ke jaringan perusahaan. Untuk menggunakan model konektivitas ini, Anda harus memiliki konektivitas antara VNet tempat titik akhir privat portal Microsoft Purview dibuat dan jaringan perusahaan Anda.
Tinjau jaringan Cloud Adoption Framework untuk informasi selengkapnya topologi jaringan dan gambaran umum konektivitas.
Opsi 2: Jika konektivitas hibrid tidak tersedia di organisasi Anda, sebarkan mesin virtual di dalam zona landasan manajemen data. Sebarkan Azure Bastion untuk menyambungkan ke Microsoft Purview menggunakan koneksi aman.
Titik akhir privat untuk penyerapan
Microsoft Purview dapat memindai sumber data di lingkungan Azure atau lokal menggunakan titik akhir privat atau publik. Jaringan zona pendaratan data yang di-peering secara otomatis dengan zona landasan manajemen data VNet dan langganan konektivitas VNet. Jadi, sumber data di dalam zona landasan data dapat dipindai menggunakan konektivitas privat.
Sebaiknya aktifkan titik akhir privat untuk sumber data lain di dalam zona landasan Anda dan pindai sumber data menggunakan konektivitas privat.
Resolusi Nama
Resolusi DNS untuk titik akhir privat harus ditangani melalui zona DNS Azure Private pusat. Zona DNS privat berikut disebarkan secara otomatis dalam penyebaran Microsoft Purview di zona pendaratan manajemen data:
privatelink.purview.azure.comprivatelink.purviewstudio.azure.comprivatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
Jika Anda memiliki cloud hibrid, dan resolusi nama lintas tempat diperlukan, penting untuk mengonfigurasi server DNS lokal dengan benar untuk meneruskan permintaan yang sesuai ke server DNS kustom di Azure.
Jika Anda sudah memiliki DNS kustom di Azure, Anda perlu menyiapkan penerus kondisional di server DNS lokal yang mengarah ke sana.
Jika Anda tidak memiliki mesin virtual DNS kustom di Azure, Anda dapat menyebarkan set skala mesin virtual Azure yang mencakup NGINX yang sudah dikonfigurasi untuk meneruskan permintaan DNS ke
168.63.129.16IP DNS yang disediakan Azure. Untuk informasi selengkapnya, lihat Menyebarkan set skala mesin virtual dari proksi DNS NGINX ke dalam jaringan virtual yang ada.
Tip
Untuk memungkinkan resolusi nama antara zona landasan manajemen data dan zona landasan data, gunakan zona DNS privat yang sama yang terletak di dalam grup sumber daya {prefix}-global-dns yaitu di dalam zona pendaratan manajemen data.
Untuk informasi selengkapnya terkait jaringan analitik skala cloud dan resolusi nama, lihat Jaringan analitik skala cloud
Mengelola autentikasi untuk sumber data di Microsoft Purview
Microsoft Purview memerlukan akses ke sarana kontrol dan sarana data untuk mendaftar dan memindai sumber data.
Mendaftarkan sumber data
Saat Anda menyebarkan akun Microsoft Purview, identitas terkelola yang ditetapkan sistem dibuat secara otomatis. Ini dibuat di penyewa Microsoft Entra dan ditetapkan ke sumber daya ini. Untuk membaca dan mencantumkan sumber daya Azure di bawah grup langganan atau sumber daya saat mendaftarkan sumber data di Microsoft Purview, identitas terkelola Microsoft Purview memerlukan peran Pembaca Azure RBAC pada cakupan.
Pertimbangkan untuk menetapkan peran Pembaca ke identitas terkelola Microsoft Purview di setiap langganan zona pendaratan data sebelum Anda mendaftarkan salah satu sumber data ini ke Microsoft Purview:
- Azure Blob Storage
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL Database
- Instans Terkelola Azure SQL
- Azure Synapse Analytics
Memindai sumber data
Sebelum menjalankan pemindaian baru, pastikan Anda telah menyelesaikan persyaratan berikut:
Menyebarkan dan mendaftarkan IR yang dihost sendiri
Menyebarkan dan mendaftarkan mesin virtual IR yang dihost sendiri untuk setiap zona landasan data. IR yang dihost sendiri diperlukan untuk memindai sumber data seperti Azure SQL Database atau sumber data berbasis mesin virtual. Sumber data ini mungkin berada di lokal atau di masing-masing zona landasan data. IR yang dihost sendiri dapat menjalankan aktivitas penyalinan antara penyimpanan data cloud dan penyimpanan data di jaringan privat. Ini juga dapat mengirimkan aktivitas transformasi terhadap sumber daya komputasi dalam jaringan lokal atau jaringan virtual Azure. Penginstalan IR yang dihost sendiri membutuhkan mesin lokal atau mesin virtual di dalam jaringan privat.
Tip
Sebaiknya gunakan mesin khusus untuk menghosting IR. Mesin harus terpisah dari server yang menghosting penyimpanan data. Selain itu, sangat disarankan untuk merencanakan setidaknya dua mesin virtual IR yang dihost sendiri di setiap zona landasan data atau lingkungan lokal.
Untuk memindai sumber data lokal, IR yang dihost sendiri dapat disebarkan di dalam jaringan lokal Anda, namun, untuk memindai sumber data yang terletak di Azure, IR yang dihost sendiri harus disebarkan di VNet yang sama dengan titik akhir privat penyerapan Microsoft Purview. Disarankan untuk menerapkan titik akhir privat penyerapan baru dan IR baru yang dihost sendiri per wilayah tempat sumber data berada.
Sebaiknya Anda menghosting beban kerja bersamaan yang meningkat. Sebaiknya, sebaiknya Anda mencapai performa yang lebih tinggi di tingkat beban kerja saat ini. Anda dapat meningkatkan skala pemrosesan dengan menggunakan salah satu pendekatan ini:
- Tingkatkan saat prosesor dan memori node kurang digunakan
- Perluas skala IR yang dihost sendiri dengan menambahkan lebih banyak node atau set skala mesin virtual
Menetapkan akses ke data plane untuk memindai sumber data
Untuk menyediakan akses ke Microsoft Purview di bidang data dan ke sumber data, ada beberapa opsi untuk menyiapkan autentikasi:
- Opsi 1: Identitas terkelola
- Opsi 2: Kunci akun atau kata sandi yang disimpan di Azure Key Vault sebagai rahasia
- Opsi 3: Perwakilan layanan yang disimpan di Azure Key Vault sebagai rahasia
Penting
Untuk memindai sumber data melalui Azure Private Link di Microsoft Purview, Anda harus menyebarkan runtime integrasi yang dihost sendiri dan menggunakan Kunci akun/ Autentikasi SQL atau perwakilan layanan dari opsi untuk autentikasi ke sumber data.
Tip
Saat sumber data tidak dapat menggunakan Azure Private Link, sebaiknya gunakan identitas terkelola Microsoft Purview untuk memindai sumber data. Dalam hal ini, Anda harus mengizinkan akses publik di pengaturan firewall akun Microsoft Purview Anda.
Menyimpan rahasia di dalam Azure Key Vault
Beberapa sumber daya Azure Key Vault akan disebarkan di dalam zona landasan manajemen data dan langganan zona landasan data. Sumber daya Azure Key Vault menyimpan rahasia yang terkait dengan sumber data metadata di zona landasan manajemen data dan sumber data. Contoh sumber data Azure SQL Database yang digunakan oleh Azure Data Factory. Atau Azure Database for MySQL yang digunakan oleh ruang kerja Databricks di zona landasan data.
Koneksi zona pendaratan data Brankas kunci Azure ke akun Microsoft Purview Anda
Microsoft Purview dapat menggunakan rahasia dan kredensial yang disimpan di brankas kunci Azure. Mereka hanya dapat digunakan jika Anda membuat koneksi Azure Key Vault di dalam akun Microsoft Purview dan rahasia terdaftar. Setelah menambahkan zona pendaratan data baru, Anda harus membuat koneksi Azure Key Vault baru di dalam akun Microsoft Purview. Koneksi adalah asosiasi satu-ke-satu dari sumber daya Azure Key Vault dengan akun Microsoft Purview. Ini akan memungkinkan pembuatan kredensial di dalam akun Microsoft Purview berdasarkan rahasia yang disimpan di Azure Key Vault.
Untuk informasi selengkapnya, lihat Membuat koneksi Azure Key Vault di akun Microsoft Purview Anda.
Tip
Hapus brankas kunci Azure yang tidak digunakan untuk meminimalkan koneksi Key Vault.
Membuat kredensial di dalam Microsoft Purview
Anda mungkin perlu menyiapkan Info masuk menggunakan Rahasia brankas kunci untuk skenario tertentu:
- Untuk memindai sumber data apa pun di mana identitas terkelola Microsoft Purview tidak dapat digunakan sebagai metode autentikasi.
- Untuk memindai sumber data apa pun menggunakan IR yang dihost sendiri, jenis autentikasi yang didukung seperti kunci akun, autentikasi SQL (kata sandi), atau perwakilan layanan harus disimpan dalam info masuk.
- Untuk memindai sumber data menggunakan titik akhir privat untuk penyerapan data.
- Untuk memindai sumber data yang ada di dalam mesin virtual atau di dalam lingkungan lokal.
Sebelum membuat kredensial apa pun di Microsoft Purview, akun Microsoft Purview Anda harus memiliki akses ke rahasia Azure Key Vault. Gunakan kebijakan akses Azure Key Vault atau kontrol akses berbasis peran (RBAC) untuk memberi identitas layanan terkelola Microsoft Purview (MSI) akses yang diperlukan. Untuk informasi selengkapnya tentang cara memberikan akses Microsoft Purview MSI ke Azure Key Vault dan membuat kredensial di dalam Microsoft Purview, lihat Kredensial untuk autentikasi sumber di Microsoft Purview.
Peran Dan kontrol akses Microsoft Purview
Microsoft Purview memiliki beberapa peran bawaan, seperti Pembaca data, Kurator data, Administrator pengumpulan, Administrator sumber data, dan Penulis kebijakan untuk mengelola bidang data, yang dapat digabungkan untuk memberikan lebih banyak hak istimewa. Misalnya, peran Pembaca data ditargetkan untuk peran seperti petugas data, pengurus data, dan kepala petugas keamanan yang memerlukan akses baca-saja ke data estate. Data estate mungkin mencakup klasifikasi, silsilah data melalui opsi pencarian, dan laporan yang tersedia di Microsoft Purview.
Setelah penyebaran zona pendaratan Manajemen data selesai, gunakan model hak istimewa paling sedikit untuk menyediakan akses untuk melihat atau mengelola metadata di Microsoft Purview.
Penting
Peran sarana data Microsoft Purview harus dikelola di dalam portal tata kelola Microsoft Purview atau menggunakan API secara langsung.
Untuk informasi selengkapnya tentang peran Microsoft Purview, lihat Kontrol akses di bidang data Microsoft Purview
Peran Microsoft Purview yang direkomendasikan
Tinjau daftar persona berikut yang terlibat dalam penyebaran analitik skala cloud. Tetapkan peran Microsoft Purview yang relevan kepada mereka sehingga mereka dapat berkontribusi dalam keberhasilan penyebaran:
| Persona | Peran | Peran Microsoft Purview yang direkomendasikan |
|---|---|---|
| Pemilik produk | Pemilik produk menggunakan Azure untuk mengubah solusi Anda, meningkatkan kelincahan bisnis, dan mengoptimalkan proses bisnis. | Pembaca data |
| Arsitek solusi | Tentukan solusi untuk melewati batas-batas jaringan bisnis perusahaan. Pelajari cara menangani diagnosis, analisis, desain, penyebaran, dan integrasi layanan Azure. | |
| Pengembang dan insinyur Azure DevOps | Merancang, membangun, menyebarkan, menguji, dan memelihara integrasi berkelanjutan dan proses pengiriman dengan Azure DevOps atau GitHub. | Tidak berlaku |
| Teknisi keamanan | Memungkinkan kesempatan tim Anda untuk merancang dan menerapkan infrastruktur yang aman di Azure dengan menggunakan praktik terbaik. | |
| Manajer teknis dan bisnis | Membangun pemahaman keseluruhan tentang layanan Azure. Kontrol biaya cloud Anda dan optimalkan operasi dan kelincahan tim Anda. | Tidak berlaku |
| Pengambil keputusan dan pengguna bisnis | Gunakan Azure untuk mengakses wawasan yang dapat ditindaklanjuti, dengan harapan wawasan ini dikirimkan dalam bentuk yang paling relevan. Gunakan AI yang disematkan dalam solusi yang ada untuk mengoptimalkan proses bisnis. | Pembaca data |
| Manajer data | Bertanggung jawab untuk memprovisikan dan mengelola akses ke aset data. | Pembaca Data atau Kurator Data |
| Analis data dan analis performa | Gunakan Azure untuk menemukan dan berbagi wawasan baru dari aset data atau data ad hoc yang ada. Buat transformasi AI sekali klik, gunakan model bawaan, dan buat model pembelajaran mesin dengan mudah. | |
| Insinyur data | Gunakan Azure untuk membangun, mengintegrasikan, dan mengelola data dan produk analitik. Buat aplikasi dan solusi berkemampuan AI jika dapat diterapkan. | |
| Ilmuwan data warga | Buat model pembelajaran mesin melalui alat visual yang kuat, seret dan jatuhkan, tanpa kode, di mana tidak perlu pengkodean | |
| Ilmuwan data | Gunakan alat dan kerangka kerja pembelajaran mesin pilihan Anda untuk membangun solusi ilmu data yang dapat diskalakan. Percepat siklus hidup pembelajaran mesin ujung ke ujung. | |
| Insinyur pembelajaran mesin | Aktifkan proses dan infrastruktur yang tepat untuk penyebaran model dan manajemen model yang mudah. |
Untuk informasi selengkapnya tentang peran data, lihat Peran dan tim.
Langkah berikutnya
Azure Pembelajaran Mesin sebagai produk data untuk analitik skala cloud