Azure Private Link untuk Azure Data Factory
BERLAKU UNTUK:
Azure Data Factory 
Azure Synapse Analytics
Tip
Cobalah Data Factory di Microsoft Fabric, solusi analitik all-in-one untuk perusahaan. Microsoft Fabric mencakup semuanya mulai dari pergerakan data hingga ilmu data, analitik real time, kecerdasan bisnis, dan pelaporan. Pelajari cara memulai uji coba baru secara gratis!
Dengan menggunakan Azure Private Link, Anda dapat terhubung ke berbagai platform sebagai penyebaran layanan (PaaS) di Azure melalui titik akhir privat. Titik akhir pribadi adalah alamat IP pribadi di dalam jaringan virtual tertentu dan subnet. Untuk daftar penyebaran PaaS yang mendukung fungsionalitas Private Link, lihat Dokumentasi Private Link.
Komunikasi yang aman antara jaringan pelanggan dan Data Factory
Anda dapat menyiapkan jaringan virtual Azure sebagai representasi logis dari jaringan Anda dalam cloud. Melakukannya memberikan manfaat berikut:
- Anda membantu melindungi sumber daya Azure Anda dari serangan di jaringan publik.
- Anda membiarkan jaringan dan pabrik data berkomunikasi dengan aman satu sama lain.
Anda juga dapat menyambungkan jaringan lokal ke jaringan virtual Anda. Siapkan koneksi VPN keamanan Protokol Internet, yang merupakan koneksi situs-ke-situs. Atau siapkan koneksi Azure ExpressRoute. yang merupakan koneksi peering privat.
Anda juga dapat menginstal runtime integrasi yang dihost sendiri (IR) pada mesin lokal atau komputer virtual di jaringan virtual. Melakukannya memungkinkan Anda:
- Menjalankan copy activity antara penyimpanan data cloud dan penyimpanan data di jaringan pribadi.
- Mengirimkan aktivitas transformasi terhadap sumber daya komputasi dalam jaringan lokal atau jaringan virtual Azure.
Beberapa saluran komunikasi diperlukan antara Azure Data Factory dan jaringan virtual pelanggan, seperti yang diperlihatkan dalam tabel berikut:
| Domain | Port | Deskripsi |
|---|---|---|
adf.azure.com |
443 | Portal Data Factory diperlukan oleh penulisan dan pemantauan Data Factory. |
*.{region}.datafactory.azure.net |
443 | Diperlukan oleh IR yang dihost sendiri agar tersambung ke Data Factory. |
*.servicebus.windows.net |
443 | Diperlukan oleh IR yang dihost sendiri untuk penulisan interaktif. |
download.microsoft.com |
443 | Diperlukan oleh IR yang dihost sendiri untuk mengunduh pembaruan. |
Catatan
Menonaktifkan akses jaringan publik hanya berlaku untuk IR yang dihost sendiri, bukan ke IR Azure dan IR Layanan Integrasi SQL Server.
Komunikasi ke Data Factory bergerak melalui Private Link dan membantu menyediakan konektivitas pribadi yang aman.
Mengaktifkan Private Link untuk setiap saluran komunikasi sebelumnya menawarkan fungsionalitas berikut:
Didukung:
- Anda dapat menulis dan memantau di portal Data Factory dari jaringan virtual Anda, bahkan jika Anda memblokir semua komunikasi keluar. Jika Anda membuat titik akhir privat untuk portal, orang lain masih dapat mengakses portal Data Factory melalui jaringan publik.
- Komunikasi perintah antara IR yang dihost sendiri dan Data Factory dapat dilakukan dengan aman di lingkungan jaringan pribadi. Lalu lintas antara IR yang dihost sendiri dan Data Factory Data melewati Private Link.
Saat ini tidak didukung:
- Penulisan interaktif yang menggunakan IR yang dihost sendiri, seperti koneksi pengujian, daftar folder penelusuran dan daftar tabel, mendapatkan skema, dan mempratinjau data, dilakukan melalui Private Link. Harap perhatikan bahwa lalu lintas melewati tautan privat jika penulisan interaktif mandiri diaktifkan. Lihat Penulisan Interaktif mandiri.
Catatan
"Dapatkan IP" dan "Kirim log" tidak didukung saat penulisan interaktif mandiri diaktifkan.
- Versi baru dari IR yang dihost sendiri yang dapat diunduh secara otomatis dari Microsoft Download Center jika Anda mengaktifkan pembaruan otomatis, tidak didukung saat ini.
Untuk fungsionalitas yang saat ini tidak didukung, Anda perlu mengonfigurasi domain dan port yang disebutkan sebelumnya di jaringan virtual atau firewall perusahaan Anda.
Menyambungkan ke Azure Factory melalui titik akhir privat hanya berlaku untuk IR yang dihost sendiri di Data Factory. Ini tidak didukung untuk Azure Synapse Analytics.
Peringatan
Jika Anda mengaktifkan Data Factory Private Link dan memblokir akses publik secara bersamaan, simpan info masuk Anda di Azure Key Vault untuk memastikan keamanannya.
Mengonfigurasi titik akhir privat untuk komunikasi antara IR yang dihost sendiri dan Data Factory
Bagian ini menjelaskan cara mengonfigurasi titik akhir privat untuk komunikasi antara IR yang dihost sendiri dan Data Factory.
Membuat titik akhir privat dan siapkan link privat untuk Data Factory
Titik akhir privat dibuat di jaringan virtual Anda untuk komunikasi antara IR yang dihost sendiri dan layanan Data Factory. Ikuti langkah-langkah di Menyiapkan tautan titik akhir privat untuk Data Factory.
Memastikan konfigurasi DNS sudah benar
Ikuti petunjuk Perubahan DNS untuk titik akhir privat untuk memeriksa atau mengonfigurasi pengaturan DNS Anda.
Langkah 3: Masukkan FQDN Azure Relay dan pusat unduhan ke dalam daftar izin firewall Anda
Jika IR yang dihost sendiri diinstal pada mesin virtual di jaringan virtual Anda, izinkan lalu lintas keluar ke FQDN berikut di NSG jaringan virtual Anda.
Jika IR yang dihost sendiri diinstal pada komputer di lingkungan lokal Anda, izinkan lalu lintas keluar ke FQDN di bawah ini di firewall lingkungan lokal Anda dan NSG jaringan virtual Anda.
| Domain | Port | Deskripsi |
|---|---|---|
*.servicebus.windows.net |
443 | Diperlukan oleh IR yang dihost sendiri untuk penulisan interaktif |
download.microsoft.com |
443 | Diperlukan oleh IR yang dihost sendiri untuk mengunduh pembaruan |
Jika Anda tidak mengizinkan lalu lintas keluar sebelumnya di firewall dan NSG, IR yang dihost sendiri ditampilkan dengan status Terbatas. Tetapi Anda masih dapat menggunakannya untuk menjalankan aktivitas. Hanya penulisan interaktif dan pembaruan otomatis yang tidak berfungsi.
Catatan
Jika satu pabrik data (bersama) memiliki IR yang dihost sendiri dan IR yang dihost sendiri itu dibagikan dengan pabrik data lain (ditautkan), Anda hanya perlu membuat titik akhir privat untuk pabrik data bersama. Pabrik data tertaut lainnya dapat memanfaatkan link privat ini untuk komunikasi antara IR yang dihost sendiri dan Data Factory.
Catatan
Saat ini kami tidak mendukung pembuatan tautan privat antara runtime integrasi yang dihost sendiri dan ruang kerja Synapse Analytics. Dan runtime integrasi yang dihost sendiri masih dapat berkomunikasi dengan Synapse bahkan ketika perlindungan penyelundupan data diaktifkan di ruang kerja Synapse.
Perubahan DNS untuk titik akhir privat
Saat Anda membuat titik akhir privat, catatan sumber daya DNS CNAME untuk pabrik data diperbarui menjadi alias dalam subdomain dengan prefiks privatelink. Secara default, kami juga membuat zona DNS privat, yang terkait dengan subdomain privatelink, dengan rekaman sumber daya DNS A untuk titik akhir privat.
Saat Anda menyelesaikan URL titik akhir pabrik data dari luar jaringan virtual dengan titik akhir privat, titik akhir pabrik data menyelesaikan ke titik akhir publik Data Factory. Ketika diselesaikan dari jaringan virtual yang menghosting titik akhir privat, URL titik akhir penyimpanan diselesaikan ke alamat IP titik akhir privat.
Untuk contoh ilustrasi sebelumnya, rekaman sumber daya DNS untuk pabrik data yang dinamakan DataFactoryA, ketika diselesaikan dari luar jaringan virtual yang menghosting titik akhir privat, akan menjadi:
| Nama | Jenis | Nilai |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | < Titik akhir publik Data Factory > |
| < Titik akhir publik Data Factory > | A | < Alamat IP publik Data Factory > |
Rekaman sumber daya DNS untuk DataFactoryA, ketika diselesaikan di jaringan virtual yang menghosting titik akhir privat, akan menjadi:
| Nama | Jenis | Nilai |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | DataFactoryA.{region}.privatelink.datafactory.azure.net |
| DataFactoryA.{region}.privatelink.datafactory.azure.net | A | < alamat IP titik akhir privat > |
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat mengatasi FQDN untuk titik akhir pabrik data ke alamat IP titik akhir privat. Anda mengonfigurasi server DNS Anda untuk mendelegasikan subdomain Private Link Anda ke zona DNS privat untuk jaringan virtual. Atau Anda dapat mengonfigurasi catatan A untuk DataFactoryA.{region}.datafactory.azure.net dengan alamat IP titik akhir privat.
Catatan
Saat ini, hanya ada satu titik akhir portal Data Factory, jadi hanya ada satu titik akhir privat untuk portal di zona DNS. Mencoba membuat titik akhir privat portal kedua atau berikutnya akan menimpa entri DNS privat yang dibuat sebelumnya untuk portal.
Menyiapkan link titik akhir privat untuk Data Factory
Di bagian ini, Anda akan menyiapkan link titik akhir privat untuk Data Factory.
Anda dapat memilih apakah akan menyambungkan IR yang dihost sendiri Anda ke Data Factory dengan memilih Titik akhir publik atau Titik akhir privat selama langkah pembuatan Data Factory, diperlihatkan di sini:
Anda dapat mengubah pilihan kapan saja setelah pembuatan dari halaman portal Data Factory di panel Jaringan. Setelah Anda mengaktifkanTitik akhir privat di sana, Anda juga harus menambahkan titik akhir privat ke pabrik data.
titik akhir privat memerlukan jaringan virtual dan subnet untuk tautannya. Dalam contoh ini, mesin virtual dalam subnet digunakan untuk menjalankan IR yang dihost sendiri, yang menghubungkan melalui link titik akhir privat.
Membuat jaringan virtual
Jika Anda tidak memiliki jaringan virtual yang ada untuk digunakan dengan link titik akhir privat, Anda harus membuatnya, dan menetapkan subnet.
Masuk ke portal Azure.
Di sisi kiri atas layar, pilih Buat sumber daya> Jaringan>Jaringan virtual atau cari Jaringan virtual di kotak pencarian.
Di Buat jaringan virtual, masukkan atau pilih informasi ini di tab Dasar:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Azure Anda. Grup sumber daya Pilih grup sumber daya untuk jaringan virtual Anda. Detail instans Nama Masukkan nama untuk jaringan virtual Anda. Wilayah Penting: Pilih wilayah yang sama dengan yang digunakan titik akhir privat Anda. Pilih tab Alamat IP atau pilih Berikutnya: Alamat IP di bagian bawah halaman.
Di tab Alamat IP, masukkan informasi ini:
Pengaturan Nilai Ruang alamat IPv4 Masukkan 10.1.0.0/16. Di bawah Nama subnet, pilih kata default.
Di Edit subnet, masukkan informasi ini:
Pengaturan Nilai Nama subnet Masukkan nama untuk subnet Anda. Rentang alamat subnet Masukkan 10.1.0.0/24. Pilih Simpan.
Pilih tab Tinjau + buat atau pilih tombol Tinjau + buat.
Pilih Buat.
Membuat mesin virtual untuk IR yang dihost sendiri
Anda juga harus membuat atau menetapkan mesin virtual yang ada untuk menjalankan proses IR yang dihost sendiri di subnet baru yang dibuat di atas.
Di sisi kiri atas portal, pilih Buat sumber daya>Hitung>Mesin virtual atau cari Mesin virtual di kotak pencarian.
Pada Buat komputer virtual, ketik atau pilih nilai di tab Dasar:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Azure Anda. Grup sumber daya Pilih grup sumber daya. Detail instans Nama komputer virtual Masukkan nama untuk komputer virtual. Wilayah Pilih wilayah yang Anda gunakan untuk jaringan virtual Anda. Opsi ketersediaan Pilih Tidak diperlukan redundansi infrastruktur. Gambar Pilih Windows Server 2019 Datacenter - Gen1 atau citra Windows lainnya yang mendukung IR yang dihost sendiri. Instans spot Azure Pilih Tidak. Ukuran Pilih ukuran mesin virtual atau gunakan pengaturan default. Akun administrator Nama Pengguna Masukkan nama pengguna. Kata sandi Masukkan kata sandi. Mengonfirmasikan kata sandi Masukkan kembali sandi. Pilih tab Jaringan, atau pilih Berikutnya: Disk>Berikutnya: Jaringan.
Di tab Jaringan, pilih atau masukkan:
Pengaturan Nilai Antarmuka jaringan Jaringan virtual Pilih jaringan virtual yang Anda buat. Subnet Pilih subnet yang Anda buat. IP Publik Pilih Tidak ada. kelompok keamanan jaringan NIC Dasar. Port masuk publik Pilih Tidak ada. Pilih Tinjau + buat.
Tinjau pengaturan, lalu pilih Buat.
Catatan
Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.
IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:
- Alamat IP publik ditetapkan ke VM.
- VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
- Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.
VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.
Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.
Membuat titik akhir privat
Akhirnya, Anda harus membuat titik akhir privat di pabrik data Anda.
Pada halaman portal Azure untuk pabrik data Anda, pilih Jaringan>Koneksi titik akhir privat, lalu pilih + Titik akhir privat.
Di tab Dasar-Dasar dari Membuat titik akhir privat, masukkan atau pilih informasi ini:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup sumber daya Pilih grup sumber daya. Detail instans Nama Masukkan nama untuk titik akhir Anda. Wilayah Pilih wilayah jaringan virtual yang Anda buat. Pilih tab Sumber Daya atau tombol Berikutnya: Sumber Daya di bagian bawah layar.
Di Sumber daya, masukkan atau pilih informasi ini:
Pengaturan Nilai Metode koneksi Pilih Sambungkan ke sumber daya Azure di direktori saya. Langganan Pilih langganan Anda. Jenis Sumber Daya Pilih Microsoft.Datafactory/factories. Sumber daya Pilih pabrik data Anda. Sub-sumber daya target Jika Anda ingin menggunakan titik akhir privat untuk komunikasi perintah antara IR yang dihost sendiri dan Data Factory, pilih datafactory sebagai Sub-sumber daya target. Jika Anda ingin menggunakan titik akhir privat untuk menulis dan memantau pabrik data di jaringan virtual Anda, pilih portal sebagai sub-sumber daya Target. Pilih tab Konfigurasi atau tombol Berikutnya: Konfigurasi di bagian bawah layar.
Di Konfigurasi, masukkan atau pilih informasi ini:
Pengaturan Nilai Jaringan Jaringan virtual Pilih jaringan virtual yang Anda buat. Subnet Pilih subnet yang Anda buat. Integrasi DNS Privat Integrasikan dengan zona DNS privat Biarkan default Ya. Langganan Pilih langganan Anda. Zona DNS Private Biarkan nilai default di kedua Sub-sumber daya target: 1. datafactory: (Baru) privatelink.datafactory.azure.net. 2. portal: (Baru) privatelink.adf.azure.com. Pilih Tinjau + buat.
Pilih Buat.
Membatasi akses untuk sumber daya Data Factory menggunakan Private Link
Jika Anda ingin membatasi akses untuk sumber daya Data Factory di langganan Anda dengan Private Link, ikuti langkah-langkah di Menggunakan portal untuk membuat link privat untuk mengelola sumber daya Azure.
Masalah yang diketahui
Anda tidak dapat mengakses setiap sumber daya PaaS ketika kedua belah pihak diekspos ke Private Link dan titik akhir privat. Masalah ini adalah batasan yang diketahui dari Private Link dan titik akhir privat.
Misalnya, pelanggan A menggunakan tautan privat untuk mengakses portal pabrik data A di jaringan virtual A. Ketika pabrik data A tidak memblokir akses publik, pelanggan B dapat mengakses portal pabrik data A di jaringan virtual B melalui publik. Tetapi ketika pelanggan B membuat titik akhir privat terhadap pabrik data B di jaringan virtual B, pelanggan B tidak dapat mengakses pabrik data A melalui publik di jaringan virtual B lagi.