Usare una rete virtuale gestita con l'account Microsoft Purview
Importante
Attualmente, gli endpoint privati gestiti e Rete virtuale gestiti sono disponibili per gli account Microsoft Purview distribuiti nelle aree seguenti:
- Australia orientale
- Canada centrale
- Stati Uniti orientali
- Stati Uniti orientali 2
- Europa settentrionale
- Europa occidentale
Panoramica concettuale
Questo articolo descrive come configurare gli endpoint privati gestiti Rete virtuale e gestiti per Microsoft Purview.
Aree geografiche supportate
Attualmente, gli endpoint privati gestiti e Rete virtuale gestiti sono disponibili per gli account Microsoft Purview distribuiti nelle aree seguenti:
- Australia orientale
- Canada centrale
- Stati Uniti orientali
- Stati Uniti orientali 2
- Europa settentrionale
- Europa occidentale
Origini dati supportate
Attualmente, le origini dati seguenti sono supportate per avere un endpoint privato gestito e possono essere analizzate usando Managed VNet Runtime in Microsoft Purview:
- Archiviazione BLOB di Azure
- Azure Cosmos DB
- Azure Data Lake Storage Gen 2
- Database di Azure per MySQL
- Database di Azure per PostgreSQL
- Pool SQL dedicato di Azure (in precedenza SQL DW)
- File di Azure
- database SQL di Azure
- Istanza gestita di SQL di Azure
- Azure Synapse Analytics
Inoltre, è possibile distribuire endpoint privati gestiti per le risorse di Azure Key Vault se è necessario eseguire analisi usando qualsiasi opzione di autenticazione anziché identità gestite, ad esempio autenticazione SQL o chiave dell'account.
Rete virtuale gestita
Un Rete virtuale gestito in Microsoft Purview è una rete virtuale distribuita e gestita da Azure all'interno della stessa area dell'account Microsoft Purview per consentire l'analisi delle origini dati di Azure all'interno di una rete gestita, senza dover distribuire e gestire macchine virtuali del runtime di integrazione self-hosted da parte del cliente in Azure.
È possibile distribuire un Integration Runtime gestito di Azure all'interno di un Rete virtuale gestito di Microsoft Purview. Da qui, il runtime della rete virtuale gestita userà gli endpoint privati per connettersi in modo sicuro alle origini dati supportate ed analizzarla.
La creazione di un runtime di rete virtuale gestita all'interno di Managed Rete virtuale garantisce che il processo di integrazione dei dati sia isolato e sicuro.
Vantaggi dell'uso di Managed Rete virtuale:
- Con un Rete virtuale gestito, è possibile scaricare l'onere della gestione del Rete virtuale in Microsoft Purview. Non è necessario creare e gestire reti virtuali o subnet per Azure Integration Runtime da usare per l'analisi delle origini dati di Azure.
- Non richiede una conoscenza approfondita della rete di Azure per eseguire integrazioni dei dati in modo sicuro. L'uso di un Rete virtuale gestito è molto semplificato per i data engineer.
- La Rete virtuale gestita insieme agli endpoint privati gestiti protegge dall'esfiltrazione dei dati.
Importante
Attualmente, il Rete virtuale gestito è supportato solo nella stessa area dell'area dell'account Microsoft Purview.
Nota
Non è possibile passare un runtime di integrazione di Azure globale o un runtime di integrazione self-hosted a un runtime di rete virtuale gestita e viceversa.
Viene creata una rete virtuale gestita per l'account Microsoft Purview quando si crea un runtime di rete virtuale gestita per la prima volta nell'account Microsoft Purview. Non è possibile visualizzare o gestire le reti virtuali gestite.
Endpoint privati gestiti
Gli endpoint privati gestiti sono endpoint privati creati in Microsoft Purview Managed Rete virtuale stabilire un collegamento privato alle risorse di Microsoft Purview e Azure. Microsoft Purview gestisce questi endpoint privati per conto dell'utente.
Microsoft Purview supporta i collegamenti privati. Il collegamento privato consente di accedere ai servizi di Azure (PaaS), ad esempio Archiviazione di Azure, Azure Cosmos DB, Azure Synapse Analytics.
Quando si usa un collegamento privato, il traffico tra le origini dati e Managed Rete virtuale attraversa interamente la rete backbone Microsoft. collegamento privato protegge dai rischi di esfiltrazione dei dati. È possibile stabilire un collegamento privato a una risorsa creando un endpoint privato.
L'endpoint privato usa un indirizzo IP privato nel Rete virtuale gestito per inserire in modo efficace il servizio. Gli endpoint privati vengono mappati a una risorsa specifica in Azure e non all'intero servizio. I clienti possono limitare la connettività a una risorsa specifica approvata dalla propria organizzazione. Altre informazioni sui collegamenti privati e sugli endpoint privati.
Nota
Per ridurre il sovraccarico amministrativo, è consigliabile creare endpoint privati gestiti per analizzare tutte le origini dati di Azure supportate.
Avviso
Se in un archivio dati PaaS di Azure (BLOB, Azure Data Lake Storage Gen2, Azure Synapse Analytics) è già stato creato un endpoint privato e, anche se consente l'accesso da tutte le reti, Microsoft Purview sarà in grado di accedervi solo usando un endpoint privato gestito. Se non esiste già un endpoint privato, è necessario crearne uno in questi scenari.
Quando si crea un endpoint privato gestito in Microsoft Purview, viene creata una connessione dell'endpoint privato in uno stato "In sospeso". Viene avviato un flusso di lavoro di approvazione. Il proprietario della risorsa collegamento privato è responsabile dell'approvazione o del rifiuto della connessione.
Se il proprietario approva la connessione, viene stabilito il collegamento privato. In caso contrario, il collegamento privato non verrà stabilito. In entrambi i casi, l'endpoint privato gestito verrà aggiornato con lo stato della connessione.
Solo un endpoint privato gestito in uno stato approvato può inviare il traffico a una determinata risorsa di collegamento privato.
Creazione interattiva
Le funzionalità di creazione interattiva vengono usate per funzionalità come la connessione di test, l'elenco di cartelle e l'elenco di tabelle, il recupero dello schema e i dati di anteprima. È possibile abilitare la creazione interattiva durante la creazione o la modifica di un Integration Runtime di Azure in Purview-Managed Rete virtuale. Il servizio back-end preallocerà il calcolo per le funzionalità di creazione interattiva. In caso contrario, il calcolo verrà allocato ogni volta che viene eseguita un'operazione interattiva che richiederà più tempo. Il tempo di durata (TTL) per la creazione interattiva è di 60 minuti, il che significa che verrà automaticamente disabilitato dopo 60 minuti dell'ultima operazione di creazione interattiva.
Passaggi di distribuzione
Prerequisiti
Prima di distribuire una rete virtuale gestita e un runtime di rete virtuale gestita per un account Microsoft Purview, assicurarsi di soddisfare i prerequisiti seguenti:
- Un account Microsoft Purview distribuito in una delle aree supportate.
- Dai ruoli di Microsoft Purview, è necessario essere un curatore dei dati a livello di raccolta radice nell'account Microsoft Purview.
- Dai ruoli controllo degli accessi in base al ruolo di Azure, è necessario collaborare all'account Microsoft Purview e all'origine dati per approvare i collegamenti privati.
Distribuire runtime di reti virtuali gestite
Nota
La guida seguente illustra come registrare ed analizzare un Azure Data Lake Storage Gen 2 usando Managed VNet Runtime.
Aprire il portale di governance di Microsoft Purview:
- Passare direttamente all'account https://web.purview.azure.com Microsoft Purview e selezionarlo.
- Apertura del portale di Azure, ricerca e selezione dell'account Microsoft Purview. Selezione del pulsante del portale di governance di Microsoft Purview .
Passare alla mappa dati --> Runtime di integrazione.
Nella pagina Runtime di integrazione selezionare + Nuova icona per creare un nuovo runtime. Selezionare Azure e quindi Continua.
Specificare un nome per il runtime della rete virtuale gestita, selezionare l'area e configurare la creazione interattiva. Selezionare Crea.
La distribuzione del runtime della rete virtuale gestita per la prima volta attiva più flussi di lavoro nel portale di governance di Microsoft Purview per la creazione di endpoint privati gestiti per Microsoft Purview e il relativo account di archiviazione gestita. Selezionare in ogni flusso di lavoro per approvare l'endpoint privato per la risorsa di Azure corrispondente.
In portale di Azure, dalla finestra delle risorse dell'account Microsoft Purview approvare l'endpoint privato gestito. Dalla pagina Account di archiviazione gestita approvare gli endpoint privati gestiti per i servizi BLOB e code:
In Gestione selezionare Endpoint privato gestito per verificare se tutti gli endpoint privati gestiti vengono distribuiti e approvati correttamente. Tutti gli endpoint privati devono essere approvati.
Distribuire endpoint privati gestiti per le origini dati
È possibile usare endpoint privati gestiti per connettere le origini dati per garantire la sicurezza dei dati durante la trasmissione. Se l'origine dati consente l'accesso pubblico e si vuole connettersi tramite la rete pubblica, è possibile ignorare questo passaggio. L'esecuzione dell'analisi può essere eseguita purché il runtime di integrazione possa connettersi all'origine dati.
Per distribuire e approvare un endpoint privato gestito per un'origine dati, seguire questa procedura selezionando l'origine dati scelta dall'elenco:
Passare a Gestione e selezionare Endpoint privati gestiti.
Selezionare + Nuovo.
Nell'elenco delle origini dati supportate selezionare il tipo corrispondente all'origine dati che si intende analizzare usando il runtime della rete virtuale gestita.
Specificare un nome per l'endpoint privato gestito, selezionare la sottoscrizione di Azure e l'origine dati negli elenchi a discesa. Selezionare Crea.
Nell'elenco degli endpoint privati gestiti selezionare l'endpoint privato gestito appena creato per l'origine dati e quindi selezionare Gestisci approvazioni nel portale di Azure per approvare l'endpoint privato in portale di Azure.
Facendo clic sul collegamento, si viene reindirizzati a portale di Azure. In Connessione degli endpoint privati selezionare l'endpoint privato appena creato e selezionare Approva.
All'interno del portale di governance di Microsoft Purview, anche l'endpoint privato gestito deve essere visualizzato come approvato.
Registrare ed analizzare un'origine dati usando Managed VNet Runtime
Registrare l'origine dati
È importante registrare l'origine dati in Microsoft Purview prima di configurare un'analisi per l'origine dati. Seguire questa procedura per registrare l'origine dati se non è ancora stata registrata.
Passare all'account Microsoft Purview.
Selezionare Mappa dati nel menu a sinistra.
Selezionare Registra.
In Registra origini selezionare l'origine dati
Selezionare Continua.
Nella schermata Registra origini eseguire le operazioni seguenti:
- Nella casella Nome immettere un nome con cui verrà elencata l'origine dati nel catalogo.
- Nella casella di riepilogo a discesa Sottoscrizione selezionare una sottoscrizione.
- Nella casella Selezionare una raccolta selezionare una raccolta.
- Selezionare Registra per registrare le origini dati.
Per altre informazioni, vedere Gestire le origini dati in Microsoft Purview.
Analizzare l'origine dati
È possibile usare una delle opzioni seguenti per analizzare le origini dati usando Microsoft Purview Managed VNet Runtime:
Uso dell'identità gestita (scelta consigliata): non appena viene creato l'account Microsoft Purview, viene creata automaticamente un'identità gestita assegnata dal sistema nel tenant di Azure AD. A seconda del tipo di risorsa, sono necessarie assegnazioni di ruolo controllo degli accessi in base al ruolo specifiche affinché l'identità gestita assegnata dal sistema (SAMI) di Microsoft Purview esegua le analisi.
Uso di altre opzioni di autenticazione:
Chiave account o autenticazione SQL: i segreti possono essere creati all'interno di un Key Vault di Azure per archiviare le credenziali per consentire a Microsoft Purview di analizzare le origini dati in modo sicuro usando i segreti. Un segreto può essere una chiave dell'account di archiviazione, una password di accesso SQL o una password.
Entità servizio: in questo metodo è possibile creare un'entità servizio nuova o usare un'entità servizio esistente nel tenant di Azure Active Directory.
Eseguire l'analisi usando l'identità gestita
Per analizzare un'origine dati usando un runtime di rete virtuale gestita e un'identità gestita di Microsoft Purview, seguire questa procedura:
Selezionare la scheda Mappa dati nel riquadro sinistro nel portale di governance di Microsoft Purview.
Selezionare l'origine dati registrata.
Selezionare Visualizza dettagli>+ Nuova analisi oppure usare l'icona Analizza azione rapida nel riquadro di origine.
Specificare un nome per l'analisi.
In Connetti tramite runtime di integrazione selezionare il runtime di rete virtuale gestita appena creato.
In Credenziali Selezionare l'identità gestita, scegliere la raccolta appropriata per l'analisi e selezionare Test connessione. In una connessione riuscita selezionare Continua.
Seguire la procedura per selezionare la regola di analisi e l'ambito appropriati per l'analisi.
Scegliere il trigger di analisi. È possibile configurare una pianificazione o eseguire l'analisi una sola volta.
Esaminare l'analisi e selezionare Salva ed esegui.
Eseguire l'analisi usando altre opzioni di autenticazione
È anche possibile usare altre opzioni supportate per analizzare le origini dati usando Microsoft Purview Managed Runtime. A tale scopo, è necessario configurare una connessione privata ad Azure Key Vault in cui è archiviato il segreto.
Per configurare un'analisi usando la chiave dell'account o l'autenticazione SQL, seguire questa procedura:
Concedere a Microsoft Purview l'accesso alla Key Vault di Azure.
Passare a Gestione e selezionare Endpoint privati gestiti.
Selezionare + Nuovo.
Nell'elenco delle origini dati supportate selezionare Key Vault.
Specificare un nome per l'endpoint privato gestito, selezionare la sottoscrizione di Azure e il Key Vault di Azure negli elenchi a discesa. Selezionare Crea.
Nell'elenco degli endpoint privati gestiti selezionare l'endpoint privato gestito appena creato per il Key Vault di Azure e quindi selezionare Gestisci approvazioni nel portale di Azure per approvare l'endpoint privato in portale di Azure.
Facendo clic sul collegamento, si viene reindirizzati a portale di Azure. In Connessione agli endpoint privati selezionare l'endpoint privato appena creato per il Key Vault di Azure e selezionare Approva.
All'interno del portale di governance di Microsoft Purview, anche l'endpoint privato gestito deve essere visualizzato come approvato.
Selezionare la scheda Mappa dati nel riquadro sinistro nel portale di governance di Microsoft Purview.
Selezionare l'origine dati registrata.
Selezionare Visualizza dettagli>+ Nuova analisi oppure usare l'icona Analizza azione rapida nel riquadro di origine.
Specificare un nome per l'analisi.
In Connetti tramite runtime di integrazione selezionare il runtime di rete virtuale gestita appena creato.
Per Credenziali Selezionare le credenziali registrate in precedenza, scegliere la raccolta appropriata per l'analisi e selezionare Test connessione. In una connessione riuscita selezionare Continua.
Seguire la procedura per selezionare la regola di analisi e l'ambito appropriati per l'analisi.
Scegliere il trigger di analisi. È possibile configurare una pianificazione o eseguire l'analisi una sola volta.
Esaminare l'analisi e selezionare Salva ed esegui.