Usare Istanza gestita di SQL di Azure con SQL Server Integration Services (SSIS) in Azure Data Factory o Azure Synapse Analytics

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Suggerimento

Provare Data Factory in Microsoft Fabric, una soluzione di analisi all-in-one per le aziende. Microsoft Fabric copre tutto, dallo spostamento dati al data science, all'analisi in tempo reale, alla business intelligence e alla creazione di report. Vedere le informazioni su come iniziare una nuova prova gratuita.

È ora possibile spostare progetti, pacchetti e carichi di lavoro di SQL Server Integration Services (SSIS) nel cloud di Azure. Distribuire, eseguire e gestire progetti e pacchetti SSIS in Database SQL di Azure o in Istanza gestita di SQL con strumenti noti come SQL Server Management Studio (SSMS). Questo articolo illustra le aree specifiche seguenti, per l'uso di Istanza gestita di SQL di Azure con Azure-SSIS Integration Runtime (IR):

• Effettuare il provisioning di Azure-SSIS IR con catalogo SSIS (SSISDB) ospitato da Istanza gestita di SQL di Azure
• Eseguire pacchetti SSIS con un processo dell'agente di Istanza gestita di SQL di Azure
• Eseguire la pulizia dei log di SSISDB con un processo dell'agente di Istanza gestita di SQL di Azure
• Effettuare il failover di Azure-SSIS IR con Istanza gestita di SQL di Azure
• Eseguire la migrazione di carichi di lavoro SSIS locali a SSIS in ADF

Effettuare il provisioning di Azure-SSIS IR con SSISDB ospitato da Istanza gestita di SQL di Azure

Prerequisiti

1. Abilitare Microsoft Entra ID in Istanza gestita di SQL di Azure, quando si sceglie l'autenticazione di Microsoft Entra.

2. Scegliere la modalità di connessione dell'Istanza gestita di SQL, tramite un endpoint privato oppure tramite un endpoint pubblico:

   • Tramite endpoint privato (scelta consigliata)

     1. Scegliere la rete virtuale a cui aggiungere Azure-SSIS IR:

        • All'interno della stessa rete virtuale dell'istanza gestita, con una subnet diversa.
        • All'interno di una rete virtuale diversa da quella dell'istanza gestita, tramite peering di reti virtuali (limitato alla stessa area, a causa dei vincoli del peering di reti virtuali globale) oppure con una connessione da rete virtuale a rete virtuale.

        Per altre informazioni sulla connettività di Istanza gestita di SQL, vedere Connettere un'applicazione a Istanza gestita di SQL di Azure.

     2. Configurare la rete virtuale.

   • Tramite endpoint pubblico

     Istanza gestita di SQL di Azure può fornire la connettività tramite endpoint pubblici. Per consentire il traffico tra l'Istanza gestita di SQL e Azure-SSIS IR, devono essere soddisfatti i requisiti in ingresso e in uscita:

     • Azure-SSIS IR non all'interno di una rete virtuale (scelta consigliata)

       Requisito in ingresso dell'Istanza gestita di SQL, per consentire il traffico in ingresso da Azure-SSIS IR.

       Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione
       TCP	Tag del servizio cloud di Azure	*	VirtualNetwork	3342

       Per altre informazioni, vedere Consentire il traffico dell'endpoint pubblico nel gruppo di sicurezza di rete.

     • Azure-SSIS IR all'interno di una rete virtuale

       Esiste uno scenario speciale in cui Istanza gestita di SQL si trova in un'area non supportata da Azure-SSIS IR e Azure-SSIS IR si trova all'interno di una rete virtuale senza peering di reti virtuali a causa della limitazione del peering di reti virtuali globale. In tale scenario, Azure-SSIS IR all'interno di una rete virtuale connette l'Istanza gestita di SQL tramite un endpoint pubblico. Usare le regole del gruppo di sicurezza di rete (NSG) riportate di seguito per consentire il traffico tra Istanza gestita di SQL e Azure-SSIS IR:

       1. Requisito in ingresso dell'Istanza gestita di SQL, per consentire il traffico in ingresso da Azure-SSIS IR.

          Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione
          TCP	Indirizzo IP statico di Azure-SSIS IR Per informazioni dettagliate, vedere Usare un indirizzo IP pubblico personalizzato per Azure-SSIS IR.	*	VirtualNetwork	3342

       2. Requisito in uscita di Azure-SSIS IR, per consentire il traffico in uscita verso l'Istanza gestita di SQL.

          Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione
          TCP	VirtualNetwork	*	Indirizzo IP dell'endpoint pubblico dell'istanza gestita di SQL	3342

Configurare la rete virtuale

1. Autorizzazione utente. Per l'utente che crea l'istanza di Azure-SSIS IR è necessaria un'assegnazione di ruolo almeno nella risorsa Azure Data Factory, con una delle opzioni descritte di seguito.

   • Usare il ruolo predefinito Collaboratore Rete. Questo ruolo richiede l'autorizzazione Microsoft.Network/*, la quale ha un ambito molto maggiore del necessario.
   • Creare un ruolo personalizzato che include solo l'autorizzazione Microsoft.Network/virtualNetworks/*/join/action necessaria. Se si vogliono usare indirizzi IP pubblici personalizzati per Azure-SSIS IR, quando viene aggiunto a una rete virtuale di Azure Resource Manager, includere nel ruolo anche l'autorizzazione Microsoft.Network/publicIPAddresses/*/join/action.

2. Rete virtuale.

   1. Verificare che il gruppo di risorse della rete virtuale possa creare ed eliminare determinate risorse di rete di Azure.

      Il runtime di integrazione Azure-SSIS deve creare alcune risorse di rete nello stesso gruppo di risorse della rete virtuale. Tali risorse includono:

      • Un servizio di bilanciamento del carico di Azure denominato <GUID>-azurebatch-cloudserviceloadbalancer
      • Un gruppo di sicurezza di rete denominato *<GUID>-azurebatch-cloudservicenetworksecuritygroup
      • Un indirizzo IP pubblico di Azure denominato -azurebatch-cloudservicepublicip

      Queste risorse sono create all'avvio di Azure-SSIS IR e sono eliminate all'arresto di Azure-SSIS IR. Per evitare di impedire l'arresto di Azure-SSIS IR, non riusare queste risorse di rete in altre risorse.

   2. Verificare che non sia presente alcun blocco delle risorse per il gruppo di risorse o la sottoscrizione a cui appartiene la rete virtuale. Se si configura un blocco di sola lettura/eliminazione, l'avvio e l'arresto di Azure-SSIS IR avranno esito negativo o si bloccheranno.

   3. Verificare che non sia presente una definizione di Criteri di Azure che impedisca la creazione delle risorse seguenti nel gruppo di risorse o nella sottoscrizione a cui appartiene la rete virtuale:

      • Microsoft.Network/Bilanciatori di Carico
      • Microsoft.Network/NetworkSecurityGroups

   4. Consentire il traffico nella regola del gruppo di sicurezza di rete (NSG), per consentire il traffico tra l'Istanza gestita di SQL e Azure-SSIS IR e il traffico necessario per Azure-SSIS IR.

      1. Requisito in ingresso dell'Istanza gestita di SQL, per consentire il traffico in ingresso da Azure-SSIS IR.

         Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione	Commenti
         TCP	VirtualNetwork	*	VirtualNetwork	1433, 11000-11999	Se il criterio di connessione del server di database SQL è impostato su Proxy anziché su Reindirizzamento, è necessaria solo la porta 1433.

      2. Requisito in uscita di Azure-SSIS IR, per consentire il traffico in uscita verso l'Istanza gestita di SQL e il restante traffico necessario per Azure-SSIS IR.

         Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione	Commenti
         TCP	VirtualNetwork	*	VirtualNetwork	1433, 11000-11999	Consentire il traffico in uscita verso l'Istanza gestita di SQL. Se il criterio di connessione è impostato su Proxy anziché su Reindirizzamento, è necessaria solo la porta 1433.
         TCP	VirtualNetwork	*	AzureCloud	443	I nodi di Azure-SSIS IR nella rete virtuale usano questa porta per accedere ai servizi di Azure, ad esempio Archiviazione di Azure e Hub eventi di Azure.
         TCP	VirtualNetwork	*	Internet	80	(Facoltativo) I nodi di Azure-SSIS IR nella rete virtuale usano questa porta per scaricare un elenco di revoche di certificati da Internet. Se si blocca questo traffico, si potrebbe verificare un downgrade delle prestazioni all'avvio del runtime di integrazione e si potrebbe perdere la possibilità di controllare l'elenco di revoche per l'utilizzo dei certificati. Se si vuole limitare ulteriormente la destinazione a determinati FQDN, vedere Configurare route definite dall'utente.
         TCP	VirtualNetwork	*	Immagazzinamento	445	(Facoltativo) Questa regola è necessaria solo quando si vuole eseguire un pacchetto SSIS archiviato in File di Azure.

      3. Requisito in ingresso di Azure-SSIS IR, per consentire il traffico necessario per Azure-SSIS IR:

         Protocollo di trasporto	Source (Sorgente)	Intervallo di porte di origine	Destination	Intervallo di porte di destinazione	Commenti
         TCP	BatchNodeManagement	*	VirtualNetwork	29876, 29877 (se si aggiunge il runtime di integrazione a una rete virtuale di Resource Manager) 10100, 20100, 30100 (se si aggiunge il runtime di integrazione a una rete virtuale classica)	Il servizio Data Factory usa queste porte per comunicare con i nodi di Azure-SSIS IR nella rete virtuale. Sia che si crei o meno un gruppo di sicurezza di rete a livello di subnet, Data Factory configura sempre un gruppo di sicurezza di rete al livello delle schede di interfaccia di rete collegate alle macchine virtuali che ospitano Azure-SSIS IR. Il gruppo di sicurezza di rete a livello di scheda di interfaccia di rete consente solo il traffico in entrata dagli indirizzi IP di Data Factory nelle porte specificate. Anche se si aprono queste porte al traffico Internet a livello di subnet, il traffico proveniente da indirizzi IP diversi dagli indirizzi IP di Data Factory viene bloccato a livello di scheda di interfaccia di rete.
         TCP	CorpNetSaw	*	VirtualNetwork	3389	(Facoltativo) Questa regola è necessaria solo quando l'addetto al supporto Microsoft chiede al cliente di aprire un ticket per assistenza avanzata e può essere chiusa subito dopo la risoluzione del problema. Il tag di servizio CorpNetSaw consente l'uso del desktop remoto solo alle workstation con accesso sicuro nella rete aziendale Microsoft. Questo tag di servizio non può essere selezionato dal portale ed è disponibile solo tramite Azure PowerShell o l'interfaccia della riga di comando di Azure. A livello di NSG della scheda di interfaccia di rete, la porta 3389 è aperta per impostazione predefinita e vi permettiamo di controllare la porta 3389 a livello di NSG della sottorete. Nel frattempo, Azure-SSIS IR ha bloccato per impostazione predefinita l'uscita della porta 3389 attraverso la regola del firewall di Windows su ogni nodo IR per protezione.

   5. Per altre informazioni, vedere Configurazione della rete virtuale:

      • Se si usano indirizzi IP pubblici personalizzati per Azure-SSIS IR
      • Se si usa un server DNS (Domain Name System) personalizzato
      • Se si usa Azure ExpressRoute o una route definita dall'utente
      • Se si usa un'istanza personalizzata di Azure-SSIS IR

Effettuare il provisioning di Azure-SSIS Integration Runtime

1. Selezionare l'endpoint privato o l'endpoint pubblico dell'Istanza gestita di SQL.

   Quando si effettua il provisioning di Azure-SSIS IR nel portale di Azure/app ADF, nella pagina Impostazioni SQL usare l'endpoint privato o l'endpoint pubblico dell'Istanza gestita di SQL per la creazione del catalogo SSIS (SSISDB).

   Il nome host dell'endpoint pubblico presenta il formato <mi_name>.public.<dns_zone>.database.windows.net e per la connessione viene usata la porta 3342.

   

2. Selezionare l'autenticazione di Microsoft Entra quando è applicabile.

   

   Per altre informazioni su come abilitare l'autenticazione di Microsoft Entra, vedere Abilitare Microsoft Entra ID in Istanza gestita di SQL di Azure.

3. Aggiungere Azure-SSIS IR alla rete virtuale, quando applicabile.

   Nella pagina Impostazioni avanzate selezionare la rete virtuale e la subnet a cui eseguire l'aggiunta.

   Se all'interno della stessa rete virtuale dell'Istanza gestita di SQL, scegliere una subnet diversa rispetto all'Istanza gestita di SQL.

   Per altre informazioni su come aggiungere Azure-SSIS IR a una rete virtuale, vedere Aggiungere Azure-SSIS Integration Runtime a una rete virtuale.

   

Per altre informazioni su come creare Azure-SSIS IR, vedere Creare un runtime di integrazione SSIS di Azure in Azure Data Factory.

Eseguire la pulizia dei log di SSISDB

I criteri di conservazione dei log di SSISDB sono definiti dalle proprietà seguenti in catalog.catalog_properties:

• OPERATION_CLEANUP_ENABLED

  Se il valore è TRUE, i dettagli e i messaggi delle operazioni anteriori a RETENTION_WINDOW (giorni) vengono eliminati dal catalogo. Se il valore è FALSE, tutti i dettagli e i messaggi delle operazioni vengono archiviati nel catalogo. Nota: la pulizia delle operazioni viene eseguita da un processo di SQL Server.

• RETENTION_WINDOW

  Numero di giorni di archiviazione nel catalogo dei dettagli e dei messaggi dell'operazione. Quando il valore è -1, il periodo di conservazione è infinito. Nota: se non si vuole effettuare la pulizia, impostare OPERATION_CLEANUP_ENABLED su FALSE.

Per rimuovere i log di SSISDB non inclusi nel periodo di conservazione impostato dall'amministratore, è possibile attivare la stored procedure [internal].[cleanup_server_retention_window_exclusive]. Facoltativamente, si può pianificare l'esecuzione di un processo dell'agente di Istanza gestita di SQL per attivare la stored procedure.

Contenuti correlati

• Eseguire pacchetti SSIS con un processo dell'agente di Istanza gestita di SQL di Azure
• Configurare continuità aziendale e ripristino di emergenza (BCDR)
• Eseguire la migrazione di carichi di lavoro SSIS locali a SSIS in ADF