Delen via


Azure Private Link voor Azure Data Factory

VAN TOEPASSING OP: Azure Data Factory Azure Synapse Analytics

Tip

Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .

Met behulp van Azure Private Link kunt u via een privé-eindpunt verbinding maken met verschillende PaaS-implementaties (Platform as a Service) in Azure. Een privé-eindpunt is een privé-IP-adres binnen een specifiek virtueel netwerk en subnet. Zie de Documentatie van Private Link voor een lijst met PaaS-implementaties die ondersteuning bieden voor Private Link-functionaliteit.

Beveiligde communicatie tussen klantnetwerken en Data Factory

U kunt een virtueel Azure-netwerk instellen als een logische weergave van uw netwerk in de cloud. Als u dit doet, heeft dit de volgende voordelen:

  • U helpt uw Azure-resources te beschermen tegen aanvallen in openbare netwerken.
  • U laat de netwerken en data factory veilig met elkaar communiceren.

U kunt ook een on-premises netwerk verbinden met uw virtuele netwerk. Stel een VPN-verbinding voor internetprotocolbeveiliging in. Dit is een site-naar-site-verbinding. Of stel een Azure ExpressRoute-verbinding in. dit is een privé-peeringverbinding.

U kunt ook een zelf-hostende Integration Runtime (IR) installeren op een on-premises machine of een virtuele machine in het virtuele netwerk. Als u dit doet, kunt u:

  • Kopieeractiviteiten uitvoeren tussen gegevensopslag in de cloud en gegevensopslag in een privénetwerk.
  • Transformatieactiviteiten verzenden voor rekenresources in een on-premises netwerk of in een virtueel Azure-netwerk.

Er zijn verschillende communicatiekanalen vereist tussen Azure Data Factory en het virtuele netwerk van de klant, zoals wordt weergegeven in de volgende tabel:

Domain Poort Omschrijving
adf.azure.com 443 De Data Factory-portal is vereist voor het ontwerpen en bewaken van Data Factory.
*.{region}.datafactory.azure.net 443 Vereist door de zelf-hostende IR om verbinding te maken met Data Factory.
*.servicebus.windows.net 443 Vereist door de zelf-hostende IR voor interactieve creatie.
download.microsoft.com 443 Vereist door de zelf-hostende IR voor het downloaden van de updates.

Notitie

Het uitschakelen van openbare netwerktoegang is alleen van toepassing op de zelf-hostende IR, niet op Azure IR en SQL Server Integration Services IR.

De communicatie met Data Factory gaat via Private Link en helpt beveiligde privéconnectiviteit te bieden.

Diagram met Private Link voor Data Factory-architectuur.

Het inschakelen van Private Link voor elk van de voorgaande communicatiekanalen biedt de volgende functionaliteit:

  • Ondersteund:

    • U kunt in de Data Factory-portal ontwerpen en bewaken vanuit uw virtuele netwerk, zelfs als u alle uitgaande communicatie blokkeert. Als u een privé-eindpunt voor de portal maakt, hebben anderen nog steeds toegang tot de Data Factory-portal via het openbare netwerk.
    • De communicatie tussen de zelf-hostende IR en Data Factory kan veilig worden uitgevoerd in een privénetwerkomgeving. Het verkeer tussen de zelf-hostende IR en Data Factory gaat via Private Link.
  • Momenteel niet ondersteund:

    • Interactieve creatie die gebruikmaakt van een zelf-hostende IR, zoals een testverbinding, bladeren in mappenlijst en tabellijst, schema ophalen en voorbeeldgegevens bekijken, gaat via Private Link. Let op: het verkeer gaat via een privékoppeling als de zelfstandige interactieve creatie is ingeschakeld. Zie Zelf-ingesloten interactieve creatie.

    Notitie

    Zowel 'IP ophalen' als 'Logboek verzenden' worden niet ondersteund wanneer zelf-ingesloten interactieve creatie is ingeschakeld.

    • De nieuwe versie van de zelf-hostende IR die automatisch kan worden gedownload vanuit het Microsoft Downloadcentrum als u automatisch bijwerken inschakelt, wordt op dit moment niet ondersteund.

    Voor functionaliteit die momenteel niet wordt ondersteund, moet u het eerder genoemde domein en de eerder genoemde poort configureren in het virtuele netwerk of uw bedrijfsfirewall.

    Verbinding maken met Data Factory via een privé-eindpunt is alleen van toepassing op zelf-hostende IR in Data Factory. Het wordt niet ondersteund voor Azure Synapse Analytics.

Waarschuwing

Als u Private Link Data Factory inschakelt en openbare toegang tegelijkertijd blokkeert, slaat u uw referenties op in Azure Key Vault om ervoor te zorgen dat deze veilig zijn.

Privé-eindpunt configureren voor communicatie tussen zelf-hostende IR en Data Factory

In deze sectie wordt beschreven hoe u het privé-eindpunt configureert voor communicatie tussen zelf-hostende IR en Data Factory.

Het privé-eindpunt wordt gemaakt in uw virtuele netwerk voor de communicatie tussen zelf-hostende IR en Data Factory. Volg de stappen in Een privé-eindpuntkoppeling instellen voor Data Factory.

Controleer of de DNS-configuratie juist is

Volg de instructies in DNS-wijzigingen voor privé-eindpunten om uw DNS-instellingen te controleren of te configureren.

FQDN's van Azure Relay en Downloadcentrum in de lijst met toegestane firewalls plaatsen

Als uw zelf-hostende IR is geïnstalleerd op de virtuele machine in uw virtuele netwerk, staat u uitgaand verkeer toe naar de onderstaande FQDN's in de NSG van uw virtuele netwerk.

Als uw zelf-hostende IR is geïnstalleerd op de computer in uw on-premises omgeving, staat u uitgaand verkeer toe naar de onderstaande FQDN's in de firewall van uw on-premises omgeving en NSG van uw virtuele netwerk.

Domain Poort Omschrijving
*.servicebus.windows.net 443 Vereist door de zelf-hostende IR voor interactieve creatie
download.microsoft.com 443 Vereist door de zelf-hostende IR voor het downloaden van de updates

Als u het voorgaande uitgaande verkeer in de firewall en NSG niet toestaat, wordt zelf-hostende IR weergegeven met een beperkte status. Maar u kunt het nog steeds gebruiken om activiteiten uit te voeren. Alleen interactief ontwerpen en automatisch bijwerken werken niet.

Notitie

Als één data factory (gedeeld) een zelf-hostende IR heeft en de zelf-hostende IR wordt gedeeld met andere gegevensfactory's (gekoppeld), hoeft u alleen een privé-eindpunt te maken voor de gedeelde gegevensfactory. Andere gekoppelde data factory's kunnen gebruikmaken van deze privékoppeling voor de communicatie tussen zelf-hostende IR en Data Factory.

Notitie

Momenteel wordt het tot stand brengen van een privékoppeling tussen een zelf-hostende Integration Runtime en een Synapse Analytics-werkruimte niet ondersteund. En de zelf-hostende Integration Runtime kan nog steeds communiceren met Synapse, zelfs wanneer gegevensexfiltratiebeveiliging is ingeschakeld in de Synapse-werkruimte.

DNS-wijzigingen voor privé-eindpunten

Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-resourcerecord voor de data factory bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Standaard maken we ook een privé-DNS-zone die overeenkomt met het subdomein privatelink , met de DNS A-bronrecords voor de privé-eindpunten.

Wanneer u de URL van het data factory-eindpunt van buiten het virtuele netwerk met het privé-eindpunt oplost, wordt deze omgezet in het openbare eindpunt van Data Factory. Wanneer het probleem is opgelost vanuit het virtuele netwerk dat als host fungeert voor het privé-eindpunt, wordt de URL van het opslageindpunt omgezet in het IP-adres van het privé-eindpunt.

In het voorgaande geïllustreerde voorbeeld zijn de DNS-bronrecords voor de data factory met de naam DataFactoryA, wanneer deze worden omgezet van buiten het virtuele netwerk dat als host fungeert voor het privé-eindpunt:

Name Type Weergegeven als
DataFactoryA. {region}.datafactory.azure.net CNAME < Openbaar Data Factory-eindpunt >
< Openbaar Data Factory-eindpunt > A < Openbaar IP-adres van Data Factory >

De DNS-bronrecords voor DataFactoryA, wanneer deze worden omgezet in het virtuele netwerk dat als host fungeert voor het privé-eindpunt, zijn:

Name Type Weergegeven als
DataFactoryA. {region}.datafactory.azure.net CNAME DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net A < IP-adres van privé-eindpunt >

Als u een aangepaste DNS-server in uw netwerk gebruikt, moeten clients de FQDN voor het data factory-eindpunt kunnen oplossen naar het IP-adres van het privé-eindpunt. U moet uw DNS-server configureren om uw Private Link-subdomein te delegeren naar de privé-DNS-zone voor het virtuele netwerk. U kunt ook de A-records voor DataFactoryA configureren. {region}.datafactory.azure.net met het IP-adres van het privé-eindpunt.

Notitie

Er is momenteel slechts één Data Factory-portaleindpunt, dus er is slechts één privé-eindpunt voor de portal in een DNS-zone. Als u een tweede of volgende privé-eindpunt voor de portal probeert te maken, wordt de eerder gemaakte privé-DNS-vermelding voor de portal overschreven.

In deze sectie stelt u een privé-eindpuntkoppeling in voor Data Factory.

U kunt kiezen of u uw zelf-hostende IR wilt verbinden met Data Factory door een openbaar eindpunt of privé-eindpunt te selecteren tijdens de aanmaakstap van Data Factory, die hier wordt weergegeven:

Schermopname van het blokkeren van openbare toegang tot zelf-hostende IR.

U kunt de selectie op elk gewenst moment wijzigen nadat u de data factory-portalpagina hebt gemaakt in het deelvenster Netwerken . Nadat u daar een privé-eindpunt hebt ingeschakeld, moet u ook een privé-eindpunt toevoegen aan de data factory.

Een privé-eindpunt vereist een virtueel netwerk en subnet voor de koppeling. In dit voorbeeld wordt een virtuele machine binnen het subnet gebruikt om de zelf-hostende IR uit te voeren, die verbinding maakt via de privé-eindpuntkoppeling.

Een virtueel netwerk maken

Als u geen bestaand virtueel netwerk hebt om te gebruiken met uw privé-eindpuntkoppeling, moet u er een maken en een subnet toewijzen.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer in de linkerbovenhoek van het scherm een virtueel netwerk voor resources>>maken of zoek naar virtueel netwerk in het zoekvak.

  3. Voer in Virtueel netwerk maken deze gegevens in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Value
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer een resourcegroep voor uw virtuele netwerk.
    Exemplaardetails
    Naam Voer een naam in voor uw virtuele netwerk.
    Regio Belangrijk: Selecteer dezelfde regio die door uw privé-eindpunt wordt gebruikt.
  4. Selecteer het tabblad IP-adressen of selecteer Volgende: IP-adressen onderaan de pagina.

  5. Voer op het tabblad IP-adressen deze gegevens in:

    Instelling Weergegeven als
    IPv4-adresruimte Voer 10.1.0.0/16 in.
  6. Onder Subnetnaam selecteert u het woord standaard.

  7. Voer in Subnet bewerken deze gegevens in:

    Instelling Weergegeven als
    Subnetnaam Voer een naam in voor uw subnet.
    Subnetadresbereik Voer 10.1.0.0/24 in.
  8. Selecteer Opslaan.

  9. Selecteer het tabblad Controleren + maken of klik op de knop Controleren + maken.

  10. Selecteer Maken.

Een virtuele machine maken voor de zelf-hostende IR

U moet ook een bestaande virtuele machine maken of toewijzen om de zelf-hostende IR uit te voeren in het nieuwe subnet dat u in de voorgaande stappen hebt gemaakt.

  1. Selecteer in de linkerbovenhoek van de portal een virtuele resourcemachine>> maken of zoek naar virtuele machine in het zoekvak.

  2. Voer in Een virtuele machine maken de waarden in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer een resourcegroep.
    Exemplaardetails
    Virtual machine name Voer een naam in voor de virtuele machine.
    Regio Selecteer de regio die u hebt gebruikt voor uw virtuele netwerk.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Afbeelding Selecteer Windows Server 2019 Datacenter - Gen1 of een andere Windows-installatiekopie die ondersteuning biedt voor de zelf-hostende IR.
    Azure spot-exemplaar Selecteer Nee.
    Tekengrootte Kies de VM-grootte of gebruik de standaardinstelling.
    Beheerdersaccount
    Username Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
  3. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven>volgende: Netwerken.

  4. Selecteer of voer op het tabblad Netwerken het volgende in:

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer het virtuele netwerk dat u hebt gemaakt.
    Subnet Selecteer het subnet dat u hebt gemaakt.
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Basis.
    Openbare poorten voor inkomend verkeer Selecteer Geen.
  5. Selecteer Controleren + maken.

  6. Controleer de instellingen en selecteer vervolgens Maken.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

Een privé-eindpunt maken

Ten slotte moet u een privé-eindpunt maken in uw data factory.

  1. Selecteer op de azure-portalpagina voor uw data factory verbindingen met>privé-eindpunten voor netwerken en selecteer vervolgens + Privé-eindpunt.

    Schermopname van het deelvenster Privé-eindpuntverbindingen dat wordt gebruikt voor het maken van een privé-eindpunt.

  2. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken deze gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer een resourcegroep.
    Exemplaardetails
    Naam Voer een naam in voor uw eindpunt.
    Regio Selecteer de regio van het virtuele netwerk dat u hebt gemaakt.
  3. Selecteer het tabblad Resource of de knop Volgende: Resource onderaan het scherm.

  4. Typ of selecteer in Resource de volgende gegevens:

    Instelling Weergegeven als
    Verbindingsmethode Selecteer Verbinding maken met een Azure-resource in mijn directory.
    Abonnement Selecteer uw abonnement.
    Brontype Selecteer Microsoft.Datafactory/factory's.
    Bron Selecteer uw data factory.
    Stel subresource in Als u het privé-eindpunt wilt gebruiken voor opdrachtcommunicatie tussen de zelf-hostende IR en Data Factory, selecteert u datafactory als doelsubresource. Als u het privé-eindpunt wilt gebruiken voor het ontwerpen en bewaken van de gegevensfactory in uw virtuele netwerk, selecteert u de portal als subresource doel.
  5. Selecteer het tabblad Configuratie of de knop Volgende: Configuratie onderaan het scherm.

  6. Typ of selecteer in Configuratie de volgende gegevens:

    Instelling Weergegeven als
    Netwerken
    Virtueel netwerk Selecteer het virtuele netwerk dat u hebt gemaakt.
    Subnet Selecteer het subnet dat u hebt gemaakt.
    Privé-DNS-integratie
    Integreren met privé-DNS-zone Laat de standaardwaarde Ja staan.
    Abonnement Selecteer uw abonnement.
    Persoonlijke DNS-zones Laat de standaardwaarde in beide doelsubbronnen staan: 1. datafactory: (Nieuw) privatelink.datafactory.azure.net. 2. portal: (Nieuw) privatelink.adf.azure.com.
  7. Selecteer Controleren + maken.

  8. Selecteer Maken.

Als u de toegang voor Data Factory-resources in uw abonnementen per Private Link wilt beperken, volgt u de stappen in De portal om een privékoppeling te maken voor het beheren van Azure-resources.

Bekend probleem

U hebt geen toegang tot elke PaaS-resource wanneer beide zijden beschikbaar zijn voor Private Link en een privé-eindpunt. Dit probleem is een bekende beperking van Private Link en privé-eindpunten.

Klant A gebruikt bijvoorbeeld een privékoppeling voor toegang tot de portal van data factory A in virtueel netwerk A. Wanneer data factory A geen openbare toegang blokkeert, heeft klant B toegang tot de portal van data factory A in virtueel netwerk B via openbaar. Maar wanneer klant B een privé-eindpunt maakt op basis van data factory B in virtueel netwerk B, heeft klant B geen toegang meer tot data factory A via openbaar in virtueel netwerk B.