Usługa Azure Private Link dla usługi Azure Data Factory

  • Artykuł

DOTYCZY: Azure Data Factory Azure Synapse Analytics

Napiwek

Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !

Za pomocą usługi Azure Private Link można łączyć się z różnymi wdrożeniami platformy jako usługi (PaaS) na platformie Azure za pośrednictwem prywatnego punktu końcowego. Prywatny punkt końcowy to prywatny adres IP w obrębie określonej sieci wirtualnej lub podsieci. Aby uzyskać listę wdrożeń PaaS, które obsługują funkcje usługi Private Link, zobacz dokumentację usługi Private Link.

Bezpieczna komunikacja między sieciami klientów i usługą Data Factory

Sieć wirtualną platformy Azure można skonfigurować tak, aby była logiczną reprezentacją Twojej sieci w chmurze. Daje to następujące korzyści:

  • Umożliwia ochronę zasobów platformy Azure przed atakami w sieciach publicznych.
  • Umożliwiasz sieciom i fabryce danych bezpieczne komunikowanie się ze sobą.

Możesz również połączyć sieć lokalną z siecią wirtualną. Skonfiguruj połączenie sieci VPN zabezpieczeń protokołu internetowego, które jest połączeniem typu lokacja-lokacja. Możesz też skonfigurować połączenie usługi Azure ExpressRoute. który jest prywatnym połączeniem komunikacji równorzędnej.

Możesz również zainstalować własne środowisko Integration Runtime (IR) na maszynie lokalnej lub maszynie wirtualnej w sieci wirtualnej. Dzięki temu możesz:

  • Uruchamiać działania kopiowania między magazynami danych w chmurze a magazynem danych w sieci prywatnej.
  • Wysyłać działania przekształcania do zasobów obliczeniowych w sieci lokalnej lub w sieci wirtualnej platformy Azure.

Między usługą Azure Data Factory i siecią wirtualną klienta wymagane jest kilka kanałów komunikacyjnych, jak pokazano w poniższej tabeli:

Domain Port opis
adf.azure.com 443 Portal usługi Data Factory jest wymagany przez tworzenie i monitorowanie usługi Data Factory.
*.{region}.datafactory.azure.net 443 Wymagane przez własne środowisko IR do nawiązania połączenia z usługą Data Factory.
*.servicebus.windows.net 443 Wymagane przez własne środowisko IR do tworzenia interakcyjnego.
download.microsoft.com 443 Wymagane przez własne środowisko IR do pobierania aktualizacji.

Uwaga

Wyłączenie dostępu do sieci publicznej dotyczy tylko własnego środowiska IR, a nie środowiska AZURE IR i środowiska IR usług SQL Server Integration Services.

Komunikacja z usługą Data Factory odbywa się za pośrednictwem usługi Private Link i pomaga zapewnić bezpieczną łączność prywatną.

Diagram przedstawiający architekturę usługi Private Link dla usługi Data Factory.

Włączenie usługi Private Link dla każdego z powyższych kanałów komunikacyjnych oferuje następujące funkcje:

  • Obsługiwane:

    • Możesz tworzyć i monitorować w portalu usługi Data Factory z sieci wirtualnej, nawet jeśli zablokujesz całą komunikację wychodzącą. Jeśli tworzysz prywatny punkt końcowy dla portalu, inne osoby nadal będą mogły uzyskać dostęp do portalu usługi Data Factory za pośrednictwem sieci publicznej.
    • Komunikację poleceń między własnym środowiskiem IR i usługą Data Factory można bezpiecznie wykonać w środowisku sieci prywatnej. Ruch między własnym środowiskiem IR a usługą Data Factory przechodzi przez usługę Private Link.

  • Obecnie nieobsługiwane:

    • Interaktywne tworzenie korzystające z własnego środowiska IR, takiego jak połączenie testowe, lista folderów przeglądania i lista tabel, pobieranie schematu i dane podglądu, przechodzi przez usługę Private Link. Zwróć uwagę, że ruch przechodzi przez link prywatny, jeśli jest włączone samodzielne interaktywne tworzenie. Zobacz Self-contained Interactive Authoring (Samodzielne tworzenie interakcyjne).

    Uwaga

    Zarówno "Pobierz adres IP" i "Wyślij dziennik" nie są obsługiwane, gdy jest włączone samodzielne interaktywne tworzenie.

    • Nowa wersja własnego środowiska IR, którą można automatycznie pobrać z Centrum pobierania Microsoft, jeśli włączysz automatyczną aktualizację, nie jest obecnie obsługiwana.

    W przypadku funkcji, które nie są obecnie obsługiwane, należy skonfigurować wcześniej wymienioną domenę i port w sieci wirtualnej lub zaporze firmowej.

    Połączenie do usługi Data Factory za pośrednictwem prywatnego punktu końcowego ma zastosowanie tylko do własnego środowiska IR w usłudze Data Factory. Nie jest obsługiwana w usłudze Azure Synapse Analytics.

Ostrzeżenie

Jeśli włączysz usługę Private Link Data Factory i zablokujesz jednocześnie dostęp publiczny, zapisz swoje poświadczenia w usłudze Azure Key Vault, aby upewnić się, że są one bezpieczne.

Konfigurowanie prywatnego punktu końcowego na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory

W tej sekcji opisano sposób konfigurowania prywatnego punktu końcowego na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory.

Prywatny punkt końcowy jest tworzony w sieci wirtualnej na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory. Wykonaj kroki opisane w temacie Konfigurowanie łącza prywatnego punktu końcowego dla usługi Data Factory.

Upewnij się, że konfiguracja DNS jest poprawna

Postępuj zgodnie z instrukcjami w artykule Zmiany DNS dla prywatnych punktów końcowych , aby sprawdzić lub skonfigurować ustawienia DNS.

Umieść nazwy FQDN usługi Azure Relay i Centrum pobierania na listę dozwolonych zapory

Jeśli własne środowisko IR jest zainstalowane na maszynie wirtualnej w sieci wirtualnej, zezwól na ruch wychodzący do poniższych nazw FQDN w sieciowej grupie zabezpieczeń sieci wirtualnej.

Jeśli własne środowisko IR jest zainstalowane na maszynie w środowisku lokalnym, zezwól na ruch wychodzący do poniższych nazw FQDN w zaporze środowiska lokalnego i sieciowej grupy zabezpieczeń sieci wirtualnej.

Domain Port opis
*.servicebus.windows.net 443 Wymagane przez własne środowisko IR do interaktywnego tworzenia
download.microsoft.com 443 Wymagane przez własne środowisko IR do pobierania aktualizacji

Jeśli nie zezwolisz na powyższy ruch wychodzący w zaporze i sieciowej grupie zabezpieczeń, własne środowisko IR będzie wyświetlane ze stanem Ograniczony . Można jednak nadal używać go do wykonywania działań. Nie działają tylko interaktywne tworzenie i automatyczna aktualizacja.

Uwaga

Jeśli jedna fabryka danych (udostępniona) ma własne środowisko IR, a własne środowisko IR jest współużytkowane z innymi fabrykami danych (połączonymi), wystarczy utworzyć prywatny punkt końcowy dla udostępnionej fabryki danych. Inne połączone fabryki danych mogą korzystać z tego łącza prywatnego do komunikacji między własnym środowiskiem IR i usługą Data Factory.

Uwaga

Obecnie nie obsługujemy ustanawiania łącza prywatnego między własnym środowiskiem Integration Runtime i obszarem roboczym usługi Synapse Analytics. Własne środowisko Integration Runtime może nadal komunikować się z usługą Synapse nawet wtedy, gdy ochrona eksfiltracji danych jest włączona w obszarze roboczym usługi Synapse.

Zmiany DNS dla prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla fabryki danych jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą poddomenie privatelink z rekordami zasobów DNS A dla prywatnych punktów końcowych.

Po rozpoznaniu adresu URL punktu końcowego fabryki danych spoza sieci wirtualnej za pomocą prywatnego punktu końcowego zostanie rozpoznany publiczny punkt końcowy usługi Data Factory. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego magazynu jest rozpoznawany jako adres IP prywatnego punktu końcowego.

W powyższym przykładzie pokazano, że rekordy zasobów DNS dla fabryki danych o nazwie DataFactoryA po rozpoznaniu poza siecią wirtualną hostująca prywatny punkt końcowy będą następujące:

Nazwisko Typ Wartość
DataFactoryA. {region}.datafactory.azure.net CNAME < Publiczny punkt końcowy usługi Data Factory >
< Publiczny punkt końcowy usługi Data Factory > A < Publiczny adres IP usługi Data Factory >

Rekordy zasobów DNS dla usługi DataFactoryA, po rozpoznaniu w sieci wirtualnej obsługującej prywatny punkt końcowy, będą następujące:

Nazwisko Typ Wartość
DataFactoryA. {region}.datafactory.azure.net CNAME DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net A < prywatny adres IP punktu końcowego >

Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania nazwy FQDN punktu końcowego fabryki danych na prywatny adres IP punktu końcowego punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę usługi Private Link do prywatnej strefy DNS dla sieci wirtualnej. Możesz też skonfigurować rekordy A dla elementu DataFactoryA. {region}.datafactory.azure.net z prywatnym adresem IP punktu końcowego.

Uwaga

Obecnie istnieje tylko jeden punkt końcowy portalu usługi Data Factory, więc w strefie DNS istnieje tylko jeden prywatny punkt końcowy portalu. Próba utworzenia drugiego lub kolejnego prywatnego punktu końcowego portalu zastępuje wcześniej utworzony prywatny wpis DNS dla portalu.

W tej sekcji skonfigurujesz link prywatnego punktu końcowego dla usługi Data Factory.

Możesz wybrać, czy chcesz połączyć własne środowisko IR z usługą Data Factory, wybierając pozycję Publiczny punkt końcowy lub Prywatny punkt końcowy podczas kroku tworzenia usługi Data Factory, jak pokazano tutaj:

Zrzut ekranu przedstawiający blokowanie publicznego dostępu do własnego środowiska IR.

Wybór można zmienić w dowolnym momencie po utworzeniu na stronie portalu usługi Data Factory w okienku Sieć . Po włączeniu prywatnego punktu końcowego należy również dodać prywatny punkt końcowy do fabryki danych.

Prywatny punkt końcowy wymaga sieci wirtualnej i podsieci łącza. W tym przykładzie maszyna wirtualna w podsieci służy do uruchamiania własnego środowiska IR, które łączy się za pośrednictwem łącza prywatnego punktu końcowego.

Tworzenie sieci wirtualnej

Jeśli nie masz istniejącej sieci wirtualnej do użycia z linkiem prywatnego punktu końcowego, musisz utworzyć sieć i przypisać podsieć.

  1. Zaloguj się w witrynie Azure Portal.

  2. W lewym górnym rogu ekranu wybierz pozycję Utwórz zasób>Sieć> wirtualna sieci wirtualnej lub wyszukaj pozycję Sieć wirtualna w polu wyszukiwania.

  3. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz grupę zasobów dla sieci wirtualnej.
    Szczegóły wystąpienia
    Nazwisko Wprowadź nazwę sieci wirtualnej.
    Region (Region) Ważne: wybierz ten sam region, z którym korzysta prywatny punkt końcowy.

  4. Wybierz kartę Adresy IP lub wybierz pozycję Dalej: adresy IP w dolnej części strony.

  5. Na karcie Adresy IP wprowadź następujące informacje:

    Ustawienie Wartość
    Przestrzeń adresowa IPv4 Wprowadź adres 10.1.0.0/16.

  6. W obszarze Nazwa podsieci wybierz wyraz domyślny.

  7. W obszarze Edytuj podsieć wprowadź następujące informacje:

    Ustawienie Wartość
    Nazwa podsieci Wprowadź nazwę podsieci.
    Zakres adresów podsieci Wprowadź 10.1.0.0/24.

  8. Wybierz pozycję Zapisz.

  9. Wybierz kartę Przeglądanie + tworzenie lub wybierz przycisk Przejrzyj i utwórz .

  10. Wybierz pozycję Utwórz.

Tworzenie maszyny wirtualnej dla własnego środowiska IR

Musisz również utworzyć lub przypisać istniejącą maszynę wirtualną, aby uruchomić własne środowisko IR w nowej podsieci utworzonej w poprzednich krokach.

  1. W lewym górnym rogu portalu wybierz pozycję Utwórz zasób>Obliczeniowa>maszyna wirtualna lub wyszukaj maszynę wirtualną w polu wyszukiwania.

  2. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz wartości na karcie Podstawy :

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz grupę zasobów.
    Szczegóły wystąpienia
    Virtual machine name Wprowadź nazwę maszyny wirtualnej.
    Region (Region) Wybierz region używany dla sieci wirtualnej.
    Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury.
    Obraz Wybierz pozycję Windows Server 2019 Datacenter — Gen1 lub dowolny inny obraz systemu Windows obsługujący własne środowisko IR.
    Wystąpienie typu spot platformy Azure Wybierz opcję Nie.
    Rozmiar Wybierz rozmiar maszyny wirtualnej lub użyj ustawienia domyślnego.
    konto Administracja istrator
    Username Wprowadź nazwę użytkownika.
    Hasło Wprowadź hasło.
    Potwierdź hasło Wprowadź ponownie hasło.

  3. Wybierz kartę Sieć lub wybierz pozycję Dalej: Dyski>Dalej: Sieć.

  4. Na karcie Sieć wybierz lub wprowadź:

    Ustawienie Wartość
    Interfejs sieciowy
    Sieć wirtualna Wybierz utworzoną sieć wirtualną.
    Podsieć Wybierz utworzoną podsieć.
    Publiczny adres IP Wybierz pozycję Brak.
    Sieciowa grupa zabezpieczeń karty sieciowej Basic.
    Publiczne porty ruchu przychodzącego Wybierz pozycję Brak.

  5. Wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Tworzenie prywatnego punktu końcowego

Na koniec należy utworzyć prywatny punkt końcowy w fabryce danych.

  1. Na stronie witryny Azure Portal dla fabryki danych wybierz pozycję Połączenia prywatnych punktów końcowych sieci>, a następnie wybierz pozycję + Prywatny punkt końcowy.

    Zrzut ekranu przedstawiający okienko Połączenia prywatnego punktu końcowego używane do tworzenia prywatnego punktu końcowego.

  2. Na karcie Podstawy tworzenia prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz grupę zasobów.
    Szczegóły wystąpienia
    Nazwisko Wprowadź nazwę punktu końcowego.
    Region (Region) Wybierz region utworzonej sieci wirtualnej.

  3. Wybierz kartę Zasób lub przycisk Dalej: Zasób w dolnej części ekranu.

  4. W obszarze Zasób wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Metoda połączenia Wybierz pozycję Połączenie do zasobu platformy Azure w moim katalogu.
    Subskrypcja Wybierz subskrypcję.
    Typ zasobu Wybierz pozycję Microsoft.Datafactory/factory.
    Zasób Wybierz fabrykę danych.
    Docelowy zasób podrzędny Jeśli chcesz użyć prywatnego punktu końcowego do komunikacji poleceń między własnym środowiskiem IR i usługą Data Factory, wybierz pozycję DataFactory jako docelowy zasób podrzędny. Jeśli chcesz użyć prywatnego punktu końcowego do tworzenia i monitorowania fabryki danych w sieci wirtualnej, wybierz pozycję Portal jako docelowy zasób podrzędny.

  5. Wybierz kartę Konfiguracja lub przycisk Dalej: Konfiguracja w dolnej części ekranu.

  6. W obszarze Konfiguracja wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Sieć
    Sieć wirtualna Wybierz utworzoną sieć wirtualną.
    Podsieć Wybierz utworzoną podsieć.
    integracja Prywatna strefa DNS
    Integruj z prywatną strefą DNS Pozostaw wartość domyślną Tak.
    Subskrypcja Wybierz subskrypcję.
    Prywatne strefy DNS Pozostaw wartość domyślną w obu zasobach docelowych podrzędnych: 1. datafactory: (Nowy) privatelink.datafactory.azure.net. 2. portal: (Nowy) privatelink.adf.azure.com.

  7. Wybierz pozycję Przejrzyj i utwórz.

  8. Wybierz pozycję Utwórz.

Jeśli chcesz ograniczyć dostęp do zasobów usługi Data Factory w ramach subskrypcji za pomocą usługi Private Link, wykonaj kroki opisane w artykule Tworzenie łącza prywatnego do zarządzania zasobami platformy Azure za pomocą portalu.

Znany problem

Nie możesz uzyskać dostępu do każdego zasobu PaaS, gdy obie strony są uwidocznione w usłudze Private Link i prywatnym punkcie końcowym. Ten problem jest znanym ograniczeniem usługi Private Link i prywatnych punktów końcowych.

Na przykład klient A używa łącza prywatnego w celu uzyskania dostępu do portalu fabryki danych A w sieci wirtualnej A. Gdy fabryka danych A nie blokuje dostępu publicznego, klient B może uzyskać dostęp do portalu fabryki danych A w sieci wirtualnej B za pośrednictwem publicznego. Jednak gdy klient B tworzy prywatny punkt końcowy względem fabryki danych B w sieci wirtualnej B, klient B nie może już uzyskać dostępu do fabryki danych A za pośrednictwem publicznej w sieci wirtualnej B.

Powiązana zawartość