Udostępnij za pośrednictwem

Usługa Azure Private Link dla usługi Azure Data Factory

DOTYCZY: Azure Data Factory Azure Synapse Analytics

Napiwek

Wypróbuj usługę Data Factory w usłudze Microsoft Fabric — rozwiązanie analityczne typu all-in-one dla przedsiębiorstw. Usługa Microsoft Fabric obejmuje wszystko, od przenoszenia danych do nauki o danych, analizy w czasie rzeczywistym, analizy biznesowej i raportowania. Dowiedz się, jak bezpłatnie rozpocząć nową wersję próbną !

Za pomocą usługi Azure Private Link można łączyć się z różnymi wdrożeniami platformy jako usługi (PaaS) na platformie Azure za pośrednictwem prywatnego punktu końcowego. Prywatny punkt końcowy to prywatny adres IP w obrębie określonej sieci wirtualnej lub podsieci. Aby uzyskać listę wdrożeń PaaS, które obsługują funkcje usługi Private Link, zobacz dokumentację usługi Private Link.

Bezpieczna komunikacja między sieciami klientów i usługą Data Factory

Sieć wirtualną platformy Azure można skonfigurować tak, aby była logiczną reprezentacją Twojej sieci w chmurze. Daje to następujące korzyści:

  • Umożliwia ochronę zasobów platformy Azure przed atakami w sieciach publicznych.
  • Umożliwiasz sieciom i fabryce danych bezpieczne komunikowanie się ze sobą.

Możesz również połączyć sieć lokalną z siecią wirtualną. Skonfiguruj połączenie VPN bezpieczeństwa protokołu IP, które jest połączeniem punkt-punkt. Możesz też skonfigurować połączenie usługi Azure ExpressRoute. które jest prywatnym połączeniem peeringowym.

Możesz również zainstalować własne środowisko Integration Runtime (IR) na maszynie lokalnej lub maszynie wirtualnej w sieci wirtualnej. Dzięki temu możesz:

  • Uruchamiać działania kopiowania między magazynami danych w chmurze a magazynem danych w sieci prywatnej.
  • Wysyłać działania przekształcania do zasobów obliczeniowych w sieci lokalnej lub w sieci wirtualnej platformy Azure.

Między usługą Azure Data Factory i siecią wirtualną klienta wymagane jest kilka kanałów komunikacyjnych, jak pokazano w poniższej tabeli:

Domena Port opis
adf.azure.com 443 Portal usługi Data Factory jest niezbędny do autorowania i monitorowania.
*.{region}.datafactory.azure.net 443 Wymagane przez własne środowisko IR do nawiązania połączenia z usługą Data Factory.
*.servicebus.windows.net 443 Wymagane przez środowisko IR hostowane lokalnie do interakcyjnego tworzenia.
download.microsoft.com 443 Wymagane przez samodzielnie hostowane środowisko IR do pobierania aktualizacji.

Uwaga

Wyłączenie dostępu do sieci publicznej dotyczy tylko lokalnego środowiska IR, natomiast nie dotyczy środowiska Azure IR ani środowiska IR SQL Server Integration Services.

Komunikacja z usługą Data Factory odbywa się za pośrednictwem usługi Private Link i pomaga zapewnić bezpieczną łączność prywatną.

Diagram przedstawiający architekturę usługi Private Link dla usługi Data Factory.

Włączenie usługi Private Link dla każdego z powyższych kanałów komunikacyjnych oferuje następujące funkcje:

  • Obsługiwane:

    • Możesz tworzyć i monitorować w portalu usługi Data Factory z sieci wirtualnej, nawet jeśli zablokujesz całą komunikację wychodzącą. Jeśli tworzysz prywatny punkt końcowy dla portalu, inne osoby nadal będą mogły uzyskać dostęp do portalu usługi Data Factory za pośrednictwem sieci publicznej.
    • Komunikację poleceń między własnym środowiskiem IR i usługą Data Factory można bezpiecznie wykonać w środowisku sieci prywatnej. Ruch między własnym środowiskiem IR a usługą Data Factory przechodzi przez usługę Private Link.

  • Obecnie nieobsługiwane:

    • Interaktywne tworzenie treści wykorzystujące samodzielnie hostowane IR, takie jak testowanie połączenia, lista folderów do przeglądania i tabela, pobierz schemat i podgląd danych, przechodzi przez usługę Private Link. Zwróć uwagę, że ruch przechodzi przez łącze prywatne, jeśli jest włączone samodzielne interaktywne tworzenie treści. Zobacz Self-contained Interactive Authoring (Samodzielne tworzenie interakcyjne).

    Uwaga

    Zarówno "Pobierz adres IP", jak i "Wyślij dziennik" nie są obsługiwane, gdy jest włączone samodzielne interaktywne tworzenie treści.

    • Nowa wersja własnego środowiska IR, którą można automatycznie pobrać z Centrum pobierania Microsoft, jeśli włączysz automatyczną aktualizację, nie jest obecnie obsługiwana.

    W przypadku funkcji, które nie są obecnie obsługiwane, należy skonfigurować wcześniej wymienioną domenę i port w sieci wirtualnej lub zaporze firmowej.

    Nawiązywanie połączenia z usługą Data Factory za pośrednictwem prywatnego punktu końcowego ma zastosowanie tylko do samodzielnie hostowanego środowiska IR w usłudze Data Factory. Nie jest obsługiwana w usłudze Azure Synapse Analytics.

Ostrzeżenie

Jeśli włączysz usługę Private Link Data Factory i zablokujesz jednocześnie dostęp publiczny, zapisz swoje poświadczenia w usłudze Azure Key Vault, aby upewnić się, że są one bezpieczne.

Konfigurowanie prywatnego punktu końcowego na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory

W tej sekcji opisano sposób konfigurowania prywatnego punktu końcowego na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory.

Prywatny punkt końcowy jest tworzony w sieci wirtualnej na potrzeby komunikacji między własnym środowiskiem IR i usługą Data Factory. Wykonaj kroki opisane w temacie Konfigurowanie łącza prywatnego punktu końcowego dla usługi Data Factory.

Upewnij się, że konfiguracja DNS jest poprawna

Postępuj zgodnie z instrukcjami w artykule Zmiany DNS dla prywatnych punktów końcowych , aby sprawdzić lub skonfigurować ustawienia DNS.

Umieść FQDN usługi Azure Relay i Download Center na liście dozwolonych zapór.

Jeśli twoja własna instalacja IR jest zainstalowana na maszynie wirtualnej w sieci wirtualnej, zezwól na ruch wychodzący do poniższych nazw FQDN w grupie zabezpieczeń sieci tej sieci wirtualnej.

Jeśli lokalnie hostowane IR jest zainstalowane na maszynie w środowisku lokalnym, zezwól na ruch wychodzący do poniższych FQDN w zaporze środowiska lokalnego i w grupie zabezpieczeń sieci wirtualnej.

Domena Port opis
*.servicebus.windows.net 443 Wymagane przez własne środowisko IR do interaktywnego tworzenia
download.microsoft.com 443 Konieczne w lokalnie wdrożonym środowisku IR do pobierania aktualizacji

Jeśli nie zezwolisz na poprzedni ruch wychodzący w zaporze i sieciowej grupie zabezpieczeń, lokalny IR będzie wyświetlany ze stanem Ograniczony. Można jednak nadal używać go do wykonywania działań. Nie działają tylko interaktywne tworzenie i automatyczna aktualizacja.

Uwaga

Jeśli jedna fabryka danych (udostępniona) ma własne środowisko IR, a własne środowisko IR jest współużytkowane z innymi fabrykami danych (połączonymi), wystarczy utworzyć prywatny punkt końcowy dla udostępnionej fabryki danych. Inne połączone fabryki danych mogą korzystać z tego łącza prywatnego do komunikacji między własnym środowiskiem IR i usługą Data Factory.

Uwaga

Obecnie nie obsługujemy ustanawiania łącza prywatnego między własnym środowiskiem Integration Runtime i obszarem roboczym usługi Synapse Analytics. Własne środowisko Integration Runtime może nadal komunikować się z usługą Synapse nawet wtedy, gdy ochrona eksfiltracji danych jest włączona w obszarze roboczym usługi Synapse.

Zmiany DNS dla prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego rekord zasobu CNAME systemu DNS dla fabryki danych jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzymy również prywatną strefę DNS odpowiadającą poddomenie privatelink z rekordami zasobów DNS A dla prywatnych punktów końcowych.

Po rozpoznaniu adresu URL punktu końcowego fabryki danych spoza sieci wirtualnej za pomocą prywatnego punktu końcowego, zostaje przekierowany do publicznego punktu końcowego usługi Data Factory. Po rozpoznaniu z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego magazynu jest rozpoznawany jako adres IP prywatnego punktu końcowego.

W powyższym przykładzie pokazano, że rekordy zasobów DNS dla fabryki danych o nazwie DataFactoryA po rozpoznaniu poza siecią wirtualną hostująca prywatny punkt końcowy będą następujące:

Nazwisko Typ Wartość
DataFactoryA. {region}.datafactory.azure.net CNAME < Publiczny punkt końcowy usługi Data Factory >
< Publiczny punkt końcowy usługi Data Factory > A < Publiczny adres IP usługi Data Factory >

Rekordy zasobów DNS dla usługi DataFactoryA, po rozpoznaniu w sieci wirtualnej obsługującej prywatny punkt końcowy, będą następujące:

Nazwisko Typ Wartość
DataFactoryA. {region}.datafactory.azure.net CNAME DataFactoryA. {region}.privatelink.datafactory.azure.net
DataFactoryA. {region}.privatelink.datafactory.azure.net A < prywatny adres IP punktu końcowego >

Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozwiązania nazwy FQDN punktu końcowego fabryki danych na prywatny adres IP punktu końcowego. Należy skonfigurować serwer DNS, aby delegować poddomenę usługi Private Link do prywatnej strefy DNS dla sieci wirtualnej. Możesz również skonfigurować rekordy A dla DataFactoryA.{region}.datafactory.azure.net, używając prywatnego adresu IP punktu końcowego.

Uwaga

Obecnie istnieje tylko jeden punkt końcowy portalu usługi Data Factory, więc w strefie DNS istnieje tylko jeden prywatny punkt końcowy portalu. Próba utworzenia drugiego lub kolejnego prywatnego punktu końcowego portalu zastępuje wcześniej utworzony prywatny wpis DNS dla portalu.

W tej sekcji skonfigurujesz link prywatnego punktu końcowego dla usługi Data Factory.

Możesz wybrać, czy chcesz połączyć własne środowisko IR z usługą Data Factory, wybierając pozycję Publiczny punkt końcowy lub Prywatny punkt końcowy podczas kroku tworzenia usługi Data Factory, jak pokazano tutaj:

Zrzut ekranu przedstawiający blokowanie publicznego dostępu do własnego środowiska IR.

Wybór można zmienić w dowolnym momencie po utworzeniu na stronie portalu usługi Data Factory w okienku Sieć . Po włączeniu prywatnego punktu końcowego trzeba także dodać taki punkt końcowy do fabryki danych.

Prywatny punkt końcowy wymaga sieci wirtualnej i podsieci łącza. W tym przykładzie maszyna wirtualna w podsieci służy do uruchamiania własnego środowiska IR, które łączy się za pośrednictwem łącza prywatnego punktu końcowego.

Tworzenie sieci wirtualnej

Jeśli nie masz istniejącej sieci wirtualnej do użycia z linkiem prywatnego punktu końcowego, musisz utworzyć sieć i przypisać podsieć.

  1. Zaloguj się w witrynie Azure Portal.

  2. W lewym górnym rogu ekranu wybierz Utwórz zasób>Sieć>Sieć wirtualna lub wyszukaj pozycję Sieć wirtualna w polu wyszukiwania.

  3. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz grupę zasobów dla sieci wirtualnej.
    Szczegóły wystąpienia
    Nazwisko Wprowadź nazwę sieci wirtualnej.
    Rejon Ważne: wybierz ten sam region, z którym korzysta prywatny punkt końcowy.

  4. Wybierz kartę Adresy IP lub wybierz Dalej: Adresy IP w dolnej części strony.

  5. Na karcie Adresy IP wprowadź następujące informacje:

    Ustawienie Wartość
    Przestrzeń adresowa IPv4 Wprowadź adres 10.1.0.0/16.

  6. Pod nazwą podsieci, wybierz słowo domyślnie.

  7. W obszarze Edytuj podsieć wprowadź następujące informacje:

    Ustawienie Wartość
    Nazwa podsieci Wprowadź nazwę podsieci.
    Zakres adresów podsieci Wprowadź 10.1.0.0/24.

  8. Wybierz pozycję Zapisz.

  9. Wybierz kartę Przejrzyj i utwórz lub wybierz przycisk Przejrzyj i utwórz.

  10. Wybierz pozycję Utwórz.

Tworzenie maszyny wirtualnej dla własnego środowiska IR

Musisz również utworzyć lub przypisać istniejącą maszynę wirtualną, aby uruchomić własne środowisko IR w nowej podsieci utworzonej w poprzednich krokach.

  1. W lewym górnym rogu portalu wybierz pozycję Utwórz zasób>Obliczeniowa>maszyna wirtualna lub wyszukaj maszynę wirtualną w polu wyszukiwania.

  2. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz wartości na karcie Podstawy :

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz grupę zasobów.
    Szczegóły wystąpienia
    Nazwa maszyny wirtualnej Wprowadź nazwę maszyny wirtualnej.
    Rejon Wybierz region używany dla sieci wirtualnej.
    Opcje dostępności Wybierz opcję Nie wymaga nadmiarowości infrastruktury.
    Obraz Wybierz pozycję Windows Server 2019 Datacenter — Gen1 lub dowolny inny obraz systemu Windows obsługujący własne środowisko IR.
    Instancja spot platformy Azure Wybierz opcję Nie.
    Rozmiar Wybierz rozmiar maszyny wirtualnej lub użyj ustawienia domyślnego.
    Konto administratora
    Nazwa użytkownika Wprowadź nazwę użytkownika.
    Hasło Wprowadź hasło.
    Potwierdź hasło Wprowadź ponownie hasło.

  3. Wybierz kartę Sieć lub wybierz pozycję >.

  4. Na karcie Sieć wybierz lub wprowadź:

    Ustawienie Wartość
    Interfejs sieciowy
    Sieć wirtualna Wybierz utworzoną sieć wirtualną.
    Podsieć Wybierz utworzoną podsieć.
    Publiczny adres IP Wybierz Brak.
    Grupa zabezpieczeń sieci karty sieciowej Podstawowa.
    Publiczne porty ruchu przychodzącego Wybierz Brak.

  5. Wybierz Przejrzyj i utwórz.

  6. Przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna Virtualna (VM) jest umieszczana w puli zapasowej standardowego modułu równoważenia obciążenia, z regułami ruchu wychodzącego lub bez nich.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Tworzenie prywatnego punktu końcowego

Na koniec należy utworzyć prywatny punkt końcowy w fabryce danych.

  1. Na stronie portalu Azure dla Twojej fabryki danych, wybierz Sieci>pozycję Połączenia prywatnych punktów końcowych, a następnie wybierz + Prywatny punkt końcowy.

    Zrzut ekranu przedstawiający okienko Połączeń prywatnego punktu końcowego, używane do tworzenia prywatnego punktu końcowego.

  2. Na karcie Podstawy opcji Tworzenia prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz grupę zasobów.
    Szczegóły wystąpienia
    Nazwisko Wprowadź nazwę punktu końcowego.
    Rejon Wybierz region utworzonej sieci wirtualnej.

  3. Wybierz kartę Zasób lub przycisk Dalej: Zasób w dolnej części ekranu.

  4. W obszarze Zasób wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Metoda połączenia Wybierz pozycję Połącz z zasobem platformy Azure w moim katalogu.
    Subskrypcja Wybierz subskrypcję.
    Typ zasobu Wybierz pozycję Microsoft.Datafactory/factories.
    Zasób Wybierz swoją fabrykę danych.
    Docelowy zasób podrzędny Jeśli chcesz użyć prywatnego punktu końcowego do komunikacji poleceń między własnym środowiskiem IR i usługą Data Factory, wybierz DataFactory jako docelowy zasób podrzędny. Jeśli chcesz użyć prywatnego punktu końcowego do tworzenia i monitorowania fabryki danych w sieci wirtualnej, wybierz pozycję portal jako docelowy podzasób.

  5. Wybierz kartę Konfiguracja lub przycisk Dalej: Konfiguracja w dolnej części ekranu.

  6. W obszarze Konfiguracja wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Sieć
    Sieć wirtualna Wybierz utworzoną sieć wirtualną.
    Podsieć Wybierz utworzoną podsieć.
    Integracja prywatnego DNS
    Integruj z prywatną strefą DNS Pozostaw wartość domyślną Tak.
    Subskrypcja Wybierz subskrypcję.
    Prywatne strefy DNS Pozostaw wartość domyślną w obu zasobach docelowych podrzędnych: 1. datafactory: (Nowy) privatelink.datafactory.azure.net. 2. portal: (Nowy) privatelink.adf.azure.com.

  7. Wybierz Przejrzyj i utwórz.

  8. Wybierz pozycję Utwórz.

Jeśli chcesz ograniczyć dostęp do zasobów usługi Data Factory w ramach subskrypcji za pomocą usługi Private Link, wykonaj kroki opisane w artykule Tworzenie łącza prywatnego do zarządzania zasobami platformy Azure za pomocą portalu.

Znany problem

Nie możesz uzyskać dostępu do każdego zasobu PaaS, gdy obie strony są połączone za pomocą Private Link i prywatnego punktu końcowego. Ten problem jest znanym ograniczeniem usługi Private Link i prywatnych punktów końcowych.

Na przykład klient A używa łącza prywatnego w celu uzyskania dostępu do portalu fabryki danych A w sieci wirtualnej A. Gdy fabryka danych A nie blokuje dostępu publicznego, klient B może uzyskać dostęp do portalu fabryki danych A w sieci wirtualnej B za pośrednictwem publicznego. Jednak gdy klient B tworzy prywatny punkt końcowy względem fabryki danych B w sieci wirtualnej B, klient B nie może już uzyskać dostępu do fabryki danych A za pośrednictwem publicznej w sieci wirtualnej B.

Powiązana zawartość