Arquitetura de rede do Microsoft Purview e práticas recomendadas
As soluções de governança de dados do Microsoft Purview são soluções paaS (plataforma como serviço) para governança de dados. As contas do Microsoft Purview têm pontos de extremidade públicos acessíveis por meio da Internet para se conectar ao serviço. No entanto, todos os pontos de extremidade são protegidos por meio de logons do Azure Active Directory (Azure AD) e do RBAC (controle de acesso baseado em função).
Observação
Essas práticas recomendadas abrangem a arquitetura de rede para soluções de governança de dados unificadas do Microsoft Purview. Para obter mais informações sobre soluções de risco e conformidade do Microsoft Purview, acesse aqui. Para obter mais informações sobre o Microsoft Purview em geral, acesse aqui.
Para uma camada adicional de segurança, você pode criar pontos de extremidade privados para sua conta do Microsoft Purview. Você receberá um endereço IP privado de sua rede virtual no Azure para a conta do Microsoft Purview e seus recursos gerenciados. Esse endereço restringirá todo o tráfego entre sua rede virtual e a conta do Microsoft Purview a um link privado para interação do usuário com as APIs e o portal de governança do Microsoft Purview ou para verificação e ingestão.
Atualmente, o firewall do Microsoft Purview fornece controle de acesso para o ponto de extremidade público da sua conta purview. Você pode usar o firewall para permitir todo o acesso ou bloquear todo o acesso por meio do ponto de extremidade público ao usar pontos de extremidade privados. Para obter mais informações, confira Opções de firewall do Microsoft Purview
Com base nos requisitos de rede, conectividade e segurança, você pode configurar e manter contas do Microsoft Purview para acessar serviços subjacentes ou ingestão. Use este guia de práticas recomendadas para definir e preparar seu ambiente de rede para que você possa acessar o Microsoft Purview e examinar fontes de dados de sua rede ou nuvem.
Este guia aborda as seguintes opções de rede:
- Use pontos de extremidade públicos do Azure.
- Use pontos de extremidade privados.
- Use pontos de extremidade privados e permita o acesso público na mesma conta do Microsoft Purview.
- Use pontos de extremidade públicos do Azure para acessar o portal de governança do Microsoft Purview e pontos de extremidade privados para ingestão.
Este guia descreve alguns dos cenários de arquitetura de rede mais comuns para o Microsoft Purview. Embora você não esteja limitado a esses cenários, tenha em mente as limitações do serviço quando estiver planejando rede para suas contas do Microsoft Purview.
Pré-requisitos
Para entender qual opção de rede é melhor para seu ambiente, sugerimos que você execute as seguintes ações primeiro:
Examine seus requisitos de topologia e segurança de rede antes de registrar e examinar quaisquer fontes de dados no Microsoft Purview. Para obter mais informações, confira: Definir uma topologia de rede do Azure.
Defina seu modelo de conectividade de rede para serviços PaaS.
Opção 1: usar pontos de extremidade públicos
Por padrão, você pode usar contas do Microsoft Purview por meio dos pontos de extremidade públicos acessíveis pela Internet. Permitir redes públicas em sua conta do Microsoft Purview se você tiver os seguintes requisitos:
- Nenhuma conectividade privada é necessária ao examinar ou conectar-se a pontos de extremidade do Microsoft Purview.
- Todas as fontes de dados são somente aplicativos SaaS (software como serviço).
- Todas as fontes de dados têm um ponto de extremidade público acessível por meio da Internet.
- Os usuários empresariais exigem acesso a uma conta do Microsoft Purview e ao portal de governança do Microsoft Purview por meio da Internet.
Opções de runtime de integração
Para examinar fontes de dados enquanto o firewall da conta do Microsoft Purview está definido para permitir o acesso público, você pode usar o runtime de integração do Azure e um runtime de integração auto-hospedado. A forma como você as usa depende da capacidade de suporte de suas fontes de dados.
Aqui estão algumas práticas recomendadas:
Você pode usar o runtime de integração do Azure ou um runtime de integração auto-hospedado para examinar fontes de dados do Azure, como SQL do Azure Banco de Dados ou Armazenamento de Blobs do Azure, mas recomendamos que você use o runtime de integração do Azure para examinar fontes de dados do Azure quando possível, para reduzir custos e despesas administrativas.
Para examinar várias fontes de dados do Azure, use uma rede pública e o runtime de integração do Azure. As etapas a seguir mostram o fluxo de comunicação em alto nível quando você estiver usando o runtime de integração do Azure para verificar uma fonte de dados no Azure:
Uma verificação manual ou automática é iniciada a partir do Mapa de Dados do Microsoft Purview por meio do runtime de integração do Azure.
O runtime de integração do Azure se conecta à fonte de dados para extrair metadados.
Os metadados são enfileirados no armazenamento gerenciado do Microsoft Purview e armazenados em Armazenamento de Blobs do Azure.
Metadados são enviados para o Mapa de Dados do Microsoft Purview.
A verificação de fontes de dados locais e baseadas em VM sempre requer o uso de um runtime de integração auto-hospedado. Não há suporte para o runtime de integração do Azure para essas fontes de dados. As etapas a seguir mostram o fluxo de comunicação em alto nível quando você está usando um runtime de integração auto-hospedado para verificar uma fonte de dados. O primeiro diagrama mostra um cenário em que os recursos estão dentro do Azure ou em uma VM no Azure. O segundo diagrama mostra um cenário com recursos locais. As etapas entre os dois são as mesmas da perspectiva do Microsoft Purview:
Uma verificação manual ou automática é disparada. O Microsoft Purview se conecta ao Azure Key Vault para recuperar a credencial para acessar uma fonte de dados.
A verificação é iniciada a partir do Mapa de Dados do Microsoft Purview por meio de um runtime de integração auto-hospedado.
O serviço de runtime de integração auto-hospedado da VM ou do computador local se conecta à fonte de dados para extrair metadados.
Os metadados são processados na memória do computador para o runtime de integração auto-hospedado. Os metadados são enfileirados no armazenamento gerenciado do Microsoft Purview e armazenados em Armazenamento de Blobs do Azure. Os dados reais nunca saem do limite da rede.
Metadados são enviados para o Mapa de Dados do Microsoft Purview.
Opções de autenticação
Quando você está verificando uma fonte de dados no Microsoft Purview, você precisa fornecer uma credencial. Em seguida, o Microsoft Purview pode ler os metadados dos ativos usando o runtime de integração do Azure na fonte de dados de destino. Quando você está usando uma rede pública, as opções de autenticação e os requisitos variam de acordo com os seguintes fatores:
Tipo de fonte de dados. Por exemplo, se a fonte de dados for SQL do Azure Banco de Dados, você precisará usar um logon com db_datareader acesso a cada banco de dados. Isso pode ser uma identidade gerenciada pelo usuário ou uma identidade gerenciada do Microsoft Purview. Ou pode ser uma entidade de serviço no Azure Active Directory adicionada ao Banco de Dados SQL como db_datareader.
Se a fonte de dados for Armazenamento de Blobs do Azure, você poderá usar uma identidade gerenciada do Microsoft Purview ou uma entidade de serviço no Azure Active Directory adicionada como uma função de Leitor de Dados de Armazenamento de Blobs na conta de armazenamento do Azure. Ou use a chave da conta de armazenamento.
Tipo de autenticação. Recomendamos que você use uma identidade gerenciada do Microsoft Purview para examinar fontes de dados do Azure, quando possível, para reduzir a sobrecarga administrativa. Para qualquer outro tipo de autenticação, você precisa configurar credenciais para autenticação de origem no Microsoft Purview:
- Gere um segredo dentro de um cofre de chaves do Azure.
- Registre o cofre de chaves dentro do Microsoft Purview.
- Dentro do Microsoft Purview, crie uma nova credencial usando o segredo salvo no cofre de chaves.
Tipo de runtime usado na verificação. Atualmente, você não pode usar uma identidade gerenciada do Microsoft Purview com um runtime de integração auto-hospedado.
Outras considerações
Se você optar por verificar fontes de dados usando pontos de extremidade públicos, suas VMs de runtime de integração auto-hospedadas devem ter acesso de saída a fontes de dados e pontos de extremidade do Azure.
Suas VMs de runtime de integração auto-hospedada devem ter conectividade de saída com pontos de extremidade do Azure.
Suas fontes de dados do Azure devem permitir acesso público. Se um ponto de extremidade de serviço estiver habilitado na fonte de dados, certifique-se de permitir que os serviços do Azure na lista de serviços confiáveis acessem suas fontes de dados do Azure. O ponto de extremidade de serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o Azure.
Opção 2: usar pontos de extremidade privados
Semelhante a outras soluções de PaaS, o Microsoft Purview não dá suporte à implantação diretamente em uma rede virtual. Portanto, você não pode usar determinados recursos de rede com os recursos da oferta, como grupos de segurança de rede, tabelas de rotas ou outros dispositivos dependentes da rede, como Firewall do Azure. Em vez disso, você pode usar pontos de extremidade privados que podem ser habilitados em sua rede virtual. Em seguida, você pode desabilitar o acesso público à Internet para se conectar com segurança ao Microsoft Purview.
Você deve usar pontos de extremidade privados para sua conta do Microsoft Purview se tiver algum dos seguintes requisitos:
Você precisa ter isolamento de rede de ponta a ponta para contas do Microsoft Purview e fontes de dados.
Você precisa bloquear o acesso público às suas contas do Microsoft Purview.
As fontes de dados paaS (plataforma como serviço) são implantadas com pontos de extremidade privados e você bloqueou todo o acesso por meio do ponto de extremidade público.
As fontes de dados iaaS (infraestrutura como serviço) locais ou locais não podem alcançar pontos de extremidade públicos.
Considerações de design
Para se conectar à sua conta do Microsoft Purview de forma privada e segura, você precisa implantar uma conta e um ponto de extremidade privado do portal. Por exemplo, essa implantação será necessária se você pretende se conectar ao Microsoft Purview por meio da API ou usar o portal de governança do Microsoft Purview.
Se você precisar se conectar ao portal de governança do Microsoft Purview usando pontos de extremidade privados, deverá implantar pontos de extremidade privados de conta e portal.
Para examinar fontes de dados por meio da conectividade privada, você precisa configurar pelo menos uma conta e um ponto de extremidade privado de ingestão para o Microsoft Purview. Você deve configurar as verificações usando um runtime de integração auto-hospedado por meio de um método de autenticação diferente de uma identidade gerenciada do Microsoft Purview.
Examine a matriz de suporte para verificar fontes de dados por meio de um ponto de extremidade privado de ingestão antes de configurar qualquer verificação.
Examine os requisitos de DNS. Se você estiver usando um servidor DNS personalizado em sua rede, os clientes deverão ser capazes de resolve o FQDN (nome de domínio totalmente qualificado) para os pontos de extremidade da conta do Microsoft Purview para o endereço IP do ponto de extremidade privado.
Para verificar as fontes de dados do Azure por meio da conectividade privada, use o Runtime da VNet Gerenciado. Exibir regiões com suporte. Essa opção pode reduzir a sobrecarga administrativa de implantar e gerenciar computadores de runtime de integração auto-hospedados.
Opções de runtime de integração
Se suas fontes de dados estiverem no Azure, você poderá escolher qualquer uma das seguintes opções de runtime:
Runtime da VNet gerenciado. Use essa opção se sua conta do Microsoft Purview for implantada em qualquer uma das regiões com suporte e você estiver planejando examinar qualquer uma das fontes de dados com suporte.
Runtime de integração auto-hospedada.
Se estiver usando o runtime de integração auto-hospedada, você precisará configurar e usar um runtime de integração auto-hospedado em uma máquina virtual do Windows implantada dentro da mesma ou uma rede virtual emparelhada em que os pontos de extremidade privados de ingestão do Microsoft Purview são implantados. O runtime de integração do Azure não funcionará com pontos de extremidade privados de ingestão.
Para examinar fontes de dados locais, você também pode instalar um runtime de integração auto-hospedado em uma máquina do Windows local ou em uma VM dentro de uma rede virtual do Azure.
Quando você está usando pontos de extremidade privados com o Microsoft Purview, você precisa permitir a conectividade de rede de fontes de dados para a VM de integração auto-hospedada na rede virtual do Azure, onde os pontos de extremidade privados do Microsoft Purview são implantados.
Recomendamos permitir a atualização automática do runtime de integração auto-hospedada. Certifique-se de abrir as regras de saída necessárias em sua rede virtual do Azure ou no firewall corporativo para permitir a atualização automática. Para obter mais informações, consulte Requisitos de rede de runtime de integração auto-hospedada.
Opções de autenticação
Você não pode usar uma identidade gerenciada do Microsoft Purview para verificar fontes de dados por meio de pontos de extremidade privados de ingestão. Use uma entidade de serviço, uma chave de conta ou autenticação SQL com base no tipo de fonte de dados.
Verifique se suas credenciais estão armazenadas em um cofre de chaves do Azure e registradas no Microsoft Purview.
Você deve criar uma credencial no Microsoft Purview com base em cada segredo que você cria no cofre de chaves do Azure. Você precisa atribuir, no mínimo, acesso a obter e listar segredos para o Microsoft Purview no recurso Key Vault no Azure. Caso contrário, as credenciais não funcionarão na conta do Microsoft Purview.
Limitações atuais
A verificação de várias fontes do Azure usando toda a assinatura ou grupo de recursos por meio de pontos de extremidade privados de ingestão e um runtime de integração auto-hospedado não é compatível quando você está usando pontos de extremidade privados para ingestão. Em vez disso, você pode registrar e examinar fontes de dados individualmente.
Para obter limitações relacionadas aos pontos de extremidade privados do Microsoft Purview, consulte Limitações conhecidas.
Para obter limitações relacionadas ao serviço Link Privado, consulte Link Privado do Azure limites.
Cenários de ponto de extremidade privado
Rede virtual única, região única
Nesse cenário, todas as fontes de dados do Azure, VMs de runtime de integração auto-hospedadas e pontos de extremidade privados do Microsoft Purview são implantados na mesma rede virtual em uma assinatura do Azure.
Se houver fontes de dados locais, a conectividade será fornecida por meio de uma VPN site a site ou conectividade do Azure ExpressRoute com uma rede virtual do Azure em que os pontos de extremidade privados do Microsoft Purview são implantados.
Essa arquitetura é adequada principalmente para pequenas organizações ou para cenários de desenvolvimento, teste e prova de conceito.
Região única, várias redes virtuais
Para conectar duas ou mais redes virtuais no Azure, você pode usar o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.
Muitos clientes criam sua infraestrutura de rede no Azure usando a arquitetura de rede hub-and-spoke, onde:
- Serviços compartilhados de rede (como dispositivos virtuais de rede, gateways ExpressRoute/VPN ou servidores DNS) são implantados na rede virtual do hub.
- As redes virtuais spoke consomem esses serviços compartilhados por meio de emparelhamento de rede virtual.
Em arquiteturas de rede hub e spoke, a equipe de governança de dados da sua organização pode ser fornecida com uma assinatura do Azure que inclui uma rede virtual (hub). Todos os serviços de dados podem estar localizados em algumas outras assinaturas conectadas à rede virtual do hub por meio de um emparelhamento de rede virtual ou uma conexão VPN site a site.
Em uma arquitetura hub-and-spoke, você pode implantar o Microsoft Purview e uma ou mais VMs de runtime de integração auto-hospedadas na assinatura do hub e na rede virtual. Você pode registrar e verificar fontes de dados de outras redes virtuais de várias assinaturas na mesma região.
As VMs de runtime de integração auto-hospedada podem ser implantadas na mesma rede virtual do Azure ou em uma rede virtual emparelhada em que a conta e os pontos de extremidade privados de ingestão são implantados.
Opcionalmente, você pode implantar outro runtime de integração auto-hospedado nas redes virtuais spoke.
Várias regiões, várias redes virtuais
Se suas fontes de dados forem distribuídas em várias regiões do Azure em uma ou mais assinaturas do Azure, você poderá usar esse cenário.
Para otimização de desempenho e custo, recomendamos implantar uma ou mais VMs de runtime de integração auto-hospedadas em cada região onde as fontes de dados estão localizadas.
Examinar usando o Vnet Runtime Gerenciado
Você pode usar o VNet Runtime gerenciado para verificar fontes de dados em uma rede privada, se sua conta do Microsoft Purview for implantada em qualquer uma das regiões com suporte e estiver planejando examinar qualquer uma das fontes de dados do Azure com suporte.
O uso do VNet Runtime gerenciado ajuda a minimizar a sobrecarga administrativa do gerenciamento do runtime e reduzir a duração geral da verificação.
Para examinar quaisquer fontes de dados do Azure usando o VNet Runtime gerenciado, um ponto de extremidade privado gerenciado deve ser implantado no Microsoft Purview Managed Rede Virtual, mesmo que a fonte de dados já tenha uma rede privada em sua assinatura do Azure.
Se você precisar examinar fontes de dados locais ou fontes de dados adicionais no Azure que não têm suporte no VNet Runtime gerenciado, você pode implantar o Runtime da VNet Gerenciada e o runtime de integração auto-hospedada.
Se o Microsoft Purview não estiver disponível em sua região primária
O Microsoft Purview é uma plataforma do Azure como uma solução de serviço. Você pode implantar uma conta do Microsoft Purview dentro de sua assinatura do Azure em qualquer região do Azure com suporte.
Se o Microsoft Purview não estiver disponível em sua região primária do Azure, considere os seguintes fatores ao escolher uma região secundária para implantar sua conta do Microsoft Purview:
- Examine a latência entre sua região primária do Azure, onde fontes de dados são implantadas e sua região secundária do Azure, onde a conta do Microsoft Purview será implantada. Para obter mais informações, confira Estatísticas de latência de ida e volta da rede do Azure.
- Examine seus requisitos de residência de dados. Quando você verifica fontes de dados no Mapa de Dados do Microsoft Purview, as informações relacionadas aos metadados são ingeridas e armazenadas dentro do mapa de dados na região do Azure, onde sua conta do Microsoft Purview é implantada. Para obter mais informações, confira Onde estão os metadados armazenados.
- Examine seus requisitos de rede e segurança se a conectividade de rede privada para acesso do usuário ou ingestão de metadados for necessária. Para obter mais informações, consulte Se o Microsoft Purview não estiver disponível em sua região primária.
Opção 1: implantar sua conta do Microsoft Purview em uma região secundária e implantar todos os pontos de extremidade privados na região primária, onde estão localizadas as fontes de dados do Azure. Para este cenário:
- Essa é a opção recomendada, se o Sudeste da Austrália for a região primária para todas as fontes de dados e você tiver todos os recursos de rede implantados em sua região primária.
- Implante uma conta do Microsoft Purview em sua região secundária (por exemplo, Leste da Austrália).
- Implante todos os pontos de extremidade privados do Microsoft Purview, incluindo conta, portal e ingestão em sua região primária (por exemplo, Sudeste da Austrália).
- Implante todas as VMs de runtime de integração auto-hospedadas do Microsoft Purview em sua região primária (por exemplo, Sudeste da Austrália). Isso ajuda a reduzir o tráfego entre regiões, pois as verificações do Mapa de Dados ocorrerão na região local onde as fontes de dados estão localizadas e apenas metadados são ingeridos na região secundária em que sua conta do Microsoft Purview está implantada.
- Se você usar VNets Gerenciadas do Microsoft Purview para ingestão de metadados, o VNet Runtime gerenciado e todos os pontos de extremidade privados gerenciados serão implantados automaticamente na região em que seu Microsoft Purview é implantado (por exemplo, Leste da Austrália).
Opção 2: implantar sua conta do Microsoft Purview em uma região secundária e implantar pontos de extremidade privados nas regiões primária e secundária. Para este cenário:
- Essa opção é recomendada se você tiver fontes de dados em regiões primárias e secundárias e os usuários estiverem conectados por meio da região primária.
- Implante uma conta do Microsoft Purview em sua região secundária (por exemplo, Leste da Austrália).
- Implante o ponto de extremidade privado do portal de governança do Microsoft Purview na região primária (por exemplo, Sudeste da Austrália) para acesso do usuário ao portal de governança do Microsoft Purview.
- Implante a conta do Microsoft Purview e ingerir pontos de extremidade privados em sua região primária (por exemplo, sudeste da Austrália) para verificar as fontes de dados localmente na região primária.
- Implante a conta do Microsoft Purview e ingerir pontos de extremidade privados em sua região secundária (por exemplo, Leste da Austrália) para verificar as fontes de dados localmente na região secundária.
- Implante VMs de runtime de integração auto-hospedadas do Microsoft Purview em regiões primárias e secundárias. Isso ajudará a manter o tráfego de verificação de mapa de dados na região local e enviar apenas metadados para Mapa de Dados do Microsoft Purview onde está configurado em sua região secundária (por exemplo, Leste da Austrália).
- Se você usar VNets Gerenciadas do Microsoft Purview para ingestão de metadados, o VNet Runtime gerenciado e todos os pontos de extremidade privados gerenciados serão implantados automaticamente na região em que seu Microsoft Purview é implantado (por exemplo, Leste da Austrália).
Configuração DNS com pontos de extremidade privados
Resolução de nomes para várias contas do Microsoft Purview
É recomendável seguir essas recomendações, se sua organização precisar implantar e manter várias contas do Microsoft Purview usando pontos de extremidade privados:
- Implante pelo menos um ponto de extremidade privado de conta para cada conta do Microsoft Purview.
- Implante pelo menos um conjunto de pontos de extremidade privados de ingestão para cada conta do Microsoft Purview.
- Implante um ponto de extremidade privado do portal para uma das contas do Microsoft Purview em seus ambientes do Azure. Criar um registro DNS A para o ponto de extremidade privado do portal para resolve
web.purview.azure.com. O ponto de extremidade privado do portal pode ser usado por todas as contas purview na mesma rede virtual do Azure ou redes virtuais conectadas por meio do emparelhamento VNet.
Esse cenário também se aplica se várias contas do Microsoft Purview forem implantadas em várias assinaturas e várias VNets conectadas por meio do emparelhamento VNet. O ponto de extremidade privado do portal renderiza principalmente ativos estáticos relacionados ao portal de governança do Microsoft Purview, portanto, ele é independente da conta do Microsoft Purview, portanto, apenas um ponto de extremidade privado do portal é necessário para visitar todas as contas do Microsoft Purview no ambiente do Azure se as VNets estiverem conectadas.
Observação
Talvez seja necessário implantar pontos de extremidade privados de portal separados para cada conta do Microsoft Purview nos cenários em que as contas do Microsoft Purview são implantadas em segmentações de rede isoladas.
O portal do Microsoft Purview é conteúdo estático para todos os clientes sem nenhuma informação do cliente. Opcionalmente, você pode usar a rede pública , (sem ponto de extremidade privado do portal) para iniciar web.purview.azure.com se os usuários finais tiverem permissão para iniciar a Internet.
Opção 3: usar pontos de extremidade públicos e privados
Você pode escolher uma opção na qual um subconjunto de suas fontes de dados usa pontos de extremidade privados e, ao mesmo tempo, você precisa examinar um dos seguintes pontos de extremidade:
- Outras fontes de dados configuradas com um ponto de extremidade de serviço
- Fontes de dados que têm um ponto de extremidade público acessível por meio da Internet
Se você precisar examinar algumas fontes de dados usando um ponto de extremidade privado de ingestão e algumas fontes de dados usando pontos de extremidade públicos ou um ponto de extremidade de serviço, você poderá:
- Use pontos de extremidade privados para sua conta do Microsoft Purview.
- Defina o acesso à rede pública como Habilitado de todas as redes em sua conta do Microsoft Purview.
Opções de runtime de integração
Para examinar uma fonte de dados do Azure configurada com um ponto de extremidade privado, você precisa configurar e usar um runtime de integração auto-hospedado em uma máquina virtual do Windows implantada dentro da mesma ou uma rede virtual emparelhada em que a conta do Microsoft Purview e os pontos de extremidade privados de ingestão são implantados.
Quando você está usando um ponto de extremidade privado com o Microsoft Purview, você precisa permitir a conectividade de rede de fontes de dados para uma VM de integração auto-hospedada na rede virtual do Azure, onde os pontos de extremidade privados do Microsoft Purview são implantados.
Para examinar uma fonte de dados do Azure configurada para permitir um ponto de extremidade público, você pode usar o runtime de integração do Azure.
Para verificar fontes de dados locais, você também pode instalar um runtime de integração auto-hospedado em uma máquina do Windows local ou em uma VM dentro de uma rede virtual do Azure.
Recomendamos permitir a atualização automática para um runtime de integração auto-hospedado. Certifique-se de abrir as regras de saída necessárias em sua rede virtual do Azure ou no firewall corporativo para permitir a atualização automática. Para obter mais informações, consulte Requisitos de rede de runtime de integração auto-hospedada.
Opções de autenticação
Para verificar uma fonte de dados do Azure configurada para permitir um ponto de extremidade público, você pode usar qualquer opção de autenticação, com base no tipo de fonte de dados.
Se você usar um ponto de extremidade privado de ingestão para examinar uma fonte de dados do Azure configurada com um ponto de extremidade privado:
Você não pode usar uma identidade gerenciada do Microsoft Purview. Em vez disso, use uma entidade de serviço, uma chave de conta ou autenticação SQL, com base no tipo de fonte de dados.
Verifique se suas credenciais estão armazenadas em um cofre de chaves do Azure e registradas no Microsoft Purview.
Você deve criar uma credencial no Microsoft Purview com base em cada segredo que você cria no Azure Key Vault. No mínimo, atribua acesso a obter e listar segredos para o Microsoft Purview no recurso Key Vault no Azure. Caso contrário, as credenciais não funcionarão na conta do Microsoft Purview.
Opção 4: usar pontos de extremidade privados somente para ingestão
Você pode escolher essa opção se precisar:
- Examine todas as fontes de dados usando o ponto de extremidade privado de ingestão.
- Os recursos gerenciados devem ser configurados para desabilitar a rede pública.
- Habilitar o acesso ao portal de governança do Microsoft Purview por meio da rede pública.
Para habilitar essa opção:
- Configure o ponto de extremidade privado de ingestão para sua conta do Microsoft Purview.
- Defina o acesso à rede pública como desabilitado somente para ingestão (versão prévia) em sua conta do Microsoft Purview.
Opções de runtime de integração
Siga a recomendação para a opção 2.
Opções de autenticação
Siga a recomendação para a opção 2.
Recomendações de rede de runtime de integração auto-hospedada e recomendações de proxy
Para examinar fontes de dados em suas redes locais e do Azure, talvez seja necessário implantar e usar uma ou várias máquinas virtuais de runtime de integração auto-hospedada dentro de uma VNet do Azure ou uma rede local, para qualquer um dos cenários mencionados anteriormente neste documento.
Para simplificar o gerenciamento, quando possível, use o runtime do Azure e o runtime gerenciado do Microsoft Purview para examinar fontes de dados do Azure.
O serviço de runtime de integração auto-hospedada pode se comunicar com o Microsoft Purview por meio da rede pública ou privada na porta 443. Para obter mais informações, confira Requisitos de rede de runtime de integração auto-hospedada.
Uma VM de runtime de integração auto-hospedada pode ser usada para verificar uma ou várias fontes de dados no Microsoft Purview, no entanto, o runtime de integração auto-hospedado deve ser registrado apenas para o Microsoft Purview e não pode ser usado para Azure Data Factory ou Azure Synapse ao mesmo tempo.
Você pode registrar e usar um ou vários runtimes de integração auto-hospedados em uma conta do Microsoft Purview. É recomendável colocar pelo menos uma VM de runtime de integração auto-hospedada em cada região ou rede local onde residem suas fontes de dados.
É recomendável definir uma linha de base para a capacidade necessária para cada VM de runtime de integração auto-hospedada e dimensionar a capacidade da VM com base na demanda.
É recomendável configurar a conexão de rede entre VMs de runtime de integração auto-hospedada e Microsoft Purview e seus recursos gerenciados por meio de rede privada, quando possível.
Permitir que a conectividade de saída download.microsoft.com, se a atualização automática estiver habilitada.
O serviço de runtime de integração auto-hospedada não exigirá conectividade de saída da Internet, se VMs de runtime de integração auto-hospedadas forem implantadas em uma VNet do Azure ou na rede local conectada ao Azure por meio de uma conexão Vpn do ExpressRoute ou Site para Site. Nesse caso, o processo de ingestão de verificação e metadados pode ser feito por meio de rede privada.
O runtime de integração auto-hospedada pode comunicar o Microsoft Purview e seus recursos gerenciados diretamente ou por meio de um servidor proxy. Evite usar configurações de proxy se a VM de runtime de integração auto-hospedada estiver dentro de uma VNet do Azure ou conectada por meio da conexão ExpressRoute ou Site para Site VPN.
Examine cenários com suporte, se você precisar usar o runtime de integração auto-hospedada com a configuração de proxy.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de