Método padrão de injeção de rede virtual

  • Artigo

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Gorjeta

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!

Ao usar o SQL Server Integration Services (SSIS) no Azure Data Factory (ADF) ou Synpase Pipelines, há dois métodos para você unir seu tempo de execução de integração (IR) Azure-SSIS a uma rede virtual: padrão e expresso. Se você usar o método padrão, precisará configurar sua rede virtual para atender a estes requisitos:

  • Certifique-se de que Microsoft.Batch é um provedor de recursos registrado na assinatura do Azure que tem a rede virtual para seu IR do Azure-SSIS ingressar. Para obter instruções detalhadas, consulte a seção Registrar o Lote do Azure como um provedor de recursos.

  • Certifique-se de que o usuário que cria o IR do Azure-SSIS recebe as permissões necessárias de controle de acesso baseado em função (RBAC) para ingressar na rede/sub-rede virtual. Para obter mais informações, consulte a seção Selecionar permissões de rede virtual abaixo.

  • Selecione uma sub-rede adequada na rede virtual para que seu IR do Azure-SSIS ingresse. Para obter mais informações, consulte a seção Selecionar uma sub-rede abaixo.

Dependendo do seu cenário específico, você pode, opcionalmente, configurar o seguinte:

  • Se você quiser trazer seus próprios endereços IP públicos estáticos (BYOIP) para o tráfego de saída do seu IR do Azure-SSIS, consulte a seção Configurar endereços IP públicos estáticos abaixo.

  • Se você quiser usar seu próprio servidor DNS (sistema de nomes de domínio) na rede virtual, consulte a seção Configurar um servidor DNS personalizado abaixo.

  • Se você quiser usar um NSG (grupo de segurança de rede) para limitar o tráfego de entrada/saída na sub-rede, consulte a seção Configurar um NSG abaixo.

  • Se você quiser usar rotas definidas pelo usuário (UDRs) para auditar/inspecionar o tráfego de saída, consulte a seção Configurar UDRs abaixo.

  • Certifique-se de que o grupo de recursos da rede virtual (ou o grupo de recursos de endereços IP públicos se você trouxer seus próprios endereços IP públicos) possa criar e excluir determinados recursos de rede do Azure. Para obter mais informações, consulte Configurar o grupo de recursos relevante.

  • Se você personalizar seu IR do Azure-SSIS conforme descrito no artigo Configuração personalizada para IR do Azure-SSIS , nosso processo interno para gerenciar seus nós consumirá endereços IP privados de um intervalo predefinido de 172.16.0.0 a 172.31.255.255. Consequentemente, certifique-se de que os intervalos de endereços IP privados de suas redes virtuais e/ou locais não colidam com esse intervalo.

Este diagrama mostra as conexões necessárias para seu IR do Azure-SSIS:

Diagram that shows the required connections for your Azure-SSIS IR.

Selecionar permissões de rede virtual

Para habilitar a injeção de rede virtual padrão, o usuário que cria o IR do Azure-SSIS deve receber as permissões RBAC necessárias para ingressar na rede/sub-rede virtual.

  • Se você estiver unindo seu IR do Azure-SSIS a uma rede virtual do Azure Resource Manager, terá duas opções:

    • Use a função interna de Colaborador de Rede . Essa função vem com a permissão Microsoft.Network/*, que tem um escopo muito maior do que o necessário.

    • Crie uma função personalizada que inclua apenas a permissão necessária Microsoft.Network/virtualNetworks/*/join/action . Se você também quiser trazer seus próprios endereços IP públicos estáticos para o IR do Azure-SSIS ao associá-lo a uma rede virtual do Azure Resource Manager, inclua também a permissão Microsoft.Network/publicIPAddresses/*/join/action na função.

    • Para obter instruções detalhadas, consulte a seção Conceder permissões de rede virtual.

  • Se você estiver unindo seu IR do Azure-SSIS a uma rede virtual clássica, recomendamos que use a função interna de Colaborador de Máquina Virtual Clássica . Caso contrário, você terá que criar uma função personalizada que inclua a permissão para ingressar na rede virtual. Você também precisa atribuir o MicrosoftAzureBatch a essa função interna/personalizada.

Selecione uma sub-rede

Para habilitar a injeção de rede virtual padrão, você deve selecionar uma sub-rede adequada para seu IR do Azure-SSIS ingressar:

  • Não selecione a GatewaySubnet, pois ela é dedicada para gateways de rede virtual.

  • Verifique se a sub-rede selecionada tem endereços IP disponíveis para pelo menos duas vezes o número do nó IR do Azure-SSIS. Eles são necessários para que possamos evitar interrupções ao implementar patches/atualizações para seu IR do Azure-SSIS. O Azure também reserva alguns endereços IP que não podem ser usados em cada sub-rede. O primeiro e o último endereços IP são reservados para conformidade de protocolo, enquanto mais três endereços são reservados para serviços do Azure. Para obter mais informações, consulte a seção Restrições de endereço IP da sub-rede.

  • Não use uma sub-rede ocupada exclusivamente por outros serviços do Azure (por exemplo, Instância Gerenciada SQL do Azure, Serviço de Aplicativo e assim por diante).

Configurar endereços IP públicos estáticos

Se você quiser trazer seus próprios endereços IP públicos estáticos para o tráfego de saída do IR do Azure-SSIS ao associá-lo a uma rede virtual, para que possa permiti-los em seus firewalls, verifique se eles atendem aos seguintes requisitos:

  • Exatamente dois não utilizados que ainda não estão associados a outros recursos do Azure devem ser fornecidos. O extra será usado quando atualizarmos periodicamente seu IR do Azure-SSIS. Observe que um endereço IP público não pode ser compartilhado entre seus IRs ativos do Azure-SSIS.

  • Ambos devem ser estáticos do tipo padrão. Consulte a seção SKUs de endereço IP público para obter mais detalhes.

  • Ambos devem ter um nome DNS. Se você não forneceu um nome DNS ao criá-los, poderá fazê-lo no portal do Azure.

    Azure-SSIS IR

  • Eles e a rede virtual devem estar sob a mesma assinatura e na mesma região.

Configurar um servidor DNS personalizado

Se você quiser usar seu próprio servidor DNS na rede virtual para resolver seus nomes de host privados, certifique-se de que ele também possa resolver nomes de host globais do Azure (por exemplo, seu Armazenamento de Blob do Azure chamado <your storage account>.blob.core.windows.).

Recomendamos que você configure seu próprio servidor DNS para encaminhar solicitações DNS não resolvidas para o endereço IP dos resolvedores recursivos do Azure (168.63.129.16).

Para obter mais informações, consulte a seção Resolução de nomes de servidor DNS.

Nota

Use um FQDN (nome de domínio totalmente qualificado) para seu nome de host privado (por exemplo, use <your_private_server>.contoso.com em vez de <your_private_server>). Como alternativa, você pode usar uma configuração personalizada padrão em seu IR do Azure-SSIS para acrescentar automaticamente seu próprio sufixo DNS (por exemplocontoso.com) a qualquer nome de domínio de rótulo único não qualificado e transformá-lo em um FQDN antes de usá-lo em consultas DNS, consulte a seção Exemplos de configuração personalizada padrão.

Configurar um NSG

Se você quiser usar um NSG na sub-rede unida pelo seu IR do Azure-SSIS, permita o seguinte tráfego de entrada e saída:

Direção Protocolo de transporte Source Portas de origem Destino Portas de destino Comentários
Interna TCP BatchNodeManagement * Rede virtual 29876, 29877 (se você unir seu IR SSIS a uma rede virtual do Azure Resource Manager)

10100, 20100, 30100 (se você unir seu SSIS IR a uma rede virtual clássica)		 O serviço Data Factory usa essas portas para se comunicar com seus nós de IR do Azure-SSIS na rede virtual.

Quer você crie ou não um NSG na sub-rede, o Data Factory sempre configura um NSG na placa de interface de rede (NIC) conectada às máquinas virtuais que hospedam seu IR do Azure-SSIS.

Somente o tráfego de entrada de endereços IP do Data Factory nas portas especificadas é permitido pelo NSG de nível NIC.

Mesmo se você abrir essas portas para o tráfego da Internet no nível da sub-rede, o tráfego de endereços IP que não são endereços IP do Data Factory ainda será bloqueado no nível da NIC.
Interna TCP CorpNetSaw * Rede virtual 3389 (Opcional) Necessário apenas quando um engenheiro de suporte da Microsoft solicita que você abra a porta 3389 para solução de problemas avançada e pode ser fechado logo após a solução de problemas.

A etiqueta de serviço CorpNetSaw permite que apenas máquinas de estação de trabalho de acesso seguro (SAW) na rede corporativa da Microsoft acessem seu IR Azure-SSIS por meio do protocolo RDP (protocolo de área de trabalho remota).

Esta etiqueta de serviço não pode ser selecionada a partir do portal do Azure e só está disponível através do Azure PowerShell/CLI.

No NSG de nível NIC, a porta 3389 é aberta por padrão, mas você pode controlá-la com um NSG de nível de sub-rede, enquanto o tráfego de saída nela não é permitido por padrão em seus nós IR do Azure-SSIS usando a regra de firewall do Windows.
Direção Protocolo de transporte Source Portas de origem Destino Portas de destino Comentários
Saída TCP Rede virtual * AzureCloud 443 Necessário para que seu IR do Azure-SSIS acesse os serviços do Azure, como o Armazenamento do Azure e os Hubs de Eventos do Azure.
Saída TCP Rede virtual * Internet 80 (Opcional) Seu IR do Azure-SSIS usa essa porta para baixar uma lista de revogação de certificados (CRL) da Internet.

Se você bloquear esse tráfego, poderá sofrer uma degradação de desempenho ao iniciar o IR do Azure-SSIS e perder a capacidade de verificar CRLs ao usar certificados, o que não é recomendado do ponto de vista da segurança.

Se você quiser restringir os destinos a determinados FQDNs, consulte a seção Configurar UDRs abaixo
Saída TCP Rede virtual * SQL/VirtualNetwork 1433, 11000-11999 (Opcional) Somente necessário se você usar o servidor/Instância Gerenciada do Banco de Dados SQL do Azure para hospedar o catálogo SSIS (SSISDB).

Se o servidor/Instância Gerenciada do Banco de Dados SQL do Azure estiver configurado com um ponto de extremidade público/ponto de extremidade de serviço de rede virtual, use a marca de serviço Sql como destino.

Se o servidor/Instância Gerenciada do Banco de Dados SQL do Azure estiver configurado com um ponto de extremidade privado, use a marca de serviço VirtualNetwork como destino.

Se a política de conexão do servidor estiver definida como Proxy em vez de Redirect, apenas a porta 1433 será necessária.
Saída TCP Rede virtual * Armazenamento/VirtualNetwork 443 (Opcional) Apenas necessário se você usar o contêiner de blob do Armazenamento do Azure para armazenar seus scripts/arquivos de configuração personalizados padrão.

Se o seu Armazenamento do Azure estiver configurado com um ponto de extremidade público/ponto de extremidade de serviço de rede virtual, use a marca de serviço de Armazenamento como destino.

Se o Armazenamento do Azure estiver configurado com um ponto de extremidade privado, use a marca de serviço VirtualNetwork como destino.
Saída TCP Rede virtual * Armazenamento/VirtualNetwork 445 (Opcional) Apenas necessário se precisar de aceder aos Ficheiros do Azure.

Se o seu Armazenamento do Azure estiver configurado com um ponto de extremidade público/ponto de extremidade de serviço de rede virtual, use a marca de serviço de Armazenamento como destino.

Se o Armazenamento do Azure estiver configurado com um ponto de extremidade privado, use a marca de serviço VirtualNetwork como destino.

Configurar UDRs

Se quiser auditar/inspecionar o tráfego de saída do seu IR do Azure-SSIS, você pode usar rotas definidas pelo usuário (UDRs) para redirecioná-lo para um dispositivo de firewall local por meio do túnel forçado da Rota Expressa do Azure que anuncia uma rota 0.0.0.0/0 do protocolo de gateway de fronteira (BGP) para a rede virtual, para um dispositivo virtual de rede (NVA) configurado como firewall ou para o serviço de Firewall do Azure.

NVA scenario for Azure-SSIS IR

Para que funcione, você deve garantir o seguinte:

  • O tráfego entre o serviço de gerenciamento de Lote do Azure e seu IR do Azure-SSIS não deve ser roteado para um dispositivo/serviço de firewall.

  • O dispositivo/serviço de firewall deve permitir o tráfego de saída exigido pelo IR do Azure-SSIS.

Se o tráfego entre o serviço de gerenciamento de Lote do Azure e seu IR do Azure-SSIS for roteado para um dispositivo/serviço de firewall, ele será interrompido devido ao roteamento assimétrico. Os UDRs devem ser definidos para esse tráfego, de modo que ele possa sair pelas mesmas rotas em que entrou. Você pode configurar UDRs para rotear o tráfego entre o serviço de gerenciamento de Lote do Azure e seu IR do Azure-SSIS com o próximo tipo de salto como Internet.

Por exemplo, se o IR do Azure-SSIS estiver localizado no Sul do Reino Unido e você quiser inspecionar o tráfego de saída usando o Firewall do Azure, você poderá primeiro obter os intervalos de IP para a tag de serviço BatchNodeManagement.UKSouth no link de download do intervalo IP da etiqueta de serviço ou na API de descoberta da marca de serviço. Em seguida, você pode configurar os UDRs a seguir para rotas de intervalo IP relevantes com o próximo tipo de salto como Internet e a rota 0.0.0.0/0 com o próximo tipo de salto como dispositivo virtual.

Azure Batch UDR settings

Nota

Essa abordagem incorre em um custo de manutenção adicional, já que você precisa verificar regularmente os intervalos de IP relevantes e adicionar UDRs para novos intervalos para evitar quebrar seu IR do Azure-SSIS. Recomendamos verificá-los mensalmente, porque quando um novo intervalo de IP aparece para a etiqueta de serviço relevante, levará mais um mês para entrar em vigor.

Você pode executar o seguinte script do PowerShell para adicionar UDRs para o serviço de gerenciamento de Lote do Azure:

$Location = "[location of your Azure-SSIS IR]"
$RouteTableResourceGroupName = "[name of Azure resource group that contains your route table]"
$RouteTableResourceName = "[resource name of your route table]"
$RouteTable = Get-AzRouteTable -ResourceGroupName $RouteTableResourceGroupName -Name $RouteTableResourceName
$ServiceTags = Get-AzNetworkServiceTag -Location $Location
$BatchServiceTagName = "BatchNodeManagement." + $Location
$UdrRulePrefixForBatch = $BatchServiceTagName
if ($ServiceTags -ne $null)
{
    $BatchIPRanges = $ServiceTags.Values | Where-Object { $_.Name -ieq $BatchServiceTagName }
    if ($BatchIPRanges -ne $null)
    {
        Write-Host "Start adding UDRs to your route table..."
        for ($i = 0; $i -lt $BatchIPRanges.Properties.AddressPrefixes.Count; $i++)
        {
            $UdrRuleName = "$($UdrRulePrefixForBatch)_$($i)"
            Add-AzRouteConfig -Name $UdrRuleName `
                -AddressPrefix $BatchIPRanges.Properties.AddressPrefixes[$i] `
                -NextHopType "Internet" `
                -RouteTable $RouteTable `
                | Out-Null
            Write-Host "Add $UdrRuleName to your route table..."
        }
        Set-AzRouteTable -RouteTable $RouteTable
    }
}
else
{
    Write-Host "Failed to fetch Azure service tag, please confirm that your location is valid."
}

Seguindo nossa orientação na seção Configurar um NSG acima, você deve implementar regras semelhantes no dispositivo/serviço de firewall para permitir o tráfego de saída do seu IR do Azure-SSIS:

  • Se você usa o Firewall do Azure:

    • Você deve abrir a porta 443 para tráfego TCP de saída com a tag de serviço AzureCloud como destino.

    • Se você usar o servidor do Banco de Dados SQL do Azure/Instância Gerenciada para hospedar o SSISDB, deverá abrir as portas 1433, 11000-11999 para tráfego TCP de saída com a marca de serviço Sql/VirtualNetwork como destino.

    • Se você usar o contêiner de blob do Armazenamento do Azure para armazenar seus scripts/arquivos de configuração personalizada padrão, deverá abrir a porta 443 para tráfego TCP de saída com a marca de serviço Storage/VirtualNetwork como destino.

    • Se precisar acessar os Arquivos do Azure, você deverá abrir a porta 445 para tráfego TCP de saída com a marca de serviço Storage/VirtualNetwork como destino.

  • Se utilizar outro dispositivo/serviço de firewall:

    • Você deve abrir a porta 443 para tráfego TCP de saída com 0.0.0.0/0 ou os seguintes FQDNs específicos do ambiente do Azure como destino.

      Ambiente do Azure FQDN
      Azure Público
      • Azure Data Factory (Gestão)
        • *.frontend.clouddatahub.net
      • Armazenamento do Azure (Gerenciamento)
        • *.blob.core.windows.net
        • *.table.core.windows.net
      • Azure Container Registry (Configuração Personalizada)
        • *.azurecr.io
      • Hubs de Eventos (Log)
        • *.servicebus.windows.net
      • Serviço de Registo da Microsoft (Utilização Interna)
        • gcs.prod.monitoring.core.windows.net
        • prod.warmpath.msftcloudes.com
        • azurewatsonanalysis-prod.core.windows.net
      Azure Government
      • Azure Data Factory (Gestão)
        • *.frontend.datamovement.azure.us
      • Armazenamento do Azure (Gerenciamento)
        • *.blob.core.usgovcloudapi.net
        • *.table.core.usgovcloudapi.net
      • Azure Container Registry (Configuração Personalizada)
        • *.azurecr.us
      • Hubs de Eventos (Log)
        • *.servicebus.usgovcloudapi.net
      • Serviço de Registo da Microsoft (Utilização Interna)
        • fairfax.warmpath.usgovcloudapi.net
        • azurewatsonanalysis.usgovcloudapp.net
      Microsoft Azure operado pela 21Vianet
      • Azure Data Factory (Gestão)
        • *.frontend.datamovement.azure.cn
      • Armazenamento do Azure (Gerenciamento)
        • *.blob.core.chinacloudapi.cn
        • *.table.core.chinacloudapi.cn
      • Azure Container Registry (Configuração Personalizada)
        • *.azurecr.cn
      • Hubs de Eventos (Log)
        • *.servicebus.chinacloudapi.cn
      • Serviço de Registo da Microsoft (Utilização Interna)
        • mooncake.warmpath.chinacloudapi.cn
        • azurewatsonanalysis.chinacloudapp.cn

    • Se você usar o servidor/Instância Gerenciada do Banco de Dados SQL do Azure para hospedar o SSISDB, deverá abrir as portas 1433, 11000-11999 para tráfego TCP de saída com 0.0.0.0/0 ou seu servidor do Banco de Dados SQL do Azure/FQDN da Instância Gerenciada como destino.

    • Se você usar o contêiner de blob do Armazenamento do Azure para armazenar seu script/arquivos de configuração personalizada padrão, deverá abrir a porta 443 para tráfego TCP de saída com 0.0.0.0/0 ou seu FQDN de Armazenamento de Blob do Azure como destino.

    • Se precisar acessar os Arquivos do Azure, abra a porta 445 para tráfego TCP de saída com 0.0.0.0/0 ou o FQDN dos Arquivos do Azure como destino.

  • Se você configurar um ponto de extremidade de serviço de rede virtual para o Armazenamento do Azure/Registro de Contêiner/Hubs de Eventos/SQL habilitando os recursos Microsoft.Storage/Microsoft.ContainerRegistry/Microsoft.EventHub/Microsoft.Sql, respectivamente, em sua sub-rede, todo o tráfego entre seu IR do Azure-SSIS e esses serviços nas mesmas regiões/emparelhadas será roteado para a rede de backbone do Azure em vez do seu dispositivo/serviço de firewall.

  • Você deve abrir a porta 80 para tráfego TCP de saída com os seguintes sites de download de lista de revogação de certificados (CRL) como destino:

    • crl.microsoft.com:80
    • mscrl.microsoft.com:80
    • crl3.digicert.com:80
    • crl4.digicert.com:80
    • ocsp.digicert.com:80
    • cacerts.digicert.com:80

    Se você usar certificados com CRLs diferentes, também deverá adicionar seus sites de download como destino. Para obter mais informações, consulte o artigo Lista de revogação de certificados.

    Se você bloquear esse tráfego, poderá sofrer uma degradação de desempenho ao iniciar o IR do Azure-SSIS e perder a capacidade de verificar CRLs ao usar certificados, o que não é recomendado do ponto de vista da segurança.

Se você não precisar auditar/inspecionar o tráfego de saída do seu IR do Azure-SSIS, poderá usar UDRs para forçar todo o tráfego com o próximo tipo de salto como Internet:

  • Ao usar a Rota Expressa do Azure, você pode configurar uma UDR para a rota 0.0.0.0/0 em sua sub-rede com o próximo tipo de salto como Internet.

  • Ao usar um NVA, você pode modificar o UDR existente para a rota 0.0.0.0/0 em sua sub-rede para alternar o próximo tipo de salto do dispositivo virtual para a Internet.

Add a route

Nota

Configurar UDRs com o próximo tipo de salto como Internet não significa que todo o tráfego passará pela Internet . Desde que o endereço de destino pertença a um dos serviços do Azure, o Azure encaminhará todo o tráfego para esse endereço através da rede de backbone do Azure em vez da Internet.

Configurar o grupo de recursos relevante

Para habilitar a injeção de rede virtual padrão, seu IR do Azure-SSIS precisa criar determinados recursos de rede no mesmo grupo de recursos que a rede virtual. Esses recursos incluem:

  • Um balanceador de carga do Azure, com o nome Guid-azurebatch-cloudserviceloadbalancer>.<
  • Um endereço IP público do Azure, com o nome <Guid-azurebatch-cloudservicepublicip>.
  • Um NSG, com o nome Guid-azurebatch-cloudservicenetworksecuritygroup>.<

Nota

Agora você pode trazer seus próprios endereços IP públicos estáticos para o IR do Azure-SSIS. Nesse cenário, criaremos o balanceador de carga do Azure e o NSG no mesmo grupo de recursos que seus endereços IP públicos estáticos em vez da rede virtual.

Esses recursos serão criados quando o IR do Azure-SSIS for iniciado. Eles serão excluídos quando o IR do Azure-SSIS parar. Se você trouxer seus próprios endereços IP públicos estáticos para o IR do Azure-SSIS, eles não serão excluídos quando o IR do Azure-SSIS parar. Para evitar bloquear a interrupção do IR do Azure-SSIS, não reutilize esses recursos para outros fins.

Certifique-se de que não tem nenhum bloqueio de recursos no grupo de recursos/subscrição a que pertence a rede virtual/os seus endereços IP públicos estáticos. Se você configurar um bloqueio somente leitura/exclusão, iniciar e parar seu IR do Azure-SSIS falhará ou ele deixará de responder.

Certifique-se de que não tem nenhuma atribuição de Política do Azure que impeça a criação dos seguintes recursos no grupo de recursos/subscrição a que pertence a rede virtual/os seus endereços IP públicos estáticos:

  • Microsoft.Network/LoadBalancers
  • Microsoft.Network/NetworkSecurityGroups
  • Microsoft.Network/PublicIPAddresses

Certifique-se de que a quota de recursos para a sua subscrição é suficiente para estes recursos. Especificamente, para cada IR do Azure-SSIS criado em uma rede virtual, você precisa reservar o dobro do número desses recursos, já que os recursos extras serão usados quando atualizarmos periodicamente seu IR do Azure-SSIS.

FAQ

  • Como posso proteger o endereço IP público exposto no meu IR do Azure-SSIS para conexão de entrada? É possível remover o endereço IP público?

    Neste momento, um endereço IP público será criado automaticamente quando o IR do Azure-SSIS ingressar em uma rede virtual. Temos um NSG de nível NIC para permitir que apenas o serviço de gerenciamento de Lote do Azure se conecte ao seu IR do Azure-SSIS. Você também pode especificar um NSG de nível de sub-rede para proteção de entrada.

    Se você não quiser que nenhum endereço IP público seja exposto, considere configurar um IR auto-hospedado como proxy para seu IR do Azure-SSIS em vez de unir seu IR do Azure-SSIS a uma rede virtual.

  • Posso adicionar o endereço IP público do meu IR do Azure-SSIS à lista de permissões do firewall para minhas fontes de dados?

    Agora você pode trazer seus próprios endereços IP públicos estáticos para o IR do Azure-SSIS. Nesse caso, você pode adicionar seus endereços IP à lista de permissões do firewall para suas fontes de dados. Como alternativa, você também pode considerar outras opções abaixo para proteger o acesso a dados do seu IR do Azure-SSIS, dependendo do seu cenário:

    • Se sua fonte de dados estiver no local, depois de conectar uma rede virtual à sua rede local e unir seu IR do Azure-SSIS à sub-rede de rede virtual, você poderá adicionar o intervalo de endereços IP privados dessa sub-rede à lista de permissões do firewall para sua fonte de dados.

    • Se sua fonte de dados for um serviço do Azure que ofereça suporte a pontos de extremidade de serviço de rede virtual, você poderá configurar um ponto de extremidade de serviço de rede virtual em sua sub-rede de rede virtual e unir seu IR do Azure-SSIS a essa sub-rede. Em seguida, você pode adicionar uma regra de rede virtual com essa sub-rede ao firewall para sua fonte de dados.

    • Se sua fonte de dados for um serviço de nuvem que não seja do Azure, você poderá usar um UDR para rotear o tráfego de saída do IR do Azure-SSIS para seu endereço IP público estático por meio de um Firewall NVA/Azure. Em seguida, você pode adicionar o endereço IP público estático do seu Firewall NVA/Azure à lista de permissões do firewall para sua fonte de dados.

    • Se nenhuma das opções acima atender às suas necessidades, considere configurar um IR auto-hospedado como proxy para seu IR do Azure-SSIS. Em seguida, você pode adicionar o endereço IP público estático da máquina que hospeda seu IR auto-hospedado à lista de permissões do firewall para sua fonte de dados.

  • Por que preciso fornecer dois endereços públicos estáticos se quiser trazer o meu próprio para o IR do Azure-SSIS?

    Azure-SSIS IR é atualizado automaticamente em uma base regular. Novos nós são criados durante a atualização e os antigos serão excluídos. No entanto, para evitar tempo de inatividade, os nós antigos não serão excluídos até que os novos estejam prontos. Assim, o seu primeiro endereço IP público estático usado pelos nós antigos não pode ser liberado imediatamente e precisamos do seu segundo endereço IP público estático para criar os novos nós.

  • Eu trouxe meus próprios endereços IP públicos estáticos para o IR do Azure-SSIS, mas por que ele ainda não pode acessar minhas fontes de dados?

    Confirme se os dois endereços IP públicos estáticos foram adicionados à lista de permissões do firewall para suas fontes de dados. Cada vez que seu IR do Azure-SSIS é atualizado, seu endereço IP público estático é alternado entre esses dois trazidos por você. Se você adicionar apenas um deles à lista de permissões, o acesso aos dados para seu IR do Azure-SSIS será interrompido após sua atualização.

    Se sua fonte de dados for um serviço do Azure, verifique se você a configurou com pontos de extremidade de serviço de rede virtual. Se esse for o caso, o tráfego do IR do Azure-SSIS para sua fonte de dados alternará para usar os endereços IP privados gerenciados pelos serviços do Azure e adicionar seus próprios endereços IP públicos estáticos à lista de permissões do firewall para sua fonte de dados não terá efeito.

Conteúdos relacionados

Para obter mais informações sobre o Azure-SSIS IR, consulte os seguintes artigos:

  • IR do Azure-SSIS. Este artigo fornece informações conceituais gerais sobre RIs, incluindo o IR do Azure-SSIS.
  • Tutorial: Implantar pacotes SSIS no Azure. Este tutorial fornece instruções passo a passo para criar seu IR do Azure-SSIS. Ele usa o servidor do Banco de Dados SQL do Azure para hospedar o SSISDB.
  • Crie um IR do Azure-SSIS. Este artigo expande o tutorial. Ele fornece instruções sobre como usar o servidor do Banco de Dados SQL do Azure configurado com um ponto de extremidade de serviço de rede virtual/regra de firewall IP/ponto de extremidade privado ou a Instância Gerenciada SQL do Azure que ingressa em uma rede virtual para hospedar o SSISDB. Ele mostra como unir seu IR do Azure-SSIS a uma rede virtual.
  • Monitorizar um Azure-SSIS IR. Este artigo mostra como recuperar e entender informações sobre seu IR do Azure-SSIS.
  • Manage an Azure-SSIS IR (Gerir um IR Azure-SSIS). Este artigo mostra como parar, iniciar ou excluir seu IR do Azure-SSIS. Ele também mostra como dimensionar seu IR do Azure-SSIS adicionando mais nós.