Поделиться через

Создайте собственный изолированный от сети Azure Data Lake Storage Gen2

О подключении Azure Data Lake можно узнать в разделе Использование собственного Azure Data Lake Storage Gen2, но он относится к учетным записям хранения, открытым для общедоступного Интернета. Чтобы использовать Process Mining для изолированных от сети Azure Data Lake, выполните действия, описанные в этой статье.

Предварительные условия

Выполните и убедитесь, что ваша учетная запись хранения Azure изолирована от сети.

На портале Azure перейдите на вкладку Сеть для учетной записи хранения и перейдите к установке следующих значений.

Ожидается, что эти поля будут установлены постоянно:

  • Включено из выбранных виртуальных сетей и IP-адресов
  • Разрешить службам Azure из списка доверенных служб доступ к этой учетной записи хранения

Это поле нельзя задать временно:

  • Добавьте IP-адрес вашего клиента

На следующем снимке экрана показаны постоянные и временные поля.

Снимок экрана параметров учетной записи хранения.

Создание управляемого удостоверения

Вам необходимо запустить скрипт PowerShell, чтобы создать управляемое удостоверение. Этот скрипт необходимо запускать для каждой среды.

Минимально необходимая роль для выполнения всех шагов — Владелец подписки Azure для подписки, содержащей учетную запись хранения. Пользователь должен быть администратором среды, к которой будет подключена политика.

Из совершенно нового состояния необходимы следующие шаги:

  1. Установите Azure CLI на свой компьютер: https://aka.ms/InstallAzureCliWindows
  2. Получите сжатую папку https://github.com/microsoft/PowerApps-Samples/blob/master/powershell/managed-identities/Common.zip и загрузите ее.
  3. Извлеките сжатую папку и убедитесь, что из нее можно запускать скрипты PowerShell.
  4. В корне папки выполните следующий набор шагов. В сценарии необходимы некоторые изменения.
  5. Возьмите следующий скрипт PowerShell и используйте его для создания нового файла .ps1 в корне каталога Common . Выберите для него любое имя.
# PowerShell script
# To have ready beforehand $subscriptionId, $resourceGroupName, $enterprisePolicyLocation, $environmentId
# Note: The $enterprisePolicyLocation must be set to the same location as the environment. And the environments with spaces should have the spaces removed i.e. “South Africa” -> “southafrica”
# Note: You can choose the value for $NewEnterprisePolicyName i.e. CreateMSITokenForExternalLake  
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Install-Module -Name Microsoft.PowerApps.PowerShell -AllowClobber
Az login
Update-AzConfig -DefaultSubscriptionForLogin $subscriptionId
./SetupSubscriptionForPowerPlatform.ps1
$subscriptionId
cd Identity
./CreateIdentityEnterprisePolicy.ps1
$subscriptionId
$resourceGroupName
$NewEnterprisePolicyName
$enterprisePolicyLocation
./NewIdentity.ps1 -environmentId $environmentId -policyArmId /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.PowerPlatform/enterprisePolicies/$NewEnterprisePolicyName -endpoint prod

  1. Чтобы найти соответствующий $enterprisePolicyLocation для предыдущего скрипта, откройте:

    1. Для параметра $enterprisePolicyLocation должно быть установлено то же расположение, что и для среды. А в средах с пробелами пробелы следует удалить.
    2. Например, установите South Africa как southafrica.

  2. Запустите вновь созданный файл .ps1 с помощью Windows PowerShell.

    Снимок экрана с приглашением PowerShell с командой запуска скрипта ps1.

  3. Выполняйте последовательность шагов, пока скрипт не выведет успешный ответ 202.

Заметка

Со средой Dataverse можно одновременно связать только одно управляемое удостоверение. Если к той же среде подключено другое, предыдущая связь теряется.

Добавление управляемого удостоверения

После успешного создания управляемого удостоверения добавьте его с помощью контроля доступа (IAM).

  1. На портале Azure перейдите в учетную запись хранения.
  2. На панели навигации выберите Контроль доступа (IAM).
  3. Выберите Добавить назначение ролей в раскрывающемся меню Добавить.
  4. В разделе Роль найдите и выберите Участник данных хранилища BLOB-объектов.
  5. В разделе участники выберите Управляемое удостоверение, а затем выберите Выбрать участников.
  6. В раскрывающемся списке Подписка найдите имя подписки.
  7. В раскрывающемся списке Управляемое удостоверение найдите и выберите Microsoft.powerplatform/enterprisepolicies.
  8. В раскрывающемся списке Выбрать найдите созданное удостоверение. Оно использует имя, которое вы использовали в NewEnterprisePolicyName в скрипте PowerShell.
  9. Выберите Выбрать, затем выберите Проверить + Назначить.

Устранение неполадок

Если вы получили сообщение об ошибке Не удалось подключиться к контейнеру на экране настройки подключения, вам необходимо попросите владельца учетной записи хранения и человека, который первоначально установил подключение, поделиться с вами записью datalakefolder в соответствующей организации в Dataverse.

Снимок экрана сообщения об ошибке при подключении к контейнеру.

Чтобы исправить эту ошибку, перейдите по адресу [your_org_url]/main.aspx?app=d365default&forceUCI=1&pagetype=entitylist&etn=datalakefolder и замените [your_org_url] действительным значением.

  1. Найдите [your_org_url], выполнив следующие действия:

    1. В средах Power Automate перейдите на домашнюю страницу Process Mining.

    2. Нажмите Ctrl + Alt + A.

    3. В URL экземпляра найдите [your_org_url].

    4. Перейдите по адресу [your_org_url]/main.aspx?app=d365default&forceUCI=1&pagetype=entitylist&etn=datalakefolder и замените [your_org_url] действительным значением.

      Пример:
      https://org0a00aab.crm10.dynamics.com/main.aspx?app=d365default&forceUCI=1&pagetype=entitylist&etn=datalakefolder

  2. На загруженной странице выполните следующие действия:

    1. Из таблицы выберите подходящую запись папки Data Lake.
    2. Выберите Поделиться в верхней части экрана.
    3. Чтобы найти добавляемого пользователя, выберите Добавить пользователя/группу.
    4. Выберите Поделиться.