Standardmetod för virtuell nätverksinmatning

  • Artikel

GÄLLER FÖR: Azure Data Factory Azure Synapse Analytics

Dricks

Prova Data Factory i Microsoft Fabric, en allt-i-ett-analyslösning för företag. Microsoft Fabric omfattar allt från dataflytt till datavetenskap, realtidsanalys, business intelligence och rapportering. Lär dig hur du startar en ny utvärderingsversion kostnadsfritt!

När du använder SQL Server Integration Services (SSIS) i Azure Data Factory (ADF) eller Synpase Pipelines finns det två metoder för dig att ansluta din Azure-SSIS Integration Runtime (IR) till ett virtuellt nätverk: standard och express. Om du använder standardmetoden måste du konfigurera ditt virtuella nätverk för att uppfylla följande krav:

  • Kontrollera att Microsoft.Batch är en registrerad resursprovider i Azure-prenumerationen som har det virtuella nätverket som din Azure-SSIS IR kan ansluta till. Detaljerade anvisningar finns i avsnittet Registrera Azure Batch som resursprovider .

  • Kontrollera att användaren som skapar Azure-SSIS IR har beviljats nödvändiga behörigheter för rollbaserad åtkomstkontroll (RBAC) för att ansluta till det virtuella nätverket/undernätet. Mer information finns i avsnittet Välj behörigheter för virtuella nätverk nedan.

  • Välj ett lämpligt undernät i det virtuella nätverket som azure-SSIS IR ska ansluta till. Mer information finns i avsnittet Välj ett undernät nedan.

Beroende på ditt specifika scenario kan du konfigurera följande:

  • Om du vill ta med dina egna statiska offentliga IP-adresser (BYOIP) för utgående trafik för din Azure-SSIS IR läser du avsnittet Konfigurera statiska offentliga IP-adresser nedan.

  • Om du vill använda en egen DNS-server (Domain Name System) i det virtuella nätverket kan du läsa avsnittet Konfigurera en anpassad DNS-server nedan.

  • Om du vill använda en nätverkssäkerhetsgrupp (NSG) för att begränsa inkommande/utgående trafik i undernätet kan du läsa avsnittet Konfigurera en NSG nedan.

  • Om du vill använda användardefinierade vägar (UDR) för att granska/inspektera utgående trafik kan du läsa avsnittet Konfigurera UDR nedan .

  • Kontrollera att det virtuella nätverkets resursgrupp (eller resursgruppen för offentliga IP-adresser om du tar med dina egna offentliga IP-adresser) kan skapa och ta bort vissa Azure-nätverksresurser. Mer information finns i Konfigurera relevant resursgrupp.

  • Om du anpassar din Azure-SSIS IR enligt beskrivningen i artikeln Anpassad konfiguration för Azure-SSIS IR använder vår interna process för att hantera noderna privata IP-adresser från ett fördefinierat intervall på 172.16.0.0 till 172.31.255.255. Se därför till att de privata IP-adressintervallen för dina virtuella och lokala nätverk inte kolliderar med det här intervallet.

Det här diagrammet visar de anslutningar som krävs för din Azure-SSIS IR:

Diagram that shows the required connections for your Azure-SSIS IR.

Välj behörigheter för virtuellt nätverk

För att aktivera standardinmatning av virtuella nätverk måste användaren som skapar Azure-SSIS IR beviljas nödvändiga RBAC-behörigheter för att ansluta till det virtuella nätverket/undernätet.

  • Om du ansluter din Azure-SSIS IR till ett virtuellt Azure Resource Manager-nätverk har du två alternativ:

    • Använd den inbyggda rollen Nätverksdeltagare . Den här rollen levereras med behörigheten Microsoft.Network/* som har ett mycket större omfång än nödvändigt.

    • Skapa en anpassad roll som endast innehåller nödvändig behörighet för Microsoft.Network/virtualNetworks/*/join/action . Om du också vill ta med dina egna statiska offentliga IP-adresser för Azure-SSIS IR när du ansluter den till ett virtuellt Azure Resource Manager-nätverk ska du även inkludera behörigheten Microsoft.Network/publicIPAddresses/*/join/action i rollen.

    • Detaljerade anvisningar finns i avsnittet Bevilja behörigheter för virtuella nätverk.

  • Om du ansluter din Azure-SSIS IR till ett klassiskt virtuellt nätverk rekommenderar vi att du använder den inbyggda rollen klassisk virtuell datordeltagare . Annars måste du skapa en anpassad roll som innehåller behörighet att ansluta till det virtuella nätverket. Du måste också tilldela MicrosoftAzureBatch till den inbyggda/anpassade rollen.

Välj ett undernät

Om du vill aktivera standardinmatning av virtuellt nätverk måste du välja ett lämpligt undernät för din Azure-SSIS IR för att ansluta:

  • Välj inte GatewaySubnet eftersom det är dedikerat för virtuella nätverksgatewayer.

  • Kontrollera att det valda undernätet har tillgängliga IP-adresser för minst två gånger ditt Azure-SSIS IR-nodnummer. Dessa krävs för att vi ska kunna undvika störningar när du distribuerar korrigeringar/uppgraderingar för din Azure-SSIS IR. Azure reserverar även vissa IP-adresser som inte kan användas i varje undernät. De första och sista IP-adresserna är reserverade för protokollefterlevnad, medan ytterligare tre adresser är reserverade för Azure-tjänster. Mer information finns i avsnittet IP-adressbegränsningar för undernätet.

  • Använd inte ett undernät som uteslutande används av andra Azure-tjänster (till exempel Azure SQL Managed Instance, App Service och så vidare).

Konfigurera statiska offentliga IP-adresser

Om du vill ta med dina egna statiska offentliga IP-adresser för utgående trafik i Azure-SSIS IR när du ansluter den till ett virtuellt nätverk, så att du kan tillåta dem i brandväggarna, kontrollerar du att de uppfyller följande krav:

  • Exakt två oanvända som inte redan är associerade med andra Azure-resurser bör anges. Den extra används när vi regelbundet uppgraderar din Azure-SSIS IR. Observera att en offentlig IP-adress inte kan delas mellan dina aktiva Azure-SSIS IR:er.

  • Båda ska vara statiska av standardtyp. Mer information finns i avsnittet SKU:er för offentliga IP-adresser .

  • Båda ska ha ett DNS-namn. Om du inte har angett något DNS-namn när du skapar dem kan du göra det på Azure-portalen.

    Azure-SSIS IR

  • De och det virtuella nätverket ska vara under samma prenumeration och i samma region.

Konfigurera en anpassad DNS-server

Om du vill använda din egen DNS-server i det virtuella nätverket för att matcha dina privata värdnamn kontrollerar du att den även kan matcha globala Azure-värdnamn (till exempel Azure Blob Storage med namnet <your storage account>.blob.core.windows.).

Vi rekommenderar att du konfigurerar din egen DNS-server för att vidarebefordra olösta DNS-begäranden till IP-adressen för Rekursiva Matchare i Azure (168.63.129.16).

Mer information finns i avsnittet DNS-servernamnmatchning .

Kommentar

Använd ett fullständigt domännamn (FQDN) för ditt privata värdnamn (till exempel i <your_private_server>.contoso.com stället för <your_private_server>). Du kan också använda en anpassad standardkonfiguration på din Azure-SSIS IR för att automatiskt lägga till ditt eget DNS-suffix (till exempel contoso.com) till ett okvalificerat domännamn med en enskild etikett och omvandla det till ett FQDN innan du använder det i DNS-frågor, se avsnittet Anpassade standardkonfigurationsexempel .

Konfigurera en NSG

Om du vill använda en NSG på det undernät som är kopplat till din Azure-SSIS IR tillåter du följande inkommande och utgående trafik:

Riktning Transportprotokoll Källa Källportar Mål Målportar Kommentarer
Inkommande TCP BatchNodeManagement * VirtualNetwork 29876, 29877 (om du ansluter din SSIS IR till ett virtuellt Azure Resource Manager-nätverk)

10100, 20100, 30100 (om du ansluter din SSIS IR till ett klassiskt virtuellt nätverk)		 Data Factory-tjänsten använder dessa portar för att kommunicera med dina Azure-SSIS IR-noder i det virtuella nätverket.

Oavsett om du skapar en NSG i undernätet eller inte konfigurerar Data Factory alltid en NSG på nätverksgränssnittskortet (NIC) som är kopplat till virtuella datorer som är värdar för din Azure-SSIS IR.

Endast inkommande trafik från Data Factory IP-adresser på de angivna portarna tillåts av nätverkssäkerhetsgruppen på nätverkskortsnivå.

Även om du öppnar dessa portar för Internettrafik på undernätsnivå blockeras fortfarande trafik från IP-adresser som inte är Ip-adresser för Data Factory på nätverkskortsnivå.
Inkommande TCP CorpNetSaw * VirtualNetwork 3389 (Valfritt) Krävs endast när en Microsoft-supporttekniker ber dig att öppna port 3389 för avancerad felsökning och kan stängas direkt efter felsökning.

CorpNetSaw-tjänsttaggen tillåter endast datorer med säker åtkomst till arbetsstationer (SAW) i Microsofts företagsnätverk för att få åtkomst till din Azure-SSIS IR via RDP (Remote Desktop Protocol).

Den här tjänsttaggen kan inte väljas från Azure-portalen och är endast tillgänglig via Azure PowerShell/CLI.

I nätverkssäkerhetsgruppen på NIC-nivå är port 3389 öppen som standard, men du kan styra den med en NSG på undernätsnivå, medan utgående trafik på den inte tillåts som standard på dina Azure-SSIS IR-noder med hjälp av Windows brandväggsregel.
Riktning Transportprotokoll Källa Källportar Mål Målportar Kommentarer
Utgående TCP VirtualNetwork * AzureCloud 443 Krävs för att din Azure-SSIS IR ska få åtkomst till Azure-tjänster, till exempel Azure Storage och Azure Event Hubs.
Utgående TCP VirtualNetwork * Internet 80 (Valfritt) Din Azure-SSIS IR använder den här porten för att ladda ned en lista över återkallade certifikat (CRL) från Internet.

Om du blockerar den här trafiken kan det uppstå en prestandaförsämring när du startar din Azure-SSIS IR och förlorar möjligheten att kontrollera CRL:er när du använder certifikat, vilket inte rekommenderas ur säkerhetssynpunkt.

Om du vill begränsa mål till vissa FQDN kan du läsa avsnittet Konfigurera UDR:er nedan
Utgående TCP VirtualNetwork * Sql/VirtualNetwork 1433, 11000-11999 (Valfritt) Krävs endast om du använder Azure SQL Database-server/hanterad instans som värd för SSIS-katalogen (SSISDB).

Om din Azure SQL Database-server/hanterad instans har konfigurerats med en tjänstslutpunkt för offentlig slutpunkt/virtuellt nätverk använder du Sql-tjänsttaggen som mål.

Om din Azure SQL Database-server/hanterade instans har konfigurerats med en privat slutpunkt använder du VirtualNetwork-tjänsttaggen som mål.

Om serveranslutningsprincipen är inställd på Proxy i stället för Omdirigering krävs endast port 1433 .
Utgående TCP VirtualNetwork * Lagring/VirtualNetwork 443 (Valfritt) Krävs endast om du använder Azure Storage-blobcontainern för att lagra ditt anpassade standardkonfigurationsskript/-filer.

Om Azure Storage har konfigurerats med en tjänstslutpunkt för offentlig slutpunkt/virtuellt nätverk använder du lagringstjänsttaggen som mål.

Om din Azure Storage har konfigurerats med en privat slutpunkt använder du VirtualNetwork-tjänsttaggen som mål.
Utgående TCP VirtualNetwork * Lagring/VirtualNetwork 445 (Valfritt) Krävs endast om du behöver komma åt Azure Files.

Om Azure Storage har konfigurerats med en tjänstslutpunkt för offentlig slutpunkt/virtuellt nätverk använder du lagringstjänsttaggen som mål.

Om din Azure Storage har konfigurerats med en privat slutpunkt använder du VirtualNetwork-tjänsttaggen som mål.

Konfigurera UDR

Om du vill granska/inspektera utgående trafik från din Azure-SSIS IR kan du använda användardefinierade vägar (UDR) för att omdirigera den till en lokal brandväggsenhet via Azure ExpressRoute-tvingad tunneltrafik som annonserar en BGP-väg (Border Gateway Protocol) 0.0.0.0/0 till det virtuella nätverket, till en virtuell nätverksinstallation (NVA) som konfigurerats som brandvägg eller till Azure Firewall-tjänsten .

NVA scenario for Azure-SSIS IR

För att det ska fungera måste du se till att följande:

  • Trafiken mellan Azure Batch-hanteringstjänsten och din Azure-SSIS IR bör inte dirigeras till en brandväggsinstallation/-tjänst.

  • Brandväggsinstallationen/-tjänsten bör tillåta den utgående trafik som krävs av Azure-SSIS IR.

Om trafiken mellan Azure Batch-hanteringstjänsten och din Azure-SSIS IR dirigeras till en brandväggsinstallation/-tjänst bryts den på grund av asymmetrisk routning. UDF:er måste definieras för den här trafiken, så att den kan gå ut via samma vägar som den kom in på. Du kan konfigurera UDR:er för att dirigera trafiken mellan Azure Batch-hanteringstjänsten och din Azure-SSIS IR med nästa hopptyp som Internet.

Om din Azure-SSIS IR till exempel finns i Storbritannien, södra och du vill inspektera den utgående trafiken med Azure Firewall, kan du först hämta IP-intervallen för BatchNodeManagement.UKSouth-tjänsttaggen från nedladdningslänken för IP-intervall för tjänsttaggar eller API:et för identifiering av tjänsttaggar. Du kan sedan konfigurera följande UDR:er för relevanta IP-intervallvägar med nästa hopptyp som Internet och 0.0.0.0/0-väg med nästa hopptyp som Virtuell installation.

Azure Batch UDR settings

Kommentar

Den här metoden medför en extra underhållskostnad eftersom du regelbundet måste kontrollera relevanta IP-intervall och lägga till UDR:er för nya för att undvika att bryta din Azure-SSIS IR. Vi rekommenderar att du kontrollerar dem varje månad, eftersom det tar ytterligare en månad att börja gälla när ett nytt IP-intervall visas för den relevanta tjänsttaggen.

Du kan köra följande PowerShell-skript för att lägga till UDR:er för Azure Batch-hanteringstjänsten:

$Location = "[location of your Azure-SSIS IR]"
$RouteTableResourceGroupName = "[name of Azure resource group that contains your route table]"
$RouteTableResourceName = "[resource name of your route table]"
$RouteTable = Get-AzRouteTable -ResourceGroupName $RouteTableResourceGroupName -Name $RouteTableResourceName
$ServiceTags = Get-AzNetworkServiceTag -Location $Location
$BatchServiceTagName = "BatchNodeManagement." + $Location
$UdrRulePrefixForBatch = $BatchServiceTagName
if ($ServiceTags -ne $null)
{
    $BatchIPRanges = $ServiceTags.Values | Where-Object { $_.Name -ieq $BatchServiceTagName }
    if ($BatchIPRanges -ne $null)
    {
        Write-Host "Start adding UDRs to your route table..."
        for ($i = 0; $i -lt $BatchIPRanges.Properties.AddressPrefixes.Count; $i++)
        {
            $UdrRuleName = "$($UdrRulePrefixForBatch)_$($i)"
            Add-AzRouteConfig -Name $UdrRuleName `
                -AddressPrefix $BatchIPRanges.Properties.AddressPrefixes[$i] `
                -NextHopType "Internet" `
                -RouteTable $RouteTable `
                | Out-Null
            Write-Host "Add $UdrRuleName to your route table..."
        }
        Set-AzRouteTable -RouteTable $RouteTable
    }
}
else
{
    Write-Host "Failed to fetch Azure service tag, please confirm that your location is valid."
}

Enligt vår vägledning i avsnittet Konfigurera en NSG ovan måste du implementera liknande regler på brandväggsinstallationen/-tjänsten för att tillåta utgående trafik från din Azure-SSIS IR:

  • Om du använder Azure Firewall:

    • Du måste öppna port 443 för utgående TCP-trafik med AzureCloud-tjänsttaggen som mål.

    • Om du använder Azure SQL Database Server/Managed Instance som värd för SSISDB måste du öppna portarna 1433, 11000-11999 för utgående TCP-trafik med Sql/VirtualNetwork-tjänsttaggen som mål.

    • Om du använder Azure Storage-blobcontainer för att lagra ditt anpassade standardkonfigurationsskript/-filer måste du öppna port 443 för utgående TCP-trafik med lagrings-/VirtualNetwork-tjänsttaggen som mål.

    • Om du behöver komma åt Azure Files måste du öppna port 445 för utgående TCP-trafik med lagrings-/VirtualNetwork-tjänsttagg som mål.

  • Om du använder en annan brandväggsinstallation/-tjänst:

    • Du måste öppna port 443 för utgående TCP-trafik med 0.0.0.0/0 eller följande Azure-miljöspecifika FQDN som mål.

      Azure-miljö FQDN
      Azure Public
      • Azure Data Factory (hantering)
        • *.frontend.clouddatahub.net
      • Azure Storage (hantering)
        • *.blob.core.windows.net
        • *.table.core.windows.net
      • Azure Container Registry (anpassad installation)
        • *.azurecr.io
      • Event Hubs (loggning)
        • *.servicebus.windows.net
      • Microsoft Logging Service (intern användning)
        • gcs.prod.monitoring.core.windows.net
        • prod.warmpath.msftcloudes.com
        • azurewatsonanalysis-prod.core.windows.net
      Azure Government
      • Azure Data Factory (hantering)
        • *.frontend.datamovement.azure.us
      • Azure Storage (hantering)
        • *.blob.core.usgovcloudapi.net
        • *.table.core.usgovcloudapi.net
      • Azure Container Registry (anpassad installation)
        • *.azurecr.us
      • Event Hubs (loggning)
        • *.servicebus.usgovcloudapi.net
      • Microsoft Logging Service (intern användning)
        • fairfax.warmpath.usgovcloudapi.net
        • azurewatsonanalysis.usgovcloudapp.net
      Microsoft Azure drivs av 21Vianet
      • Azure Data Factory (hantering)
        • *.frontend.datamovement.azure.cn
      • Azure Storage (hantering)
        • *.blob.core.chinacloudapi.cn
        • *.table.core.chinacloudapi.cn
      • Azure Container Registry (anpassad installation)
        • *.azurecr.cn
      • Event Hubs (loggning)
        • *.servicebus.chinacloudapi.cn
      • Microsoft Logging Service (intern användning)
        • mooncake.warmpath.chinacloudapi.cn
        • azurewatsonanalysis.chinacloudapp.cn

    • Om du använder Azure SQL Database Server/Managed Instance som värd för SSISDB måste du öppna portarna 1433, 11000-11999 för utgående TCP-trafik med 0.0.0.0/0 eller din Azure SQL Database-server/FQDN för hanterad instans som mål.

    • Om du använder Azure Storage-blobcontainern för att lagra ditt anpassade standardkonfigurationsskript/-filer måste du öppna port 443 för utgående TCP-trafik med 0.0.0.0/0 eller ditt FQDN för Azure Blob Storage som mål.

    • Om du behöver komma åt Azure Files måste du öppna port 445 för utgående TCP-trafik med 0.0.0.0/0 eller ditt Azure Files FQDN som mål.

  • Om du konfigurerar en tjänstslutpunkt för virtuellt nätverk för Azure Storage/Container Registry/Event Hubs/SQL genom att aktivera Microsoft.Storage/Microsoft.ContainerRegistry/Microsoft.EventHub/Microsoft.Sql-resurser i undernätet dirigeras all trafik mellan din Azure-SSIS IR och dessa tjänster i samma/kopplade regioner till Azures stamnätverk i stället för brandväggsinstallationen/tjänsten.

  • Du bör öppna port 80 för utgående TCP-trafik med följande nedladdningswebbplatser för återkallade certifikat (CRL) som mål:

    • crl.microsoft.com:80
    • mscrl.microsoft.com:80
    • crl3.digicert.com:80
    • crl4.digicert.com:80
    • ocsp.digicert.com:80
    • cacerts.digicert.com:80

    Om du använder certifikat med olika CRL:er bör du även lägga till deras nedladdningswebbplatser som mål. Mer information finns i artikeln lista över återkallade certifikat.

    Om du blockerar den här trafiken kan det uppstå en prestandaförsämring när du startar din Azure-SSIS IR och förlorar möjligheten att kontrollera CRL:er när du använder certifikat, vilket inte rekommenderas ur säkerhetssynpunkt.

Om du inte behöver granska/inspektera utgående trafik från din Azure-SSIS IR kan du använda UDR:er för att tvinga all trafik med nästa hopptyp som Internet:

  • När du använder Azure ExpressRoute kan du konfigurera en UDR för 0.0.0.0/0-vägen i undernätet med nästa hopptyp som Internet.

  • När du använder en NVA kan du ändra den befintliga UDR för 0.0.0.0/0-vägen i undernätet för att växla nästa hopptyp från Virtuell installation till Internet.

Add a route

Kommentar

Att konfigurera UDR:er med nästa hopptyp som Internet innebär inte att all trafik kommer att gå över Internet. Så länge måladressen tillhör någon av Azure-tjänsterna dirigerar Azure all trafik till den adressen via Azures stamnätverk i stället för Internet.

Konfigurera relevant resursgrupp

För att aktivera standardinmatning av virtuella nätverk måste din Azure-SSIS IR skapa vissa nätverksresurser i samma resursgrupp som det virtuella nätverket. Dessa resurser omfattar:

  • En Azure-lastbalanserare med namnet <Guid-azurebatch-cloudserviceloadbalancer>.
  • En offentlig IP-adress i Azure med namnet <Guid-azurebatch-cloudservicepublicip>.
  • En NSG med namnet Guid-azurebatch-cloudservicenetworksecuritygroup>.<

Kommentar

Nu kan du ta med dina egna statiska offentliga IP-adresser för Azure-SSIS IR. I det här scenariot skapar vi Azure-lastbalanseraren och NSG:n i samma resursgrupp som dina statiska offentliga IP-adresser i stället för det virtuella nätverket.

Dessa resurser skapas när din Azure-SSIS IR startar. De tas bort när din Azure-SSIS IR stoppas. Om du tar med dina egna statiska offentliga IP-adresser för Azure-SSIS IR tas de inte bort när din Azure-SSIS IR stoppas. Undvik att blockera din Azure-SSIS IR från att stoppas genom att inte återanvända dessa resurser för andra ändamål.

Kontrollera att du inte har något resurslås i resursgruppen/prenumerationen som det virtuella nätverket/dina statiska offentliga IP-adresser tillhör. Om du konfigurerar ett skrivskyddat/borttagningslås misslyckas start och stopp av Azure-SSIS IR, annars slutar det svara.

Kontrollera att du inte har någon Azure Policy-tilldelning som förhindrar att följande resurser skapas i resursgruppen/prenumerationen som det virtuella nätverket/dina statiska offentliga IP-adresser tillhör:

  • Microsoft.Network/LoadBalancers
  • Microsoft.Network/NetworkSecurityGroups
  • Microsoft.Network/PublicIPAddresses

Kontrollera att resurskvoten för din prenumeration räcker för dessa resurser. Mer specifikt måste du reservera dubbelt så många resurser för varje Azure-SSIS IR som skapats i ett virtuellt nätverk, eftersom de extra resurserna används när vi regelbundet uppgraderar din Azure-SSIS IR.

Vanliga frågor

  • Hur kan jag skydda den offentliga IP-adressen som exponeras på min Azure-SSIS IR för inkommande anslutning? Går det att ta bort den offentliga IP-adressen?

    Just nu skapas en offentlig IP-adress automatiskt när din Azure-SSIS IR ansluter till ett virtuellt nätverk. Vi har en nätverkssäkerhetsgrupp på NIC-nivå som endast tillåter Att Azure Batch-hanteringstjänsten inkommande ansluter till din Azure-SSIS IR. Du kan också ange en NSG på undernätsnivå för inkommande skydd.

    Om du inte vill att någon offentlig IP-adress ska exponeras kan du överväga att konfigurera en lokalt installerad IR som proxy för din Azure-SSIS IR i stället för att ansluta din Azure-SSIS IR till ett virtuellt nätverk.

  • Kan jag lägga till den offentliga IP-adressen för min Azure-SSIS IR i brandväggens tillåtna lista för mina datakällor?

    Nu kan du ta med dina egna statiska offentliga IP-adresser för Azure-SSIS IR. I det här fallet kan du lägga till dina IP-adresser i brandväggens tillåtna lista för dina datakällor. Du kan också överväga andra alternativ nedan för att skydda dataåtkomst från din Azure-SSIS IR beroende på ditt scenario:

    • Om din datakälla finns lokalt kan du lägga till det privata IP-adressintervallet för det undernätet i brandväggens tillåtna lista för datakällan när du har anslutit ett virtuellt nätverk till ditt lokala nätverk och anslutit din Azure-SSIS IR till det virtuella nätverkets undernät.

    • Om din datakälla är en Azure-tjänst som stöder tjänstslutpunkter för virtuella nätverk kan du konfigurera en tjänstslutpunkt för virtuellt nätverk i ditt virtuella nätverksundernät och ansluta din Azure-SSIS IR till det undernätet. Du kan sedan lägga till en regel för virtuellt nätverk med det undernätet i brandväggen för datakällan.

    • Om din datakälla är en icke-Azure-molntjänst kan du använda en UDR för att dirigera utgående trafik från din Azure-SSIS IR till dess statiska offentliga IP-adress via en NVA/Azure Firewall. Du kan sedan lägga till den statiska offentliga IP-adressen för din NVA/Azure Firewall i brandväggens tillåtna lista för din datakälla.

    • Om inget av ovanstående alternativ uppfyller dina behov kan du överväga att konfigurera en lokalt installerad IR som proxy för din Azure-SSIS IR. Du kan sedan lägga till den statiska offentliga IP-adressen för den dator som är värd för din lokala IR i brandväggens tillåtna lista för datakällan.

  • Varför behöver jag ange två statiska offentliga adresser om jag vill ta med mina egna för Azure-SSIS IR?

    Azure-SSIS IR uppdateras automatiskt regelbundet. Nya noder skapas under uppgraderingen och gamla kommer att tas bort. Men för att undvika driftstopp tas de gamla noderna inte bort förrän de nya är klara. Därför kan inte din första statiska offentliga IP-adress som används av de gamla noderna släppas omedelbart och vi behöver din andra statiska offentliga IP-adress för att skapa de nya noderna.

  • Jag har tagit med mina egna statiska offentliga IP-adresser för Azure-SSIS IR, men varför kan den fortfarande inte komma åt mina datakällor?

    Kontrollera att båda de två statiska offentliga IP-adresserna har lagts till i brandväggens tillåtna lista för dina datakällor. Varje gång din Azure-SSIS IR uppgraderas växlas dess statiska offentliga IP-adress mellan de två som du har tagit med dig. Om du bara lägger till en av dem i listan över tillåtna data bryts dataåtkomsten för din Azure-SSIS IR efter uppgraderingen.

    Om datakällan är en Azure-tjänst kontrollerar du om du har konfigurerat den med tjänstslutpunkter för virtuella nätverk. I så fall kommer trafiken från Azure-SSIS IR till datakällan att växla till att använda de privata IP-adresser som hanteras av Azure-tjänster och att lägga till dina egna statiska offentliga IP-adresser i brandväggens tillåtna lista för datakällan börjar inte gälla.

Relaterat innehåll

Mer information om Azure-SSIS IR finns i följande artiklar:

  • Azure-SSIS IR. Den här artikeln innehåller allmän konceptuell information om IR:er, inklusive Azure-SSIS IR.
  • Självstudie: Distribuera SSIS-paket till Azure. Den här självstudien innehåller stegvisa instruktioner för att skapa din Azure-SSIS IR. Den använder Azure SQL Database-servern som värd för SSISDB.
  • Skapa en Azure-SSIS IR. Den här artikeln går vidare med självstudien. Den innehåller instruktioner om hur du använder Azure SQL Database-servern som konfigurerats med en tjänstslutpunkt/IP-brandväggsregel för virtuellt nätverk/privat slutpunkt eller Azure SQL Managed Instance som ansluter ett virtuellt nätverk till värd för SSISDB. Den visar hur du ansluter din Azure-SSIS IR till ett virtuellt nätverk.
  • Övervaka en Azure-SSIS IR. Den här artikeln visar hur du hämtar och förstår information om din Azure-SSIS IR.
  • Hantera en Azure-SSIS IR. Den här artikeln visar hur du stoppar, startar eller tar bort din Azure-SSIS IR. Den visar också hur du skalar ut din Azure-SSIS IR genom att lägga till fler noder.