Azure Private Link för Azure Data Factory
GÄLLER FÖR: Azure Data Factory Azure Synapse Analytics
Dricks
Prova Data Factory i Microsoft Fabric, en allt-i-ett-analyslösning för företag. Microsoft Fabric omfattar allt från dataflytt till datavetenskap, realtidsanalys, business intelligence och rapportering. Lär dig hur du startar en ny utvärderingsversion kostnadsfritt!
Genom att använda Azure Private Link kan du ansluta till olika PaaS-distributioner (plattform som en tjänst) i Azure via en privat slutpunkt. En privat slutpunkt är en privat IP-adress i ett visst virtuellt nätverk och undernät. En lista över PaaS-distributioner som stöder Private Link-funktioner finns i Private Link-dokumentationen.
Säker kommunikation mellan kundnätverk och Data Factory
Du kan konfigurera ett virtuellt Azure-nätverk som en logisk representation av ditt nätverk i molnet. Det är medför följande fördelar:
- Du skyddar dina Azure-resurser mot attacker i offentliga nätverk.
- Du låter nätverken och datafabriken kommunicera säkert med varandra.
Du kan också ansluta ett lokalt nätverk till ditt virtuella nätverk. Konfigurera en VPN-anslutning för Internet Protocol-säkerhet, som är en plats-till-plats-anslutning. Eller konfigurera en Azure ExpressRoute-anslutning. som är en privat peering-anslutning.
Du kan också installera en lokalt installerad integrationskörning (IR) på en lokal dator eller en virtuell dator i det virtuella nätverket. På så sätt kan du:
- Köra kopieringsaktiviteter mellan molndatalager och ett datalager i ett privat nätverk.
- Skicka transformeringsaktiviteter mot beräkningsresurser i ett lokalt nätverk eller ett virtuellt Azure-nätverk.
Flera kommunikationskanaler krävs mellan Azure Data Factory och kundens virtuella nätverk, enligt följande tabell:
Domain | Port | beskrivning |
---|---|---|
adf.azure.com |
443 | Data Factory-portalen krävs av Redigering och övervakning av Data Factory. |
*.{region}.datafactory.azure.net |
443 | Krävs av den lokalt installerade IR:en för att ansluta till Data Factory. |
*.servicebus.windows.net |
443 | Krävs av den lokalt installerade IR:en för interaktiv redigering. |
download.microsoft.com |
443 | Krävs av den lokalt installerade IR:en för nedladdning av uppdateringarna. |
Kommentar
Inaktivering av åtkomst till offentligt nätverk gäller endast för lokalt installerad IR, inte för Azure IR och SQL Server Integration Services IR.
Kommunikationen till Data Factory går via Private Link och hjälper till att tillhandahålla säker privat anslutning.
Om du aktiverar Private Link för var och en av de föregående kommunikationskanalerna finns följande funktioner:
Stöds:
- Du kan skapa och övervaka i Data Factory-portalen från ditt virtuella nätverk, även om du blockerar all utgående kommunikation. Om du skapar en privat slutpunkt för portalen kan andra fortfarande komma åt Data Factory-portalen via det offentliga nätverket.
- Kommandokommunikationen mellan den lokalt installerade IR:n och Data Factory kan utföras på ett säkert sätt i en privat nätverksmiljö. Trafiken mellan lokalt installerad IR och Data Factory går via Private Link.
Stöds inte för närvarande:
- Interaktiv redigering som använder en lokalt installerad IR, till exempel testanslutning, bläddra i mapplista och tabelllista, hämta schema och förhandsgranska data, går via Private Link. Observera att trafiken går via en privat länk om den fristående interaktiva redigeringen är aktiverad. Se Fristående interaktiv redigering.
Kommentar
Både "Hämta IP" och "Skicka logg" stöds inte när fristående interaktiv redigering är aktiverad.
- Den nya versionen av den lokalt installerade IR som kan laddas ned automatiskt från Microsoft Download Center om du aktiverar automatisk uppdatering stöds inte just nu.
För funktioner som för närvarande inte stöds måste du konfigurera den tidigare nämnda domänen och porten i det virtuella nätverket eller företagets brandvägg.
Anslutning till Data Factory via privat slutpunkt gäller endast för lokalt installerad IR i Data Factory. Det stöds inte för Azure Synapse Analytics.
Varning
Om du aktiverar Private Link Data Factory och blockerar offentlig åtkomst samtidigt lagrar du dina autentiseringsuppgifter i Azure Key Vault för att säkerställa att de är säkra.
Konfigurera privat slutpunkt för kommunikation mellan lokalt installerad IR och Data Factory
I det här avsnittet beskrivs hur du konfigurerar den privata slutpunkten för kommunikation mellan lokalt installerad IR och Data Factory.
Skapa en privat slutpunkt och konfigurera en privat länk för Data Factory
Den privata slutpunkten skapas i ditt virtuella nätverk för kommunikationen mellan lokalt installerad IR och Data Factory. Följ stegen i Konfigurera en privat slutpunktslänk för Data Factory.
Kontrollera att DNS-konfigurationen är korrekt
Följ anvisningarna i DNS-ändringar för privata slutpunkter för att kontrollera eller konfigurera dns-inställningarna.
Placera FQDN:er för Azure Relay och Download Center i listan över tillåtna brandväggar
Om din lokalt installerad IR är installerad på den virtuella datorn i det virtuella nätverket tillåter du utgående trafik till under FQDN:er i nätverkssäkerhetsgruppen för ditt virtuella nätverk.
Om din lokalt installerad IR är installerad på datorn i din lokala miljö tillåter du utgående trafik till under FQDN:er i brandväggen för din lokala miljö och NSG för ditt virtuella nätverk.
Domain | Port | beskrivning |
---|---|---|
*.servicebus.windows.net |
443 | Krävs av lokalt installerad IR för interaktiv redigering |
download.microsoft.com |
443 | Krävs av den lokalt installerade IR:en för nedladdning av uppdateringarna |
Om du inte tillåter föregående utgående trafik i brandväggen och NSG visas lokalt installerad IR med begränsad status. Men du kan fortfarande använda den för att köra aktiviteter. Endast interaktiv redigering och automatisk uppdatering fungerar inte.
Kommentar
Om en datafabrik (delad) har en lokalt installerad IR och den lokalt installerade IR:en delas med andra datafabriker (länkade) behöver du bara skapa en privat slutpunkt för den delade datafabriken. Andra länkade datafabriker kan använda den här privata länken för kommunikationen mellan lokalt installerad IR och Data Factory.
Kommentar
Vi stöder för närvarande inte att upprätta en privat länk mellan en lokalt installerad integrationskörning och en Synapse Analytics-arbetsyta. Och den lokalt installerade integrationskörningen kan fortfarande kommunicera med Synapse även när dataexfiltreringsskydd är aktiverat på Synapse-arbetsytan.
DNS-ändringar för privata slutpunkter
När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för datafabriken till ett alias i en underdomän med prefixet privatelink. Som standard skapar vi också en privat DNS-zon som motsvarar underdomänen privatelink med DNS A-resursposterna för de privata slutpunkterna.
När du löser datafabrikens slutpunkts-URL utanför det virtuella nätverket med den privata slutpunkten matchas den mot datafabrikens offentliga slutpunkt. När den matchas från det virtuella nätverket som är värd för den privata slutpunkten matchas url:en för lagringsslutpunkten till den privata slutpunktens IP-adress.
I föregående illustrerade exempel blir DNS-resursposterna för datafabriken DataFactoryA, när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten:
Namn | Typ | Värde |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | < Offentlig slutpunkt för Data Factory > |
< Offentlig slutpunkt för Data Factory > | A | < Offentlig IP-adress för Data Factory > |
DNS-resursposterna för DataFactoryA, när de matchas i det virtuella nätverket som är värd för den privata slutpunkten, blir:
Namn | Typ | Värde |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | DataFactoryA. {region}.privatelink.datafactory.azure.net |
DataFactoryA. {region}.privatelink.datafactory.azure.net | A | < IP-adress för privat slutpunkt > |
Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha FQDN för datafabrikens slutpunkt till ip-adressen för den privata slutpunkten. Du bör konfigurera DNS-servern för att delegera underdomänen Private Link till den privata DNS-zonen för det virtuella nätverket. Eller så kan du konfigurera A-posterna för DataFactoryA. {region}.datafactory.azure.net med ip-adressen för den privata slutpunkten.
Kommentar
För närvarande finns det bara en datafabriksportalslutpunkt, så det finns bara en privat slutpunkt för portalen i en DNS-zon. När du försöker skapa en andra eller efterföljande privat portalslutpunkt skrivs den tidigare skapade privata DNS-posten för portalen över.
Konfigurera en privat slutpunktslänk för Data Factory
I det här avsnittet konfigurerar du en privat slutpunktslänk för Data Factory.
Du kan välja om du vill ansluta din lokalt installerad IR till Data Factory genom att välja Offentlig slutpunkt eller Privat slutpunkt under skapandesteget för Data Factory, som visas här:
Du kan ändra markeringen när som helst efter att du har skapat den från datafabriksportalsidan i fönstret Nätverk . När du har aktiverat privat slutpunkt där måste du också lägga till en privat slutpunkt i datafabriken.
En privat slutpunkt kräver ett virtuellt nätverk och undernät för länken. I det här exemplet används en virtuell dator i undernätet för att köra den lokalt installerade IR:en, som ansluter via den privata slutpunktslänken.
Skapa ett virtuellt nätverk
Om du inte har ett befintligt virtuellt nätverk att använda med din privata slutpunktslänk måste du skapa ett och tilldela ett undernät.
Logga in på Azure-portalen.
I det övre vänstra hörnet på skärmen väljer du Skapa en resurs>Nätverk Virtuellt>nätverk eller söker efter Virtuellt nätverk i sökrutan.
I Skapa virtuellt nätverk anger eller väljer du den här informationen på fliken Grundläggande :
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en resursgrupp för ditt virtuella nätverk. Instansinformation Name Ange ett namn för det virtuella nätverket. Region Viktigt: Välj samma region som din privata slutpunkt använder. Välj fliken IP-adresser eller välj Nästa: IP-adresser längst ned på sidan.
Ange följande information på fliken IP-adresser :
Inställning Värde IPv4-adressutrymme Ange 10.1.0.0/16. Under Undernätsnamn väljer du ordet standard.
I Redigera undernät anger du den här informationen:
Inställning Värde Namn på undernät Ange ett namn på undernätet. Adressintervall för undernätet Ange 10.1.0.0/24. Välj Spara.
Välj fliken Granska + skapa eller välj knappen Granska + skapa .
Välj Skapa.
Skapa en virtuell dator för lokalt installerad IR
Du måste också skapa eller tilldela en befintlig virtuell dator för att köra den lokalt installerade IR:n i det nya undernätet som skapades i föregående steg.
I det övre vänstra hörnet i portalen väljer du Skapa en virtuell resurs>Compute-dator> eller söker efter Virtuell dator i sökrutan.
I Skapa en virtuell dator anger eller väljer du värdena på fliken Grundläggande :
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en resursgrupp. Instansinformation Virtual machine name Ange ett namn för den virtuella datorn. Region Välj den region som du använde för ditt virtuella nätverk. Tillgängliga alternativ Välj Ingen infrastrukturredundans krävs. Bild Välj Windows Server 2019 Datacenter – Gen1 eller någon annan Windows-avbildning som stöder lokalt installerad IR. Azure Spot-instans Välj Nej. Storlek Välj vm-storlek eller använd standardinställningen. Administratörskonto Username Ange ett användarnamn. Lösenord Ange ett lösenord. Bekräfta lösenord Ange lösenordet igen. Välj fliken Nätverk eller välj Nästa: Diskar>nästa: Nätverk.
På fliken Nätverk väljer eller anger du:
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj det virtuella nätverk som du skapade. Undernät Välj det undernät som du skapade. Offentlig IP-adress Välj Ingen. Nätverkssäkerhetsgrupp för nätverkskort Grundläggande. Offentliga inkommande portar Välj Ingen. Välj Granska + skapa.
Granska inställningarna och välj sedan Skapa.
Kommentar
Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.
Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:
- En offentlig IP-adress tilldelas till den virtuella datorn.
- Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
- En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.
Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.
Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.
Skapa en privat slutpunkt
Slutligen måste du skapa en privat slutpunkt i datafabriken.
På sidan Azure-portalen för din datafabrik väljer du Privata slutpunktsanslutningar för nätverk>och sedan + Privat slutpunkt.
På fliken Grundläggande i Skapa en privat slutpunkt anger eller väljer du den här informationen:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj en resursgrupp. Instansinformation Name Ange ett namn för slutpunkten. Region Välj regionen för det virtuella nätverk som du skapade. Välj fliken Resurs eller knappen Nästa: Resurs längst ned på skärmen.
I Resurs anger eller väljer du den här informationen:
Inställning Värde Anslutningsmetod Välj Anslut till en Azure-resurs i min katalog. Prenumeration Välj din prenumeration. Resurstyp Välj Microsoft.Datafactory/factories. Resurs Välj din datafabrik. Målunderresurs Om du vill använda den privata slutpunkten för kommandokommunikation mellan den lokalt installerade IR:en och Data Factory väljer du datafaktor som underresurs för mål. Om du vill använda den privata slutpunkten för redigering och övervakning av datafabriken i ditt virtuella nätverk väljer du portalen som underresurs för mål. Välj fliken Konfiguration eller knappen Nästa: Konfiguration längst ned på skärmen.
I Konfiguration anger eller väljer du den här informationen:
Inställning Värde Nätverk Virtuellt nätverk Välj det virtuella nätverk som du skapade. Undernät Välj det undernät som du skapade. Privat DNS-integrering Integrera med privat DNS-zon Lämna standardvärdet Ja. Prenumeration Välj din prenumeration. Privata DNS-zoner Lämna standardvärdet i båda målunderresurserna: 1. datafaktor: (ny) privatelink.datafactory.azure.net. 2. portal: (Ny) privatelink.adf.azure.com. Välj Granska + skapa.
Välj Skapa.
Begränsa åtkomsten för Data Factory-resurser med hjälp av Private Link
Om du vill begränsa åtkomsten för Data Factory-resurser i dina prenumerationer via Private Link följer du stegen i Använd portalen för att skapa en privat länk för att hantera Azure-resurser.
Kända problem
Du kan inte komma åt varje PaaS-resurs när båda sidor exponeras för Private Link och en privat slutpunkt. Det här problemet är en känd begränsning för Private Link och privata slutpunkter.
Kund A använder till exempel en privat länk för att komma åt portalen för datafabrik A i det virtuella nätverket A. När datafabrik A inte blockerar offentlig åtkomst kan kund B komma åt portalen för datafabrik A i det virtuella nätverket B via offentligt. Men när kund B skapar en privat slutpunkt mot datafabrik B i det virtuella nätverket B kan kunden B inte längre komma åt datafabrik A via offentligt i det virtuella nätverket B.