適用於 Azure Data Factory 的 Azure Private Link
適用於:
Azure Data Factory 
Azure Synapse Analytics
提示
試用 Microsoft Fabric 中的 Data Factory,這是適用於企業的全方位分析解決方案。 Microsoft Fabric 涵蓋從資料移動到資料科學、即時分析、商業智慧和報告的所有項目。 了解如何免費啟動新的試用版!
藉由使用 Azure Private Link,您可以透過私人端點連線到 Azure 中的各種平台即服務 (PaaS) 部署。 私人端點為特定虛擬網路和子網路內的私人 IP 位址。 如需支援 Private Link 功能的 PaaS 部署清單,請參閱 Private Link 檔。
保護客戶網路與 Data Factory 之間的通訊
您可以設定 Azure 虛擬網路來作為您的網路在雲端的邏輯呈現方式。 這麼做可提供下列好處:
- 協助保護 Azure 資源免於在公用網路中遭受攻擊。
- 您可以讓網路和數據處理站安全地彼此通訊。
您也可以將內部部署網路連線到您的虛擬網路。 設定因特網通訊協定安全性 VPN 連線,這是站對站連線。 或設定 Azure ExpressRoute 連線。 這是私人對等互連連線。
您也可以在內部部署機器或虛擬網路中的虛擬機上安裝自我裝載整合運行時間(IR)。 這麼做可讓您:
- 在雲端資料存放區和私人網路中的資料存放區之間執行複製活動。
- 針對內部部署網路或 Azure 虛擬網路中的計算資源分派轉換活動。
Azure Data Factory 與客戶虛擬網路之間需要數個通道,如下表所示:
| 網域 | 連接埠 | 描述 |
|---|---|---|
adf.azure.com |
443 | Data Factory 撰寫和監視需要 Data Factory 入口網站。 |
*.{region}.datafactory.azure.net |
443 | 自我裝載 IR 需要連線到 Data Factory。 |
*.servicebus.windows.net |
443 | 自我裝載 IR 需要互動式撰寫。 |
download.microsoft.com |
443 | 自我裝載 IR 需要下載更新。 |
注意
停用公用網路存取僅適用於自我裝載 IR,不適用於 Azure IR 和 SQL Server Integration Services IR。
與 Data Factory 的通訊會經過 Private Link,並協助提供安全的私人連線。
針對上述每個通道啟用 Private Link 提供下列功能:
支援:
- 即使您封鎖所有輸出通訊,您也可以從虛擬網路在 Data Factory 入口網站中撰寫和監視。 如果您為入口網站建立私人端點,其他人仍然可以透過公用網路存取 Data Factory 入口網站。
- 自我裝載 IR 與 Data Factory 之間的命令通訊可以在專用網環境中安全地執行。 自我裝載 IR 與 Data Factory 之間的流量會通過 Private Link。
目前不支援:
- 使用自我裝載 IR 的互動式撰寫,例如測試連線、瀏覽資料夾清單和資料表清單、取得架構和預覽數據,都會通過 Private Link。 請注意,如果已啟用獨立式互動式撰寫,流量就會通過私人連結。 請參閱 獨立式互動式撰寫。
注意
啟用獨立式互動式製作時,不支援「取得 IP」和「傳送記錄」。
- 如果您目前不支援啟用自動更新,可以從 Microsoft 下載中心自動下載的新版本自我裝載 IR。
針對目前不支援的功能,您必須在虛擬網路或公司防火牆中設定先前提及的網域和埠。
透過私人端點 連線 Data Factory 僅適用於 Data Factory 中的自我裝載 IR。 Azure Synapse Analytics 不支援它。
警告
如果您同時啟用 Private Link Data Factory 並封鎖公用存取,請將您的認證儲存在 Azure 金鑰保存庫,以確保其安全。
設定私人端點以在自我裝載 IR 與 Data Factory 之間進行通訊
本節說明如何設定私人端點,以在自我裝載 IR 與 Data Factory 之間進行通訊。
建立私人端點並設定Data Factory的私人連結
私人端點會在虛擬網路中建立,以便自我裝載 IR 與 Data Factory 之間的通訊。 請遵循設定 Data Factory 的私人端點連結中的步驟。
請確定 DNS 設定正確
請遵循私人端點的 DNS 變更中的指示來檢查或設定您的 DNS 設定。
將 Azure 轉送和下載中心的 FQDN 放入防火牆允許的清單
如果您的自我裝載 IR 安裝在虛擬網路中的虛擬機上,請允許虛擬網路 NSG 中的輸出流量低於 FQDN。
如果您的自我裝載 IR 安裝在內部部署環境中的機器上,請在內部部署環境的防火牆和虛擬網路的 NSG 中允許輸出流量低於 FQDN。
| 網域 | 連接埠 | 描述 |
|---|---|---|
*.servicebus.windows.net |
443 | 互動式撰寫的自我裝載 IR 所需 |
download.microsoft.com |
443 | 自我裝載 IR 需要下載更新 |
如果您不允許防火牆和 NSG 中的上述輸出流量,則會以有限狀態顯示自我裝載 IR。 但您仍然可以使用它來執行活動。 只有互動式撰寫和自動更新無法運作。
注意
如果一個數據處理站(共用)具有自我裝載 IR,且自我裝載 IR 與其他數據處理站共用(已連結),則只需要為共用數據處理站建立私人端點。 其他鏈接的數據處理站可以利用此私人鏈接,進行自我裝載 IR 與 Data Factory 之間的通訊。
注意
我們目前不支援在自我裝載整合運行時間和 Synapse Analytics 工作區之間建立私人連結。 而且,即使 Synapse 工作區上已啟用數據外洩保護,自我裝載整合運行時間仍可與 Synapse 通訊。
私人端點的 DNS 變更
當您建立私人端點時,數據處理站的 DNS CNAME 資源記錄會更新為具有前置詞 privatelink 的子域中的別名。 根據預設,我們也會使用私人端點的 DNS A 資源記錄,建立對應至 privatelink 子域的私人 DNS 區域。
當您使用私人端點從虛擬網路外部解析數據處理站端點 URL 時,它會解析為 Data Factory 的公用端點。 從裝載私人端點的虛擬網路解析時,記憶體端點 URL 會解析為私人端點的 IP 位址。
針對上述說明範例,當從裝載私人端點的虛擬網路外部解析時,名為 DataFactoryA 之數據處理站的 DNS 資源記錄將會是:
| 名稱 | 類型 | 值 |
|---|---|---|
| DataFactoryA。{region}.datafactory.azure.net | CNAME | < Data Factory 公用端點 > |
| < Data Factory 公用端點 > | A | < Data Factory 公用IP位址 > |
在裝載私人端點的虛擬網路中解析 DataFactoryA 的 DNS 資源記錄會是:
| 名稱 | 類型 | 值 |
|---|---|---|
| DataFactoryA。{region}.datafactory.azure.net | CNAME | DataFactoryA。{region}.privatelink.datafactory.azure.net |
| DataFactoryA。{region}.privatelink.datafactory.azure.net | A | < 私人端點IP位址 > |
如果您在網路上使用自定義 DNS 伺服器,客戶端必須能夠將數據處理站端點的 FQDN 解析為私人端點 IP 位址。 您應該將 DNS 伺服器設定為將 Private Link 子域委派給虛擬網路的私人 DNS 區域。 或者,您可以設定 DataFactoryA 的 A 記錄。{region}.datafactory.azure.net 私人端點 IP 位址。
注意
目前只有一個 Data Factory 入口網站端點,因此 DNS 區域中只有一個入口網站的私人端點。 嘗試建立第二個或後續入口網站私人端點會覆寫先前為入口網站建立的私人 DNS 專案。
設定 Data Factory 的私人端點連結
在本節中,您將設定 Data Factory 的私人端點連結。
您可以在 Data Factory 建立步驟期間選取 [公用端點] 或 [私人端點],選擇是否要將自我裝載 IR 連線至 Data Factory,如下所示:
您可以從 [網络] 窗格上的 [Data Factory 入口網站] 頁面,隨時變更選取範圍。 啟用 私人端點 之後,您也必須將私人端點新增至數據處理站。
私人端點需要虛擬網路和子網來進行連結。 在此範例中,子網內的虛擬機會用來執行自我裝載 IR,其會透過私人端點連結進行連線。
建立虛擬網路
如果您沒有現有的虛擬網路與私人端點連結搭配使用,您必須建立一個虛擬網路並指派子網。
登入 Azure 入口網站。
在畫面左上角,選取 [建立資源>網络>虛擬網络],或在搜尋方塊中搜尋虛擬網络。
在 [建立虛擬網络] 中,在 [ 基本] 索引 標籤上輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取虛擬網路的資源群組。 [執行個體詳細資料] 名稱 輸入虛擬網路的名稱。 區域 重要: 選取私人端點所使用的相同區域。 選取 [IP 位址] 索引標籤,或頁面底部的 [下一步:IP 位址] 按鈕。
在 [ IP 位址] 索引 標籤上,輸入此資訊:
設定 值 IPv4 位址空間 輸入 10.1.0.0/16。 在 [子網路名稱] 下,選取 [預設] 一詞。
在 [編輯子網路] 中,輸入這項資訊:
設定 值 子網路名稱 輸入子網的名稱。 子網路位址範圍 輸入 10.1.0.0/24。 選取 [儲存]。
選取 [檢閱 + 建立] 索引標籤,或選取 [檢閱 + 建立] 按鈕。
選取 建立。
建立自我裝載 IR 的虛擬機
您也必須建立或指派現有的虛擬機,以在上述步驟中建立的新子網中執行自我裝載 IR。
在入口網站的左上角,選取 [建立資源>計算>虛擬機],或在搜尋方塊中搜尋虛擬機。
在 [建立虛擬機] 中,輸入或選取 [ 基本] 索引 卷標上的值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取資源群組。 [執行個體詳細資料] 虛擬機器名稱 輸入虛擬機的名稱。 區域 選取您用於虛擬網路的區域。 可用性選項 選取 [不需要基礎結構備援]。 映像 選取 [Windows Server 2019 Datacenter - Gen1] 或任何其他支援自我裝載 IR 的 Windows 映射。 Azure 現成實例 選取 否。 大小 選擇 VM 大小或使用預設設定。 系統管理員帳戶 使用者名稱 輸入使用者名稱。 密碼 輸入密碼。 確認密碼 重新輸入密碼。 選取 [網络] 索引標籤,或選取 [下一步:磁碟>下一步:網络]。
在 [ 網络] 索引 標籤上,選取或輸入:
設定 值 網路介面 虛擬網路 選取您建立的虛擬網路。 子網路 選取您建立的子網。 公用 IP 選取 [無]。 NIC 網路安全性群組 基本。 公用輸入連接埠 選取 [無]。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。
注意
無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 公用 IP 位址會指派給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網。
您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設輸出存取與針對輸出連線,使用來源網路位址轉譯 (SNAT)。
建立私人端點
最後,您必須在數據處理站中建立私人端點。
在數據處理站的 [Azure 入口網站] 頁面上,選取 [網络>私人端點連線],然後選取 [+ 私人端點]。
在 [建立私人端點] 的 [基本] 索引標籤上,輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取資源群組。 [執行個體詳細資料] 名稱 輸入端點的名稱。 區域 選取您所建立虛擬網路的區域。 選取畫面底部的 [ 資源] 索引標籤或 [下一步:資源 ] 按鈕。
在 [資源] 中,輸入或選取此資訊:
設定 值 連線方式 選取 [連線到我目錄中的 Azure 資源]。 訂用帳戶 選取您的訂用帳戶。 資源類型 選取 [Microsoft.Datafactory/factory]。 資源 選取您的數據處理站。 目標子資源 如果您想要使用私人端點進行自我裝載 IR 與 Data Factory 之間的命令通訊,請選取 datafactory 作為 目標子資源。 如果您想要使用私人端點來撰寫及監視虛擬網路中的數據處理站,請選取 入口網站 作為 [目標子資源]。 選取畫面底部的 [ 組態] 索引標籤或 [ 下一步:設定 ] 按鈕。
在 [組態] 中,輸入或選取此資訊:
設定 值 網路功能 虛擬網路 選取您建立的虛擬網路。 子網路 選取您建立的子網。 私人 DNS 整合 與私人 DNS 區域整合 保留預設值 [是]。 訂用帳戶 選取您的訂用帳戶。 私人 DNS 區域 保留兩個 目標子資源中的預設值:1。 datafactory: (新增) privatelink.datafactory.azure.net。 2. 入口網站: [新增] privatelink.adf.azure.com。 選取 [檢閱 + 建立]。
選取 建立。
使用 Private Link 限制 Data Factory 資源的存取
如果您想要依 Private Link 限制訂用帳戶中 Data Factory 資源的存取,請遵循使用入口網站建立管理 Azure 資源的私人連結中的步驟。
已知問題
當兩端公開至 Private Link 和私人端點時,您就無法存取每個 PaaS 資源。 此問題是 Private Link 和私人端點的已知限制。
例如,客戶 A 使用私人連結來存取虛擬網路 A 中數據處理站 A 的入口網站。當數據處理站 A 未封鎖公用存取時,客戶 B 可以透過公用在虛擬網路 B 中存取資料處理站 A 的入口網站。 但是,當客戶 B 針對虛擬網路 B 中的數據處理站 B 建立私人端點時,客戶 B 就無法再透過虛擬網路 B 中的公用來存取數據處理站 A。