適用於 Azure Data Factory 的 Azure Private Link
適用於:
Azure Data Factory 
Azure Synapse Analytics
提示
試用 Microsoft Fabric 中的 Data Factory,這是適用於企業的全方位分析解決方案。 Microsoft Fabric 涵蓋從資料移動到資料科學、即時分析、商業智慧和報告的所有項目。 了解如何免費開始新的試用 (部分機器翻譯)!
使用 Azure Private Link,您可以在 Azure 中透過私人端點連線至各種平台即服務 (PaaS) 部署。 私人端點為特定虛擬網路和子網路內的私人 IP 位址。 如需支援 Private Link 功能的 PaaS 部署清單,請參閱 Private Link 文件。
保護客戶網路與 Data Factory 之間的通訊
您可以設定 Azure 虛擬網路來作為您的網路在雲端的邏輯呈現方式。 這麼做可提供下列好處:
- 協助保護 Azure 資源免於在公用網路中遭受攻擊。
- 可讓網路與資料處理站安全地彼此通訊。
您也可以將內部部署網路連線到您的虛擬網路。 設定網際網路通訊協定安全性 VPN 連線,這是站對站連線。 或設定 Azure ExpressRoute 連線。 這是私人對等互連連線。
您也可以在內部部署機器或虛擬網路中的虛擬機器上,安裝自我裝載整合執行階段 (IR)。 這麼做可讓您:
- 在雲端資料存放區和私人網路中的資料存放區之間執行複製活動。
- 針對內部部署網路或 Azure 虛擬網路中的計算資源分派轉換活動。
Azure Data Factory 與客戶虛擬網路之間需要數個通訊通道,如下表所示:
| 網域 | Port | 描述 |
|---|---|---|
adf.azure.com |
443 | Data Factory 撰寫和監視所需的 Data Factory 入口網站。 |
*.{region}.datafactory.azure.net |
443 | 由自我裝載 IR 要求,用於連線到 Data Factory。 |
*.servicebus.windows.net |
443 | 由自我裝載 IR 要求,用於進行互動式撰寫。 |
download.microsoft.com |
443 | 由自我裝載 IR 要求,用於下載更新。 |
注意
停用公用網路存取僅適用於自我裝載 IR,不適用於 Azure IR 和 SQL Server Integration Services IR。
與 Data Factory 的通訊會經過 Private Link,並協助提供安全的私人連線能力。
啟用上述每個通訊通道的 Private Link 服務,可提供下列功能:
已支援:
- 即使您封鎖所有輸出通訊,還是可以透過虛擬網路在 Data Factory 入口網站中撰寫和監視。 如果您為入口網站建立私人端點,其他人仍然可以透過公用網路存取 Data Factory 入口網站。
- 您可以在私人網路環境中,安全地執行自我裝載 IR 與 Data Factory 之間的命令通訊。 自我裝載 IR 與 Data Factory 之間的流量會經過 Private Link。
目前不支援:
- 使用自我裝載 IR 的互動式製作 (例如,測試連線、瀏覽資料夾清單和表格清單、取得結構描述,以及預覽資料),都會通過 Private Link。 請注意,如果已啟用獨立式互動式製作,流量就會通過私人連結。 請參閱獨立式互動式製作。
注意
啟用獨立式互動式製作時,不支援 [取得 IP] 和 [傳送記錄]。
- 如果您啟用自動更新,則目前不支援可從 Microsoft 下載中心自動下載的新版自我裝載 IR。
對於目前不支援的功能,您仍然需要在虛擬網路或公司防火牆中設定先前提及的網域和連接埠。
透過私人端點連線至 Data Factory 僅適用於 Data Factory 中的自我裝載 IR。 Azure Synapse Analytics 不支援此功能。
警告
如果您啟用 Private Link 的 Data Factory,並且同時封鎖公用存取,則建議您將認證儲存至 Azure Key Vault,以確保其安全無虞。
設定私人端點,以進行自我裝載 IR 與 Data Factory 之間的通訊
本節說明如何設定私人端點,以用於自我裝載 IR 與 Data Factory 之間的通訊。
建立私人端點,並設定 Data Factory 的私人連結
在虛擬網路中建立的私人端點,會用於自我裝載 IR 與 Data Factory 之間的通訊。 請遵循設定 Data Factory 的私人端點連結的步驟。
確定 DNS 設定正確無誤
請遵循私人端點的 DNS 變更中的指示,來檢查或設定您的 DNS 設定。
將 Azure 轉送和下載中心的 FQDN 放入防火牆的允許清單
如果您的自我裝載 IR 安裝在虛擬網路的虛擬機器上,則請讓虛擬網路 NSG 中的輸出流量低於 FQDN。
如果您的自我裝載 IR 安裝在內部部署環境的機器上,則請針對內部部署環境的防火牆和虛擬網路的 NSG,允許其中的輸出流量低於 FQDN。
| 網域 | Port | 描述 |
|---|---|---|
*.servicebus.windows.net |
443 | 由自我裝載 IR 要求,用於進行互動式撰寫 |
download.microsoft.com |
443 | 由自我裝載 IR 要求,以用於下載更新 |
如果您不允許防火牆和 NSG 中的上述輸出流量,則會以限制狀態顯示自我裝載 IR。 但您仍然可以使用其來執行活動。 只有互動式撰寫和自動更新無法運作。
注意
如果一個資料處理站 (共用) 具有自我裝載 IR,且自我裝載 IR 與其他資料處理站共用 (連結),則您只須為共用資料處理站建立私人端點。 其他連結的資料處理站可以利用此私人連結,在自我裝載 IR 與 Data Factory 之間通訊。
注意
我們目前不支援在自我裝載整合運行時間和 Synapse Analytics 工作區之間建立私人連結。 而且,即使 Synapse 工作區上已啟用數據外洩保護,自我裝載整合運行時間仍可與 Synapse 通訊。
私人端點的 DNS 變更
當您建立私人端點時,在前置詞為 privatelink 的子網域中,資料處理站的 DNS CNAME 資源記錄會更新為別名。 根據預設,我們也會建立對應至 privatelink 子網域的私人 DNS 區域,並提供私人端點的 DNS A 資源記錄。
當您從具有私人端點的虛擬網路外部解析資料處理站端點 URL 時,會將其解析為 Data Factory 的公用端點。 從裝載私人端點的虛擬網路進行解析時,儲存體端點 URL 會解析為私人端點的 IP 位址。
在上述範例中,從裝載私人端點的虛擬網路外部進行解析時,稱為 DataFactoryA 之資料處理站的 DNS 資源記錄將會是:
| 名稱 | 類型 | 值 |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | <Data Factory 公用端點> |
| <Data Factory 公用端點> | A | <Data Factory 公用 IP 位址> |
在裝載私人端點的虛擬網路中進行解析時,DataFactoryA 的 DNS 資源記錄將會是:
| 名稱 | 類型 | 值 |
|---|---|---|
| DataFactoryA.{region}.datafactory.azure.net | CNAME | DataFactoryA.{region}.privatelink.datafactory.azure.net |
| DataFactoryA.{region}.privatelink.datafactory.azure.net | A | < 私人端點 IP 位址 > |
如果您在網路上使用自訂 DNS 伺服器,用戶端必須能夠將資料處理站端點的 FQDN 解析為私人端點 IP 位址。 設定您的 DNS 伺服器,以將 Private Link 子網域委派給虛擬網路的私人 DNS 區域。 或者,您可以使用私人端點 IP 位址設定 DataFactoryA.{region}.datafactory.azure.net。
注意
目前只有一個 Data Factory 入口網站端點,因此 DNS 區域中只有一個入口網站的私人端點。 嘗試建立第二個或後續入口網站私人端點時,將覆寫先前為入口網站所建立的私人 DNS 項目。
設定 Data Factory 的私人端點連結
在本節中,您將設定 Data Factory 的私人端點連結。
您可以選擇在 Data Factory 建立步驟期間,透過選取 [公用端點] 或是 [私人端點],將自我裝載 IR 連線至 Data Factory,如下所示:
從 [網路] 窗格上的 Data Factory 入口網站頁面建立之後,您就隨時可以變更選取項目。 在該處啟用私人端點之後,您也必須將私人端點新增至資料處理站。
私人端點需要連結的虛擬網路和子網路。 在此範例中,將使用子網路內的虛擬機器來執行自我裝載 IR,並透過私人端點連結進行連線。
建立虛擬網路
如果您沒有與私人端點連結搭配使用的現有虛擬網路,則必須建立虛擬網路,並指派子網路。
登入 Azure 入口網站。
在畫面的左上角,選取 [建立資源]>[網路]>[虛擬網路],或在搜尋方塊中搜尋 [虛擬網路]。
在 [建立虛擬網路] 中,於 [基本] 索引標籤中輸入或選取這項資訊:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取虛擬網路的資源群組。 [執行個體詳細資料] 名稱 輸入虛擬網路的名稱。 區域 重要事項:請選取私人端點使用的相同區域。 選取 [IP 位址] 索引標籤,或頁面底部的 [下一步:IP 位址] 按鈕。
在 [IP 位址] 索引標籤中,輸入這項資訊:
設定 值 IPv4 位址空間 輸入 10.1.0.0/16。 在 [子網路名稱] 下,選取 [預設] 一詞。
在 [編輯子網路] 中,輸入這項資訊:
設定 值 子網路名稱 輸入子網路的名稱。 子網路位址範圍 輸入 10.1.0.0/24。 選取 [儲存]。
選取 [檢閱 + 建立] 索引標籤,或選取 [檢閱 + 建立] 按鈕。
選取 建立。
建立自我裝載 IR 的虛擬機器
您也必須建立或指派現有虛擬機器,以在上述步驟中建立的新子網路內執行自我裝載 IR。
在入口網站的左上角,選取 [建立資源]>[計算]>[虛擬機器] 或在搜尋方塊中搜尋 [虛擬機器]。
在 [建立虛擬機器] 中,輸入或選取 [基本] 索引標籤中的值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取資源群組。 [執行個體詳細資料] 虛擬機器名稱 輸入虛擬機器的名稱。 區域 選取用於虛擬網路的區域。 可用性選項 選取 [不需要基礎結構備援]。 映像 選取 [Windows Server 2019 Datacenter - Gen1] (或任何其他支援自我裝載 IR 的 Windows 映像)。 Azure 現成執行個體 選取 否。 大小 選取 VM 大小或使用預設設定。 系統管理員帳戶 使用者名稱 輸入使用者名稱。 密碼 輸入密碼。 確認密碼 請重新輸入密碼。 選取 [網路] 索引標籤,或選取 [下一步:磁碟]>[下一步:網路]。
在 [網路] 索引標籤中,選取或輸入:
設定 值 網路介面 虛擬網路 選取您建立的虛擬網路。 子網路 選取您建立的子網路。 公用 IP 選取 [無]。 NIC 網路安全性群組 基本。 公用輸入連接埠 選取 [無]。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。
注意
無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 公用 IP 位址會指派給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網。
您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取 (部分機器翻譯) 與針對輸出連線,使用來源網路位址轉譯 (SNAT) (部分機器翻譯)。
建立私人端點
最後,您必須在資料處理站中建立私人端點。
在資料處理站的 Azure 入口網站頁面上,選取 [網路]>[私人端點連線],然後選取 [+ 私人端點]。
在 [建立私人端點] 的 [基本] 索引標籤中,輸入或選取這項資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取資源群組。 [執行個體詳細資料] 名稱 輸入您端點的名稱。 區域 選取您建立虛擬網路的區域。 選取 [資源] 索引標籤或 [下一步:資源] 按鈕 (位於頁面底部)。
在 [資源] 中,輸入或選取這項資訊:
設定 值 連線方式 選取 [連線至我目錄中的 Azure 資源] 訂用帳戶 選取您的訂用帳戶。 資源類型 選取 [Microsoft.Datafactory/factories]。 資源 選取您的資料處理站。 目標子資源 如果您想要使用私人端點以進行自我裝載 IR 與 Data Factory 之間的命令通訊,請選取 [datafactory] 作為 [目標子資源]。 如果您想要使用私人端點來撰寫和監視虛擬網路中的資料處理站,則請選取 [入口網站] 作為 [目標子資源]。 選取 [設定] 索引標籤,或選取畫面底部的 [下一步:設定]。
在 [設定] 中,輸入或選取這項資訊:
設定 值 網路功能 虛擬網路 選取您建立的虛擬網路。 子網路 選取您建立的子網路。 私人 DNS 整合 與私人 DNS 區域整合 保留預設值 [是]。 訂用帳戶 選取您的訂用帳戶。 私人 DNS 區域 在這兩個目標子資源中保留預設值:1。 datafactory:(新增) privatelink.datafactory.azure.net。 2. portal:(新增) privatelink.adf.azure.com。 選取 [檢閱 + 建立]。
選取 建立。
使用 Private Link 限制 Data Factory 資源的存取權
如果您想要透過 Private Link 來限制訂閱中 Data Factory 資源的存取,則請遵循使用入口網站建立管理 Azure 資源的私人連結。
已知問題
向 Private Link 和私人端點公開兩端時,您就無法存取每個 PaaS 資源。 這是 Private Link 和私人端點的已知限制。
例如:客戶 A 使用私人連結,存取虛擬網路 A 中的資料處理站 A 的入口網站。若資料處理站 A 未封鎖公用存取,客戶 B 可以透過公用來存取虛擬網路 B 中資料處理站 A 的入口網站。 但是,客戶 B 針對虛擬網路 B 中的資料處理站 B 建立私人端點時,客戶 B 就無法再透過公用來存取虛擬網路 B 中的資料處理站 A。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應