事件
使用受控虛擬網路搭配您的 Microsoft Purview 帳戶
本文說明 Microsoft Purview 中的受控虛擬網路和受控私人端點。
注意
Microsoft Purview 資料目錄 會將其名稱變更為 Microsoft Purview Unified Catalog。 所有功能都會維持不變。 當新的 Microsoft Purview 數據控管體驗在您的區域中正式推出時,您會看到名稱變更。 檢查您區域中的名稱。
注意
Microsoft Purview 在 2023 年 11 月中新增了新版的 Managed 虛擬網路 支援。 新的受控私人端點不再支援舊的受控虛擬網路。 建立新的受控虛擬網路,所有新建立的資源都會使用最新版本。 在這裡了解差異。
Microsoft 2023 年 12 月 15 日之前部署的 Purview 帳戶包含受控記憶體帳戶。 Microsoft在 (之後部署或使用 API 2023-05-01-preview 版部署的 Purview 帳戶,) 沒有管理部署至 Azure 訂用帳戶的記憶體帳戶。 相反地,這些帳戶包含部署到Microsoft內部 Azure 訂用帳戶的擷取記憶體帳戶。
受控 虛擬網路 (虛擬網路) 是由 Microsoft Purview 部署和管理的虛擬網路,可讓您在專用網內掃描數據源,而不需要由 Azure 中的客戶部署和管理任何自我裝載整合運行時間虛擬機。
您可以將 Azure 受控 虛擬網路 整合運行時間部署 (IR) Microsoft Purview 受控虛擬網路內任何可用的 Microsoft Purview 區域中。 從該處,受控虛擬網路 IR 可以使用私人端點安全地連線並掃描支持的數據源。
在受控 虛擬網路 內建立受控虛擬網路 IR,可確保數據整合程式是隔離且安全的。
使用受控 虛擬網路 的優點:
- 透過 Managed 虛擬網路,您可以將管理 虛擬網路 的負擔卸除至 Microsoft Purview。 您不需要為 Azure Integration Runtime 建立和管理 VNet 或子網,即可用於掃描 Azure 數據源。
- 不需要具備深度的 Azure 網路知識,即可安全地進行數據整合。 對於數據工程師來說,使用受控 虛擬網路 已大幅簡化。
- 受控 虛擬網路和受控私人端點可防止數據外洩。
當您第一次在 Microsoft Purview 帳戶中建立受控 虛擬網路 Integration Runtime 時,系統會為您的 Microsoft Purview 帳戶建立受控虛擬網路。 您無法檢視或管理 Microsoft Purview 以外的虛擬網路。
受控私人端點是在 Microsoft Purview 受控 虛擬網路 建立私人連結以Microsoft Purview 和 Azure 資源中建立的私人端點。 Microsoft Purview 會代表您管理這些私人端點。
Microsoft Purview 支援私人連結。 私人連結可讓您存取 Azure 記憶體、Azure SQL 資料庫、Azure Cosmos DB、Azure Synapse Analytics 等 Azure 服務。
當您使用私人連結時,數據源與受控 虛擬網路 之間的流量會完全周遊Microsoft骨幹網路。 Private Link 可防範數據外泄風險。 您可以建立私人端點來建立資源的私人連結。
私人端點會使用受控 虛擬網路 中的私人IP位址,有效地將服務帶入其中。 私人端點會對應至 Azure 中的特定資源,而不是整個服務。 客戶可以限制其組織核准之特定資源的連線能力。 深入瞭解 私人連結和私人端點。
警告
如果 Azure PaaS 資料存放區 (Blob、Azure Data Lake Storage Gen2、Azure Synapse Analytics) 已針對它建立私人端點,即使允許來自所有網路的存取,Microsoft Purview 也只能使用受控私人端點來存取它。 如果私人端點不存在,您必須在這類情況下建立一個。
當您在 Microsoft Purview 中建立受控私人端點時,私人端點聯機會以「擱置中」狀態建立。 核准工作流程已起始。 私人鏈接資源擁有者負責核准或拒絕連線。
如果擁有者核准連線,則會建立私人連結。 否則,將不會建立私人連結。 不論是哪一種情況,受控私人端點都會以連線的狀態更新。
只有處於核准狀態的受控私人端點可以將流量傳送至指定的私人鏈接資源。
支援的區域:受控 虛擬網路 適用於所有Microsoft Purview 支援的區域。 在單一Microsoft Purview 實例中,最多可以跨不同區域部署五個受控虛擬網路。
支援的掃描數據源:您可以使用 Managed 虛擬網路 Integration Runtime 來掃描許多類型的數據來源。 請參閱 支持的數據源。
受控私人端點支持的系統: 下列服務具有原生私人端點支援。 您可以從 Purview 的受控 虛擬網路 Microsoft 透過私人連結來連線:
- Azure Blob 儲存體
- Azure Cosmos DB
- Azure Data Lake Storage 第 2 代
- 適用於 MySQL 的 Azure 資料庫
- 適用於 PostgreSQL 的 Azure 資料庫
- Azure Databricks
- Azure 專用 SQL 集區 (先前稱為 SQL DW)
- Azure 檔案
- Azure Key Vault
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure Synapse Analytics
- Snowflake
使用 Managed 虛擬網路 功能時,您需支付兩個部分的費用:
- 每個掃描執行的費用 (隨) 付費:根據掃描持續時間 * 已使用的虛擬核心時數 * 每個虛擬核心每小時的單價。 這是在任何整合運行時間類型上執行掃描的常見費用。
- 受控 VNet IR 運行時間 (一律在) 上收費:根據 受控 VNet IR 生命時間 * 1/8 虛擬核心小時 * 每個虛擬核心每小時的單價。 受控虛擬網路 IR 生命時間表示成功建立 IR 實例,直到其刪除為止。 無論您是否執行掃描,都會收取費用。
您可以從 Microsoft Purview 定價頁面找到「自動掃描、擷取 & 分類」定價的詳細數據。
例如,在指定的月份中,您會掃描各種數據源,而執行會耗用「掃描擷取和分類 - Standard 虛擬核心」的 X 個虛擬核心時數,並布建受控虛擬網路運行時間來執行整個月份。 費用為:X 虛擬核心時數 * 掃描執行的每一虛擬核心小時 $0.63 + 1/8 * 每個虛擬核心小時 $0.63 * 受控虛擬網络 IR 運行時間為 730 小時。
針對 Microsoft Purview 帳戶部署受控虛擬網路和受控 虛擬網路 Integration Runtime 之前,請確定您符合下列必要條件:
- 從 Microsoft Purview 角色中,您需要 Microsoft Purview 帳戶中任何集合的數據源管理員許可權。
- 從 Azure RBAC 角色,您必須是 Microsoft Purview 帳戶和數據源的參與者,才能核准私人連結。
開啟 Microsoft Purview 治理入口網站,方法如下:
- 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
- 開啟 Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站 ] 按鈕。
流覽至 [數據對應 -> 整合運行時間]。
從 [整合運行時間 ] 頁面,選取 [+ 新增 ] 圖示,以建立新的運行時間。 選 取 [Azure ],然後選取 [ 繼續]。
提供受控 虛擬網路 Integration Runtime 的名稱、選取區域,併為受控虛擬網路命名。
選取 [建立]。
部署受控 虛擬網路 Integration Runtime 會在 Microsoft Purview 治理入口網站中觸發多個工作流程,以便為 Microsoft Purview 及其受控記憶體帳戶建立受控私人端點。 選取每個工作流程,以核准對應 Azure 資源的私人端點。
在 Azure 入口網站 中,從Microsoft [Purview 帳戶資源] 視窗中,核准受控私人端點。 從受控記憶體帳戶頁面,核准 Blob 和佇列服務的受控私人端點:
從 [管理] 選取 [受控私人端點],以驗證是否已成功部署和核准所有受控私人端點。
移至 [整合運行時間] 頁面,您會在建立時看到顯示為「初始化」的 IR 狀態。 等候它變成「執行中」狀態,以用於掃描。 這通常需要幾分鐘的時間。
提示
您可以在 Microsoft Purview 帳戶的不同區域中建立多個受控虛擬網路,以安全地跨區域存取資源。
您可以使用受控私人端點來連線數據源,以確保傳輸期間的數據安全性。
提示
如果您的數據源允許公用存取,而且您想要透過公用網路連線,您可以略過此步驟。 只要整合運行時間可以連線到您的數據源,就可以執行掃描執行。
若要部署及核准數據源的受控私人端點,請遵循下列步驟,從清單中選取您選擇的數據源:
流覽至 [ 管理],然後選取 [ 受控私人端點]。
選 取 [+ 新增]。
從支持的數據源清單中,選取對應至您打算使用Managed 虛擬網路 Integration Runtime掃描之數據源的類型。
提供受控私人端點的名稱,從下拉式清單中選取 Azure 訂用帳戶、數據源和受控 虛擬網路。 選取 [建立]。
從受控私人端點清單中,為您的數據源選取新建立的受控私人端點,然後選取 [管理 Azure 入口網站 中的核准],以核准 Azure 入口網站 中的私人端點。
藉由選取連結,系統會將您重新導向至 Azure 入口網站。 在私人端點連線下,選取新建立的私人端點,然後選取 [ 核准]。
在 Microsoft Purview 治理入口網站中,受控私人端點也必須顯示為已核准。
移至 [數據對應 ->來源],如果尚未完成,請註冊您想要掃描的來源。
移至您的來源 ->+ 新增掃描。
在 [ 透過整合運行時間連線] 底下,選取您建立的受控虛擬網路 IR。 如往常一樣設定其他掃描設定,並觸發執行。
若要檢查您正在使用的受控虛擬網路 IR 版本,請移至 [數據對應 ->整合運行時間],並查看 [版本] 資料行。
Managed 虛擬網路 和受控私人端點的概念和架構適用於這兩個版本。 下表列出兩個版本某些層面的差異。 第 2 版也提供更好的掃描效能。
區域 | 第 1 版 | 版本 2 (目前) |
---|---|---|
支援的地區 | 僅適用於澳大利亞東部、加拿大中部、美國東部、美國東部 2、北歐和西歐。 | 適用於所有Microsoft Purview 支援的區域。 |
多重 vnet & 多重區域 | 一次只支援一個虛擬網路。 | 跨多個區域最多支援五個虛擬網路。 |
支援的掃描數據源類型 | 僅支持掃描下列 Azure 數據源。 - Azure Blob 儲存體 - Azure Cosmos DB - Azure Data Lake Storage Gen 2 - 適用於 MySQL 的 Azure 資料庫 - 適用於 PostgreSQL 的 Azure 資料庫 - Azure 專用 SQL 集區 (先前稱為 SQL DW) - Azure 檔案儲存體 - Azure SQL 資料庫 - Azure SQL 受控執行個體 - Azure Synapse Analytics |
擴充以支持掃描更多數據源。 請參閱 此處的完整清單。 |
從 Microsoft Purview 入口網站進行互動式撰寫 (測試連線,在掃描設定期間流覽來源) | 需要在受控虛擬網路 IR 設定開啟 。 | 永遠可用 |
受控虛擬網路的名稱 | 默認 (自動產生的) | 配置 |
定價 | 掃描和擷取作業的費用。 | 掃描和擷取作業的費用,以及受控虛擬網路 IR 的運行期間。 從 定價詳細數據深入瞭解。 |
Microsoft Purview 在 2023 年 11 月中新增了新版的 Managed 虛擬網路 支援。 所有新建立的資源都會使用新的供應專案。 如果您使用可 檢查) 的舊版 (,您可以更新為最新版的受控虛擬網路。
使用新版 Managed 虛擬網路 有幾個優點:
- 已在所有支援 Purview 的區域Microsoft正式推出。
- 擴充的數據源支援,包括 Databricks、Snowflake、Fabric,以及預設 Azure 整合運行時間所支援的所有來源。
- 更好的掃描效能。
- Purview 入口網站中的互動式作業一律可 (測試連線、掃描設定期間流覽來源等。)
若要升級,您可以遵循此頁面上的指示: 升級至新的受控虛擬網路整合運行時間。