快速虚拟网络注入方法
适用于:Azure 数据工厂 Azure Synapse Analytics
注意
以下区域中的 SSIS 集成运行时尚不支持快速虚拟网络注入功能:
- 中国北部 2 或中国东部 2
使用 Azure 数据工厂 (ADF) 或 Synapse Pipelines 中的 SQL Server Integration Services (SSIS) 时,可通过两种方法将 Azure-SSIS 集成运行时 (IR) 加入到虚拟网络:标准和快速。 如果使用快速方法,则需要配置虚拟网络以满足以下要求:
请确保 Microsoft.Batch 是 Azure 订阅中已注册的资源提供程序,该提供程序具有可供 Azure-SSIS IR 加入的虚拟网络。 有关详细说明,请参阅将 Azure Batch 注册为资源提供程序部分。
请确保虚拟网络中没有资源锁定。
在虚拟网络中选择适当的子网,供 Azure-SSIS IR 加入。 有关详细信息,请参阅下面的选择子网部分。
确保为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的基于角色的访问控制 (RBAC) 权限。 有关详细信息,请参阅下面的选择虚拟网络权限部分。
根据具体的方案,可以选择配置以下各项:
如果要对 Azure-SSIS IR 的出站流量使用静态公共 IP 地址,请参阅下面的配置静态公共 IP 地址部分。
如果要在虚拟网络中使用自己的域名系统 (DNS) 服务器,请参阅下面的配置自定义 DNS 服务器部分。
如果要使用网络安全组 (NSG) 来限制子网上的出站流量,请参阅下面的配置 NSG 部分。
如果要使用用户定义的路由 (UDR) 来审核/检查出站流量,请参阅下面的配置 UDR 部分。
下图显示了 Azure-SSIS IR 所需的连接:
选择子网
若要启用快速虚拟网络注入,必须选择合适的子网供 Azure-SSIS IR 加入:
请勿选择 GatewaySubnet,因为它专用于虚拟网络网关。
请确保所选子网的可用 IP 地址至少是 Azure-SSIS IR 节点数的两倍。 这些是在为 Azure-SSIS IR 推出补丁/升级时避免中断所必需的。 Azure 还会保留每个子网中无法使用的一些 IP 地址。 第一个和最后一个 IP 地址为协议合规性而保留,而其他三个地址保留用于 Azure 服务。 有关详细信息,请参阅子网 IP 地址限制部分。
请勿使用其他 Azure 服务(例如,Azure SQL 托管实例、应用服务等)以独占方式占用的子网。
所选子网必须委托给 Microsoft.Batch/batchAccounts 服务。 有关详细信息,请参阅子网委托概述一文。 有关详细说明,请参阅将子网委派给 Azure Batch 部分。
选择虚拟网络权限
若要启用快速虚拟网络注入,必须为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的 RBAC 权限。 可以使用两个选项:
使用内置的“网络参与者”角色。 此角色具有 Microsoft.Network/* 权限,具有比所需作用域更大的作用域。
创建仅包括必需的 Microsoft.Network/virtualNetworks/subnets/join/action 权限的一个自定义角色。
有关详细说明,请参阅授予虚拟网络权限部分。
配置静态公共 IP 地址
如果要对 Azure-SSIS IR 的出站流量使用静态公共 IP 地址,以便在防火墙上允许它,则必须配置虚拟网络地址转换 (NAT) 以对其进行设置。
配置自定义 DNS 服务器
如果要在虚拟网络中使用自己的 DNS 服务器来解析专用主机名,请确保它还可以解析全局 Azure 主机名(例如,名为 <your storage account>.blob.core.chinacloudapi.cn
的 Azure Blob 存储。)。
建议将自己的 DNS 服务器配置为将未解析的 DNS 请求转发到 Azure 递归解析程序 (168.63.129.16) 的 IP 地址。
有关详细信息,请参阅 DNS 服务器名称解析部分。
目前,要使 Azure-SSIS IR 使用你自己的 DNS 服务器,你需要按照以下步骤使用标准的自定义安装对其进行配置:
下载自定义安装脚本 (main.cmd) 及其关联文件 (setupdnsserver.ps1)。
将 main.cmd 中的“your-dns-server-ip”替换为你自己的 DNS 服务器的 IP 地址。
将 main.cmd + setupdnsserver.ps1 上传到你自己的 Azure 存储 blob 容器以进行标准自定义安装,并在预配 Azure-SSIS IR 时输入其 SAS URI,请参阅自定义 Azure-SSIS IR 一文。
注意
请为专用主机名使用完全限定的域名 (FQDN)(例如,使用 <your_private_server>.contoso.com
而不是 <your_private_server>
)。 或者,可以在 Azure-SSIS IR 上使用标准自定义设置自动将自己的 DNS 后缀(例如 contoso.com
)追加到任何非限定的单标签域名,并将其转换为 FQDN,然后再在 DNS 查询中使用它,请参阅标准自定义设置示例部分。
配置 NSG
如果要在 Azure-SSIS IR 加入的子网上使用 NSG,请允许以下出站流量:
传输协议 | 源 | 源端口 | 目标 | 目标端口 | 注释 |
---|---|---|---|---|---|
TCP | VirtualNetwork | * | DataFactoryManagement | 443 | Azure-SSIS IR 需要访问 ADF 服务。 其出站流量目前仅使用 ADF 公共终结点。 |
TCP | VirtualNetwork | * | Sql/VirtualNetwork | 1433、11000-11999 | (可选)仅在使用 Azure SQL Database 服务器/托管实例托管 SSIS 目录 (SSISDB) 时需要。 如果 Azure SQL Database 服务器/托管实例配置了公共终结点/虚拟网络服务终结点,请使用 Sql 服务标记作为目标。 如果 Azure SQL Database 服务器/托管实例配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。 如果服务器连接策略设置为“代理”(而不是“重定向”),那么只需要端口 1433 。 |
TCP | VirtualNetwork | * | Storage/VirtualNetwork | 443 | (可选)仅在使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件时才需要。 如果 Azure 存储配置了公共终结点/虚拟网络服务终结点,请使用 Storage 服务标记作为目标。 如果 Azure 存储配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。 |
TCP | VirtualNetwork | * | Storage/VirtualNetwork | 445 | (可选)仅在需要访问 Azure 文件时需要。 如果 Azure 存储配置了公共终结点/虚拟网络服务终结点,请使用 Storage 服务标记作为目标。 如果 Azure 存储配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。 |
配置 UDR
如果要审核/检查来自 Azure-SSIS IR 的出站流量,可以使用用户定义的路由 (UDR) 通过 Azure ExpressRoute 强制隧道将其重定向到本地防火墙设备,该隧道将边界网关协议 (BGP) 路由 0.0.0.0/0 播发到虚拟网络,并路由到配置为防火墙的网络虚拟设备 (NVA),或 Azure 防火墙服务。
按照上面的配置 NSG 部分中的指导,必须在防火墙设备/服务上实现类似的规则,以允许来自 Azure-SSIS IR 的出站流量:
如果使用 Azure 防火墙:
必须为将 DataFactoryManagement 服务标记作为目标的出站 TCP 流量打开端口 443 。
如果使用 Azure SQL Database 服务器/托管实例来托管 SSISDB,则必须为将 Sql/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 1433、11000-11999 。
如果使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件,则必须为将 Storage/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 443。
如果需要访问 Azure 文件存储,则必须为将 Storage/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 445。
如果使用其他防火墙设备/服务:
必须为将 0.0.0.0/0 或以下 Azure 环境特定 FQDN 作为目标的出站 TCP 流量打开端口 443 :
Azure 环境 FQDN 由世纪互联运营的 Microsoft Azure *.frontend.datamovement.azure.cn 如果使用 Azure SQL Database 服务器/托管实例来托管 SSISDB,则必须为将 0.0.0.0/0 或 Azure SQL Database 服务器/托管实例 FQDN 作为目标的出站 TCP 流量打开端口 1433、11000-11999。
如果使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件,则必须为将 0.0.0.0/0 或 Azure Blob 存储 FQDN 作为目标的出站 TCP 流量打开端口 443。
如果需要访问 Azure 文件存储,则必须为将 0.0.0.0/0 或 Azure 文件存储 FQDN 作为目标的出站 TCP 流量打开端口 445。
相关内容
有关 Azure-SSIS IR 的详细信息,请参阅以下文章:
- Azure-SSIS IR。 此文提供有关 IR(包括 Azure-SSIS IR)的一般概念性信息。
- 教程:将 SSIS 包部署到 Azure 中的分步说明创建一个。 此教程提供有关创建 Azure-SSIS IR 的分步说明。 它使用 Azure SQL 数据库服务器来托管 SSISDB。
- 创建 Azure-SSIS IR。 此文对本教程的内容做了扩充。 它提供了一些说明,介绍如何使用配置了虚拟网络服务终结点/IP 防火墙规则/专用终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSISDB。 它介绍了如何将 Azure-SSIS IR 加入虚拟网络。
- 监视 Azure-SSIS IR。 此文介绍如何检索并了解有关 Azure-SSIS IR 的信息。
- 管理 Azure-SSIS IR。 此文介绍如何停止、启动或删除 Azure-SSIS IR。 此外,介绍如何通过添加更多节点来横向扩展 Azure-SSIS IR。