Compartir a través de

快速虚拟网络注入方法

适用于:Azure 数据工厂 Azure Synapse Analytics

注意

以下区域中的 SSIS 集成运行时尚不支持快速虚拟网络注入功能:

  • 中国北部 2 或中国东部 2

使用 Azure 数据工厂 (ADF) 或 Synapse Pipelines 中的 SQL Server Integration Services (SSIS) 时,可通过两种方法将 Azure-SSIS 集成运行时 (IR) 加入到虚拟网络:标准和快速。 如果使用快速方法,则需要配置虚拟网络以满足以下要求:

  • 请确保 Microsoft.Batch 是 Azure 订阅中已注册的资源提供程序,该提供程序具有可供 Azure-SSIS IR 加入的虚拟网络。 有关详细说明,请参阅将 Azure Batch 注册为资源提供程序部分。

  • 请确保虚拟网络中没有资源锁定。

  • 在虚拟网络中选择适当的子网,供 Azure-SSIS IR 加入。 有关详细信息,请参阅下面的选择子网部分。

  • 确保为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的基于角色的访问控制 (RBAC) 权限。 有关详细信息,请参阅下面的选择虚拟网络权限部分。

根据具体的方案,可以选择配置以下各项:

  • 如果要对 Azure-SSIS IR 的出站流量使用静态公共 IP 地址,请参阅下面的配置静态公共 IP 地址部分。

  • 如果要在虚拟网络中使用自己的域名系统 (DNS) 服务器,请参阅下面的配置自定义 DNS 服务器部分。

  • 如果要使用网络安全组 (NSG) 来限制子网上的出站流量,请参阅下面的配置 NSG 部分。

  • 如果要使用用户定义的路由 (UDR) 来审核/检查出站流量,请参阅下面的配置 UDR 部分。

下图显示了 Azure-SSIS IR 所需的连接:

显示快速虚拟网络注入中 Azure-SSIS IR 所需连接的示意图。

选择子网

若要启用快速虚拟网络注入,必须选择合适的子网供 Azure-SSIS IR 加入:

  • 请勿选择 GatewaySubnet,因为它专用于虚拟网络网关。

  • 请确保所选子网的可用 IP 地址至少是 Azure-SSIS IR 节点数的两倍。 这些是在为 Azure-SSIS IR 推出补丁/升级时避免中断所必需的。 Azure 还会保留每个子网中无法使用的一些 IP 地址。 第一个和最后一个 IP 地址为协议合规性而保留,而其他三个地址保留用于 Azure 服务。 有关详细信息,请参阅子网 IP 地址限制部分。

  • 请勿使用其他 Azure 服务(例如,Azure SQL 托管实例、应用服务等)以独占方式占用的子网。

  • 所选子网必须委托给 Microsoft.Batch/batchAccounts 服务。 有关详细信息,请参阅子网委托概述一文。 有关详细说明,请参阅将子网委派给 Azure Batch 部分。

选择虚拟网络权限

若要启用快速虚拟网络注入,必须为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的 RBAC 权限。 可以使用两个选项:

  • 使用内置的“网络参与者”角色。 此角色具有 Microsoft.Network/* 权限,具有比所需作用域更大的作用域。

  • 创建仅包括必需的 Microsoft.Network/virtualNetworks/subnets/join/action 权限的一个自定义角色。

有关详细说明,请参阅授予虚拟网络权限部分。

配置静态公共 IP 地址

如果要对 Azure-SSIS IR 的出站流量使用静态公共 IP 地址,以便在防火墙上允许它,则必须配置虚拟网络地址转换 (NAT) 以对其进行设置。

配置自定义 DNS 服务器

如果要在虚拟网络中使用自己的 DNS 服务器来解析专用主机名,请确保它还可以解析全局 Azure 主机名(例如,名为 <your storage account>.blob.core.chinacloudapi.cn 的 Azure Blob 存储。)。

建议将自己的 DNS 服务器配置为将未解析的 DNS 请求转发到 Azure 递归解析程序 (168.63.129.16) 的 IP 地址。

有关详细信息,请参阅 DNS 服务器名称解析部分。

目前,要使 Azure-SSIS IR 使用你自己的 DNS 服务器,你需要按照以下步骤使用标准的自定义安装对其进行配置:

  1. 下载自定义安装脚本 (main.cmd) 及其关联文件 (setupdnsserver.ps1)。

  2. 将 main.cmd 中的“your-dns-server-ip”替换为你自己的 DNS 服务器的 IP 地址。

  3. 将 main.cmd + setupdnsserver.ps1 上传到你自己的 Azure 存储 blob 容器以进行标准自定义安装,并在预配 Azure-SSIS IR 时输入其 SAS URI,请参阅自定义 Azure-SSIS IR 一文。

注意

请为专用主机名使用完全限定的域名 (FQDN)(例如,使用 <your_private_server>.contoso.com 而不是 <your_private_server>)。 或者,可以在 Azure-SSIS IR 上使用标准自定义设置自动将自己的 DNS 后缀(例如 contoso.com)追加到任何非限定的单标签域名,并将其转换为 FQDN,然后再在 DNS 查询中使用它,请参阅标准自定义设置示例部分。

配置 NSG

如果要在 Azure-SSIS IR 加入的子网上使用 NSG,请允许以下出站流量:

传输协议 源端口 目标 目标端口 注释
TCP VirtualNetwork * DataFactoryManagement 443 Azure-SSIS IR 需要访问 ADF 服务。

其出站流量目前仅使用 ADF 公共终结点。
TCP VirtualNetwork * Sql/VirtualNetwork 1433、11000-11999 (可选)仅在使用 Azure SQL Database 服务器/托管实例托管 SSIS 目录 (SSISDB) 时需要。

如果 Azure SQL Database 服务器/托管实例配置了公共终结点/虚拟网络服务终结点,请使用 Sql 服务标记作为目标。

如果 Azure SQL Database 服务器/托管实例配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。

如果服务器连接策略设置为“代理”(而不是“重定向”),那么只需要端口 1433 。
TCP VirtualNetwork * Storage/VirtualNetwork 443 (可选)仅在使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件时才需要。

如果 Azure 存储配置了公共终结点/虚拟网络服务终结点,请使用 Storage 服务标记作为目标。

如果 Azure 存储配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。
TCP VirtualNetwork * Storage/VirtualNetwork 445 (可选)仅在需要访问 Azure 文件时需要。

如果 Azure 存储配置了公共终结点/虚拟网络服务终结点,请使用 Storage 服务标记作为目标。

如果 Azure 存储配置了专用终结点,请使用 VirtualNetwork 服务标记作为目标。

配置 UDR

如果要审核/检查来自 Azure-SSIS IR 的出站流量,可以使用用户定义的路由 (UDR) 通过 Azure ExpressRoute 强制隧道将其重定向到本地防火墙设备,该隧道将边界网关协议 (BGP) 路由 0.0.0.0/0 播发到虚拟网络,并路由到配置为防火墙的网络虚拟设备 (NVA),或 Azure 防火墙服务。

按照上面的配置 NSG 部分中的指导,必须在防火墙设备/服务上实现类似的规则,以允许来自 Azure-SSIS IR 的出站流量:

  • 如果使用 Azure 防火墙:

    • 必须为将 DataFactoryManagement 服务标记作为目标的出站 TCP 流量打开端口 443 。

    • 如果使用 Azure SQL Database 服务器/托管实例来托管 SSISDB,则必须为将 Sql/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 1433、11000-11999 。

    • 如果使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件,则必须为将 Storage/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 443。

    • 如果需要访问 Azure 文件存储,则必须为将 Storage/VirtualNetwork 服务标记作为目标的出站 TCP 流量打开端口 445。

  • 如果使用其他防火墙设备/服务:

    • 必须为将 0.0.0.0/0 或以下 Azure 环境特定 FQDN 作为目标的出站 TCP 流量打开端口 443 :

      Azure 环境 FQDN
      由世纪互联运营的 Microsoft Azure *.frontend.datamovement.azure.cn
    • 如果使用 Azure SQL Database 服务器/托管实例来托管 SSISDB,则必须为将 0.0.0.0/0 或 Azure SQL Database 服务器/托管实例 FQDN 作为目标的出站 TCP 流量打开端口 1433、11000-11999。

    • 如果使用 Azure 存储 blob 容器来存储标准自定义安装脚本/文件,则必须为将 0.0.0.0/0 或 Azure Blob 存储 FQDN 作为目标的出站 TCP 流量打开端口 443。

    • 如果需要访问 Azure 文件存储,则必须为将 0.0.0.0/0 或 Azure 文件存储 FQDN 作为目标的出站 TCP 流量打开端口 445。

有关 Azure-SSIS IR 的详细信息,请参阅以下文章:

  • Azure-SSIS IR。 此文提供有关 IR(包括 Azure-SSIS IR)的一般概念性信息。
  • 教程:将 SSIS 包部署到 Azure 中的分步说明创建一个。 此教程提供有关创建 Azure-SSIS IR 的分步说明。 它使用 Azure SQL 数据库服务器来托管 SSISDB。
  • 创建 Azure-SSIS IR。 此文对本教程的内容做了扩充。 它提供了一些说明,介绍如何使用配置了虚拟网络服务终结点/IP 防火墙规则/专用终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSISDB。 它介绍了如何将 Azure-SSIS IR 加入虚拟网络。
  • 监视 Azure-SSIS IR。 此文介绍如何检索并了解有关 Azure-SSIS IR 的信息。
  • 管理 Azure-SSIS IR。 此文介绍如何停止、启动或删除 Azure-SSIS IR。 此外,介绍如何通过添加更多节点来横向扩展 Azure-SSIS IR。