Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
适用于:
Azure 数据工厂 
Azure Synapse Analytics
通过使用 Azure 专用链接,可以通过专用终结点连接到Azure中的各种平台即服务(PaaS)部署。 专用终结点是特定虚拟网络和子网中的专用 IP 地址。 有关支持专用链接功能的 PaaS 部署列表,请参阅 专用链接 文档。
保护客户网络与数据工厂之间的通信
可以将Azure虚拟网络设置为云中网络的逻辑表示形式。 这样做可以有以下好处:
- 有助于保护Azure资源免受公共网络中的攻击。
- 允许网络和数据工厂安全地相互通信。
也可将本地网络连接到虚拟网络。 设置 Internet 协议安全性 VPN 连接,这是站点到站点连接。 或设置Azure ExpressRoute连接。 这是一个专用对等连接。
你还可以在本地计算机上或虚拟网络中的虚拟机上安装自承载集成运行时 (IR)。 这可以让你:
- 在云数据存储与专用网络中的数据存储之间运行复制活动。
- 针对本地网络或Azure虚拟网络中的计算资源调度转换活动。
Azure 数据工厂和客户虚拟网络之间需要多个信道,如下表所示:
| 域 | 端口 | 说明 |
|---|---|---|
adf.azure.cn |
443 | 数据工厂的创建和监视需要使用数据工厂门户。 |
*.{region}.datafactory.azure.cn |
443 | 要求由自承载 IR 用于连接数据工厂。 |
*.servicebus.chinacloudapi.cn |
443 | 自托管 IR 进行交互式创作时所需。 |
download.microsoft.com |
443 | 自托管 IR 下载更新所需。 |
注意
禁用公用网络访问仅适用于自承载 IR,不适用于 Azure IR 和 SQL Server Integration Services IR。
与数据工厂的通信经过“专用链接”,并帮助提供安全的私有连接。
为上述每个信道启用专用链接可提供以下功能:
支持:
- 即使阻止了所有出站通信,您也可以通过您的虚拟网络在数据工厂门户中进行管理和监控。 如果为门户创建了专用终结点,其他用户也仍可通过公用网络访问数据工厂门户。
- 可以在专用网络环境中安全地执行自承载 IR 与数据工厂之间的命令通信。 数据工厂和自承载 IR 之间的流量将通过专用链接进行传输。
当前不支持:
- 使用自承载 IR(例如测试连接、浏览文件夹列表和表列表、获取架构和预览数据)的交互式创作将通过专用链接。 请注意,如果启用了自主交互式创作,流量将通过私有链接。 请参阅 独立交互式创作。
注意
启用独立交互式创作后,不支持“获取 IP”和“发送日志”。
- 当前不支持自动更新的情况下,无论是否允许自动更新,自承载 IR 的新版本无法从 Microsoft 下载中心 自动下载。
对于当前不支持的功能,仍需要在虚拟网络或企业防火墙中配置前面提到的域和端口。
通过专用终结点连接到数据工厂仅适用于数据工厂中的自承载 IR。 Azure Synapse Analytics不支持它。
警告
如果启用专用链接数据工厂并同时阻止公共访问,请将凭据存储在Azure 密钥保管库中,以确保其安全。
为自承载 IR 与数据工厂之间的通信配置专用终结点
本部分介绍如何为自承载 IR 与数据工厂之间的通信配置专用终结点。
为数据工厂创建专用终结点并设置专用链接
专用终结点是在虚拟网络中创建的,用于自承载 IR 与数据工厂之间的通信。 请遵循为数据工厂设置专用终结点链接中的步骤。
确保 DNS 配置正确
请按照专用终结点的 DNS 更改中的说明检查或配置 DNS 设置。
将 Azure 中继 和下载中心的 FQDN 放入防火墙的允许列表中
如果自承载 IR 安装在虚拟网络中的虚拟机上,请在虚拟网络的 NSG 中允许将出站流量发送到以下 FQDN。
如果自托管 IR 安装在您的本地环境的计算机上,请确保在本地环境的防火墙和虚拟网络的网络安全组(NSG)中允许出站流量访问以下 FQDN。
| 域 | 端口 | 说明 |
|---|---|---|
*.servicebus.chinacloudapi.cn |
443 | 用于交互式创作的自托管集成运行时所需。 |
download.microsoft.com |
443 | 自托管集成运行时下载更新所需 |
如果未在防火墙和 NSG 中允许上述出站流量,则自承载 IR 将显示为 受限 状态。 但仍然可以使用它来执行活动。 只有交互式创作功能和自动更新功能不起作用。
注意
如果一个共享的数据工厂具有自托管 IR,并且该自托管 IR 与其他链接的数据工厂共享,你只需为共享的数据工厂创建一个专用终结点。 其他链接的数据工厂就可以利用此专用链接实现自承载 IR 与数据工厂之间的通信。
注意
我们目前不支持在自承载集成运行时和 Synapse Analytics 工作区之间建立专用链接。 即使 Synapse 工作区上启用了数据外泄保护,自承载集成运行时仍可与 Synapse 通信。
专用终结点的 DNS 更改
创建专用终结点时,数据工厂的 DNS CNAME 资源记录将更新为子域中前缀为 privatelink 的别名。 默认情况下,还会创建一个与 privatelink 子域对应的专用 DNS 区域,其中包含专用终结点的 DNS A 资源记录。
在使用专用终结点从虚拟网络之外解析数据工厂终结点 URL 时,它会被解析为数据工厂的公共终结点。 从托管专用终结点的虚拟网络进行解析时,存储终结点 URL 解析为专用终结点的 IP 地址。
对于上面所示的示例,当从托管私有终结点的虚拟网络外部进行解析时,名为 DataFactoryA 的数据工厂的 DNS 资源记录将为:
| 名称 | 类型 | 值 |
|---|---|---|
| DataFactoryA。{region}.datafactory.azure.cn | CNAME | < 数据工厂公共终结点 > |
| < 数据工厂公共终结点 > | 一个 | < 数据工厂公共 IP 地址 > |
当 DataFactoryA 的 DNS 资源记录由托管专用终结点的虚拟网络解析时,将为:
| 名称 | 类型 | 值 |
|---|---|---|
| DataFactoryA。{region}.datafactory.azure.cn | CNAME | DataFactoryA。{region}.privatelink.datafactory.azure.cn |
| DataFactoryA。{region}.privatelink.datafactory.azure.cn | 一个 | < 专用终结点 IP 地址 > |
如果在网络上使用自定义 DNS 服务器,则客户端必须能够将数据工厂终结点的 FQDN 解析为专用终结点 IP 地址。 应将 DNS 服务器配置为将专用链接子域委托给虚拟网络的专用 DNS 区域。 或者使用专用终结点 IP 地址为“DataFactoryA.{region}.datafactory.azure.cn”配置 A 记录。
注意
目前只有一个数据工厂门户终结点,因此,在某个 DNS 区域中只有一个用于门户的专用终结点。 尝试创建第二个或后续门户专用终结点会覆盖以前为门户创建的专用 DNS 条目。
为数据工厂设置专用终结点链接
在本部分,你将为数据工厂设置一个专用终结点链接。
在执行数据工厂创建步骤的过程中,可选择是通过公共终结点还是专用终结点将自承载 IR 连接到数据工厂,如下所示:
在数据工厂门户页的“网络”窗格中创建之后,你可以随时更改选择。 在启用<专用终结点>后,您还必须将专用终结点添加到数据工厂中。
专用终结点需要用于链接的虚拟网络和子网。 在此示例中,子网中的虚拟机将用于运行自承载 IR,通过专用终结点链接进行连接。
创建虚拟网络
如果当前没有可用于专用终结点链接的虚拟网络,必须创建一个虚拟网络并分配子网。
登录到 Azure 门户。
在屏幕的左上角选择“创建资源”“网络”>“虚拟网络”,或者在搜索框中搜索“虚拟网络”。
在“创建虚拟网络”的“基本信息”选项卡中输入或选择以下信息:
设置 值 项目详细信息 订阅 选择Azure订阅。 资源组 为虚拟网络选择资源组。 实例详细信息 名称 输入虚拟网络的名称。 区域 重要提示:选择的区域要与专用终结点使用的区域保持一致。 选择“IP 地址”选项卡,或选择页面底部的“下一步:IP 地址”。
在“IP 地址”选项卡上,输入以下信息:
设置 值 IPv4 地址空间 输入 10.1.0.0/16。 在子网名称下,选择词语默认。
在编辑子网中输入以下信息:
设置 值 子网名称 输入子网的名称。 子网地址范围 输入 10.1.0.0/24。 选择“保存” 。
选择“查看 + 创建” 选项卡,或选择“查看 + 创建” 按钮。
选择“创建”。
为自托管 IR 创建虚拟机
还必须创建或分配现有虚拟机,以在前面步骤创建的新子网中运行自承载 IR。
在门户的左上角,选择“创建资源”“计算”>“虚拟机”,或者在搜索框中搜索“虚拟机”。
在“创建虚拟机”的“基本信息”选项卡中输入或选择值:
设置 值 项目详细信息 订阅 选择Azure订阅。 资源组 选择一个资源组。 实例详细信息 虚拟机名称 输入虚拟机的名称。 区域 选择用于虚拟网络的区域。 可用性选项 选择“无需基础结构冗余”。 图像 选择 Windows Server 2019 Datacenter - Gen1,或兼容自托管 IR 的任何其他 Windows 映像。 Azure Spot 实例 请选择“否”。 大小 选择 VM 大小或使用默认设置。 管理员帐户 用户名 输入用户名。 密码 输入密码。 确认密码 重新输入密码。 选择“网络”选项卡,或者选择“下一步: 磁盘”“下一步: 网络”。
在“网络”选项卡中,选择或输入:
设置 值 网络接口 虚拟网络 选择你创建的虚拟网络。 子网 选择你创建的子网。 公共 IP 选择无。 NIC 网络安全组 基本。 公共入站端口 选择无。 选择“查看 + 创建”。
检查设置,然后选择“创建”。
注意
Azure为未分配公共 IP 地址的 VM 或处于内部基础版 Azure 负载均衡器后端池中的 VM 提供默认的出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机部署在标准负载均衡器的后端池中,无论是否配置出站规则。
- Azure 虚拟网络 NAT 网关资源被分配到 VM 的子网。
在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问 和 使用源网络地址转换 (SNAT) 进行出站连接。
创建专用终结点
最后,必须在数据工厂中创建专用终结点。
在数据工厂的Azure门户页上,选择Networking>专用终结点连接,然后选择+ 专用终结点。
在“创建专用终结点”的“基本信息”选项卡中,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择一个资源组。 实例详细信息 名称 输入终结点的名称。 区域 选择创建的虚拟网络的区域。 选择“资源”选项卡或屏幕底部的“下一步: 资源”按钮。
在“资源”中,输入或选择以下信息:
设置 值 连接方法 选择连接到我的目录中的 Azure 资源。 订阅 选择订阅。 资源类型 选择 Microsoft.Datafactory/factories。 资源 选择数据工厂。 目标子资源 如果要在自承载 IR 与数据工厂之间使用专用终结点进行命令通信,请选择“datafactory”作为“目标子资源”。 如果要使用专用终结点来设计和监控数据工厂,请选择“门户”作为目标子资源在虚拟网络中。 选择“配置”选项卡或屏幕底部的“下一步: 配置”按钮。
在“配置”中,输入或选择以下信息:
设置 值 联网 虚拟网络 选择你创建的虚拟网络。 子网 选择你创建的子网。 专用 DNS集成 与专用 DNS 区域集成 保留默认值“是”。 订阅 选择订阅。 专用 DNS 区域 在两个目标子资源中保留默认值:1. datafactory:(新)privatelink.datafactory.azure.cn. 2. 门户:(新)privatelink.adf.azure.cn。 选择“查看 + 创建”。
选择“创建”。
已知问题
当双方向专用链接和专用终结点公开时,无法访问每个 PaaS 资源。 此问题是专用链接和专用终结点的已知限制。
例如,如果客户 A 使用专用链接访问虚拟网络 A 中数据工厂 A 的门户,则当数据工厂 A 不阻止公共访问时,客户 B 可以在虚拟网络 B 中通过公共访问来访问数据工厂 A 的门户。 但是,当客户 B 在虚拟网络 B 中针对数据工厂 B 创建专用终结点时,客户 B 不再可以在虚拟网络 B 中通过公共访问来访问数据工厂 A。