将 Azure-SSIS 集成运行时加入虚拟网络
适用于:Azure 数据工厂 Azure Synapse Analytics
在 Azure 数据工厂 (ADF) 中使用 SQL Server Integration Services (SSIS) 时,在以下场景下,应将 Azure-SSIS 集成运行时 (IR) 加入虚拟网络:
你需要从在 Azure-SSIS IR 上运行的 SSIS 包访问本地数据存储/资源,而无需配置和管理自承载 IR 作为代理。
你需要使用配置了专用终结点/IP 防火墙规则/虚拟网络服务终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSIS 目录数据库 (SSISDB)。
你需要从在 Azure-SSIS IR 上运行的 SSIS 包访问配置了专用终结点/IP 防火墙规则/虚拟网络服务终结点的 Azure 数据存储/资源。
你需要从在 Azure-SSIS IR 上运行的 SSIS 包访问配置了 IP 防火墙规则的其他云数据存储/资源。
ADF 允许将 Azure-SSIS IR 加入到通过 Azure 资源管理器或经典部署模型创建的虚拟网络。
重要
经典虚拟网络即将弃用,请改用 Azure 资源管理器虚拟网络。 如果已使用经典虚拟网络,请尽快切换到 Azure 资源管理器虚拟网络。
配置 Azure-SSIS IR 以加入虚拟网络教程演示了通过 Azure 门户/ADF UI 使用快速虚拟网络注入方法的最少步骤。 本文以及其他文章(如配置虚拟网络以注入 Azure-SSIS IR 一文)对教程进行了扩展,介绍了所有可选步骤:
- 如果你使用标准虚拟网络注入方法。
- 如果你使用经典虚拟网络。
- 如果你为 Azure-SSIS IR 提供你自己的静态公共 IP (BYOIP) 地址。
- 如果你使用自己的域名系统 (DNS) 服务器。
- 如果你使用网络安全组 (NSG)。
- 如果你使用用户定义的路由 (UDR)。
- 如果使用自定义的 Azure-SSIS IR。
- 如果你使用 Azure PowerShell 预配 Azure-SSIS IR。
访问本地数据存储
如果 SSIS 包访问本地数据存储,则你可以将 Azure-SSIS IR 加入已连接到本地网络的虚拟网络。 或者,可以配置和管理自承载 IR 作为 Azure-SSIS IR 的代理。 有关详细信息,请参阅配置自承载 IR 作为 Azure-SSIS IR 的代理。
将 Azure-SSIS IR 加入到虚拟网络时,请记住以下要点:
如果没有任何虚拟网络连接到本地网络,请先创建 Azure-SSIS IR 要加入到的 Azure 资源管理器虚拟网络。 然后,配置从该虚拟网络到本地网络的站点到站点 VPN 网关连接或 Azure ExpressRoute 连接。
如果已有 Azure 资源管理器虚拟网络连接到 Azure-SSIS 所在同一位置中的本地网络,则可将 IR 加入该虚拟网络。
如果已有一个经典虚拟网络连接到与 Azure-SSIS IR 所在位置不同的位置中的本地网络,可以创建 Azure-SSIS IR 要加入到的 Azure 资源管理器虚拟网络。 然后,配置经典到 Azure 资源管理器虚拟网络连接。
如果已有一个 Azure 资源管理器网络连接到与 Azure-SSIS IR 所在位置不同的位置中的本地网络,可以先创建 Azure-SSIS IR 要加入到的 Azure 资源管理器虚拟网络。 然后,配置 Azure 资源管理器到 Azure 资源管理器虚拟网络连接。
在 Azure SQL 数据库服务器或托管实例中托管 SSISDB
如果将 SSISDB 托管在配置有虚拟网络服务终结点的 Azure SQL 数据库服务器中,请确保将 Azure-SSIS IR 加入到同一虚拟网络和子网中。
如果在加入虚拟网络的 Azure SQL 托管实例中托管 SSISDB,请确保将 Azure-SSIS IR 加入到同一虚拟网络,但与托管实例不同的子网中。 若要将 Azure-SSIS IR 加入与托管实例不同的虚拟网络,我们建议使用虚拟网络对等互连(限于相同的区域)或虚拟网络间连接。 有关详细信息,请参阅将应用程序连接到 Azure SQL 托管实例。
访问 Azure 数据存储
如果 SSIS 包访问的是支持虚拟网络服务终结点的 Azure 数据存储/资源,并且你需要从 Azure-SSIS IR 保护对这些资源的访问,则可以将 Azure-SSIS IR 加入为虚拟网络服务终结点配置的虚拟网络子网,然后在相关资源的防火墙上添加虚拟网络规则,以允许来自同一子网的访问。
访问其他云数据存储
如果 SSIS 包访问的其他云数据存储/资源只允许特定的静态公共 IP 地址,并且你需要从 Azure-SSIS IR 保护对这些资源的访问,则可以将公共 IP 地址与 Azure-SSIS IR 相关联,并将其加入虚拟网络,然后在相关资源的防火墙上添加 IP 防火墙规则,以允许来自这些 IP 地址的访问。 完成此操作的方法有两种:
创建 Azure-SSIS IR 时,可以自带静态公共 IP 地址,并通过 ADF UI 或 Azure PowerShell 将它们与 Azure-SSIS IR 相关联。 只有来自 Azure-SSIS IR 的出站 Internet 连接才会使用这些公共 IP 地址,子网中的其他资源不会使用这些地址。
你还可以在 Azure-SSIS IR 加入的子网中配置虚拟网络的网络地址转换 (NAT),来自此子网的所有出站 Internet 连接都将使用指定的公共 IP 地址。
在所有情况下,都只能通过 Azure 资源管理器部署模型部署虚拟网络。
相关内容
- 配置虚拟网络以注入 Azure-SSIS IR
- 快速虚拟网络注入方法
- 标准虚拟网络注入方法
- 通过 ADF UI 将 Azure-SSIS IR 加入虚拟网络
- 通过 Azure PowerShell 将 Azure-SSIS IR 加入虚拟网络
有关 Azure-SSIS IR 的详细信息,请参阅以下文章:
- Azure-SSIS IR。 此文提供有关 IR(包括 Azure-SSIS IR)的一般概念性信息。
- 教程:将 SSIS 包部署到 Azure 中的分步说明创建一个。 此教程提供有关创建 Azure-SSIS IR 的分步说明。 它使用 Azure SQL 数据库服务器来托管 SSISDB。
- 创建 Azure-SSIS IR。 此文对本教程的内容做了扩充。 它提供了一些说明,介绍如何使用配置了虚拟网络服务终结点/IP 防火墙规则/专用终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSISDB。 它介绍了如何将 Azure-SSIS IR 加入虚拟网络。
- 监视 Azure-SSIS IR。 此文介绍如何检索并了解有关 Azure-SSIS IR 的信息。
- 管理 Azure-SSIS IR。 此文介绍如何停止、启动或删除 Azure-SSIS IR。 此外,介绍如何通过添加更多节点来横向扩展 Azure-SSIS IR。