为 Azure-SSIS 集成运行时的注入配置虚拟网络

  • 项目

适用于: Azure 数据工厂 Azure Synapse Analytics

提示

试用 Microsoft Fabric 中的数据工厂,这是一种适用于企业的一站式分析解决方案。 Microsoft Fabric 涵盖从数据移动到数据科学、实时分析、商业智能和报告的所有内容。 了解如何免费开始新的试用

使用 Azure 数据工厂 (ADF) 或 Synapse Pipelines 中的 SQL Server Integration Services (SSIS) 时,可通过两种方法将 Azure-SSIS 集成运行时 (IR) 加入到虚拟网络:标准和快速。 快速方法可以更快地启动 Azure-SSIS IR,并且没有入站和较少的出站流量要求,但与标准方法相比,它有一些限制。

比较标准和快速虚拟网络注入方法

下表重点介绍了标准和快速虚拟网络注入方法之间的差异:

比较 标准虚拟网络注入 Express 虚拟网络注入
Azure-SSIS IR 启动持续时间 大约 30 分钟。 大约 5 分钟。
Azure 订阅和资源组设置 Microsoft.Batch 必须在虚拟网络订阅中注册为资源提供程序。

必须允许在虚拟网络资源组中创建公共 IP 地址、负载均衡器和网络安全组 (NSG)。		 Microsoft.Batch 必须在虚拟网络订阅中注册为资源提供程序。
虚拟网络子网 子网不能专用于其他 Azure 服务。 子网不能专用于其他 Azure 服务。

子网必须委托给 Microsoft.Batch/batchAccounts。
虚拟网络权限 创建 Azure-SSIS IR 的用户必须具有 Microsoft.Network/virtualNetworks/*/join 权限。 创建 Azure-SSIS IR 的用户必须具有 Microsoft.Network/virtualNetworks/subnets/join/action 权限。
静态公共 IP 地址 (可选)为 Azure-SSIS IR 提供你自己的静态公共 IP 地址 (BYOIP)。 (可选)配置虚拟网络的网络地址转换 (NAT),为 Azure-SSIS IR 设置静态公共 IP 地址。
自定义 DNS 服务器 建议将未解析的 DNS 请求转发到 Azure 递归解析程序。 建议将未解析的 DNS 请求转发到 Azure 递归解析程序。

需要 Azure-SSIS IR 的标准自定义设置。
入站流量 必须为将 BatchNodeManagement 服务标记作为源为 TCP 流量打开端口 29876、29877。 不需要。
出站流量 必须为将 AzureCloud 服务标记作为目标的 TCP 流量打开端口 443。 必须为将 DataFactoryManagement 服务标记作为目标的 TCP 流量打开端口 443。
资源锁 不允许在资源组中使用。 不允许在虚拟网络中使用。
每个虚拟网络的 Azure-SSIS IR 不受限制。 仅有一个。

Screenshot of standard and express virtual network injection methods

虚拟网络需要根据注入方法进行不同的配置。 如果使用快速方法,请参阅快速虚拟网络注入方法一文,否则请参阅标准虚拟网络注入方法一文。

将 Azure Batch 注册为资源提供程序

使用 Azure 门户,可以将 Azure Batch(ADF 中 SSIS 的底层基础结构)注册为 Azure 订阅中的资源提供程序,该提供程序具有供 Azure-SSIS IR 加入的虚拟网络。 如果已在该订阅中使用 Azure Batch 或通过 ADF UI 创建了 Azure-SSIS IR,则它已注册。 否则,你可以执行以下步骤:

  1. 在 Azure 门户中选择虚拟网络后,在其“概述”页上选择突出显示的订阅。

  2. 在左侧菜单中,选择“资源提供程序”。

  3. 选择并注册 Microsoft.Batch(如果尚未注册)。

Confirmation of "Registered" status

如果列表中未出现 Microsoft.Batch,可以在该订阅中创建一个空的 Azure Batch 帐户,以便稍后删除。

将子网委托给 Azure Batch

如果使用快速虚拟网络注入,则必须把将在其中注入 Azure-SSIS IR 的子网委托给 ADF 中 SSIS 的底层基础结构 Azure Batch。 使用 Azure 门户,可以执行以下步骤:

  1. 在 Azure 门户中选择虚拟网络后,在左侧菜单中选择“子网”。

  2. 选择子网名称以打开其窗格,并确保它具有至少两倍于 Azure-SSIS IR 节点数量的可用 IP 地址。

  3. 在“将子网委托给服务”下拉菜单中选择 Microsoft.Batch/batchAccounts。

  4. 选择“保存”按钮。

Delegate subnet to Azure Batch

授予虚拟网络权限

使用 Azure 门户,可以为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的基于角色的访问控制 (RBAC) 权限。 可以按照以下步骤操作:

  1. 在 Azure 门户中选择虚拟网络后,如果使用标准虚拟网络注入,则可以在左侧菜单中选择“访问控制(IAM)”。 如果使用快速虚拟网络注入,则可以选择左侧菜单中的“子网”,选择你的子网行,然后选择顶部菜单中的“管理用户”以打开“访问控制”页面。

  2. 选择“添加角色分配”按钮,打开“添加角色分配”页面。

  3. 在“角色”列表中选择“网络参与者”或你的自定义角色,然后选择“下一步”按钮。

  4. 在“分配访问权限至”部分,选择“用户、组或服务主体”。

  5. 选择“选择成员”链接以搜索并选择创建 Azure-SSIS IR 的用户。

  6. 选择“选择”、“下一步”和“查看 + 分配”按钮。

Grant virtual network permissions

相关内容

有关 Azure-SSIS IR 的详细信息,请参阅以下文章:

  • Azure-SSIS IR。 此文提供有关 IR(包括 Azure-SSIS IR)的一般概念性信息。
  • 教程:将 SSIS 包部署到 Azure 中的分步说明创建一个。 此教程提供有关创建 Azure-SSIS IR 的分步说明。 它使用 Azure SQL 数据库服务器来托管 SSISDB。
  • 创建 Azure-SSIS IR。 此文对本教程的内容做了扩充。 它提供了一些说明,介绍如何使用配置了虚拟网络服务终结点/IP 防火墙规则/专用终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSISDB。 它介绍了如何将 Azure-SSIS IR 加入虚拟网络。
  • 监视 Azure-SSIS IR。 此文介绍如何检索并了解有关 Azure-SSIS IR 的信息。
  • 管理 Azure-SSIS IR。 此文介绍如何停止、启动或删除 Azure-SSIS IR。 此外,介绍如何通过添加更多节点来横向扩展 Azure-SSIS IR。