用于 Azure 数据工厂的 Azure 专用链接

  • 项目

适用于: Azure 数据工厂 Azure Synapse Analytics

提示

试用 Microsoft Fabric 中的数据工厂,这是一种适用于企业的一站式分析解决方案。 Microsoft Fabric 涵盖从数据移动到数据科学、实时分析、商业智能和报告的所有内容。 了解如何免费开始新的试用

使用 Azure 专用链接,可以通过专用终结点连接到 Azure 中的各种平台即服务 (PaaS) 部署。 专用终结点是特定虚拟网络和子网中的专用 IP 地址。 有关支持专用链接功能的 PaaS 部署的列表,请参阅专用链接文档

保护客户网络与数据工厂之间的通信

你可以将 Azure 虚拟网络设置为你的网络在云中的逻辑表示形式。 这样做可以有以下好处:

  • 有助于保护 Azure 资源免受来自公共网络的攻击。
  • 允许网络和数据工厂安全地相互通信。

也可将本地网络连接到虚拟网络。 设置 Internet 协议安全性 VPN 连接,这是站点到站点连接。 或设置 Azure ExpressRoute 连接。 这是专用对等互连连接。

你还可以在本地计算机上或虚拟网络中的虚拟机上安装自承载集成运行时 (IR)。 这样做可以:

  • 在云数据存储与专用网络中的数据存储之间运行复制活动。
  • 针对本地网络或 Azure 虚拟网络中的计算资源调度转换活动。

Azure 数据工厂与客户虚拟网络之间需要几个信道,如下表所示:

端口 说明
adf.azure.cn 443 进行数据工厂创作和监视时需要使用数据工厂门户。
*.{region}.datafactory.azure.cn 443 自承载 IR 连接到数据工厂所需。
*.servicebus.chinacloudapi.cn 443 自承载 IR 进行交互式创作所需。
download.microsoft.com 443 自承载 IR 下载更新所需。

注意

禁用公用网络访问仅适用于自承载 IR,不适用于 Azure IR 和 SQL Server Integration Services IR。

与数据工厂的通信通过专用链接进行,帮助提供安全的专用连接。

Diagram that shows Private Link for Data Factory architecture.

为上述每个信道启用专用链接可提供以下功能:

  • 支持:

    • 即使阻止了所有出站通信,也可以通过虚拟网络在数据工厂门户中进行创作和监视。 如果为门户创建了专用终结点,其他用户也仍可通过公用网络访问数据工厂门户。
    • 可以在专用网络环境中安全地执行自承载 IR 与数据工厂之间的命令通信。 自承载 IR 与数据工厂之间的流量通过专用链接传输。

  • 当前不支持:

    • 使用自承载 IR 进行的交互式创作(如测试连接、浏览文件夹列表和表列表、获取架构和预览数据)通过专用链接进行。
    • 目前不支持自承载 IR 的新版本,如果启用自动更新,可以从 Microsoft 下载中心自动下载它。

    对于当前不支持的功能,仍需要在虚拟网络或企业防火墙中配置前面提到的域和端口。

    通过专用终结点连接到数据工厂仅适用于数据工厂中的自承载 IR。 Azure Synapse Analytics 不支持此功能。

警告

如果为数据工厂启用专用链接并同时阻止公共访问,请将凭据存储到 Azure Key Vault,确保其安全。

为自承载 IR 与数据工厂之间的通信配置专用终结点

本部分介绍如何为自承载 IR 与数据工厂之间的通信配置专用终结点。

专用终结点是在虚拟网络中创建的,用于自承载 IR 与数据工厂之间的通信。 请遵循为数据工厂设置专用终结点链接中的步骤。

确保 DNS 配置正确

请按照专用终结点的 DNS 更改中的说明检查或配置 DNS 设置。

将 Azure 中继和下载中心的 FQDN 加入防火墙的允许列表中

如果自承载 IR 安装在虚拟网络中的虚拟机上,请在虚拟网络的 NSG 中允许将出站流量发送到以下 FQDN。

如果自承载 IR 安装在本地环境中的计算机上,请在本地环境的防火墙和虚拟网络的 NSG 中允许将出站流量发送到以下 FQDN。

端口 说明
*.servicebus.chinacloudapi.cn 443 自承载 IR 进行交互式创作所需。
download.microsoft.com 443 自承载 IR 下载更新所需

如果未在防火墙和 NSG 中允许上述出站流量,则自承载 IR 将显示为受限状态。 但仍然可以使用它来执行活动。 只有交互式创作和自动更新不起作用。

注意

如果一个数据工厂(共享)具有自承载 IR,而该自承载 IR 与其他数据工厂(链接)共享,你只需为共享数据工厂创建专用终结点。 其他链接的数据工厂就可以利用此专用链接实现自承载 IR 与数据工厂之间的通信。

专用终结点的 DNS 更改

创建专用终结点时,数据工厂的 DNS CNAME 资源记录将更新为子域中前缀为 privatelink 的别名。 默认情况下,还会创建一个与 privatelink 子域对应的专用 DNS 区域,其中包含专用终结点的 DNS A 资源记录。

使用专用终结点从虚拟网络外部解析数据工厂终结点 URL 时,它会解析为数据工厂的公共终结点。 从托管专用终结点的虚拟网络进行解析时,存储终结点 URL 解析为专用终结点的 IP 地址。

对于上面所示的示例,数据工厂 DataFactoryA 的 DNS 资源记录在从托管专用终结点的虚拟网络外部解析时将为:

名称 类型
DataFactoryA.{region}.datafactory.azure.cn CNAME < 数据工厂公共终结点 >
< 数据工厂公共终结点 > A < 数据工厂公共 IP 地址 >

当 DataFactoryA 的 DNS 资源记录由托管专用终结点的虚拟网络解析时,将为:

名称 类型
DataFactoryA.{region}.datafactory.azure.cn CNAME DataFactoryA.{region}.privatelink.datafactory.azure.cn
DataFactoryA.{region}.privatelink.datafactory.azure.cn A < 专用终结点 IP 地址 >

如果在网络上使用自定义 DNS 服务器,则客户端必须能够将数据工厂终结点的 FQDN 解析为专用终结点 IP 地址。 应配置 DNS 服务器以将专用链接子域委托到虚拟网络的专用 DNS 区域。 或者使用专用终结点 IP 地址为“DataFactoryA.{region}.datafactory.azure.cn”配置 A 记录。

注意

目前只有一个数据工厂门户终结点,因此,在某个 DNS 区域中只有一个用于门户的专用终结点。 尝试创建第二个或后续门户专用终结点会覆盖以前为门户创建的专用 DNS 条目。

在本部分,你将为数据工厂设置一个专用终结点链接。

在执行数据工厂创建步骤的过程中,可选择是通过公共终结点还是专用终结点将自承载 IR 连接到数据工厂,如下所示:

Screenshot that shows blocking public access of self-hosted IR.

在数据工厂门户页的“网络”窗格中创建之后,你可以随时更改选择。 在其中启用专用终结点后,还必须将专用终结点添加到数据工厂。

专用终结点需要用于链接的虚拟网络和子网。 在此示例中,子网中的虚拟机将用于运行自承载 IR,通过专用终结点链接进行连接。

创建虚拟网络

如果当前没有可用于专用终结点链接的虚拟网络,必须创建一个虚拟网络并分配子网。

  1. 登录 Azure 门户

  2. 在屏幕的左上角选择“创建资源”>“网络”>“虚拟网络”,或者在搜索框中搜索“虚拟网络”。

  3. 在“创建虚拟网络”的“基本信息”选项卡中输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 为虚拟网络选择资源组。
    实例详细信息
    名称 输入虚拟网络的名称。
    区域 重要提示:选择的区域要与专用终结点使用的区域保持一致。

  4. 选择“IP 地址”选项卡,或选择页面底部的“下一步:IP 地址”。

  5. 在“IP 地址”选项卡上,输入以下信息:

    设置
    IPv4 地址空间 输入 10.1.0.0/16。

  6. 在“子网名称”下,选择词语“默认”。

  7. 在“编辑子网”中输入以下信息:

    设置
    子网名称 输入子网的名称。
    子网地址范围 输入 10.1.0.0/24。

  8. 选择“保存” 。

  9. 选择“查看 + 创建” 选项卡,或选择“查看 + 创建” 按钮。

  10. 选择“创建”。

为自承载 IR 创建虚拟机

还必须创建或分配现有虚拟机,以在前面步骤创建的新子网中运行自承载 IR。

  1. 在门户的左上角,选择“创建资源”>“计算”>“虚拟机”,或者在搜索框中搜索“虚拟机”。

  2. 在“创建虚拟机”的“基本信息”选项卡中输入或选择值:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选一个择资源组。
    实例详细信息
    虚拟机名称 输入虚拟机的名称。
    区域 选择用于虚拟网络的区域。
    可用性选项 选择“无需基础结构冗余”。
    映像 选择“Windows Server 2019 Datacenter - Gen1”(或任何其他支持自承载 IR 的 Windows 映像)。
    Azure 现成 VM 实例 请选择“否”。
    大小 选择 VM 大小或使用默认设置。
    管理员帐户
    用户名 输入用户名。
    Password 输入密码。
    确认密码 重新输入密码。

  3. 选择“网络”选项卡,或者选择“下一步: 磁盘”>“下一步: 网络”。

  4. 在“网络”选项卡中,选择或输入:

    设置
    网络接口
    虚拟网络 选择你创建的虚拟网络。
    子网 选择你创建的子网。
    公共 IP 选择“无”。
    NIC 网络安全组 基本
    公共入站端口 选择“无”。

  5. 选择“查看 + 创建”。

  6. 检查设置,然后选择“创建”。

注意

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

发生以下事件之一时,将禁用默认出站访问 IP:

  • 将公共 IP 地址分配给 VM。
  • 虚拟机被放置在标准负载平衡器的后端池中,有无出站规则均可。
  • 向虚拟机的子网分配了 Azure 虚拟网络 NAT 网关 资源。

在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问权限使用用于出站连接的源网络地址转换 (SNAT)

创建专用终结点

最后,必须在数据工厂中创建专用终结点。

  1. 在数据工厂的 Azure 门户页中,选择“网络”>“专用终结点连接”,然后选择“+ 专用终结点”。

    Screenshot that shows the Private endpoint connections pane used for creating a private endpoint.

  2. 在“创建专用终结点”的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选一个择资源组。
    实例详细信息
    名称 输入终结点的名称。
    区域 选择创建的虚拟网络的区域。

  3. 选择“资源”选项卡或屏幕底部的“下一步: 资源”按钮。

  4. 在“资源”中,输入或选择以下信息:

    设置
    连接方法 选择“连接到我的目录中的 Azure 资源”。
    订阅 选择订阅。
    资源类型 选择“Microsoft.Datafactory/factories”。
    资源 选择数据工厂。
    目标子资源 如果要在自承载 IR 与数据工厂之间使用专用终结点进行命令通信,请选择“datafactory”作为“目标子资源”。 如果要在虚拟网络中使用创作和监视数据工厂所用的专用终结点,请选择“门户”作为目标子资源。

  5. 选择“配置”选项卡或屏幕底部的“下一步: 配置”按钮。

  6. 在“配置”中,输入或选择以下信息:

    设置
    联网
    虚拟网络 选择你创建的虚拟网络。
    子网 选择你创建的子网。
    专用 DNS 集成
    与专用 DNS 区域集成 保留默认值“是”。
    订阅 选择订阅。
    专用 DNS 区域 在两个目标子资源中保留默认值:1. datafactory:(新)privatelink.datafactory.azure.cn. 2. 门户:(新)privatelink.adf.azure.cn。

  7. 选择“查看 + 创建”。

  8. 选择“创建”。

已知问题

当两端都向专用链接和专用终结点公开时,无法访问彼此的 PaaS 资源。 此问题是专用链接和专用终结点的已知限制。

例如,如果客户 A 使用专用链接访问虚拟网络 A 中数据工厂 A 的门户,则当数据工厂 A 不阻止公共访问时,客户 B 可以在虚拟网络 B 中通过公共访问来访问数据工厂 A 的门户。 但是,当客户 B 在虚拟网络 B 中针对数据工厂 B 创建专用终结点时,客户 B 不再可以在虚拟网络 B 中通过公共访问来访问数据工厂 A。

相关内容