Sdílet prostřednictvím


Metoda injektáže virtuální sítě Express

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Poznámka:

Funkce injektáže virtuální sítě Express zatím není podporovaná pro prostředí SSIS Integration Runtime v následujících oblastech:

  • Jio Indie – západ nebo Švýcarsko – západ
  • US Gov Texas nebo US Gov Arizona
  • Čína – sever 2 nebo Čína – východ 2

Pokud používáte SQL Server Integration Services (SSIS) ve službě Azure Data Factory (ADF) nebo Synapse Pipelines, existují dvě metody připojení prostředí Azure-SSIS Integration Runtime (IR) k virtuální síti: standardní a expresní. Pokud používáte metodu Express, musíte nakonfigurovat virtuální síť tak, aby splňovala tyto požadavky:

  • Ujistěte se, že Microsoft.Batch je zaregistrovaný poskytovatel prostředků v předplatném Azure, který má virtuální síť pro připojení k prostředí Azure-SSIS IR. Podrobné pokyny najdete v části Registrace služby Azure Batch jako poskytovatele prostředků.

  • Ujistěte se, že ve virtuální síti není žádný zámek prostředků.

  • Vyberte ve virtuální síti správnou podsíť, ke které se má prostředí Azure-SSIS IR připojit. Další informace najdete v části Vybrat podsíť níže.

  • Ujistěte se, že uživatel, který vytváří prostředí Azure-SSIS IR, má udělená potřebná oprávnění řízení přístupu na základě role (RBAC) pro připojení k virtuální síti nebo podsíti. Další informace najdete v části Vybrat oprávnění virtuální sítě níže.

V závislosti na konkrétním scénáři můžete volitelně nakonfigurovat následující:

Tento diagram znázorňuje požadovaná připojení pro prostředí Azure-SSIS IR:

Diagram znázorňující požadovaná připojení pro prostředí Azure-SSIS IR v expresní injektáži virtuální sítě

Výběr podsítě

Pokud chcete povolit expresní injektáž virtuální sítě, musíte vybrat správnou podsíť pro připojení k prostředí Azure-SSIS IR:

  • Nevybírejte podsíť GatewaySubnet, protože je vyhrazená pro brány virtuální sítě.

  • Ujistěte se, že vybraná podsíť má k dispozici IP adresy alespoň dvakrát číslo uzlu Azure-SSIS IR. Ty jsou pro nás potřeba, abychom se vyhnuli přerušení při zavádění oprav nebo upgradů pro prostředí Azure-SSIS IR. Azure si také vyhrazuje některé IP adresy, které se nedají použít v každé podsíti. První a poslední IP adresy jsou vyhrazené pro dodržování předpisů protokolu, zatímco tři další adresy jsou vyhrazené pro služby Azure. Další informace najdete v části Omezení IP adres podsítě.

  • Nepoužívejte podsíť, která je výhradně obsazená jinými službami Azure (například Azure SQL Managed Instance, App Service atd.).

  • Vybraná podsíť musí být delegována do služby Microsoft.Batch/batchAccounts . Další informace najdete v článku s přehledem delegování podsítě. Podrobné pokyny najdete v části Delegování podsítě do služby Azure Batch .

Výběr oprávnění virtuální sítě

Pokud chcete povolit expresní injektáž virtuální sítě, musí být uživateli, který vytváří prostředí Azure-SSIS IR, udělena potřebná oprávnění RBAC pro připojení k virtuální síti nebo podsíti. K dispozici jsou dvě možnosti:

  • Použijte integrovanou roli Přispěvatel sítě. Tato role se dodává s oprávněním Microsoft.Network/* s mnohem větším rozsahem, než je nutné.

  • Vytvořte vlastní roli, která zahrnuje pouze potřebnou oprávnění Microsoft.Network/virtualNetworks/subnets/join/action .

Podrobné pokyny najdete v části Udělení oprávnění virtuální sítě.

Konfigurace statické veřejné IP adresy

Pokud chcete pro odchozí provoz prostředí Azure-SSIS IR použít statickou veřejnou IP adresu, abyste ji mohli povolit ve svých bránách firewall, musíte nakonfigurovat překlad adres virtuální sítě (NAT).

Konfigurace vlastního serveru DNS

Pokud chcete k překladu názvů privátních hostitelů použít vlastní server DNS ve virtuální síti, ujistěte se, že dokáže přeložit také globální názvy hostitelů Azure (například azure Blob Storage s názvem <your storage account>.blob.core.windows.).

Doporučujeme nakonfigurovat vlastní server DNS tak, aby předával nevyřešené požadavky DNS na IP adresu rekurzivních překladačů Azure (168.63.129.16).

Další informace najdete v části překladu názvů serverů DNS.

V současné době je potřeba, aby azure-SSIS IR používal vlastní server DNS, nakonfigurovat ho pomocí standardního vlastního nastavení pomocí následujících kroků:

  1. Stáhněte si skript vlastní instalace main.cmd + jeho přidružený soubor setupdnsserver.ps1.

  2. Nahraďte "your-dns-server-ip" v main.cmd IP adresou vašeho vlastního serveru DNS.

  3. Nahrajte main.cmd + setupdnsserver.ps1 do vlastního kontejneru objektů blob služby Azure Storage pro standardní vlastní nastavení a zadejte jeho identifikátor URI SAS při zřizování azure-SSIS IR, viz článek Přizpůsobení prostředí Azure-SSIS IR .

Poznámka:

Pro název privátního hostitele použijte plně kvalifikovaný název domény (FQDN) (například místo <your_private_server>.contoso.com <your_private_server>). Alternativně můžete použít standardní vlastní nastavení v prostředí Azure-SSIS IR k automatickému připojení vlastní přípony DNS (například contoso.com) k libovolnému nekvalifikovanému názvu domény s jedním popiskem a jeho převod na plně kvalifikovaný název domény před použitím v dotazech DNS, viz část Ukázky standardních vlastních nastavení.

Konfigurace skupiny zabezpečení sítě

Pokud chcete použít skupinu zabezpečení sítě v podsíti připojené k prostředí Azure-SSIS IR, povolte následující odchozí provoz:

Přenosový protokol Zdroj Zdrojové porty Cíl Cílové porty Komentáře
TCP VirtualNetwork * DataFactoryManagement 443 Vyžaduje se pro přístup ke službám ADF prostředí Azure-SSIS IR.

Odchozí provoz teď používá pouze veřejný koncový bod ADF.
TCP VirtualNetwork * Sql/VirtualNetwork 1433, 11000-11999 (Volitelné) Vyžaduje se pouze v případě, že k hostování katalogu služby SSIS (SSISDB) používáte server služby Azure SQL Database nebo spravovanou instanci.

Pokud je server služby Azure SQL Database nebo spravovaná instance nakonfigurovaná s veřejným koncovým bodem nebo koncovým bodem služby virtuální sítě, použijte jako cíl značku služby Sql .

Pokud je server služby Azure SQL Database nebo spravovaná instance nakonfigurovaná s privátním koncovým bodem, použijte jako cíl značku služby VirtualNetwork .

Pokud je zásada připojení k serveru nastavená na Proxy místo přesměrování, vyžaduje se jenom port 1433 .
TCP VirtualNetwork * Storage /VirtualNetwork 443 (Volitelné) Vyžaduje se pouze v případě, že k ukládání standardního skriptu nebo souborů vlastní instalace používáte kontejner objektů blob služby Azure Storage.

Pokud je služba Azure Storage nakonfigurovaná s veřejným koncovým bodem nebo koncovým bodem služby virtuální sítě, použijte jako cíl značku služby Storage .

Pokud je služba Azure Storage nakonfigurovaná s privátním koncovým bodem, použijte jako cíl značku služby VirtualNetwork .
TCP VirtualNetwork * Storage /VirtualNetwork 445 (Volitelné) Vyžaduje se jenom v případě, že potřebujete přístup ke službě Azure Files.

Pokud je služba Azure Storage nakonfigurovaná s veřejným koncovým bodem nebo koncovým bodem služby virtuální sítě, použijte jako cíl značku služby Storage .

Pokud je služba Azure Storage nakonfigurovaná s privátním koncovým bodem, použijte jako cíl značku služby VirtualNetwork .

Konfigurace trasy definované uživatelem

Pokud chcete auditovat nebo kontrolovat odchozí provoz z prostředí Azure-SSIS IR, můžete ho pomocí tras definovaných uživatelem přesměrovat na místní zařízení brány firewall prostřednictvím vynuceného tunelování Azure ExpressRoute , které inzeruje trasu protokolu BGP (Border Gateway Protocol) 0.0.0.0/0 do virtuální sítě, na síťové virtuální zařízení nakonfigurované jako bránu firewall nebo službu Azure Firewall .

Podle našich pokynů v části Konfigurace skupiny zabezpečení sítě výše musíte implementovat podobná pravidla na zařízení nebo službě firewall, abyste umožnili odchozí provoz z prostředí Azure-SSIS IR:

  • Pokud používáte Azure Firewall:

    • Port 443 je nutné otevřít pro odchozí provoz TCP se značkou služby DataFactoryManagement jako cílem.

    • Pokud k hostování databáze SSISDB používáte server nebo spravovanou instanci Azure SQL Database, musíte otevřít porty 1433, 11000–11999 pro odchozí provoz TCP se značkou služby Sql/VirtualNetwork jako cílem.

    • Pokud k ukládání standardního skriptu nebo souborů vlastní instalace používáte kontejner objektů blob služby Azure Storage, musíte jako cíl otevřít port 443 pro odchozí provoz TCP se značkou služby Storage/VirtualNetwork .

    • Pokud potřebujete přístup ke službě Azure Files, musíte otevřít port 445 pro odchozí provoz TCP se značkou služby Storage/VirtualNetwork jako cílem.

  • Pokud používáte jiné zařízení nebo službu brány firewall:

    • Pro odchozí provoz TCP musíte otevřít port 443 s protokolem 0.0.0.0/0 nebo následujícím plně kvalifikovaným názvem domény pro prostředí Azure jako cílem:

      Prostředí Azure FQDN
      Azure Public *.frontend.clouddatahub.net
      Azure Government *.frontend.datamovement.azure.us
      Microsoft Azure provozovaný společností 21Vianet *.frontend.datamovement.azure.cn
    • Pokud k hostování databáze SSISDB používáte server nebo spravovanou instanci Azure SQL Database, musíte otevřít porty 1433, 11000–11999 pro odchozí provoz TCP s 0.0.0.0/0 nebo serverem služby Azure SQL Database nebo plně kvalifikovaným názvem domény spravované instance jako cílem.

    • Pokud k ukládání standardního skriptu nebo souborů vlastního nastavení používáte kontejner objektů blob služby Azure Storage, musíte jako cíl otevřít port 443 pro odchozí provoz TCP s 0.0.0.0/0 nebo plně kvalifikovaným názvem domény služby Azure Blob Storage.

    • Pokud potřebujete přístup ke službě Azure Files, musíte otevřít port 445 pro odchozí provoz TCP s 0.0.0.0/0 nebo plně kvalifikovaným názvem domény služby Azure Files jako cílem.

Další informace o azure-SSIS IR najdete v následujících článcích:

  • Azure-SSIS IR. Tento článek obsahuje obecné koncepční informace o irech, včetně prostředí Azure-SSIS IR.
  • Kurz: Nasazení balíčků SSIS do Azure Tento kurz obsahuje podrobné pokyny k vytvoření prostředí Azure-SSIS IR. K hostování databáze SSISDB používá server Azure SQL Database.
  • Vytvořte prostředí Azure-SSIS IR. Tento článek se zabývá kurzem. Obsahuje pokyny k používání serveru Azure SQL Database nakonfigurovaného s koncovým bodem služby virtuální sítě, pravidlem brány firewall protokolu IP nebo privátním koncovým bodem nebo službou Azure SQL Managed Instance, která připojí virtuální síť k hostování databáze SSISDB. Ukazuje, jak připojit Prostředí Azure-SSIS IR k virtuální síti.
  • Monitorování prostředí Azure-SSIS IR. V tomto článku se dozvíte, jak načíst a pochopit informace o prostředí Azure-SSIS IR.
  • Správa Azure-SSIS IR. Tento článek ukazuje, jak zastavit, spustit nebo odstranit prostředí Azure-SSIS IR. Ukazuje také postup škálování Azure-SSIS IR přidáním více uzlů.