Sdílet prostřednictvím


Vytvoření a konfigurace místního prostředí Integration Runtime

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Prostředí Integration Runtime (IR) je výpočetní infrastruktura, kterou kanály Azure Data Factory a Synapse používají k poskytování funkcí integrace dat v různých síťových prostředích. Podrobnosti o prostředí IR najdete v tématu Přehled prostředí Integration Runtime.

Místní prostředí Integration Runtime může spouštět aktivity kopírováním mezi cloudovým úložištěm dat a úložištěm dat v privátní sítí. Může také odesílat aktivity transformace výpočetních prostředků v místní síti nebo virtuální síti Azure. K instalaci místního prostředí Integration Runtime se vyžaduje místní počítač nebo virtuální počítač v rámci privátní sítě.

Tento článek popisuje, jak vytvořit a nakonfigurovat místní prostředí IR.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Důležité informace o používání místního prostředí IR

  • Pro více místních zdrojů dat můžete použít jeden místní prostředí Integration Runtime. Můžete ho také sdílet s jinou datovou továrnou ve stejném tenantovi Microsoft Entra. Další informace najdete v tématu Sdílení místního prostředí Integration Runtime.
  • Na jakýkoli počítač je možné nainstalovat pouze jednu instanci místního prostředí Integration Runtime. Pokud máte dvě datové továrny, které potřebují přístup k místním zdrojům dat, použijte buď funkci sdílení místního prostředí IR ke sdílení místního prostředí IR, nebo nainstalujte místní prostředí IR na dva místní počítače, jedno pro každou datovou továrnu nebo pracovní prostor Synapse. Pracovní prostor Synapse nepodporuje sdílení prostředí Integration Runtime.
  • Místní prostředí Integration Runtime nemusí být na stejném počítači jako zdroj dat. Prostředí Integration Runtime v místním prostředí blízko ke zdroji dat ale zkracuje čas, kdy se místní prostředí Integration Runtime připojí ke zdroji dat. Doporučujeme nainstalovat místní prostředí Integration Runtime na počítač, který se liší od místního zdroje dat. Pokud jsou místní prostředí Integration Runtime a zdroj dat na různých počítačích, místní prostředí Integration Runtime nekonkuruje se zdrojem dat pro prostředky.
  • Na různých počítačích, které se připojují ke stejnému místnímu zdroji dat, můžete mít několik místního prostředí Integration Runtime. Pokud máte například dva místní prostředí Integration Runtime, které obsluhují dvě datové továrny, může být stejný místní zdroj dat zaregistrovaný v obou datových továrnách.
  • K podpoře integrace dat ve virtuální síti Azure použijte místní prostředí Integration Runtime.
  • Zacházet se zdrojem dat jako s místním zdrojem dat, který je za bránou firewall, i když používáte Azure ExpressRoute. K připojení služby ke zdroji dat použijte místní prostředí Integration Runtime.
  • Použijte místní prostředí Integration Runtime, i když je úložiště dat v cloudu na virtuálním počítači Azure Infrastructure as a Service (IaaS).
  • Úlohy můžou selhat v místním prostředí Integration Runtime, které jste nainstalovali na windows server, pro který je povolené šifrování kompatibilní s standardem FIPS. Pokud chcete tento problém obejít, máte dvě možnosti: ukládání přihlašovacích údajů nebo tajných kódů ve službě Azure Key Vault nebo zakázání šifrování kompatibilního se standardem FIPS na serveru. Chcete-li zakázat šifrování kompatibilní se standardem FIPS, změňte hodnotu následujícího podklíče registru z 1 (povoleno) na hodnotu 0 (zakázáno): HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled. Pokud jako proxy server pro prostředí SSIS Integration Runtime použijete místní prostředí Integration Runtime, je možné povolit šifrování kompatibilní se standardem FIPS a použít se při přesouvání dat z místního prostředí do služby Azure Blob Storage jako pracovní oblasti.
  • Úplné podrobnosti o licencování jsou uvedeny na první stránce instalace místního prostředí Integration Runtime.

Poznámka:

V současné době je možné prostředí Integration Runtime v místním prostředí sdílet pouze s několika datovými továrnami. Nejde ho sdílet mezi pracovními prostory Synapse ani mezi datovou továrnou a pracovním prostorem Synapse.

Tok příkazů a tok dat

Když přesouváte data mezi místním prostředím a cloudem, aktivita používá místní prostředí Integration Runtime k přenosu dat mezi místním zdrojem dat a cloudem.

Tady je souhrnný přehled kroků toku dat pro kopírování pomocí místního prostředí IR:

Základní přehled toku dat

  1. Vývojář dat nejprve pomocí webu Azure Portal nebo rutiny PowerShellu vytvoří místní prostředí Integration Runtime v pracovním prostoru Azure Data Factory nebo Synapse. Pak vývojář dat vytvoří propojenou službu pro místní úložiště dat a určí instanci místního prostředí Integration Runtime, kterou má služba použít pro připojení k úložištím dat.

  2. Uzel místního prostředí Integration Runtime šifruje přihlašovací údaje pomocí rozhraní DPAPI (Windows Data Protection Application Programming Interface) a uloží přihlašovací údaje místně. Pokud je pro vysokou dostupnost nastaveno více uzlů, přihlašovací údaje se dále synchronizují mezi jinými uzly. Každý uzel zašifruje přihlašovací údaje pomocí rozhraní DPAPI a uloží je místně. Synchronizace přihlašovacích údajů je pro vývojáře dat transparentní a zpracovává se místním prostředím IR.

  3. Kanály Azure Data Factory a Synapse komunikují s místním prostředím Integration Runtime za účelem plánování a správy úloh. Komunikace je prostřednictvím řídicího kanálu, který používá sdílené připojení Azure Relay . Když je potřeba spustit úlohu aktivity, služba zařadí žádost do fronty spolu s informacemi o přihlašovacích údajích. Provede to v případě, že přihlašovací údaje ještě nejsou uložené v místním prostředí Integration Runtime. Místní prostředí Integration Runtime spustí úlohu po dotazování fronty.

  4. Místní prostředí Integration Runtime kopíruje data mezi místním úložištěm a cloudovým úložištěm. Směr kopírování závisí na konfiguraci aktivity kopírování v datovém kanálu. V tomto kroku komunikuje místní prostředí Integration Runtime přímo se cloudovými službami úložiště, jako je Azure Blob Storage, přes zabezpečený kanál HTTPS.

Požadavky

  • Podporované verze Windows jsou:
    • Windows 10
    • Windows 11
    • Windows Server 2016
    • Windows Server 2019
    • Windows Server 2022

Instalace místního prostředí Integration Runtime na řadiči domény se nepodporuje.

  • Místní prostředí Integration Runtime vyžaduje 64bitový operační systém s rozhraním .NET Framework 4.7.2 nebo novějším. Podrobnosti najdete v tématu Systémové požadavky rozhraní .NET Framework.
  • Doporučená minimální konfigurace pro počítač s místním prostředím Integration Runtime je procesor 2 GHz se 4 jádry, 8 GB paměti RAM a 80 GB volného místa na pevném disku. Podrobnosti o požadavcích na systém najdete v tématu Stažení.
  • Pokud hostitelský počítač přejde do režimu hibernace, místní prostředí Integration Runtime nereaguje na žádosti o data. Před instalací místního prostředí Integration Runtime nakonfigurujte na počítači odpovídající plán napájení. Pokud je počítač nakonfigurovaný na hibernaci, instalační program prostředí Integration Runtime v místním prostředí zobrazí výzvu se zprávou.
  • Abyste mohli úspěšně nainstalovat a nakonfigurovat místní prostředí Integration Runtime, musíte být na počítači správcem.
  • Spuštění aktivit kopírování probíhá s konkrétní frekvencí. Využití procesoru a paměti RAM na počítači se řídí stejným vzorem s dobou špičky a nečinnosti. Využití prostředků také výrazně závisí na množství přesunutých dat. Když probíhá více úloh kopírování, uvidíte, že využití prostředků se během špičky zhoršuje.
  • Úkoly můžou selhat při extrakci dat ve formátech Parquet, ORC nebo Avro. Další informace o Parquet najdete v tématu Formát Parquet ve službě Azure Data Factory. Vytváření souborů se spouští na místním počítači integrace. Pokud chcete pracovat podle očekávání, vytvoření souboru vyžaduje následující požadavky:
    • Java Runtime (JRE) verze 11 od poskytovatele JRE, jako je Microsoft OpenJDK 11 nebo Eclipse Temurin 11. Ujistěte se, že je proměnná systémového prostředí JAVA_HOME nastavená na složku JDK (nejen složku JRE), kterou možná budete muset přidat do proměnné prostředí PATH systému.

    Poznámka:

    Pokud dojde k chybám paměti, může být nutné upravit nastavení Jazyka Java, jak je popsáno v dokumentaci k formátu Parquet.

Poznámka:

Pokud používáte cloud pro státní správu, přečtěte si téma Připojení ke cloudu státní správy.

Nastavení místního prostředí Integration Runtime

K vytvoření a nastavení místního prostředí Integration Runtime použijte následující postupy.

Vytvoření místního prostředí IR prostřednictvím Azure PowerShellu

  1. Pro tuto úlohu můžete použít Azure PowerShell. Zde je příklad:

    Set-AzDataFactoryV2IntegrationRuntime -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName -Type SelfHosted -Description "selfhosted IR description"
    
  2. Stáhněte a nainstalujte místní prostředí Integration Runtime na místním počítači.

  3. Načtěte ověřovací klíč a zaregistrujte místní prostředí Integration Runtime s klíčem. Tady je příklad PowerShellu:

    
    Get-AzDataFactoryV2IntegrationRuntimeKey -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName  
    
    

Poznámka:

Spuštění příkazu PowerShellu v Azure Government najdete v tématu Připojení ke službě Azure Government pomocí PowerShellu.

Vytvoření místního prostředí IR prostřednictvím uživatelského rozhraní

Pomocí následujících kroků vytvořte místní prostředí IR pomocí uživatelského rozhraní Azure Data Factory nebo Azure Synapse.

  1. Na domovské stránce uživatelského rozhraní služby Azure Data Factory vyberte v levém podokně kartu Spravovat.

    Tlačítko Spravovat domovskou stránku

  2. V levém podokně vyberte Prostředí Integration Runtime a pak vyberte +Nový.

    Vytvoření prostředí Integration Runtime

  3. Na stránce nastavení prostředí Integration Runtime vyberte Azure, v místním prostředí a pak vyberte Pokračovat.

  4. Na následující stránce vyberte Místní prostředí a vytvořte místní prostředí IR a pak vyberte Pokračovat. Vytvoření místního prostředí IR

Konfigurace místního prostředí IR prostřednictvím uživatelského rozhraní

  1. Zadejte název prostředí IR a vyberte Vytvořit.

  2. Na stránce nastavení prostředí Integration Runtime vyberte odkaz v části Možnost 1 a otevřete expresní instalaci na vašem počítači. Nebo postupujte podle kroků v části Možnost 2 a nastavte je ručně. Následující pokyny jsou založené na ručním nastavení:

    Instalace prostředí Integration Runtime

    1. Zkopírujte a vložte ověřovací klíč. Vyberte Stáhnout a nainstalovat prostředí Integration Runtime.

    2. Na místním počítači s Windows stáhněte místní prostředí Integration Runtime. Spusťte instalační program.

    3. Na stránce Zaregistrovat Integration Runtime (v místním prostředí) vložte klíč, který jste si uložili dříve, a vyberte Zaregistrovat.

      Registrace prostředí Integration Runtime

    4. Na stránce Nový Integration Runtime (v místním prostředí) Uzel vyberte Dokončit.

  3. Po úspěšné registraci místního prostředí Integration Runtime se zobrazí následující okno:

    Úspěšná registrace

Nastavení místního prostředí IR na virtuálním počítači Azure prostřednictvím šablony Azure Resource Manageru

Nastavení místního prostředí IR na virtuálním počítači Azure můžete automatizovat pomocí šablony Vytvořit místní prostředí IR hostitele. Šablona poskytuje snadný způsob, jak mít plně funkční místní prostředí IR v rámci virtuální sítě Azure. Prostředí IR má funkce vysoké dostupnosti a škálovatelnosti, pokud nastavíte počet uzlů na 2 nebo vyšší.

Nastavení existujícího místního prostředí IR prostřednictvím místního Prostředí PowerShell

K nastavení nebo správě existujícího místního prostředí IR můžete použít příkazový řádek. Toto použití může zvlášť pomoct automatizovat instalaci a registraci uzlů místního prostředí IR.

Dmgcmd.exe je součástí místního instalačního programu. Obvykle se nachází ve složce C:\Program Files\Microsoft Integration Runtime\5.0\Shared\. Tato aplikace podporuje různé parametry a lze ji vyvolat pomocí příkazového řádku pomocí dávkových skriptů pro automatizaci.

Aplikaci použijte následujícím způsobem:

dmgcmd ACTION args...

Tady jsou podrobnosti o akcích a argumentech aplikace:

AKCE args Popis
-rn,
-RegisterNewNode
"<AuthenticationKey>" ["<NodeName>"] Zaregistrujte uzel místního prostředí Integration Runtime se zadaným ověřovacím klíčem a názvem uzlu.
-era,
-EnableRemoteAccess
"<port>" ["<thumbprint>"] Povolte vzdálený přístup na aktuálním uzlu a nastavte cluster s vysokou dostupností. Nebo povolte nastavení přihlašovacích údajů přímo proti místnímu prostředí IR, aniž byste museli procházet pracovní prostor Azure Data Factory nebo Azure Synapse. Provedete to tak, že použijete rutinu New-AzDataFactoryV2LinkedServiceEncryptedCredential ze vzdáleného počítače ve stejné síti.
-erac,
-EnableRemoteAccessInContainer
"<port>" ["<thumbprint>"] Povolte vzdálený přístup k aktuálnímu uzlu, když je uzel spuštěný v kontejneru.
-dra,
-DisableRemoteAccess
Zakažte vzdálený přístup k aktuálnímu uzlu. Pro nastavení více uzlu je potřeba vzdálený přístup. Rutina PowerShellu New-AzDataFactoryV2LinkedServiceEncryptedCredential stále funguje i v případě, že je zakázaný vzdálený přístup. Toto chování platí, pokud se rutina spustí na stejném počítači jako uzel místního prostředí IR.
-k,
-Key
"<AuthenticationKey>" Přepište nebo aktualizujte předchozí ověřovací klíč. Buďte opatrní s touto akcí. Pokud je klíč nového prostředí Integration Runtime, může předchozí uzel místního prostředí IR přejít do režimu offline.
-gbf,
-GenerateBackupFile
"<filePath>" "<password>" Vygenerujte záložní soubor pro aktuální uzel. Záložní soubor obsahuje klíč uzlu a přihlašovací údaje k úložišti dat.
-ibf,
-ImportBackupFile
"<filePath>" "<password>" Obnovte uzel ze záložního souboru.
-r,
-Restart
Restartujte hostitelskou službu prostředí Integration Runtime v místním prostředí.
-s,
-Start
Spusťte hostitelskou službu místního prostředí Integration Runtime.
-t,
-Stop
Zastavte hostitelskou službu místního prostředí Integration Runtime.
-sus,
-StartUpgradeService
Spusťte službu upgradu místního prostředí Integration Runtime.
-tus,
-StopUpgradeService
Zastavte službu upgradu místního prostředí Integration Runtime.
-tonau,
-TurnOnAutoUpdate
Zapněte automatickou aktualizaci místního prostředí Integration Runtime. Tento příkaz je určený jenom pro Azure Data Factory verze 1.
-toffau,
-TurnOffAutoUpdate
Vypněte automatickou aktualizaci místního prostředí Integration Runtime. Tento příkaz je určený jenom pro Azure Data Factory verze 1.
-ssa,
-SwitchServiceAccount
"<domain\user>" ["<password>"] Nastavte DIAHostService tak, aby běžel jako nový účet. Použijte prázdné heslo "" pro systémové účty a virtuální účty.
-elma,
-EnableLocalMachineAccess
Na aktuálním uzlu místního prostředí IR povolte přístup k místnímu počítači (localhost, privátní IP adresa). Ve scénáři vysoké dostupnosti místního prostředí IR je potřeba vyvolat akci na každém uzlu místního prostředí IR.
-dlma,
-DisableLocalMachineAccess
Zakažte přístup k místnímu počítači (localhost, privátní IP adresa) na aktuálním uzlu místního prostředí IR. Ve scénáři vysoké dostupnosti místního prostředí IR je potřeba vyvolat akci na každém uzlu místního prostředí IR.
-DisableLocalFolderPathValidation Zakažte ověření zabezpečení a povolte přístup k systému souborů místního počítače.
-EnableLocalFolderPathValidation Povolením ověření zabezpečení zakažte přístup k systému souborů místního počítače.
-eesp,
-EnableExecuteSsisPackage
Povolte spouštění balíčků SSIS na uzlu místního prostředí IR.
-desp,
-DisableExecuteSsisPackage
Zakažte spouštění balíčků SSIS na uzlu místního prostředí IR.
-gesp,
-GetExecuteSsisPackage
Získejte hodnotu, pokud je na uzlu místního prostředí IR povolená možnost ExecuteSsisPackage.
Pokud je vrácená hodnota true, je povoleno ExecuteSSISPackage; Pokud je vrácená hodnota false nebo null, je funkce ExecuteSSISPackage zakázaná.

Instalace a registrace místního prostředí IR z webu Microsoft Download Center

  1. Přejděte na stránku pro stažení prostředí Microsoft Integration Runtime.

  2. Vyberte Stáhnout, vyberte 64bitovou verzi a vyberte Další. 32bitová verze není podporovaná.

  3. Spusťte soubor MSI přímo nebo ho uložte na pevný disk a spusťte ho.

  4. V úvodním okně vyberte jazyk a vyberte Další.

  5. Přijměte licenční podmínky pro software společnosti Microsoft a vyberte Další.

  6. Vyberte složku, do které chcete nainstalovat místní prostředí Integration Runtime, a vyberte Další.

  7. Na stránce Připraveno k instalaci vyberte Nainstalovat.

  8. Chcete-li dokončit instalaci, vyberte Dokončit .

  9. Získejte ověřovací klíč pomocí PowerShellu. Tady je příklad PowerShellu pro načtení ověřovacího klíče:

    Get-AzDataFactoryV2IntegrationRuntimeKey -ResourceGroupName $resourceGroupName -DataFactoryName $dataFactoryName -Name $selfHostedIntegrationRuntimeName
    
  10. V okně Zaregistrovat Integration Runtime (v místním prostředí) v nástroji Microsoft Integration Runtime Configuration Manager spuštěný na vašem počítači proveďte následující kroky:

    1. Vložte ověřovací klíč do textové oblasti.

    2. Volitelně můžete vybrat Zobrazit ověřovací klíč a zobrazit text klíče.

    3. Vyberte Zaregistrovat.

Poznámka:

Poznámky k verzi jsou k dispozici na stejné stránce stažení prostředí Microsoft Integration Runtime.

Účet služby pro místní prostředí Integration Runtime

Výchozí protokol účtu služby místního prostředí Integration Runtime je NT SERVICE\DIAHostService. Můžete ji zobrazit ve službách –> Služba Integration Runtime –> Vlastnosti –> Přihlášení.

Účet služby pro místní prostředí Integration Runtime

Ujistěte se, že účet má oprávnění přihlásit se jako služba. Jinak místní prostředí Integration Runtime nejde úspěšně spustit. Oprávnění můžete zkontrolovat v místních zásadách zabezpečení –> Nastavení zabezpečení –> Místní zásady –> Přiřazení uživatelských práv –> Přihlášení jako služba

Snímek obrazovky s místními zásadami zabezpečení – Přiřazení uživatelských práv

Snímek obrazovky s přiřazením uživatelských práv k přihlášení jako služby

Ikony a oznámení oznamovací oblasti

Pokud přesunete kurzor na ikonu nebo zprávu v oznamovací oblasti, zobrazí se podrobnosti o stavu místního prostředí Integration Runtime.

Oznámení v oznamovací oblasti

Vysoká dostupnost a škálovatelnost

Místní prostředí Integration Runtime můžete přidružit k několika místním počítačům nebo virtuálním počítačům v Azure. Tyto počítače se nazývají uzly. K místnímu prostředí Integration Runtime můžete mít přidružené až čtyři uzly. Výhody, které mají několik uzlů na místních počítačích s nainstalovanou bránou pro logickou bránu, jsou:

  • Vyšší dostupnost místního prostředí Integration Runtime, aby už nedošlo k jedinému bodu selhání v řešení pro velké objemy dat nebo integraci cloudových dat. Tato dostupnost pomáhá zajistit kontinuitu při použití až čtyř uzlů.
  • Lepší výkon a propustnost během přesunu dat mezi místními a cloudovými úložišti dat. Získejte další informace o porovnání výkonu.

Více uzlů můžete přidružit instalací softwaru integration runtime v místním prostředí z webu Download Center. Pak ho zaregistrujte pomocí některého z ověřovacích klíčů získaných z rutiny New-AzDataFactoryV2IntegrationRuntimeKey , jak je popsáno v tomto kurzu.

Poznámka:

K přidružení jednotlivých uzlů nemusíte vytvářet nový místní prostředí Integration Runtime. Místní prostředí Integration Runtime můžete nainstalovat na jiný počítač a zaregistrovat ho pomocí stejného ověřovacího klíče.

Poznámka:

Před přidáním dalšího uzlu pro zajištění vysoké dostupnosti a škálovatelnosti se ujistěte, že je na prvním uzlu povolený vzdálený přístup k intranetu . Uděláte to tak, že vyberete Vzdálený přístup k intranetu v nastavení nástroje>Microsoft Integration Runtime Configuration Manager.>

Důležité informace o škálování

Horizontální navýšení kapacity

Pokud je využití procesoru vysoké a dostupná paměť je nízká v místním prostředí IR, přidejte nový uzel, který pomáhá škálovat zatížení napříč počítači. Pokud aktivity selžou, protože vyprší jejich časový limit nebo je uzel místního prostředí IR offline, pomůže vám to, když do brány přidáte uzel. Pokud chcete přidat uzel, proveďte následující kroky:

  1. Stáhněte nastavení SHIR z portálu Azure Data Factory.
  2. Spusťte instalační program na uzlu, který chcete přidat do clusteru.
  3. Během instalace vyberte možnost připojení existujícího prostředí Integration Runtime a zadejte ověřovací klíč z existujícího prostředí SHIR, který propojí nový uzel s existujícím clusterem SHIR.

Vertikální navýšení kapacity

Pokud procesor a dostupná paměť RAM nejsou dobře využité, ale provádění souběžných úloh dosáhne limitů uzlu, vertikálně navyšte kapacitu zvýšením počtu souběžných úloh, které může uzel spustit. Můžete také chtít vertikálně navýšit kapacitu, když vyprší časový limit aktivit, protože je přetížené místní prostředí IR. Jak je znázorněno na následujícím obrázku, můžete zvýšit maximální kapacitu uzlu:

Zvýšení počtu souběžných úloh, které se dají spustit na uzlu

Požadavky na certifikát TLS/SSL

Pokud chcete povolit vzdálený přístup z intranetu s certifikátem TLS/SSL (Advanced), abyste mohli zabezpečit komunikaci mezi uzly prostředí Integration Runtime, můžete postupovat podle kroků v tématu Povolení vzdáleného přístupu z intranetu pomocí certifikátu TLS/SSL.

Poznámka:

Tento certifikát se používá:

  • Šifrování portů na uzlu místního prostředí IR
  • Pro komunikaci mezi uzly pro synchronizaci stavu, která zahrnuje synchronizaci přihlašovacích údajů propojených služeb mezi uzly.
  • Pokud se rutina PowerShellu používá pro nastavení přihlašovacích údajů propojené služby z místní sítě.

Doporučujeme použít tento certifikát, pokud vaše privátní síťové prostředí není zabezpečené nebo pokud chcete zabezpečit komunikaci mezi uzly v rámci privátní sítě.

Přesun dat při přenosu z místního prostředí IR do jiných úložišť dat se vždy provádí v rámci šifrovaného kanálu bez ohledu na to, jestli je tento certifikát nastavený nebo ne.

Synchronizace přihlašovacích údajů

Pokud do služby Azure Key Vault neukládáte přihlašovací údaje ani tajné hodnoty, uloží se přihlašovací údaje nebo hodnoty tajných kódů na počítačích, kde se nachází místní prostředí Integration Runtime. Každý uzel bude mít kopii přihlašovacích údajů s určitou verzí. Aby všechny uzly fungovaly společně, mělo by být číslo verze stejné pro všechny uzly.

Důležité informace o proxy serveru

Pokud vaše prostředí podnikové sítě používá pro přístup k internetu proxy server, nakonfigurujte místní prostředí Integration Runtime tak, aby používalo odpovídající nastavení proxy serveru. Proxy server můžete nastavit během počáteční fáze registrace.

Zadání proxy serveru

Při konfiguraci se místní prostředí Integration Runtime pomocí proxy serveru připojí ke zdroji a cíli cloudové služby (které používají protokol HTTP nebo HTTPS). Proto při počátečním nastavení vyberete změnit odkaz .

Nastavení proxy serveru

Existují tři možnosti konfigurace:

  • Nepoužívejte proxy server: Místní prostředí Integration Runtime explicitně nepoužívá pro připojení ke cloudovým službám žádný proxy server.
  • Použití systémového proxy serveru: Místní prostředí Integration Runtime používá nastavení proxy, které je nakonfigurované v diahost.exe.config a diawp.exe.config. Pokud tyto soubory nezadávají žádnou konfiguraci proxy serveru, místní prostředí Integration Runtime se připojí ke cloudové službě přímo bez průchodu proxy serverem.
  • Použití vlastního proxy serveru: Nakonfigurujte nastavení proxy serveru HTTP tak, aby se používalo pro místní prostředí Integration Runtime místo použití konfigurací v souboru diahost.exe.config a diawp.exe.config. Jsou vyžadovány hodnoty adresy a portu . Hodnoty uživatelského jména a hesla jsou volitelné v závislosti na nastavení ověřování vašeho proxy serveru. Všechna nastavení se šifrují pomocí Rozhraní WINDOWS DPAPI v místním prostředí Integration Runtime a ukládají se místně na počítači.

Hostitelská služba prostředí Integration Runtime se po uložení aktualizovaných nastavení proxy serveru automaticky restartuje.

Pokud chcete zobrazit nebo aktualizovat nastavení proxy serveru, zaregistrujte místní prostředí Integration Runtime Configuration Manager.

  1. Otevřete Nástroj Microsoft Integration Runtime Configuration Manager.
  2. Vyberte kartu Nastavení.
  3. V části Proxy http vyberte odkaz Změnit a otevřete dialogové okno Nastavit proxy server HTTP.
  4. Vyberte Další. Zobrazí se upozornění, které požádá o vaše oprávnění k uložení nastavení proxy serveru a restartování hostitelské služby Integration Runtime.

Nástroj Configuration Manager můžete použít k zobrazení a aktualizaci proxy serveru HTTP.

Zobrazení a aktualizace proxy serveru

Poznámka:

Pokud nastavíte proxy server s ověřováním NTLM, hostitelská služba prostředí Integration Runtime běží pod účtem domény. Pokud později změníte heslo pro účet domény, nezapomeňte aktualizovat nastavení konfigurace pro službu a restartovat službu. Kvůli tomuto požadavku doporučujeme, abyste k proxy serveru přistupovali pomocí vyhrazeného účtu domény, který nevyžaduje časté aktualizace hesla.

Konfigurace nastavení proxy serveru

Pokud vyberete možnost Použít systémový proxy server pro proxy server HTTP, místní prostředí Integration Runtime použije nastavení proxy serveru v souboru diahost.exe.config a diawp.exe.config. Pokud tyto soubory nezadávají žádný proxy server, místní prostředí Integration Runtime se připojí ke cloudové službě přímo bez průchodu proxy serverem. Následující postup obsahuje pokyny k aktualizaci souboru diahost.exe.config:

  1. V Průzkumník souborů vytvořte bezpečnou kopii C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config jako zálohu původního souboru.

  2. Otevřete Poznámkový blok spuštěný jako správce.

  3. V Poznámkovém bloku otevřete textový soubor C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config.

  4. Najděte výchozí značku system.net , jak je znázorněno v následujícím kódu:

    <system.net>
        <defaultProxy useDefaultCredentials="true" />
    </system.net>
    

    Pak můžete přidat podrobnosti proxy serveru, jak je znázorněno v následujícím příkladu:

    <system.net>
        <defaultProxy enabled="true">
              <proxy bypassonlocal="true" proxyaddress="http://proxy.domain.org:8888/" />
        </defaultProxy>
    </system.net>
    

    Značka proxy umožňuje dalším vlastnostem zadat požadovaná nastavení, jako je scriptLocation. Syntaxi <najdete v části Element proxy> (Nastavení sítě).

    <proxy autoDetect="true|false|unspecified" bypassonlocal="true|false|unspecified" proxyaddress="uriString" scriptLocation="uriString" usesystemdefault="true|false|unspecified "/>
    
  5. Uložte konfigurační soubor do původního umístění. Potom restartujte hostitelskou službu prostředí Integration Runtime v místním prostředí, která převezme změny.

    Pokud chcete službu restartovat, použijte aplet služeb z Ovládací panely. Nebo v nástroji Integration Runtime Configuration Manager vyberte tlačítko Zastavit službu a pak vyberte Spustit službu.

    Pokud se služba nespustí, pravděpodobně jste do konfiguračního souboru aplikace, který jste upravili, přidali nesprávnou syntaxi značky XML.

Důležité

Nezapomeňte aktualizovat diahost.exe.config i diawp.exe.config.

Musíte se také ujistit, že microsoft Azure je v seznamu povolených společností. Můžete si stáhnout seznam platných IP adres Azure. RozsahyIPch

Konfigurace nastavení proxy serveru při použití privátního koncového bodu

Pokud architektura sítě vaší společnosti zahrnuje použití privátních koncových bodů a z bezpečnostních důvodů a zásady vaší společnosti neumožňují přímé připojení k internetu z virtuálního počítače hostujícího místní prostředí Integration Runtime k adrese URL služby Azure Data Factory, budete muset povolit obejití adresy URL služby ADF kvůli úplnému připojení. Následující postup obsahuje pokyny k aktualizaci souboru diahost.exe.config. Tento postup byste také měli zopakovat pro soubor diawp.exe.config.

  1. V Průzkumník souborů vytvořte bezpečnou kopii C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config jako zálohu původního souboru.

  2. Otevřete Poznámkový blok spuštěný jako správce.

  3. V Poznámkovém bloku otevřete C:\Program Files\Microsoft Integration Runtime\5.0\Shared\diahost.exe.config.

  4. Najděte výchozí system.net značku, jak je znázorněno tady:

    <system.net>
        <defaultProxy useDefaultCredentials="true" />
    </system.net>
    

    Pak můžete přidat podrobnosti bypasslistu, jak je znázorněno v následujícím příkladu:

    <system.net>
      <defaultProxy>
          <bypasslist>
              <add address = "[adfresourcename].[adfresourcelocation].datafactory.azure.net" />
          </bypasslist>
          <proxy 
          usesystemdefault="True"
          proxyaddress="http://proxy.domain.org:8888/"
          bypassonlocal="True"
          />
      </defaultProxy>
    </system.net>
    

Pokud se zobrazí chybové zprávy podobné následujícím zprávě, je pravděpodobné, že je nesprávná konfigurace brány firewall nebo proxy serveru. Tato konfigurace brání místnímu prostředí Integration Runtime v připojení k kanálům Data Factory nebo Synapse, aby se ověřilo. Informace o správné konfiguraci brány firewall a proxy serveru najdete v předchozí části.

  • Při pokusu o registraci místního prostředí Integration Runtime se zobrazí následující chybová zpráva: Nepodařilo se zaregistrovat tento uzel prostředí Integration Runtime. Ověřte, že je ověřovací klíč platný a na tomto počítači je spuštěná hostitelská služba integrační služby.

  • Když otevřete Nástroj Integration Runtime Configuration Manager, zobrazí se stav Odpojeno nebo Připojení. Při zobrazení protokolů událostí systému Windows se v části Prohlížeč událostí> Application a Services Logs>Microsoft Integration Runtime zobrazí chybové zprávy podobné tomuto:

    Unable to connect to the remote server
    A component of Integration Runtime has become unresponsive and restarts automatically. Component name: Integration Runtime (self-hosted).
    

Povolení vzdáleného přístupu z intranetu

Pokud používáte PowerShell k šifrování přihlašovacích údajů z jiného síťového počítače, než je místo, kde jste nainstalovali místní prostředí Integration Runtime, můžete povolit vzdálený přístup z intranetu. Pokud spustíte PowerShell pro šifrování přihlašovacích údajů na počítači, na kterém jste nainstalovali místní prostředí Integration Runtime, nemůžete povolit vzdálený přístup z intranetu.

Před přidáním dalšího uzlu pro zajištění vysoké dostupnosti a škálovatelnosti povolte vzdálený přístup z intranetu .

Při spuštění instalace místního prostředí Integration Runtime verze 3.3 nebo novější ve výchozím nastavení instalační program prostředí Integration Runtime v místním prostředí zakáže vzdálený přístup z intranetu na počítači s místním prostředím Integration Runtime.

Pokud používáte bránu firewall od partnera nebo jiného uživatele, můžete ručně otevřít port 8060 nebo port nakonfigurovaný uživatelem. Pokud máte potíže s bránou firewall při nastavování místního prostředí Integration Runtime, pomocí následujícího příkazu nainstalujte místní prostředí Integration Runtime bez konfigurace brány firewall:

msiexec /q /i IntegrationRuntime.msi NOFIREWALL=1

Pokud se rozhodnete neotevřet port 8060 na počítači s místním prostředím Integration Runtime, použijte k konfiguraci přihlašovacích údajů přihlašovacích údajů jiné mechanismy než nastavení přihlašovacích údajů. Můžete například použít rutinu PowerShellu New-AzDataFactoryV2LinkedServiceEncryptCredential .

Porty a brány firewall

Je potřeba vzít v úvahu dvě brány firewall:

  • Podniková brána firewall , která běží na centrálním směrovači organizace
  • Brána Windows Firewall nakonfigurovaná jako démon na místním počítači, na kterém je nainstalovaný místní prostředí Integration Runtime

Brány firewall

Na úrovni podnikové brány firewall je potřeba nakonfigurovat následující domény a odchozí porty:

Názvy domén Odchozí porty Popis
Veřejný cloud: *.servicebus.windows.net
Azure Government: *.servicebus.usgovcloudapi.net
Čína: *.servicebus.chinacloudapi.cn
443 Vyžaduje místní prostředí Integration Runtime pro interaktivní vytváření. Nevyžaduje se, pokud je povolené samostatné interaktivní vytváření.
Veřejný cloud: {datafactory}.{region}.datafactory.azure.net
nebo *.frontend.clouddatahub.net
Azure Government: {datafactory}.{region}.datafactory.azure.us
Čína: {datafactory}.{region}.datafactory.azure.cn
443 Vyžaduje místní prostředí Integration Runtime pro připojení ke službě Data Factory.
V případě nově vytvořené služby Data Factory ve veřejném cloudu vyhledejte plně kvalifikovaný název domény (FQDN) z klíče místního prostředí Integration Runtime, který je ve formátu {data factory}. {region}.datafactory.azure.net. Pro starou datovou továrnu a jakoukoli verzi Azure Synapse Analytics, pokud v klíči integrace v místním prostředí nevidíte plně kvalifikovaný název domény, použijte místo toho *.frontend.clouddatahub.net.
download.microsoft.com 443 Ke stažení aktualizací vyžaduje místní prostředí Integration Runtime. Pokud jste zakázali automatické aktualizace, můžete přeskočit konfiguraci této domény.
Adresa URL služby Key Vault 443 Služba Azure Key Vault vyžaduje, pokud přihlašovací údaje ukládáte ve službě Key Vault.

Na úrovni brány Windows Firewall nebo počítače jsou tyto odchozí porty normálně povolené. Pokud ne, můžete nakonfigurovat domény a porty na počítači s místním prostředím Integration Runtime.

Poznámka:

Vzhledem k tomu, že Azure Relay v současné době nepodporuje značku služby, musíte v pravidlech NSG použít značku služby AzureCloud nebo Internet pro komunikaci s Azure Relay. Pro komunikaci s pracovními prostory Azure Data Factory a Synapse můžete v nastavení pravidla NSG použít značku služby DataFactoryManagement .

V závislosti na zdroji a jímkách možná budete muset povolit další domény a odchozí porty v podnikové bráně firewall nebo bráně Windows Firewall.

Názvy domén Odchozí porty Popis
*.core.windows.net 443 Prostředí Integration Runtime v místním prostředí se používá k připojení k účtu úložiště Azure při použití funkce fázované kopie.
*.database.windows.net 1433 Vyžaduje se pouze v případě, že kopírujete z azure SQL Database nebo Azure Synapse Analytics nebo do azure Synapse Analytics a v opačném případě je volitelné. Pomocí funkce fázovaného kopírování můžete kopírovat data do SLUŽBY SQL Database nebo Azure Synapse Analytics bez otevření portu 1433.
*.azuredatalakestore.net
login.microsoftonline.com/<tenant>/oauth2/token
443 Povinné pouze v případě, že kopírujete z Azure Data Lake Store nebo do Azure Data Lake Store a v opačném případě je volitelné.

U některých cloudových databází, jako je Azure SQL Database a Azure Data Lake, možná budete muset povolit IP adresy počítačů místního prostředí Integration Runtime v konfiguraci brány firewall.

Poznámka:

Není vhodné nainstalovat na stejný počítač jak Integration Runtime, tak bránu Power BI, protože hlavně Integration Runtime používá číslo portu 443, což je jeden z hlavních portů používaných také bránou Power BI.

Interaktivní vytváření s vlastním obsahem (Preview)

Aby bylo možné provádět interaktivní akce vytváření, jako je náhled dat a testování připojení, vyžaduje místní prostředí Integration Runtime připojení ke službě Azure Relay. Pokud se připojení nenaváže, existují dvě možná řešení, která zajistí nepřerušenou funkčnost. První možností je přidat koncové body Služby Azure Relay do seznamu povolených adres URL služby Azure Relay vaší brány firewall. Alternativně můžete povolit samostatné interaktivní vytváření.

Poznámka:

Pokud se místnímu prostředí Integration Runtime nepodaří navázat připojení ke službě Azure Relay, bude jeho stav označený jako omezený.

Snímek obrazovky s vlastním interaktivním vytvářením

Poznámka:

I když je povolené samostatné interaktivní vytváření, veškerý interaktivní provoz vytváření se bude směrovat výhradně prostřednictvím této funkce a obejít Azure Relay. Provoz se přesměruje zpět do Služby Azure Relay, jenom když se rozhodnete tuto funkci zakázat.

Poznámka:

Pokud je povolené samostatné interaktivní vytváření, nepodporuje se jak získání IP adresy, tak odesílání protokolu.

Získání adresy URL služby Azure Relay

Jedna požadovaná doména a port, které je potřeba umístit do seznamu povolených bran firewall, je komunikace se službou Azure Relay. Místní prostředí Integration Runtime ho používá k interaktivnímu vytváření, jako je testovací připojení, seznam složek procházení a seznam tabulek, získání schématu a náhled dat. Pokud nechcete povolit .servicebus.windows.net a chcete mít konkrétnější adresy URL, zobrazí se všechny plně kvalifikované názvy domén, které vyžadují místní prostředí Integration Runtime, z portálu služby.

Získání adresy URL služby Azure Relay prostřednictvím uživatelského rozhraní:

Postupujte následovně:

  1. Přejděte na portál služby a vyberte místní prostředí Integration Runtime.

  2. Na stránce Upravit vyberte Uzly.

  3. Výběrem možnosti Zobrazit adresy URL služby získáte všechny plně kvalifikované názvy domén.

    Adresy URL služby Azure Relay

  4. Tyto plně kvalifikované názvy domén můžete přidat do seznamu povolených pravidel brány firewall.

Poznámka:

Podrobnosti týkající se protokolu připojení Azure Relay najdete v tématu Protokol Azure Relay Hybrid Connections.

Získání adresy URL služby Azure Relay prostřednictvím skriptu:

# The documentation of Synapse self hosted integration runtime (SHIR) mentions that the SHIR requires access to the Azure Service Bus IP addresses
# https://learn.microsoft.com/en-us/azure/data-factory/create-self-hosted-integration-runtime
# It is a requirement to use a wildcard (*.servicebus.windows.net) in your firewalls.
# While this is the easiest way to clear the firewall, it also opens the firewall to all Azure Service Bus IP addresses, including malicious_actor.servicebus.windows.net.
# This might be restricted by your security policies.
# This script resolves the Azure Service Bus IP addresses used by an integration runtime and adds them to the network security group (NSG) rule for the Synapse self-hosted integration runtime (SHIR).
# As the mapping of IP addresses to Domain Names might change, we recommend to run at least once a day to keep the NSG up to date.
# An alternative to running this script is to use the "Self-contained interactive authoring" feature of the self hosted integration runtime.

# Prerequisites:
# - PowerShell installed
# - Azure CLI (az) installed and logged in (https://learn.microsoft.com/en-us/cli/azure/)
# - signed in user needs rights to modify NSG (e.g. Network contributor) and to read status of the SHIR (e.g. reader), plus reader on the subscription

param (
    [string]$synapseRresourceGroupName = "synapse_test",
    [string]$nsgResourceGroupName = "adf_shir_rg",
    [string]$synapseWorkspaceName = "synapse-test-jugi2",
    [string]$integrationRuntimeName = "IntegrationRuntime2",
    [string]$networkSecurityGroupName = "jugis-shir-nsg",
    [string]$securityRuleName = "AllowSynapseServiceBusIPs",
    [int]$priority = 100
)

# Check if the user is already logged in
$azAccount = az account show 2>$null

if (-not $azAccount) {
    # Run az login with managed identity if not logged in
    az login --identity
}

# Retrieve the URLs of the connections from the Synapse self-hosted integration runtime
$urls = az synapse integration-runtime get-status `
    --resource-group $synapseResourceGroupName `
    --workspace-name $synapseWorkspaceName `
    --name $integrationRuntimeName `
    --query "properties.serviceUrls" -o tsv

# Initialize an empty array to hold the IP addresses
$ipAddresses = @()

# Iterate over the URLs to resolve and collect the IP addresses
# The proper DNS resolution might only work within Azure, not locally
foreach ($url in $urls) {
    Write-Output "Processing URL: $url"
    $ip = [System.Net.Dns]::GetHostAddresses($url) | Where-Object { $_.AddressFamily -eq 'InterNetwork' } | Select-Object -ExpandProperty IPAddressToString
    if ($ip) {
        $ipAddresses += $ip
    }
}

# Remove duplicate IP addresses from the array
$ipAddresses = $ipAddresses | Sort-Object -Unique

# Convert the array of IP addresses to a space-separated string
$ipAddressesString = $ipAddresses -join ' '

# Create or update the network security group rule to allow outbound traffic for the collected IP addresses
# Using Invoke-Expression to handle the command string
$az_cmd = "az network nsg rule create --resource-group $nsgResourceGroupName --nsg-name $networkSecurityGroupName --name $securityRuleName --priority $priority --destination-address-prefixes $ipAddressesString --destination-port-ranges '443' --direction Outbound --access Allow --protocol '*' --description 'Allow outbound access to Synapse servicebus IPs'"
Invoke-Expression $az_cmd

Kopírování dat ze zdroje do jímky

Ujistěte se, že správně povolíte pravidla brány firewall pro podnikovou bránu firewall, bránu Windows firewall počítače s místním prostředím Integration Runtime a samotné úložiště dat. Povolením těchto pravidel se místní prostředí Integration Runtime úspěšně připojí ke zdroji i jímce. Povolte pravidla pro každé úložiště dat, které je součástí operace kopírování.

Pokud například chcete zkopírovat z místního úložiště dat do jímky služby SQL Database nebo jímky Azure Synapse Analytics, postupujte takto:

  1. Povolte odchozí komunikaci TCP na portu 1433 pro bránu Windows Firewall i podnikovou bránu firewall.
  2. Nakonfigurujte nastavení brány firewall služby SQL Database tak, aby do seznamu povolených IP adres přidala IP adresu počítače místního prostředí Integration Runtime.

Poznámka:

Pokud brána firewall nepovoluje odchozí port 1433, místní prostředí Integration Runtime nemá přímý přístup k databázi SQL. V tomto případě můžete použít fázovanou kopii do SLUŽBY SQL Database a Azure Synapse Analytics. V tomto scénáři vyžadujete pouze HTTPS (port 443) pro přesun dat.

Pokud jsou všechny vaše zdroje dat a jímka a místní prostředí Integration Runtime v místním prostředí, kopírovaná data nebudou chodit do cloudu, ale přísně zůstanou v místním prostředí.

Úložiště přihlašovacích údajů

Přihlašovací údaje se dají ukládat dvěma způsoby při použití místního prostředí Integration Runtime:

  1. Použijte Azure Key Vault.

Toto je doporučený způsob ukládání přihlašovacích údajů v Azure. Místní prostředí Integration Runtime může přímo získat přihlašovací údaje ze služby Azure Key Vault, což může vysoce zabránit některým potenciálním problémům se zabezpečením nebo problémům se synchronizací přihlašovacích údajů mezi uzly místního prostředí Integration Runtime. 2. Přihlašovací údaje uložte místně.

Přihlašovací údaje se nasdílí do počítače místního prostředí Integration Runtime a budou šifrované. Když dojde k obnovení místního prostředí Integration Runtime z chybového ukončení, můžete buď obnovit přihlašovací údaje z prostředí, které zálohujete dříve, nebo upravit propojenou službu a umožnit opětovné vložení přihlašovacích údajů do místního prostředí Integration Runtime. Jinak kanál nefunguje kvůli nedostatku přihlašovacích údajů při spuštění prostřednictvím místního prostředí Integration Runtime.

Poznámka:

Pokud dáváte přednost místnímu ukládání přihlašovacích údajů, musíte doménu pro interaktivní vytváření umístit do seznamu povolených bran firewall a otevřít port. Tento kanál je také určený pro místní prostředí Integration Runtime, aby získal přihlašovací údaje. Informace o doméně a portu potřebném pro interaktivní vytváření najdete v části Porty a brány firewall.

Osvědčené postupy instalace

Místní prostředí Integration Runtime můžete nainstalovat stažením instalačního balíčku spravované identity z webu Microsoft Download Center. Podrobné pokyny najdete v článku Přesun dat mezi místním prostředím a cloudem .

  • Nakonfigurujte plán napájení na hostitelském počítači pro místní prostředí Integration Runtime, aby se počítač nepřestavil do režimu hibernace. Pokud hostitelský počítač přejde do režimu hibernace, místní prostředí Integration Runtime přejde do režimu offline.
  • Pravidelně zálohujte přihlašovací údaje přidružené k místnímu prostředí Integration Runtime.
  • Pokud chcete automatizovat operace nastavení místního prostředí IR, přečtěte si informace o nastavení existujícího místního prostředí IR prostřednictvím PowerShellu.

Důležitá poznámka

Při instalaci místního prostředí Integration Runtime zvažte následující:

  • Mějte ho blízko ke zdroji dat, ale ne nutně na stejném počítači.
  • Neinstalujte ho na stejný počítač jako brána Power BI.
  • Pouze Windows Server (šifrovací servery kompatibilní se standardem FIPS můžou způsobit selhání úloh)
  • Sdílení napříč několika zdroji dat
  • Sdílení napříč několika datovými továrnami

Podrobné pokyny najdete v kurzu : Kopírování místních dat do cloudu.