Microsoft Purview アカウントでマネージド仮想ネットワークを使用する
この記事では、Microsoft Purview のマネージド仮想ネットワークとマネージド プライベート エンドポイントについて説明します。
注:
Microsoft Purview では、2023 年 11 月中旬にマネージド Virtual Network サポートの新しいバージョンが追加されました。 新しいマネージド プライベート エンドポイントは、古いマネージド仮想ネットワークをサポートしなくなりました。 新しいマネージド仮想ネットワークを作成すると、新しく作成されたすべてのリソースが最新バージョンを使用します。 違いについては、 こちらを参照してください。
2023 年 12 月 15 日より前に展開された Microsoft Purview アカウントには、マネージド ストレージ アカウントが含まれています。 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた) 後にデプロイされた Microsoft Purview アカウントには、Azure サブスクリプションにデプロイされたストレージ アカウントが管理されていません。 代わりに、これらのアカウントには、Microsoft の内部 Azure サブスクリプションにデプロイされたインジェスト ストレージ アカウントが含まれます。
マネージド Virtual Network
マネージド Virtual Network (仮想ネットワーク) は、Microsoft Purview によってデプロイおよび管理される仮想ネットワークであり、Azure で顧客がセルフホステッド統合ランタイム仮想マシンをデプロイおよび管理することなく、プライベート ネットワーク内のデータ ソースのスキャンを支援します。
Azure Managed Virtual Network Integration Runtimes (IR) は、使用可能な Microsoft Purview リージョンの Microsoft Purview マネージド仮想ネットワーク内にデプロイできます。 そこから、マネージド仮想ネットワーク IR はプライベート エンドポイントを使用して、サポートされているデータ ソースに安全に接続してスキャンできます。
マネージド Virtual Network内にマネージド仮想ネットワーク IR を作成すると、データ統合プロセスが分離され、セキュリティで保護されます。
マネージド Virtual Networkを使用する利点:
- マネージド Virtual Networkを使用すると、Virtual Networkを管理する負担を Microsoft Purview にオフロードできます。 Azure データ ソースのスキャンに使用する Azure Integration Runtimeの VNet またはサブネットを作成および管理する必要はありません。
- データ統合を安全に行うために、Azure ネットワークに関する深い知識は必要ありません。 マネージド Virtual Networkの使用は、データ エンジニアにとってはるかに簡略化されています。
- マネージド Virtual Networkとマネージド プライベート エンドポイントは、データ流出から保護します。
管理された仮想ネットワークは、Microsoft Purview アカウントで初めてマネージド Virtual Network Integration Runtimeを作成するときに、Microsoft Purview アカウント用に作成されます。 Microsoft Purview の外部で仮想ネットワークを表示または管理することはできません。
マネージド プライベート エンドポイント
マネージド プライベート エンドポイントは、Microsoft Purview Managed Virtual Networkで作成されたプライベート エンドポイントであり、Microsoft Purview および Azure リソースへのプライベート リンクを確立します。 Microsoft Purview は、お客様に代わってこれらのプライベート エンドポイントを管理します。
Microsoft Purview では、プライベート リンクがサポートされています。 プライベート リンクを使用すると、Azure Storage、Azure SQL Database、Azure Cosmos DB、Azure Synapse Analytics などの Azure サービスにアクセスできます。
プライベート リンクを使用すると、データ ソースとマネージド Virtual Network間のトラフィックは、Microsoft バックボーン ネットワーク経由で完全に走査されます。 Private Linkは、データ流出リスクから保護します。 プライベート エンドポイントを作成して、リソースへのプライベート リンクを確立します。
プライベート エンドポイントでは、マネージド Virtual Networkのプライベート IP アドレスを使用して、サービスを効果的に取り込みます。 プライベート エンドポイントは、サービス全体ではなく、Azure 内の特定のリソースにマップされます。 お客様は、organizationによって承認された特定のリソースへの接続を制限できます。 プライベート リンクとプライベート エンドポイントの詳細については、こちらをご覧ください。
警告
Azure PaaS データ ストア (Blob、Azure Data Lake Storage Gen2、Azure Synapse Analytics) に対してプライベート エンドポイントが既に作成されており、すべてのネットワークからのアクセスが許可されている場合でも、Microsoft Purview はマネージド プライベート エンドポイントを使用してのみアクセスできます。 プライベート エンドポイントがまだ存在しない場合は、そのようなシナリオで作成する必要があります。
Microsoft Purview でマネージド プライベート エンドポイントを作成すると、プライベート エンドポイント接続が "保留中" 状態で作成されます。 承認ワークフローが開始されます。 プライベート リンク リソース所有者は、接続を承認または拒否する責任があります。
所有者が接続を承認すると、プライベート リンクが確立されます。 そうしないと、プライベート リンクは確立されません。 どちらの場合も、マネージド プライベート エンドポイントは接続の状態で更新されます。
承認済み状態のマネージド プライベート エンドポイントのみが、特定のプライベート リンク リソースにトラフィックを送信できます。
サポートされているリージョンとデータ ソース
サポートされているリージョン:マネージド Virtual Networkは、Microsoft Purview でサポートされているすべてのリージョンで使用できます。 1 つの Microsoft Purview インスタンス内の異なるリージョンに最大 5 つのマネージド仮想ネットワークをデプロイできます。
スキャンでサポートされているデータ ソース:マネージド Virtual Network Integration Runtimeを使用して、さまざまな種類のデータ ソースをスキャンできます。 サポートされているデータ ソースを参照してください。
マネージド プライベート エンドポイントでサポートされているシステム: 次のサービスには、ネイティブ プライベート エンドポイントのサポートがあります。 Microsoft Purview のマネージド Virtual Networkからプライベート リンクを介して接続できます。
- Azure Blob Storage
- Azure Cosmos DB
- Azure Data Lake Storage Gen 2
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure Databricks
- Azure 専用 SQL プール (旧称 SQL DW)
- Azure Files
- Azure Key Vault
- Azure SQL データベース
- Azure SQL Managed Instance
- Azure Synapse Analytics
- Snowflake
価格の詳細
マネージド Virtual Network機能を使用する場合、次の 2 つの部分で課金されます。
- スキャン実行あたりの料金 (従量課金): スキャン期間 * 使用された仮想コア時間 * 仮想コア時間あたりの単価に基づいています。 これは、統合ランタイムの種類で実行されるスキャンの一般的な料金です。
- マネージド VNet IR アップタイム (常にオン): マネージド VNet IR の有効期間 * 1/8 仮想コア時間 * 仮想コア時間 あたりの単価に基づきます。 マネージド仮想ネットワーク IR の有効期間は、IR インスタンスが正常に作成されてから削除されるまでのことを意味します。 スキャンの実行に関係なく、料金が適用されます。
"自動スキャン、インジェスト & 分類" の価格の詳細については、 Microsoft Purview の価格ページを参照してください。
たとえば、特定の月に対してさまざまなデータ ソースをスキャンし、実行によって X 仮想コア時間の合計が "スキャン インジェストと分類 - Standard仮想コア" が消費され、マネージド仮想ネットワーク ランタイムが 1 か月間実行されるようにプロビジョニングされます。 料金は、スキャン実行の仮想コア時間あたり X 仮想コア時間 * $0.63 + 仮想コア時間あたり 1/8 * $0.63 * マネージド仮想ネットワーク IR アップタイムの場合は 730 時間です。
展開手順
前提条件
Microsoft Purview アカウントのマネージド仮想ネットワークとマネージド Virtual Network Integration Runtimeを展開する前に、次の前提条件を満たしていることを確認してください。
- Microsoft Purview ロールから、Microsoft Purview アカウント内の任意のコレクションに対するデータ ソース管理者アクセス許可が必要です。
- Azure RBAC ロールから、プライベート リンクを承認するには、Microsoft Purview アカウントとデータ ソースの共同作成者である必要があります。
マネージド Virtual Network Integration Runtimeの作成
次の方法で Microsoft Purview ガバナンス ポータルを開きます。
- https://web.purview.azure.comに直接移動し、Microsoft Purview アカウントを選択します。
- Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンス ポータル] ボタンを選択します。
Data Map -> 統合ランタイムに移動します。
[ 統合ランタイム ] ページで、[ + 新規 ] アイコンを選択して、新しいランタイムを作成します。 [ Azure ] を選択し、[続行] を選択 します。
マネージド Virtual Network Integration Runtimeの名前を指定し、リージョンを選択し、マネージド仮想ネットワークに名前を付けます。
[作成] を選択します。
マネージド Virtual Network Integration Runtimeを展開すると、Microsoft Purview ガバナンス ポータルで複数のワークフローがトリガーされ、Microsoft Purview とそのマネージド ストレージ アカウント用のマネージド プライベート エンドポイントが作成されます。 各ワークフローを選択して、対応する Azure リソースのプライベート エンドポイントを承認します。
Azure portal、Microsoft Purview アカウント リソース ウィンドウから、マネージド プライベート エンドポイントを承認します。 [マネージド ストレージ アカウント] ページから、BLOB サービスとキュー サービスのマネージド プライベート エンドポイントを承認します。
[管理] で、[マネージド プライベート エンドポイント] を選択して、すべてのマネージド プライベート エンドポイントが正常にデプロイおよび承認されたかどうかを検証します。
[統合ランタイム] ページに移動すると、作成時に IR 状態が "初期化中" として表示されます。 スキャンで使用する "実行中" 状態になるまで待ちます。 通常、数分かかります。
ヒント
Microsoft Purview アカウント内の異なるリージョンに複数のマネージド仮想ネットワークを作成して、リージョン間のリソースに安全にアクセスできます。
データ ソースのマネージド プライベート エンドポイントを作成する
マネージド プライベート エンドポイントを使用してデータ ソースを接続し、転送中のデータ セキュリティを確保できます。
ヒント
データ ソースでパブリック アクセスが許可されていて、パブリック ネットワーク経由で接続する場合は、この手順をスキップできます。 統合ランタイムがデータ ソースに接続できる限り、スキャン実行を実行できます。
データ ソースのマネージド プライベート エンドポイントをデプロイして承認するには、次の手順に従って、一覧から任意のデータ ソースを選択します。
[ 管理] に移動し、[ マネージド プライベート エンドポイント] を選択します。
[ + 新規] を選択します。
サポートされているデータ ソースの一覧から、マネージド Virtual Network Integration Runtimeを使用してスキャンする予定のデータ ソースに対応する種類を選択します。
マネージド プライベート エンドポイントの名前を指定し、ドロップダウン リストから Azure サブスクリプション、データ ソース、およびマネージド Virtual Networkを選択します。 [作成] を選択します。
マネージド プライベート エンドポイントの一覧から、データ ソース用に新しく作成されたマネージド プライベート エンドポイントを選択し、Azure portalの [承認の管理] を選択して、Azure portalのプライベート エンドポイントを承認します。
リンクを選択すると、Azure portalにリダイレクトされます。 プライベート エンドポイント接続で、新しく作成したプライベート エンドポイントを選択し、[ 承認] を選択します。
Microsoft Purview ガバナンス ポータル内では、マネージド プライベート エンドポイントも承認済みとして表示する必要があります。
マネージド仮想ネットワーク IR を使用するようにスキャンを設定する
[データ マップ] ->[ソース] に移動し、スキャンするソースがまだ完了していない場合は登録します。
ソース ->+ 新しいスキャンに移動します。
[ Connect via integration runtime]\(統合ランタイム経由で接続する\) で、作成したマネージド仮想ネットワーク IR を選択します。 他のスキャン設定を通常どおりに構成し、実行をトリガーします。
以前のバージョンのマネージド Virtual Network
使用しているマネージド仮想ネットワーク IR のバージョンをチェックするには、Data Map ->Integration ランタイムに移動し、[バージョン] 列を参照してください。
マネージド Virtual Networkとマネージド プライベート エンドポイントの概念とアーキテクチャは、両方のバージョンに適用されます。 次の表に、2 つのバージョンの一部の側面の違いを示します。 バージョン 2 では、スキャンパフォーマンスも向上します。
分野 | バージョン 1 | バージョン 2 (現在) |
---|---|---|
サポートされる地域 | オーストラリア東部、カナダ中部、米国東部、米国東部 2、北ヨーロッパ、西ヨーロッパでのみ使用できます。 | Microsoft Purview でサポートされているすべてのリージョンで使用できます。 |
マルチ vnet & マルチリージョン | 一度にサポートされる仮想ネットワークは 1 つだけです。 | 複数のリージョンで最大 5 つの仮想ネットワークがサポートされます。 |
スキャンでサポートされているデータ ソースの種類 | 次の Azure データ ソースのスキャンのみをサポートします。 - Azure Blob Storage - Azure Cosmos DB - Azure Data Lake Storage Gen 2 - Azure Database for MySQL - Azure Database for PostgreSQL - Azure Dedicated SQL プール (旧称 SQL DW) - Azure Files - データベースのAzure SQL - Azure SQL Managed Instance - Azure Synapse Analytics |
より多くのデータ ソースのスキャンをサポートするように拡張されました。 完全な一覧 については、こちらを参照してください。 |
Microsoft Purview ポータルからの対話型作成 (テスト接続、スキャンセットアップ中のソースの参照) | マネージド仮想ネットワーク IR 設定でオンにする必要があります。 | 常に使用可能 |
マネージド仮想ネットワークの名前 | default (自動生成) | 設定 |
価格設定 | スキャン ジョブとインジェスト ジョブで課金されます。 | スキャン ジョブとインジェスト ジョブ、およびマネージド仮想ネットワーク IR の実行期間に対して課金されます。 詳細については、「 価格の詳細」を参照してください。 |
最新バージョンに更新する
Microsoft Purview では、2023 年 11 月中旬にマネージド Virtual Network サポートの新しいバージョンが追加されました。 新しく作成されたすべてのリソースは、新しいオファリングを使用します。 以前のバージョン (チェックできます) を使用している場合は、マネージド仮想ネットワークの最新バージョンに更新できます。
新しいバージョンのマネージド Virtual Networkを使用する利点はいくつかあります。
- Microsoft Purview でサポートされているすべてのリージョンで一般公開されています。
- Databricks、Snowflake、Fabric、既定の Azure 統合ランタイムでサポートされているすべてのソースなど、拡張されたデータ ソースのサポート。
- スキャンパフォーマンスの向上。
- Purview ポータルからの対話型操作は常に使用できます (テスト接続、スキャンのセットアップ中のソースの参照など)
アップグレードするには、新しいマネージド仮想ネットワーク統合ランタイムへのアップグレードに関するページの手順に従います。