Azure SQL Managed Instance gebruiken met SQL Server Integration Services (SSIS) in Azure Data Factory of Azure Synapse Analytics
VAN TOEPASSING OP: 
Azure Data Factory Azure Synapse Analytics
Tip
Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .
U kunt nu uw SQL Server SSIS-projecten (Integration Services), -pakketten en -workloads verplaatsen naar de Azure-cloud. SSIS-projecten en -pakketten implementeren, uitvoeren en beheren in Azure SQL Database of SQL Managed Instance met vertrouwde hulpprogramma's zoals SQL Server Management Studio (SSMS). In dit artikel worden de volgende specifieke gebieden beschreven bij het gebruik van Azure SQL Managed Instance met Azure-SSIS Integration Runtime (IR):
- Een Azure-SSIS IR inrichten met SSIS-catalogus (SSISDB) die wordt gehost door Azure SQL Managed Instance
- SSIS-pakketten uitvoeren via de taak Azure SQL Database Managed Instance-agent
- SSISDB-logboeken opschonen met de taak Azure SQL Managed Instance-agent
- Azure-SSIS IR-failover met Azure SQL Managed Instance
- On-premises SSIS-workloads migreren naar SSIS in ADF
Azure-SSIS IR inrichten met SSISDB gehost door Azure SQL Managed Instance
Vereisten
Schakel Microsoft Entra-id in op Azure SQL Managed Instance bij het kiezen van Microsoft Entra-verificatie.
Kies hoe u verbinding maakt met SQL Managed Instance, via een privé-eindpunt of via een openbaar eindpunt:
Via privé-eindpunt (voorkeur)
Kies het virtuele netwerk voor Azure-SSIS IR waaraan u wilt deelnemen:
- Binnen hetzelfde virtuele netwerk als het beheerde exemplaar, met een ander subnet.
- Binnen een ander virtueel netwerk dan het beheerde exemplaar, via peering van virtuele netwerken (die is beperkt tot dezelfde regio vanwege globale VNet-peeringbeperkingen) of een verbinding tussen het virtuele netwerk en het virtuele netwerk.
Zie Uw toepassing verbinden met Azure SQL Managed Instance voor meer informatie over connectiviteit met SQL Managed Instance.
Virtueel netwerk configureren.
Via een openbaar eindpunt
Azure SQL Managed Instances kan connectiviteit bieden via openbare eindpunten. Inkomende en uitgaande vereisten moeten voldoen aan het toestaan van verkeer tussen SQL Managed Instance en Azure-SSIS IR:
wanneer Azure-SSIS IR zich niet in een virtueel netwerk bevindt (voorkeur)
Vereiste voor inkomend verkeer van SQL Managed Instance om inkomend verkeer van Azure-SSIS IR toe te staan.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik TCP Azure Cloud-servicetag * VirtualNetwork 3342 Zie Openbaar eindpuntverkeer toestaan in de netwerkbeveiligingsgroep voor meer informatie.
wanneer Azure-SSIS IR binnen een virtueel netwerk
Er is een speciaal scenario wanneer SQL Managed Instance zich in een regio bevindt die azure-SSIS IR niet ondersteunt, Azure-SSIS IR zich in een virtueel netwerk bevindt zonder VNet-peering vanwege een beperking van globale VNet-peering. In dit scenario verbindt Azure-SSIS IR binnen een virtueel netwerk SQL Managed Instance via een openbaar eindpunt. Gebruik de onderstaande NSG-regels (Netwerkbeveiligingsgroep) om verkeer tussen SQL Managed Instance en Azure-SSIS IR toe te staan:
Vereiste voor inkomend verkeer van SQL Managed Instance om inkomend verkeer van Azure-SSIS IR toe te staan.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik TCP Statisch IP-adres van Azure-SSIS IR
Zie Bring Your Own Public IP voor Azure-SSIS IR voor meer informatie.* VirtualNetwork 3342 Uitgaande vereiste van Azure-SSIS IR om uitgaand verkeer naar SQL Managed Instance toe te staan.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik TCP VirtualNetwork * IP-adres van openbaar eindpunt van SQL Managed Instance 3342
Virtueel netwerk configureren
Gebruikersmachtiging. De gebruiker die de Azure-SSIS IR maakt, moet ten minste de roltoewijzing hebben voor de Azure Data Factory-resource met een van de onderstaande opties:
- Gebruik de ingebouwde rol Inzender voor netwerken. Deze rol wordt geleverd met de machtiging Microsoft.Network/* die veel groter is dan nodig is.
- Maak een aangepaste rol die alleen de benodigde machtiging Microsoft.Network/virtualNetworks/*/join/action bevat. Als u ook uw eigen openbare IP-adressen voor Azure-SSIS IR wilt meenemen tijdens het toevoegen aan een virtueel Azure Resource Manager-netwerk, moet u ook Microsoft.Network/publicIPAddresses/*/join/action-machtiging in de rol opnemen.
Virtueel netwerk.
Zorg ervoor dat de resourcegroep van het virtuele netwerk bepaalde Azure-netwerkresources kan maken en verwijderen.
De Azure-SSIS IR moet bepaalde netwerkresources maken onder dezelfde resourcegroep als het virtuele netwerk. Deze resources zijn onder andere:
- Een Azure Load Balancer met de naam <Guid-azurebatch-cloudserviceloadbalancer>
- Een netwerkbeveiligingsgroep met de naam *<Guid-azurebatch-cloudservicenetworksecuritygroup>
- Een openbaar IP-adres van Azure met de naam -azurebatch-cloudservicepublicip
Deze resources worden gemaakt wanneer uw Azure-SSIS IR wordt gestart. Ze worden verwijderd wanneer uw Azure-SSIS IR stopt. Gebruik deze netwerkbronnen niet opnieuw in uw andere resources om te voorkomen dat uw Azure-SSIS IR wordt gestopt.
Zorg ervoor dat u geen resourcevergrendeling hebt voor de resourcegroep/het abonnement waartoe het virtuele netwerk behoort. Als u een alleen-lezen/verwijdervergrendeling configureert, mislukt het starten en stoppen van uw Azure-SSIS IR of reageert deze niet meer.
Zorg ervoor dat u geen Azure Policy-definitie hebt die voorkomt dat de volgende resources worden gemaakt onder de resourcegroep/het abonnement waartoe het virtuele netwerk behoort:
- Microsoft.Network/LoadBalancers
- Microsoft.Network/NetworkSecurityGroups
Sta verkeer op de NSG-regel (Network Security Group) toe om verkeer tussen SQL Managed Instance en Azure-SSIS IR toe te staan en verkeer dat nodig is voor Azure-SSIS IR.
Vereiste voor inkomend verkeer van SQL Managed Instance om inkomend verkeer van Azure-SSIS IR toe te staan.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik Opmerkingen TCP VirtualNetwork * VirtualNetwork 1433, 11000-11999 Als uw sql Database-serververbindingsbeleid is ingesteld op Proxy in plaats van Omleiding, is alleen poort 1433 nodig. Uitgaande vereiste van Azure-SSIS IR, om uitgaand verkeer naar SQL Managed Instance toe te staan en ander verkeer dat nodig is voor Azure-SSIS IR.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik Opmerkingen TCP VirtualNetwork * VirtualNetwork 1433, 11000-11999 Uitgaand verkeer naar SQL Managed Instance toestaan. Als het verbindingsbeleid is ingesteld op Proxy in plaats van Omleiding, is alleen poort 1433 nodig. TCP VirtualNetwork * AzureCloud 443 De knooppunten van uw Azure-SSIS IR in het virtuele netwerk gebruiken deze poort voor toegang tot Azure-services, zoals Azure Storage en Azure Event Hubs. TCP VirtualNetwork * Internet 80 (Optioneel) De knooppunten van uw Azure-SSIS IR in het virtuele netwerk gebruiken deze poort om een certificaatintrekkingslijst van internet te downloaden. Als u dit verkeer blokkeert, ondervindt u mogelijk een downgrade van de prestaties wanneer ir wordt gestart en verliest u de mogelijkheid om de certificaatintrekkingslijst te controleren op certificaatgebruik. Als u de bestemming verder wilt beperken tot bepaalde FQDN's, raadpleegt u Door de gebruiker gedefinieerde routes (UDR's) configureren. TCP VirtualNetwork * Storage 445 (Optioneel) Deze regel is alleen vereist wanneer u het SSIS-pakket wilt uitvoeren dat is opgeslagen in Azure Files. Inkomende vereiste van Azure-SSIS IR om verkeer toe te staan dat nodig is voor Azure-SSIS IR.
Transportprotocol Bron Bronpoortbereik Bestemming Doelpoortbereik Opmerkingen TCP BatchNodeManagement * VirtualNetwork 29876, 29877 (als u de IR koppelt aan een virtueel Resource Manager-netwerk)
10100, 20100, 30100 (als u de IR aan een klassiek virtueel netwerk koppelt)De Data Factory-service gebruikt deze poorten om te communiceren met de knooppunten van uw Azure-SSIS IR in het virtuele netwerk.
Ongeacht of u een NSG op subnetniveau maakt, configureert Data Factory altijd een NSG op het niveau van de netwerkinterfacekaarten (NIC's) die zijn gekoppeld aan de virtuele machines waarop de Azure-SSIS IR wordt gehost. Alleen binnenkomend verkeer van Ip-adressen van Data Factory op de opgegeven poorten is toegestaan door die NSG op NIC-niveau. Zelfs als u deze poorten opent voor internetverkeer op subnetniveau, wordt verkeer van IP-adressen die geen Data Factory-IP-adressen zijn, geblokkeerd op NIC-niveau.TCP CorpNetSaw * VirtualNetwork 3389 (Optioneel) Deze regel is alleen vereist wanneer microsoft-ondersteuning de klant vraagt om te openen voor geavanceerde probleemoplossing en kan direct na het oplossen van problemen worden gesloten. CorpNetSaw-servicetag staat alleen veilige toegangswerkstations op het bedrijfsnetwerk van Microsoft toe om extern bureaublad te gebruiken. En deze servicetag kan niet worden geselecteerd vanuit de portal en is alleen beschikbaar via Azure PowerShell of Azure CLI.
Op NSG op NIC-niveau is poort 3389 standaard geopend en kunt u poort 3389 beheren op subnetniveau NSG, terwijl Azure-SSIS IR poort 3389 standaard uitgaande poort 3389 heeft op elk IR-knooppunt voor beveiliging.
Zie de configuratie van het virtuele netwerk voor meer informatie:
- Als u uw eigen openbare IP-adressen voor de Azure-SSIS IR gebruikt
- Als u uw eigen DNS-server (Domain Name System) gebruikt
- Als u Azure ExpressRoute of een door de gebruiker gedefinieerde route (UDR) gebruikt
- Als u aangepaste Azure-SSIS IR gebruikt
Azure-SSIS Integration Runtime inrichten
Selecteer privé-eindpunt of openbaar eindpunt van SQL Managed Instance.
Wanneer u Azure-SSIS IR inricht in de Azure-portal/ADF-app, gebruikt u op de pagina SQL-instellingen het privé-eindpunt of het openbare eindpunt van SQL Managed Instance bij het maken van de SSIS-catalogus (SSISDB).
De hostnaam van het openbare eindpunt wordt geleverd in de indeling <mi_name.public>.<>dns_zone.database.windows.net en dat de poort die wordt gebruikt voor de verbinding 3342 is.
Selecteer Microsoft Entra-verificatie wanneer dit van toepassing is.
Zie Microsoft Entra-id inschakelen in Azure SQL Managed Instance voor meer informatie over het inschakelen van Microsoft Entra-verificatie.
Koppel Azure-SSIS IR aan het virtuele netwerk wanneer dit van toepassing is.
Selecteer op de pagina Geavanceerde instelling het virtuele netwerk en het subnet dat u wilt toevoegen.
Kies in hetzelfde virtuele netwerk als SQL Managed Instance een ander subnet dan SQL Managed Instance.
Zie Een Azure-SSIS Integration Runtime toevoegen aan een virtueel netwerk voor meer informatie over het koppelen van Azure-SSIS IR aan een virtueel netwerk.
Zie Een Azure-SSIS Integration Runtime maken in Azure Data Factory voor meer informatie over het maken van een Azure-SSIS IR.
SSISDB-logboeken opschonen
Bewaarbeleid voor SSISDB-logboeken wordt gedefinieerd door onderstaande eigenschappen in catalog.catalog_properties:
OPERATION_CLEANUP_ENABLED
Wanneer de waarde WAAR is, worden bewerkingsgegevens en bewerkingsberichten die ouder zijn dan RETENTION_WINDOW (dagen) uit de catalogus verwijderd. Wanneer de waarde ONWAAR is, worden alle bewerkingsgegevens en bewerkingsberichten opgeslagen in de catalogus. Opmerking: met een SQL Server-taak wordt de bewerking opgeschoond.
RETENTION_WINDOW
Het aantal dagen dat bewerkingsdetails en bewerkingsberichten worden opgeslagen in de catalogus. Wanneer de waarde -1 is, is het bewaarvenster oneindig. Opmerking: Als u geen opschoning wilt, stelt u OPERATION_CLEANUP_ENABLED in op FALSE.
Als u SSISDB-logboeken wilt verwijderen die zich buiten het bewaarvenster bevinden dat door de beheerder is ingesteld, kunt u de opgeslagen procedure [internal].[cleanup_server_retention_window_exclusive]activeren. U kunt eventueel de uitvoering van de AGENT-taak van SQL Managed Instance plannen om de opgeslagen procedure te activeren.