Microsoft Purview 网络体系结构和最佳做法
Microsoft Purview 治理解决方案是用于数据治理 (PaaS) 解决方案的平台即服务。 Microsoft Purview 帐户具有可通过 Internet 访问的公共终结点以连接到服务。 但是,所有终结点都通过Microsoft Entra登录名和基于角色的访问控制 (RBAC) 进行保护。
注意
这些最佳做法涵盖了 Microsoft Purview 统一治理解决方案的网络体系结构。 有关Microsoft Purview 风险和合规性解决方案的详细信息, 请转到此处。 有关 Microsoft Purview 的一般信息, 请转到此处。
为了增加安全层,可以为 Microsoft Purview 帐户创建专用终结点。 你将从 Azure 中的虚拟网络获取一个专用 IP 地址,该地址指向 Microsoft Purview 帐户及其托管资源。 此地址会将虚拟网络与 Microsoft Purview 帐户之间的所有流量限制为专用链接,以便与 API 和 Microsoft Purview 治理门户进行交互,或者用于扫描和引入。
目前,Microsoft Purview 防火墙为 purview 帐户的公共终结点提供访问控制。 可以使用防火墙来允许所有访问,或者在使用专用终结点时阻止通过公共终结点进行的所有访问。 有关详细信息,请参阅 Microsoft Purview 防火墙选项
根据网络、连接和安全要求,可以设置和维护 Microsoft Purview 帐户以访问基础服务或引入。 使用此最佳做法指南来定义和准备网络环境,以便可以从网络或云访问 Microsoft Purview 和扫描数据源。
本指南介绍以下网络选项:
- 使用 Azure 公共终结点。
- 使用 专用终结点。
- 使用 专用终结点,并允许对同一 Microsoft Purview 帐户进行公共访问。
- 使用 Azure 公共终结点访问 Microsoft Purview 治理门户和用于引入的专用终结点。
本指南介绍Microsoft Purview 的一些最常见的网络体系结构方案。 虽然不仅限于这些方案,但在为 Microsoft Purview 帐户规划网络时,请记住服务 的限制 。
先决条件
若要了解哪个网络选项最适合你的环境,建议先执行以下操作:
在注册和扫描 Microsoft Purview 中的任何数据源之前,请查看网络拓扑和安全要求。 有关详细信息,请参阅: 定义 Azure 网络拓扑。
选项 1:使用公共终结点
默认情况下,可以通过可通过 Internet 访问的公共终结点使用 Microsoft Purview 帐户。 如果满足以下要求,Microsoft Purview 帐户中允许公共网络:
- 扫描或连接到 Microsoft Purview 终结点时,不需要专用连接。
- 所有数据源都是软件即服务 (SaaS) 应用程序。
- 所有数据源都有一个可通过 Internet 访问的公共终结点。
- 业务用户需要通过 Internet 访问 Microsoft Purview 帐户和Microsoft Purview 治理门户。
集成运行时选项
若要在将 Microsoft Purview 帐户防火墙设置为允许公共访问时扫描数据源,可以使用所有集成运行时类型 - Azure 集成运行时、 托管 VNet 集成运行时和 自承载集成运行时。 有关详细信息,请参阅 为方案选择正确的集成运行时配置。
下面是一些最佳做法:
建议在适用的情况下使用 Azure 集成运行时或托管 VNet 集成运行时来扫描数据源,以降低成本和管理开销。
以下步骤演示了使用 Azure 集成运行时扫描数据源时的高级别通信流:
注意
此图形仅适用于 (2023 年 12 月 15 日之后创建或使用 API 版本 2023-05-01-preview) 部署的 Microsoft Purview 帐户。
从 Microsoft Purview 数据映射通过 Azure 集成运行时启动手动或自动扫描。
Azure 集成运行时连接到数据源以提取元数据。
元数据在 Microsoft Purview 引入存储帐户中排队,并暂时存储在 Azure Blob 存储 中。
元数据将发送到Microsoft Purview 数据映射。
扫描本地和基于 VM 的数据源始终需要使用自承载集成运行时。 这些数据源不支持 Azure 集成运行时。 以下步骤演示了使用自承载集成运行时扫描数据源时的高级别通信流。 第一个关系图显示了资源在 Azure 中或在 Azure 中的 VM 上的情况。 第二个关系图显示了一个包含本地资源的方案。 从 Purview 的角度来看,两者之间的步骤是相同的Microsoft:
触发手动或自动扫描。 Microsoft Purview 连接到 Azure 密钥保管库以检索凭据以访问数据源。
扫描从Microsoft Purview 数据映射通过自承载集成运行时启动。
VM 或本地计算机的自承载集成运行时服务连接到数据源以提取元数据。
元数据在自承载集成运行时的计算机内存中进行处理。 元数据在 Purview 引入存储Microsoft排队,然后暂时存储在Azure Blob 存储中。 实际数据永远不会离开网络边界。
元数据将发送到Microsoft Purview 数据映射。
身份验证选项
扫描 Microsoft Purview 中的数据源时,需要提供凭据。 然后,Microsoft Purview 可以使用集成运行时从数据源读取资产的元数据。 有关支持的身份验证类型和所需权限的详细信息,请参阅每个 数据源文章 。 身份验证选项和要求因以下因素而异:
数据源类型。 例如,如果数据源Azure SQL数据库,则需要使用具有每个数据库的db_datareader访问权限的登录名。 这可以是用户分配的托管标识,也可以是Microsoft Purview 托管标识。 也可以是作为db_datareader添加到SQL 数据库Microsoft Entra ID中的服务主体。
如果数据源Azure Blob 存储,则可以使用 Microsoft Purview 托管标识或服务主体,Microsoft Entra ID在 Azure 存储帐户上添加为 Blob 存储数据读取者角色。 或使用存储帐户的密钥。
身份验证类型。 建议尽可能使用 Microsoft Purview 托管标识来扫描 Azure 数据源,以减少管理开销。 对于任何其他身份验证类型,需要在 Microsoft Purview 中设置用于源身份验证的凭据:
- 在 Azure 密钥保管库内生成机密。
- 在 Microsoft Purview 中注册密钥保管库。
- 在 Microsoft Purview 中,使用密钥保管库中保存的机密创建新凭据。
扫描中使用的运行时类型。 目前,不能将 Microsoft Purview 托管标识与自承载集成运行时配合使用。
其他注意事项
- 如果选择使用公共终结点扫描数据源,则自承载集成运行时 VM 必须具有对数据源和 Azure 终结点的出站访问权限。
- 自承载集成运行时 VM 必须与 Azure 终结点建立出站连接。
选项 2:使用专用终结点
与其他 PaaS 解决方案类似,Microsoft Purview 不支持直接部署到虚拟网络。 因此,不能将某些网络功能用于产品/服务的资源,例如网络安全组、路由表或其他依赖于网络的设备,例如Azure 防火墙。 相反,可以使用可在虚拟网络上启用的专用终结点。 然后,可以禁用公共 Internet 访问,以安全地连接到 Microsoft Purview。
如果满足以下任何要求,则必须对 Microsoft Purview 帐户使用专用终结点:
需要为 Microsoft Purview 帐户和数据源提供端到端网络隔离。
需要阻止对 Microsoft Purview 帐户 的公共访问 。
平台即服务 (PaaS) 数据源是使用专用终结点部署的,并且你已阻止通过公共终结点进行的所有访问。
本地或基础结构即服务 (IaaS) 数据源无法访问公共终结点。
设计注意事项
- 若要以私密且安全方式连接到 Microsoft Purview 帐户,需要部署帐户和门户专用终结点。 例如,如果要通过 API 连接到 Microsoft Purview,或使用 Microsoft Purview 治理门户,则此部署是必需的。
- 如果需要使用专用终结点连接到 Microsoft Purview 治理门户,则必须部署帐户和门户专用终结点。
- 若要通过专用连接扫描数据源,需要为 Microsoft Purview 配置至少一个帐户和一个引入专用终结点。
- 查看 DNS 要求。 如果在网络上使用自定义 DNS 服务器,客户端必须能够将 Microsoft Purview 帐户终结点的完全限定域名 (FQDN) 解析为专用终结点的 IP 地址。
集成运行时选项
若要通过专用连接扫描数据源,可以使用 托管 VNet 集成运行时 或 自承载集成运行时。 有关详细信息,请参阅 为方案选择正确的集成运行时配置。
如果适用,建议使用托管 VNet 集成运行时扫描数据源,以降低成本和管理开销。
如果使用自承载集成运行时,则需要在部署在同一个或部署 Microsoft了 Purview 引入专用终结点的对等互连虚拟网络中部署的 Windows 虚拟机上设置和使用自承载集成运行时。
若要扫描本地数据源,还可以在本地 Windows 计算机或 Azure 虚拟网络中的 VM 上安装自承载集成运行时。
将专用终结点与 Microsoft Purview 配合使用时,需要允许从数据源到 Azure 虚拟网络上的自承载集成 VM 的网络连接,其中部署了 Microsoft Purview 专用终结点。
建议允许自动升级自承载集成运行时。 请确保在 Azure 虚拟网络或公司防火墙上打开所需的出站规则,以允许自动升级。 有关详细信息,请参阅 自承载集成运行时网络要求。
身份验证选项
请确保凭据存储在 Azure 密钥保管库中,并在 Microsoft Purview 中注册。
必须基于在 Azure 密钥保管库中创建的每个机密在 Microsoft Purview 中创建凭据。 至少需要为 Azure 密钥保管库 资源上的 Microsoft Purview 分配获取和列出机密访问权限。 否则,凭据在 Microsoft Purview 帐户中不起作用。
当前限制
使用专用终结点进行引入时,不支持通过引入专用终结点和自承载集成运行时或托管 VNet 集成运行时来使用整个订阅或资源组来扫描多个 Azure 源。 相反,可以单独注册和扫描数据源。
有关与 Microsoft Purview 专用终结点相关的限制,请参阅 已知限制。
有关与专用链接服务相关的限制,请参阅Azure 专用链接限制。
专用终结点方案
单个虚拟网络、单个区域
在此方案中,所有 Azure 数据源、自承载集成运行时 VM 和 Microsoft Purview 专用终结点都部署在 Azure 订阅中的同一虚拟网络中。
如果存在本地数据源,则通过站点到站点 VPN 或 Azure ExpressRoute 连接来提供与部署 Microsoft Purview 专用终结点的 Azure 虚拟网络的连接。
此体系结构主要适用于小型组织或开发、测试和概念证明方案。
单个区域、多个虚拟网络
若要将 Azure 中的两个或更多虚拟网络连接在一起,可以使用 虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,并保留在 Azure 主干网络上。
许多客户使用中心辐射型网络体系结构在 Azure 中构建其网络基础结构,其中:
- 网络共享服务 ((例如网络虚拟设备、ExpressRoute/VPN 网关或 DNS 服务器) 部署在中心虚拟网络中。
- 分支虚拟网络通过虚拟网络对等互连使用这些共享服务。
在中心辐射型网络体系结构中,可以为组织的数据治理团队提供包含虚拟网络 (中心) 的 Azure 订阅。 所有数据服务都可以位于通过虚拟网络对等互连或站点到站点 VPN 连接连接到中心虚拟网络的其他几个订阅中。
在中心辐射型体系结构中,可以在中心订阅和虚拟网络中部署Microsoft Purview 以及一个或多个自承载集成运行时 VM。 可以从同一区域中的多个订阅注册和扫描来自其他虚拟网络的数据源。
自承载集成运行时 VM 可以部署在部署帐户和引入专用终结点的同一 Azure 虚拟网络或对等互连虚拟网络中。
可以选择在分支虚拟网络中部署另一个自承载集成运行时。
多个区域、多个虚拟网络
如果数据源分布在一个或多个 Azure 订阅中的多个 Azure 区域,则可以使用此方案。
为了优化性能和成本,我们强烈建议在数据源所在的每个区域中部署一个或多个自承载集成运行时 VM。
使用托管 Vnet 运行时进行扫描
可以使用托管 VNet 运行时扫描专用网络中的数据源。 有关详细信息,请参阅 将托管 VNet 与 Microsoft Purview 帐户配合使用。
使用托管 VNet 运行时有助于最大程度地减少管理运行时的管理开销,并缩短总体扫描持续时间。
若要使用托管 VNet 运行时通过专用网络扫描任何 Azure 数据源,必须在 Microsoft Purview 托管虚拟网络内部署托管专用终结点,即使该数据源已在 Azure 订阅中具有专用网络也是如此。
如果需要扫描托管 VNet 运行时不支持的本地数据源或 Azure 中的其他数据源,可以部署托管 VNet 运行时和自承载集成运行时。
如果Microsoft Purview 在主要区域中不可用
Microsoft Purview 是 Azure 平台即服务解决方案。 可以在 任何受支持的 Azure 区域中的 Azure 订阅内部署 Microsoft Purview 帐户。
如果 Microsoft Purview 在主要 Azure 区域中不可用,请在选择次要区域来部署 Microsoft Purview 帐户时,请考虑以下因素:
- 查看部署数据源的主要 Azure 区域与将部署 Microsoft Purview 帐户的辅助 Azure 区域之间的延迟。 有关详细信息,请参阅 Azure 网络往返延迟统计信息。
- 查看数据驻留要求。 扫描Microsoft Purview 数据映射中的数据源时,与元数据相关的信息将引入并存储在部署 Microsoft Purview 帐户的 Azure 区域中的数据映射中。 有关详细信息,请参阅 元数据存储的位置。
- 如果需要用于用户访问或元数据引入的专用网络连接,请查看网络和安全要求。 有关详细信息,请参阅 如果 Microsoft Purview 在主要区域中不可用。
选项 1:在次要区域中部署 Microsoft Purview 帐户,并在 Azure 数据源所在的主要区域中部署所有专用终结点。 对于此方案:
- 如果澳大利亚东南部是所有数据源的主要区域,并且所有网络资源都部署在主要区域中,则这是建议的选项。
- 在次要区域部署 Microsoft Purview 帐户, (例如澳大利亚东部) 。
- 在主要区域中部署所有Microsoft Purview 专用终结点,包括帐户、门户和引入, (例如澳大利亚东南部) 。
- 部署所有 [Microsoft Purview 自承载集成运行时] (。/ manage-integration-runtimes.md) 主要区域中的 VM (例如澳大利亚东南部) 。 这有助于减少跨区域流量,因为数据映射扫描将在数据源所在的本地区域中进行,并且只会在部署 Microsoft Purview 帐户的次要区域中引入元数据。
- 如果使用 Microsoft Purview 托管 VNet 进行元数据引入,则托管 VNet 运行时和所有托管专用终结点将自动部署在部署 Microsoft Purview 的区域 (例如澳大利亚东部) 。
选项 2:在次要区域中部署 Microsoft Purview 帐户,并在主要和次要区域中部署专用终结点。 对于此方案:
- 如果主要区域和次要区域中都有数据源,并且用户通过主要区域进行连接,则建议使用此选项。
- 在次要区域部署 Microsoft Purview 帐户, (例如澳大利亚东部) 。
- 在主要区域中部署Microsoft Purview 治理门户专用终结点 (例如,澳大利亚东南部) ,以便用户访问 Microsoft Purview 治理门户。
- 在主要区域中部署Microsoft Purview 帐户和引入专用终结点, (例如,澳大利亚东南部) 以在主要区域中本地扫描数据源。
- 在次要区域中部署Microsoft Purview 帐户和引入专用终结点, (例如,澳大利亚东部) 以在本地扫描次要区域中的数据源。
- 部署 [Microsoft Purview 自承载集成运行时] (。/ manage-integration-runtimes.md) 主要区域和次要区域中的 VM。 这将有助于保留本地区域中的数据映射扫描流量,并仅将元数据发送到次要区域中配置 (例如澳大利亚东部) 的Microsoft Purview 数据映射。
- 如果使用 Microsoft Purview 托管 VNet 进行元数据引入,则托管 VNet 运行时和所有托管专用终结点将自动部署在部署 Microsoft Purview 的区域 (例如澳大利亚东部) 。
具有专用终结点的 DNS 配置
多个 Microsoft Purview 帐户的名称解析
如果你的组织需要使用专用终结点部署和维护多个 Microsoft Purview 帐户,建议遵循这些建议:
- 为每个 Microsoft Purview 帐户 部署至少一个帐户专用终结点。
- 为每个 Microsoft Purview 帐户部署至少一组 引入 专用终结点。
- 为 Azure 环境中的某个 Microsoft Purview 帐户部署一个 门户 专用终结点。 为 门户 专用终结点创建一条 DNS A 记录以解析
web.purview.azure.com
。 门户专用终结点可由同一 Azure 虚拟网络中的所有 purview 帐户或通过 VNet 对等互连连接的虚拟网络使用。
如果跨多个订阅和通过 VNet 对等互连连接的多个 VNet 部署了多个 Microsoft Purview 帐户,则此方案也适用。 门户 专用终结点主要呈现与 Microsoft Purview 治理门户相关的静态资产,因此,它独立于 Microsoft Purview 帐户,因此,如果已连接 VNet,则只需一个 门户 专用终结点即可访问 Azure 环境中的所有 Microsoft Purview 帐户。
注意
在隔离的网络分段中部署Microsoft Purview 帐户的情况下,可能需要为每个 Microsoft Purview 帐户部署单独的 门户 专用终结点。
Microsoft Purview 门户 是面向所有客户的静态内容,没有任何客户信息。 (可选)可以使用公用网络, (没有门户专用终结点) 启动 web.purview.azure.com
(如果允许最终用户启动 Internet)。
选项 3:使用专用终结点和公共终结点
可以选择一个选项,其中一部分数据源使用专用终结点,同时需要扫描以下任一项:
- 使用服务终结点配置的其他数据源
- 具有可通过 Internet 访问的公共终结点的数据源
如果需要使用引入专用终结点扫描某些数据源,并使用公共终结点或服务终结点扫描某些数据源,可以:
- 为 Microsoft Purview 帐户使用专用终结点。
- 将“ 公用网络访问 ”设置为“从 Microsoft Purview 帐户 上的所有网络启用 ”。
集成运行时选项
若要扫描配置有专用终结点的 Azure 数据源,需要在部署在同一或对等互连虚拟网络中部署的 Windows 虚拟机上设置和使用自承载集成运行时,其中部署了 Microsoft Purview 帐户和引入专用终结点。
使用具有 Microsoft Purview 的专用终结点时,需要允许从数据源到 Azure 虚拟网络上的自承载集成 VM 的网络连接,其中部署了 Microsoft Purview 专用终结点。
若要扫描配置为允许公共终结点的 Azure 数据源,可以使用 Azure 集成运行时。
若要扫描本地数据源,还可以在本地 Windows 计算机或 Azure 虚拟网络中的 VM 上安装自承载集成运行时。
建议允许自动升级自承载集成运行时。 请确保在 Azure 虚拟网络或公司防火墙上打开所需的出站规则,以允许自动升级。 有关详细信息,请参阅 自承载集成运行时网络要求。
身份验证选项
若要扫描配置为允许公共终结点的 Azure 数据源,可以根据数据源类型使用任何身份验证选项。
如果使用引入专用终结点扫描配置了专用终结点的 Azure 数据源:
不能使用 Microsoft Purview 托管标识。 请改为根据数据源类型使用服务主体、帐户密钥或 SQL 身份验证。
请确保凭据存储在 Azure 密钥保管库中,并在 Microsoft Purview 中注册。
必须基于在 Azure 密钥保管库 中创建的每个机密,在 Microsoft Purview 中创建凭据。 至少,在 Azure 中的 密钥保管库 资源上为 Microsoft Purview 分配机密的 get 和 list 访问权限。 否则,凭据在 Microsoft Purview 帐户中不起作用。
选项 4:仅使用专用终结点进行引入
如果需要:
- 使用引入专用终结点扫描所有数据源。
- 必须将托管资源配置为禁用公用网络。
- 允许通过公用网络访问 Microsoft Purview 治理门户。
若要启用此选项,请执行以下操作:
- 为 Microsoft Purview 帐户配置引入专用终结点。
- 在 Microsoft Purview 帐户上将“仅 (预览版) 引入”设置为“已禁用 ”的“公用网络访问”。
集成运行时选项
遵循选项 2 的建议。
身份验证选项
遵循选项 2 的建议。
自承载集成运行时网络和代理建议
若要跨本地和 Azure 网络扫描数据源,可能需要在 Azure VNet 或本地网络内部署和使用一个或多个 自承载集成运行时虚拟机 ,以用于本文档前面提到的任何方案。
若要简化管理,请尽可能使用 Azure IR 和 Microsoft Purview 托管 VNet IR 扫描数据源。
自承载集成运行时服务可以通过端口 443 通过公用或专用网络与 Microsoft Purview 通信。 有关详细信息,请参阅 自承载集成运行时网络要求。
一个自承载集成运行时 VM 可用于扫描 Microsoft Purview 中的一个或多个数据源,但是,自承载集成运行时必须仅针对 Microsoft Purview 注册,不能同时用于Azure 数据工厂或Azure Synapse。
可以在一个 Microsoft Purview 帐户中注册和使用一个或多个自承载集成运行时。 建议在数据源所在的每个区域或本地网络中放置至少一个自承载集成运行时 VM。
建议为每个自承载集成运行时 VM 定义所需容量的基线,并根据需要缩放 VM 容量。
建议尽可能通过专用网络在自承载集成运行时 VM 与 Microsoft Purview 及其托管资源之间建立网络连接。
如果启用了自动更新,则允许与 download.microsoft.com 建立出站连接。
如果自承载集成运行时 VM 部署在 Azure VNet 中或通过 ExpressRoute 或站点到站点 VPN 连接连接到 Azure 的本地网络中,则自承载集成运行时服务不需要出站 Internet 连接。 在这种情况下,扫描和元数据引入过程可以通过专用网络完成。
自承载集成运行时可以直接或通过 代理服务器Microsoft Purview 及其托管资源进行通信。 如果自承载集成运行时 VM 位于 Azure VNet 内或通过 ExpressRoute 或站点到站点 VPN 连接进行连接,请避免使用代理设置。
如果需要将自承载集成运行时与 代理设置结合使用,请查看支持的方案。