通过

将托管虚拟网络与 Microsoft Purview 帐户配合使用

  • 项目

本文介绍 Microsoft Purview 中的托管虚拟网络和托管专用终结点。

注意

  • Microsoft Purview 在 2023 年 11 月中旬添加了托管虚拟网络支持的新版本。 新的托管专用终结点不再支持旧的托管虚拟网络。 创建新的托管虚拟网络,所有新创建的资源都将使用最新版本。 在此处了解差异。

  • Microsoft 2023 年 12 月 15 日之前部署的 Purview 帐户包括托管存储帐户。 Microsoft在 (后部署或使用 API 版本 2023-05-01-preview 部署的 Purview 帐户,) 未管理部署到 Azure 订阅的存储帐户。 相反,这些帐户包括部署到Microsoft内部 Azure 订阅的引入存储帐户。

托管虚拟网络

托管虚拟网络 (虚拟网络) 是由 Microsoft Purview 部署和管理的虚拟网络,用于支持在专用网络中扫描数据源,而无需在 Azure 中由客户部署和管理任何自承载集成运行时虚拟机。

Microsoft Purview 托管虚拟网络体系结构

可以在任何可用的 Microsoft Purview 区域中的 Microsoft Purview 托管虚拟网络中部署 Azure 托管虚拟网络 Integration Runtimes (IR) 。 从那里,托管虚拟网络 IR 可以使用专用终结点安全地连接到受支持的数据源并对其进行扫描。

在托管虚拟网络中创建托管虚拟网络 IR 可确保数据集成过程是隔离且安全的。

使用托管虚拟网络的好处:

  • 使用托管虚拟网络,可以减轻管理虚拟网络的负担,Microsoft Purview。 无需为 Azure Integration Runtime创建和管理用于扫描 Azure 数据源的 VNet 或子网。
  • 它不需要深厚的 Azure 网络知识即可安全地进行数据集成。 对于数据工程师来说,使用托管虚拟网络大大简化。
  • 托管虚拟网络与托管专用终结点一起防止数据外泄。

首次在 Microsoft Purview 帐户中创建托管虚拟网络 Integration Runtime时,会为 Microsoft Purview 帐户创建托管虚拟网络。 无法查看或管理 Microsoft Purview 之外的虚拟网络。

托管专用终结点

托管专用终结点是在 Microsoft Purview 托管虚拟网络中创建的专用终结点,用于建立指向 Microsoft Purview 和 Azure 资源的专用链接。 Microsoft Purview 代表你管理这些专用终结点。

Microsoft Purview 托管专用终结点

Microsoft Purview 支持专用链接。 使用专用链接可以访问 Azure 服务,例如 Azure 存储、Azure SQL数据库、Azure Cosmos DB Azure Synapse Analytics。

使用专用链接时,数据源与托管虚拟网络之间的流量将完全通过Microsoft主干网络进行传输。 专用链接防止数据外泄风险。 可以通过创建专用终结点来建立指向资源的专用链接。

专用终结点使用托管虚拟网络中的专用 IP 地址来有效地将服务引入其中。 专用终结点映射到 Azure 中的特定资源,而不是整个服务。 客户可以将连接限制为其组织批准的特定资源。 详细了解 专用链接和专用终结点

警告

如果 Azure PaaS 数据存储 (Blob、Azure Data Lake Storage Gen2、Azure Synapse Analytics) 已针对它创建了专用终结点,即使它允许从所有网络进行访问,Microsoft Purview 也只能使用托管专用终结点对其进行访问。 如果专用终结点尚不存在,则必须在此类情况下创建一个。

在 Microsoft Purview 中创建托管专用终结点时,将创建“挂起”状态的专用终结点连接。 启动审批工作流。 专用链接资源所有者负责批准或拒绝连接。

对托管专用终结点的审批

如果所有者批准连接,则会建立专用链接。 否则,将不会建立专用链接。 在任一情况下,托管专用终结点都更新为连接状态。

批准托管专用终结点

只有处于已批准状态的托管专用终结点才能将流量发送到给定的专用链接资源。

支持的区域和数据源

支持的区域:托管虚拟网络在 Purview 支持的所有Microsoft区域中可用。 在单个 Microsoft Purview 实例中,最多可以跨不同区域部署五个托管虚拟网络。

支持的扫描数据源:可以使用托管虚拟网络 Integration Runtime扫描多种类型的数据源。 请参阅 支持的数据源

支持具有托管专用终结点的系统: 以下服务提供本机专用终结点支持。 它们可以通过专用链接从 Microsoft Purview 的托管虚拟网络进行连接:

  • Azure Blob 存储
  • Azure Cosmos DB
  • Azure Data Lake Storage Gen 2
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Azure Databricks
  • Azure 专用 SQL 池(以前称为 SQL DW)
  • Azure 文件
  • Azure Key Vault
  • Azure SQL 数据库
  • Azure SQL 托管实例
  • Azure Synapse Analytics
  • Snowflake

定价详细信息

使用托管虚拟网络功能时,按两部分收费:

  • 每次扫描运行的费用 (即用即付) :基于扫描持续时间 * 已用 vCore 小时数 * 每个 vCore 小时的单价。 这是在任何集成运行时类型上运行的扫描的常见费用。
  • 托管 VNet IR 运行时间 (始终) 收费:基于托管 VNet IR 生存期 * 1/8 vCore 小时 * 每个 vCore 小时的单价。 托管虚拟网络 IR 生存期是指从成功创建 IR 实例到删除该实例为止。 无论是否运行扫描,均收取费用。

可以从 Purview 定价页中找到“自动扫描、引入 & 分类” 定价的详细信息Microsoft

例如,在给定的月份,扫描各种数据源,执行总共消耗“扫描引入和分类 - Standard vCore”的 X vCore 小时数,并且托管虚拟网络运行时已预配为整个月运行。 费用为:X vCore 小时 * 扫描运行每 vCore 小时 0.63 美元 + 1/8 * 每 vCore 小时 0.63 美元 * 托管虚拟网络 IR 运行时间 730 小时。

部署步骤

先决条件

为 Microsoft Purview 帐户部署托管虚拟网络和托管虚拟网络 Integration Runtime之前,请确保满足以下先决条件:

  1. Microsoft Purview 角色中,需要对 Microsoft Purview 帐户中的任何集合具有数据源管理员权限。
  2. 对于 Azure RBAC 角色,必须在 Microsoft Purview 帐户和数据源上参与者才能批准专用链接。

创建托管虚拟网络 Integration Runtime

  1. 通过以下方式打开 Microsoft Purview 治理门户:

  2. 导航到 数据映射 -> 集成运行时

  3. “集成运行时 ”页中,选择“ + 新建 ”图标,创建新的运行时。 选择“ Azure ”,然后选择“ 继续”。

    显示如何创建新的 Azure 运行时的屏幕截图

  4. 为托管虚拟网络 Integration Runtime提供名称,选择一个区域,并为托管虚拟网络命名。

    显示创建托管 VNet Integration Runtime的屏幕截图,其中包含详细信息

  5. 选择“创建”。

  6. 部署托管虚拟网络 Integration Runtime会在 Microsoft Purview 治理门户中触发多个工作流,以便为 Microsoft Purview 及其托管存储帐户创建托管专用终结点。 选择每个工作流以批准相应 Azure 资源的专用终结点。

    显示托管 VNet Integration Runtime部署的屏幕截图

  7. 在 Azure 门户 中,从 Microsoft Purview 帐户资源窗口中,批准托管专用终结点。 从托管存储帐户页批准 Blob 和队列服务的托管专用终结点:

    显示如何批准 Microsoft Purview 的托管专用终结点的屏幕截图

    显示如何批准托管存储帐户的引入专用终结点的屏幕截图

  8. 在“管理”中,选择“托管专用终结点”以验证是否成功部署并批准了所有托管专用终结点。

    显示 Microsoft Purview 中的托管专用终结点的屏幕截图

  9. 转到“集成运行时”页,会看到 IR 状态在创建时显示为“正在初始化”。 等待,直到它变为“正在运行”状态以在扫描中使用。 通常需要几分钟时间。

    显示 Microsoft Purview 中的托管 VNet IR 状态的屏幕截图

提示

可以在 Microsoft Purview 帐户的不同区域中创建多个托管虚拟网络,以跨区域安全地访问资源。

为数据源创建托管专用终结点

可以使用托管专用终结点来连接数据源,以确保传输期间的数据安全。

提示

如果数据源允许公共访问,并且你想要通过公用网络进行连接,则可以跳过此步骤。 只要集成运行时可以连接到数据源,就可以执行扫描运行。

若要部署和批准数据源的托管专用终结点,请按照以下步骤从列表中选择所选数据源:

  1. 导航到 “管理”,然后选择“ 托管专用终结点”。

  2. 选择“ + 新建”。

  3. 从支持的数据源列表中,选择与计划使用托管虚拟网络 Integration Runtime扫描的数据源对应的类型。

    显示如何为数据源创建托管专用终结点的屏幕截图

  4. 提供托管专用终结点的名称,从下拉列表中选择 Azure 订阅、数据源和托管虚拟网络。 选择“创建”。

    显示如何选择用于设置托管专用终结点的数据源的屏幕截图

  5. 从托管专用终结点列表中,为数据源选择新创建的托管专用终结点,然后在“Azure 门户”中选择“管理审批”,以批准Azure 门户中的专用终结点。

    显示对数据源的托管专用终结点的审批的屏幕截图

  6. 通过选择链接,你将重定向到Azure 门户。 在专用终结点连接下,选择新创建的专用终结点,然后选择 “批准”。

    显示如何在 Azure 门户 中批准数据源的专用终结点的屏幕截图

    显示Azure 门户中数据源的已批准的专用终结点的屏幕截图

  7. 在 Microsoft Purview 治理门户中,托管专用终结点也必须显示为“已批准”。

    显示 Purview 治理门户中的托管专用终结点(包括数据源)的屏幕截图

设置扫描以使用托管虚拟网络 IR

  1. 转到 “数据映射 ->”,注册要扫描的源(如果尚未完成)。

  2. 转到源 ->+ 新建扫描

  3. 在“ 通过集成运行时连接”下,选择创建的托管虚拟网络 IR。 像往常一样配置其他扫描设置,并触发运行。

    显示如何使用托管 VNet IR 设置扫描的屏幕截图

早期版本的托管虚拟网络

若要检查正在使用的托管虚拟网络 IR 版本,请转到“数据映射 ->集成运行时”,并查看“版本”列。

显示如何检查托管 VNet IR 版本的屏幕截图

托管虚拟网络托管专用终结点的概念和体系结构适用于这两个版本。 下表列出了这两个版本在某些方面的差异。 版本 2 还提供更好的扫描性能。

领域 版本 1 版本 2 (当前)
支持的区域 仅适用于澳大利亚东部、加拿大中部、美国东部、美国东部 2、北欧和西欧。 在 Purview 支持的所有Microsoft区域中可用。
多 vnet & 多区域 一次仅支持一个虚拟网络。 跨多个区域最多支持五个虚拟网络。
扫描支持的数据源类型 仅支持扫描以下 Azure 数据源。
- Azure Blob 存储
- Azure Cosmos DB
- Azure Data Lake Storage Gen 2
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure 专用 SQL 池 (以前是 SQL DW)
- Azure 文件存储
- Azure SQL数据库
- Azure SQL 托管实例
- Azure Synapse Analytics		 扩展以支持扫描更多数据源。 在此处查看完整列表。
从 Microsoft Purview 门户进行交互式创作 (测试连接,在扫描设置过程中浏览源) 需要在托管虚拟网络 IR 设置中打开。 始终可用
托管虚拟网络的名称 默认 (自动生成) 配置
定价 对扫描和引入作业收费。 对扫描和引入作业以及托管虚拟网络 IR 的运行周期收费。 有关详细信息,请参阅 定价详细信息

更新到最新版本

Microsoft Purview 在 2023 年 11 月中旬添加了托管虚拟网络支持的新版本。 所有新创建的资源都将使用新产品/服务。 如果使用的早期版本 (可以检查) ,则可以更新到最新版本的托管虚拟网络。

使用新版本的托管虚拟网络有几个优点:

  • 在 Purview 支持的所有Microsoft区域中正式发布。
  • 扩展的数据源支持,包括 Databricks、Snowflake、Fabric 以及默认 Azure 集成运行时支持的所有源。
  • 更好的扫描性能。
  • Purview 门户的交互式操作始终可用, (测试连接、在扫描设置期间浏览源等 )

若要升级,可以按照此页上的说明操作: 升级到新的托管虚拟网络集成运行时。

后续步骤