Microsoft Purview 網路架構和最佳做法
Microsoft Purview 治理解決方案是適用於數據控管的平臺即服務 (PaaS) 解決方案。 Microsoft Purview 帳戶具有可透過因特網存取以連線到服務的公用端點。 不過,所有端點都會透過 Microsoft Entra 登入和角色型訪問控制 (RBAC) 來保護。
注意事項
這些最佳做法涵蓋 Microsoft Purview 統一治理解決方案的網路架構。 如需Microsoft Purview 風險和合規性解決方案的詳細資訊, 請前往這裡。 如需一般Microsoft Purview 的詳細資訊, 請移至這裡。
若要增加一層安全性,您可以為Microsoft Purview 帳戶建立私人端點。 您會從 Azure 中的虛擬網路取得私人 IP 位址到 Microsoft Purview 帳戶及其受控資源。 此位址會將虛擬網路與 Microsoft Purview 帳戶之間的所有流量限制為私人連結,以供使用者與 API 互動,以及Microsoft Purview 治理入口網站,或掃描和擷取。
目前,Microsoft Purview 防火牆提供 purview 帳戶公用端點的訪問控制。 您可以使用防火牆來允許所有存取,或在使用私人端點時封鎖透過公用端點的所有存取。 如需詳細資訊, 請參閱 Microsoft Purview 防火牆選項
根據您的網路、連線能力和安全性需求,您可以設定和維護 Microsoft Purview 帳戶來存取基礎服務或擷取。 使用本最佳做法指南來定義和準備網路環境,讓您可以存取 Microsoft Purview,並掃描來自網路或雲端的數據源。
本指南涵蓋下列網路選項:
- 使用 Azure 公用端點。
- 使用 私人端點。
- 使用 私人端點,並允許在相同的 Microsoft Purview 帳戶上公開存取。
- 使用 Azure 公用端點存取 Microsoft Purview 治理入口網站和私人端點進行擷取。
本指南說明 Microsoft Purview 的一些最常見網路架構案例。 雖然您不限於這些案例,但請記住當您規劃 Microsoft Purview 帳戶的網路功能時,服務 的限制 。
必要條件
若要瞭解哪一個網路選項最適合您的環境,建議您先執行下列動作:
在 Purview 中註冊及掃描任何數據源之前,請先檢閱您的網路拓撲和安全性需求Microsoft。 如需詳細資訊,請參閱 :定義 Azure 網路拓撲。
定義 PaaS 服務的網路連線模型。
選項 1:使用公用端點
根據預設,您可以透過可透過因特網存取的公用端點,使用 Microsoft Purview 帳戶。 如果您有下列需求,請在 Microsoft Purview 帳戶中允許公用網路:
- 掃描或連線到 Microsoft Purview 端點時,不需要私人連線。
- 所有數據源都是軟體即服務 (SaaS) 應用程式。
- 所有數據源都有可透過因特網存取的公用端點。
- 商務使用者需要透過因特網存取 Microsoft Purview 帳戶和 Microsoft Purview 治理入口網站。
整合運行時間選項
若要在 Microsoft Purview 帳戶防火牆設定為允許公用存取時掃描數據源,您可以使用所有整合運行時間類型 - Azure 整合運行時間、 受控 VNet 整合運行時間,以及 自我裝載整合運行時間。 若要深入瞭解 ,請參閱為您的案例選擇正確的整合運行時間設定。
以下是一些最佳做法:
如果適用,建議您使用 Azure 整合運行時間或受控 VNet 整合運行時間來掃描數據源,以降低成本和管理額外負荷。
下列步驟顯示當您使用 Azure 整合運行時間掃描數據源時,高層級的通訊流程:
注意事項
此圖形僅適用於在 2023 年 12 月 15 日之後建立的 Microsoft Purview 帳戶, (或使用 API 版本 2023-05-01-preview 部署) 。
手動或自動掃描是透過 Azure 整合運行時間從 Microsoft Purview 資料對應 起始。
Azure 整合運行時間會連線到數據源以擷取元數據。
元數據會在 Microsoft Purview 擷取記憶體帳戶中排入佇列,並暫時儲存在 Azure Blob 儲存體 中。
元數據會傳送至 Microsoft Purview 資料對應。
掃描內部部署和 VM 型數據源一律需要使用自我裝載整合運行時間。 這些數據源不支援 Azure 整合運行時間。 下列步驟顯示當您使用自我裝載整合運行時間掃描數據源時,高層級的通訊流程。 第一個圖表顯示資源位於 Azure 內或 Azure VM 上的案例。 第二個圖表顯示內部部署資源的案例。 從 Purview 的觀點來看,兩者之間的步驟Microsoft相同:
會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫 以擷取認證以存取數據源。
掃描是透過自我裝載整合運行時間從 Microsoft Purview 資料對應 起始。
來自 VM 或內部部署機器的自我裝載整合運行時間服務會連線到數據源以擷取元數據。
元數據會在機器的記憶體中處理,以供自我裝載整合運行時間使用。 元數據會Microsoft Purview 擷取記憶體中排入佇列,然後暫時儲存在 Azure Blob 儲存體 中。 實際數據永遠不會離開網路的界限。
元數據會傳送至 Microsoft Purview 資料對應。
驗證選項
當您在 Purview Microsoft中掃描數據源時,必須提供認證。 Microsoft Purview 接著可以使用整合運行時間,從數據源讀取資產的元數據。 如需支持的驗證類型和所需許可權的詳細資訊,請參閱每個 數據源文章 。 驗證選項和需求會根據下列因素而有所不同:
數據源類型。 例如,如果數據源 Azure SQL 資料庫,您必須使用具有每個資料庫db_datareader存取權的登入。 這可以是使用者指派的受控識別或Microsoft Purview 受控識別。 或者,它可以是新增至 SQL Database db_datareader Microsoft Entra ID 中的服務主體。
如果數據源已 Azure Blob 儲存體,您可以使用 Microsoft Purview 受控識別,或 Microsoft Entra ID 中的服務主體新增為 Azure 記憶體帳戶上的 Blob 記憶體數據讀取者角色。 或使用記憶體帳戶的金鑰。
驗證類型。 建議您盡可能使用 Microsoft Purview 受控識別來掃描 Azure 數據源,以減少系統管理額外負荷。 針對任何其他驗證類型,您必須在 Purview 內設定來源驗證的認證Microsoft:
- 在 Azure 金鑰保存庫內產生秘密。
- 在 Purview Microsoft內註冊金鑰保存庫。
- 在 Purview Microsoft內,使用儲存在金鑰保存庫中的秘密來建立新的認證。
掃描中使用的運行時間類型。 目前,您無法搭配自我裝載整合運行時間使用 Microsoft Purview 受控識別。
其他考量事項
- 如果您選擇使用公用端點掃描數據源,自我裝載整合運行時間 VM 必須具有數據源和 Azure 端點的輸出存取權。
- 自我裝載整合運行時間 VM 必須具有 對 Azure 端點的輸出連線能力。
選項 2:使用私人端點
與其他 PaaS 解決方案類似,Microsoft Purview 不支援直接部署到虛擬網路。 因此,您無法將特定網路功能與供應項目的資源搭配使用,例如網路安全組、路由表或其他網路相依設備,例如 Azure 防火牆。 相反地,您可以使用可在虛擬網路上啟用的私人端點。 然後,您可以停用公用因特網存取,以安全地連線到 Microsoft Purview。
如果您有下列任何需求,您必須為Microsoft Purview 帳戶使用私人端點:
您必須針對 Microsoft Purview 帳戶和數據源進行端對端網路隔離。
您必須封鎖對 Microsoft Purview 帳戶的公用存 取 。
您的平臺即服務 (PaaS) 數據源會與私人端點一起部署,而且您已封鎖透過公用端點的所有存取。
您的內部部署或基礎結構即服務 (IaaS) 數據源無法連線到公用端點。
設計考量
- 若要私下且安全地連線到Microsoft Purview 帳戶,您需要部署帳戶和入口網站私人端點。 例如,如果您想要透過 API 連線到 Microsoft Purview,或使用 Microsoft Purview 治理入口網站,則需要此部署。
- 如果您需要使用私人端點連線到 Microsoft Purview 治理入口網站,則必須同時部署帳戶和入口網站私人端點。
- 若要透過私人連線掃描數據源,您必須為 Microsoft Purview 設定至少一個帳戶和一個擷取私人端點。
- 檢閱 DNS 需求。 如果您在網路上使用自定義 DNS 伺服器,客戶端必須能夠將Microsoft Purview 帳戶端點的完整功能變數名稱 (FQDN) 解析為私人端點的 IP 位址。
整合運行時間選項
若要透過私人連線掃描數據源,您可以使用 受控 VNet 整合運行時間 或 自我裝載整合運行時間。 若要深入瞭解 ,請參閱為您的案例選擇正確的整合運行時間設定。
如果適用,建議您使用受控 VNet 整合運行時間來掃描數據源,以降低成本和管理額外負荷。
如果使用自我裝載整合運行時間,您必須在部署在相同或對等互連虛擬網路內部署的 Windows 虛擬機上設定和使用自我裝載整合運行時間,Microsoft Purview 擷取私人端點。
若要掃描內部部署數據源,您也可以在內部部署 Windows 電腦或 Azure 虛擬網路內的 VM 上安裝自我裝載整合運行時間。
當您使用私人端點搭配 Microsoft Purview 時,您必須允許從數據源到部署 purview 私人端點之 Azure 虛擬網路上自我裝載整合 VM 的網路連線Microsoft。
建議您允許自動升級自我裝載整合運行時間。 請確定您在 Azure 虛擬網路或公司防火牆上開啟必要的輸出規則,以允許自動升級。 如需詳細資訊,請 參閱自我裝載整合運行時間網路需求。
驗證選項
請確定您的認證儲存在 Azure 金鑰保存庫中,並在 Microsoft Purview 內註冊。
您必須根據您在 Azure 金鑰保存庫中建立的每個秘密,在 Microsoft Purview 中建立認證。 您至少需要在 Azure 的 金鑰保存庫 資源上指派 Microsoft Purview 的秘密存取權和清單。 否則,認證將無法在 Microsoft Purview 帳戶中運作。
目前的限制
當您使用私人端點進行擷取時,不支援透過擷取私人端點和自我裝載整合運行時間或受控 VNet 整合運行時間,使用整個訂用帳戶或資源群組掃描多個 Azure 來源。 相反地,您可以個別註冊和掃描數據源。
如需 Purview 私人端點Microsoft相關限制,請參閱 已知限制。
如需 Private Link 服務的相關限制,請參閱 Azure Private Link 限制。
私人端點案例
單一虛擬網路、單一區域
在此案例中,所有 Azure 數據源、自我裝載整合運行時間 VM 和 Microsoft Purview 私人端點都會部署在 Azure 訂用帳戶的相同虛擬網路中。
如果內部部署數據源存在,則會透過站對站 VPN 或 Azure ExpressRoute 連線來提供連線能力,以連線至部署 Microsoft Purview 私人端點的 Azure 虛擬網路。
此架構主要適用於小型組織或開發、測試和概念證明案例。
單一區域、多個虛擬網路
若要將 Azure 中的兩個或多個虛擬網路連線在一起,您可以使用 虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,並保留在 Azure 骨幹網路上。
許多客戶會使用中樞和輪輻網路架構,在 Azure 中建置其網路基礎結構,其中:
- 網路共享服務 (例如網路虛擬設備、ExpressRoute/VPN 閘道或 DNS 伺服器) 部署在中樞虛擬網路中。
- 輪輻虛擬網路會透過虛擬網路對等互連取用這些共用服務。
在中樞和輪輻網路架構中,您可以使用包含虛擬網路 (中樞) 的 Azure 訂用帳戶來提供您組織的數據控管小組。 所有數據服務都可以位於透過虛擬網路對等互連或站對站 VPN 連線連線到中樞虛擬網路的一些其他訂用帳戶中。
在中樞和輪輻架構中,您可以在中樞訂用帳戶和虛擬網路中部署 Microsoft Purview 和一或多個自我裝載整合運行時間 VM。 您可以從相同區域中的多個訂用帳戶,註冊及掃描來自其他虛擬網路的數據源。
自我裝載整合運行時間 VM 可以部署在部署帳戶和擷取私人端點的相同 Azure 虛擬網路或對等互連虛擬網路內。
您可以選擇性地在輪輻虛擬網路中部署另一個自我裝載整合運行時間。
多個區域、多個虛擬網路
如果您的數據源分散在一或多個 Azure 訂用帳戶中的多個 Azure 區域,您可以使用此案例。
針對效能和成本優化,強烈建議您在數據源所在的每個區域中部署一或多個自我裝載整合運行時間 VM。
使用受控 Vnet 執行時間進行掃描
您可以使用受控 VNet 執行時間掃描專用網中的資料來源。 若要深入瞭解 ,請參閱搭配使用受控 VNet 與Microsoft Purview 帳戶。
使用受控 VNet 執行時間有助於將管理運行時間的系統管理額外負荷降至最低,並減少整體掃描持續時間。
若要使用受控 VNet 執行時間透過專用網掃描任何 Azure 數據源,即使數據源在您的 Azure 訂用帳戶中已有專用網,也必須在 Purview 受控 虛擬網路 Microsoft內部署受控私人端點。
如果您需要掃描受控 VNet 執行時間不支援的內部部署數據源或 Azure 中的其他數據源,您可以部署受控 VNet 執行時間和自我裝載整合運行時間。
如果Microsoft主要區域中無法使用 Purview
Microsoft Purview 是 Azure 平臺即服務解決方案。 您可以在 任何支援的 Azure 區域中的 Azure 訂用帳戶內部署 Microsoft Purview 帳戶。
如果主要 Azure 區域中無法使用 Microsoft Purview,請在選擇次要區域來部署 Microsoft Purview 帳戶時考慮下列因素:
- 檢閱部署數據源的主要 Azure 區域與將部署 Microsoft Purview 帳戶的次要 Azure 區域之間的延遲。 如需詳細資訊,請參閱 Azure 網路來回延遲統計數據。
- 檢閱您的數據落地需求。 當您在 Microsoft Purview 資料對應 中掃描數據源時,與元數據相關的資訊會內嵌並儲存在您部署 Microsoft Purview 帳戶的 Azure 區域中的數據對應內。 如需詳細資訊,請 參閱元數據儲存的位置。
- 如果需要專用網連線以供使用者存取或元數據擷取,請檢閱您的網路和安全性需求。 如需詳細資訊,請 參閱是否Microsoft主要區域中無法使用 Purview。
選項 1:在次要區域中部署Microsoft Purview 帳戶,並在 Azure 數據源所在的主要區域中部署所有私人端點。 針對此案例:
- 如果澳大利亞東南部是您所有數據源的主要區域,而且您已在主要區域中部署所有網路資源,則這是建議的選項。
- 在次要區域中部署 Microsoft Purview 帳戶 (例如澳大利亞東部) 。
- 在主要區域中部署所有Microsoft Purview 私人端點,包括帳戶、入口網站和擷取 (例如澳大利亞東南部) 。
- 部署所有 [Microsoft Purview 自我裝載整合運行時間] (。。/ manage-integration-runtimes.md) 主要区域中的 VM (例如澳大利亞東南部) 。 這有助於減少跨區域流量,因為數據對應掃描會發生在數據源所在的本機區域中,而且只有元數據會內嵌在部署Microsoft Purview 帳戶的次要區域中。
- 如果您使用 Microsoft Purview 受控 VNet 進行元數據擷取,則受控 VNet 運行時間和所有受控私人端點都會自動部署在部署 Microsoft Purview 的區域 (例如澳大利亞東部) 。
選項 2:在次要區域中部署Microsoft Purview 帳戶,並在主要和次要區域中部署私人端點。 針對此案例:
- 如果您在主要和次要區域中都有數據源,且使用者透過主要區域連線,則建議使用此選項。
- 在次要區域中部署 Microsoft Purview 帳戶 (例如澳大利亞東部) 。
- 在主要區域中部署 Microsoft Purview 治理入口網站私人端點 (例如,澳大利亞東南部) ,以供使用者存取 Microsoft Purview 治理入口網站。
- 在主要區域中部署 Microsoft Purview 帳戶和擷取私人端點 (例如,澳大利亞東南部) 在主要區域本機掃描數據源。
- 在次要區域中部署 Microsoft Purview 帳戶和擷取私人端點 (例如,澳大利亞東部) 在次要區域本機掃描數據源。
- 部署 [Microsoft Purview 自我裝載整合運行時間] (。。/ manage-integration-runtimes.md) 主要和次要区域中的 VM。 這有助於將數據對應掃描流量保留在本機區域,並只將元數據傳送至在次要區域中設定的 Microsoft Purview 資料對應,例如澳大利亞東部) (。
- 如果您使用 Microsoft Purview 受控 VNet 進行元數據擷取,則受控 VNet 運行時間和所有受控私人端點都會自動部署在部署 Microsoft Purview 的區域 (例如澳大利亞東部) 。
具有私人端點的 DNS 設定
多個 Microsoft Purview 帳戶的名稱解析
如果您的組織需要使用私人端點部署和維護多個Microsoft Purview 帳戶,建議您遵循這些建議:
- 為每個 Microsoft Purview 帳戶部署至少一個 帳戶 私人端點。
- 為每個 Microsoft Purview 帳戶部署至少一組擷 取 私人端點。
- 為 Azure 環境中的其中一個 Microsoft Purview 帳戶部署一個 入口網站 私人端點。 為 入口網站 私人端點建立一筆 DNS A 記錄以解析
web.purview.azure.com。 入口 網站 私人端點可供相同 Azure 虛擬網路中的所有 purview 帳戶使用,或是透過 VNet 對等互連連線的虛擬網路中使用。
如果在多個訂用帳戶和透過 VNet 對等互連連線的多個 VNet 上部署多個 Microsoft Purview 帳戶,也適用此案例。 入口網站 私人端點主要呈現與 Microsoft Purview 治理入口網站相關的靜態資產,因此,它與 Microsoft Purview 帳戶無關,因此,如果 VNet 已連線,則只需要一個 入口網站 私人端點來流覽 Azure 環境中的所有 Microsoft Purview 帳戶。
注意事項
在隔離網路區隔中部署 Microsoft Purview 帳戶的案例中,您可能需要為每個Microsoft Purview 帳戶 部署個別的 入口網站私人端點。
Microsoft Purview 入口 網站 是所有客戶的靜態內容,沒有任何客戶資訊。 您可以選擇性地使用公用網路, (不使用入口網站私人端點,) 允許您的終端用戶啟動因特網時啟動 web.purview.azure.com 。
選項 3:同時使用私人和公用端點
您可以選擇選項,讓資料來源的子集使用私人端點,同時,您需要掃描下列其中一項:
- 使用服務端點設定的其他數據源
- 具有可透過因特網存取之公用端點的數據源
如果您需要使用擷取私人端點和使用公用端點或服務端點來掃描某些數據源,您可以:
- 針對您的 Microsoft Purview 帳戶使用私人端點。
- 將 [公用網络存取]設定為 [從 您 Microsoft Purview 帳戶上的所有網络啟用]。
整合運行時間選項
若要掃描以私人端點設定的 Azure 數據源,您必須在部署在相同或對等互連虛擬網路內的 Windows 虛擬機上設定及使用自我裝載整合運行時間,其中會部署 Microsoft Purview 帳戶和擷取私人端點。
當您使用私人端點搭配 Microsoft Purview 時,您必須允許從數據源到部署 Microsoft Purview 私人端點之 Azure 虛擬網路上自我裝載整合 VM 的網路連線。
若要掃描設定為允許公用端點的 Azure 數據源,您可以使用 Azure 整合運行時間。
若要掃描內部部署數據源,您也可以在內部部署 Windows 電腦或 Azure 虛擬網路內的 VM 上安裝自我裝載整合運行時間。
建議您允許自我裝載整合運行時間的自動升級。 請確定您在 Azure 虛擬網路或公司防火牆上開啟必要的輸出規則,以允許自動升級。 如需詳細資訊,請 參閱自我裝載整合運行時間網路需求。
驗證選項
若要掃描設定為允許公用端點的 Azure 數據源,您可以根據資料來源類型使用任何驗證選項。
如果您使用擷取私人端點來掃描以私人端點設定的 Azure 資料來源:
您無法使用 Microsoft Purview 受控識別。 相反地,請根據數據源類型使用服務主體、帳戶密鑰或 SQL 驗證。
請確定您的認證儲存在 Azure 金鑰保存庫中,並在 Microsoft Purview 內註冊。
您必須在 Microsoft Purview 中根據您在 Azure 金鑰保存庫 中建立的每個秘密來建立認證。 至少為 Azure 中 金鑰保存庫 資源上的 Microsoft Purview 指派秘密的 get 和 list 存取權。 否則,認證將無法在 Microsoft Purview 帳戶中運作。
選項 4:僅使用私人端點進行擷取
如果您需要下列專案,您可以選擇此選項:
- 使用擷取私人端點掃描所有數據源。
- 受控資源必須設定為停用公用網路。
- 啟用透過公用網路存取 Microsoft Purview 治理入口網站。
若要啟用此選項:
- 為您的 Microsoft Purview 帳戶設定擷取私人端點。
- 將 [公用網络存取] 設定 為 [已停用],以便僅在 Microsoft Purview 帳戶上 (預覽) 進行擷取。
整合運行時間選項
請遵循選項 2 的建議。
驗證選項
請遵循選項 2 的建議。
自我裝載整合運行時間網路和 Proxy 建議
若要跨內部部署和 Azure 網路掃描數據源,您可能需要針對本檔稍早所述的任何案例,部署及使用 Azure VNet 或內部部署網路內的一或多部 自我裝載整合運行時間虛擬機 。
若要簡化管理,請盡可能使用 Azure IR 和 Microsoft Purview 受控 VNet IR 來掃描數據源。
自我裝載整合運行時間服務可以透過埠 443 透過公用或專用網與 Microsoft Purview 通訊。 如需詳細資訊,請參閱 自我裝載整合運行時間網路需求。
一個自我裝載整合運行時間 VM 可用來掃描 Microsoft Purview 中的一或多個數據源,不過,自我裝載整合運行時間必須只註冊為 Microsoft Purview,而且不能同時用於 Azure Data Factory 或 Azure Synapse。
您可以在一個 Microsoft Purview 帳戶中註冊並使用一或多個自我裝載整合運行時間。 建議您在數據源所在的每個區域或內部部署網路中,至少放置一個自我裝載整合運行時間 VM。
建議針對每個自我裝載整合運行時間 VM 的必要容量定義基準,並根據需求調整 VM 容量。
建議您盡可能透過專用網設定自我裝載整合運行時間 VM 與 Microsoft Purview 及其受控資源之間的網路連線。
如果已啟用自動更新,則允許對 download.microsoft.com 的輸出連線。
如果自我裝載整合運行時間 VM 部署在 Azure VNet 或透過 ExpressRoute 或站對站 VPN 連線連線到 Azure 的內部部署網路中,則自我裝載整合運行時間服務不需要輸出因特網連線。 在此情況下,掃描和元數據擷取程式可以透過專用網完成。
自我裝載整合運行時間可以直接或透過 Proxy 伺服器Microsoft Purview 及其受控資源進行通訊。 如果自我裝載整合運行時間 VM 位於 Azure VNet 內,或是透過 ExpressRoute 或站對站 VPN 連線連線,請避免使用 Proxy 設定。
如果您需要搭配 Proxy 設定使用自我裝載整合運行時間,請檢閱支援的 案例。