Azure Data Factory için Azure Özel Bağlantı
UYGULANANLAR: Azure Data Factory Azure Synapse Analytics
İpucu
Kuruluşlar için hepsi bir arada analiz çözümü olan Microsoft Fabric'te Data Factory'yi deneyin. Microsoft Fabric , veri taşımadan veri bilimine, gerçek zamanlı analize, iş zekasına ve raporlamaya kadar her şeyi kapsar. Yeni bir deneme sürümünü ücretsiz olarak başlatmayı öğrenin!
Azure Özel Bağlantı kullanarak Azure'daki çeşitli hizmet olarak platform (PaaS) dağıtımlarına özel bir uç nokta üzerinden bağlanabilirsiniz. Özel uç nokta, belirli bir sanal ağ veya alt ağ içinde yer alan özel IP adresidir. Özel Bağlantı işlevselliği destekleyen PaaS dağıtımlarının listesi için Özel Bağlantı belgelerine bakın.
Müşteri ağları ile Data Factory arasında güvenli iletişim
Buluttaki ağınızı mantıksal gösterimi olarak bir Azure sanal ağı ayarlayabilirsiniz. Bunun yapılması aşağıdaki avantajları sağlar:
- Azure kaynaklarınızın genel ağlardaki saldırılardan korunmasına yardımcı olursunuz.
- Ağların ve veri fabrikasının birbirleriyle güvenli bir şekilde iletişim kurmasına izin verirsiniz.
Şirket içi ağı sanal ağınıza da bağlayabilirsiniz. Siteden siteye bağlantı olan bir İnternet Protokolü güvenlik VPN bağlantısı ayarlayın. Veya bir Azure ExpressRoute bağlantısı ayarlayın. özel eşleme bağlantısıdır.
Şirket içi makineye veya sanal ağdaki bir sanal makineye şirket içinde barındırılan tümleştirme çalışma zamanı (IR) da yükleyebilirsiniz. Bunun yapılması şunları sağlar:
- Bulut veri deposuyla özel ağdaki bir veri deposu arasında kopyalama etkinlikleri çalıştırabilirsiniz.
- Şirket içi ağındaki veya Azure sanal ağındaki işlem kaynaklarına dönüştürme etkinlikleri gönderebilirsiniz.
Aşağıdaki tabloda gösterildiği gibi Azure Data Factory ile müşteri sanal ağı arasında çeşitli iletişim kanalları gereklidir:
Domain | Bağlantı noktası | Açıklama |
---|---|---|
adf.azure.com |
443 | Data Factory portalı Data Factory yazma ve izleme için gereklidir. |
*.{region}.datafactory.azure.net |
443 | Data Factory'ye bağlanmak için şirket içinde barındırılan IR tarafından gereklidir. |
*.servicebus.windows.net |
443 | Etkileşimli yazma için şirket içinde barındırılan IR için gereklidir. |
download.microsoft.com |
443 | Güncelleştirmeleri indirmek için şirket içinde barındırılan IR tarafından gereklidir. |
Not
Genel ağ erişimini devre dışı bırakmak yalnızca şirket içinde barındırılan IR için geçerlidir, Azure IR ve SQL Server Integration Services IR için geçerli değildir.
Data Factory ile iletişim Özel Bağlantı ve güvenli özel bağlantı sağlamaya yardımcı olur.
Önceki iletişim kanallarının her biri için Özel Bağlantı etkinleştirmek aşağıdaki işlevleri sunar:
Desteklenen:
- Tüm giden iletişimleri engelleseniz bile, sanal ağınızdan Data Factory portalında yazabilir ve izleyebilirsiniz. Portal için özel bir uç nokta oluşturursanız, diğerleri data factory portalına genel ağ üzerinden erişmeye devam edebilir.
- Şirket içinde barındırılan IR ile Data Factory arasındaki komut iletişimleri özel bir ağ ortamında güvenli bir şekilde gerçekleştirilebilir. Şirket içinde barındırılan IR ile Data Factory arasındaki trafik Özel Bağlantı.
Şu anda desteklenmiyor:
- Test bağlantısı, klasör listesine ve tablo listesine göz atma, şema alma ve önizleme verileri gibi şirket içinde barındırılan bir IR kullanan etkileşimli yazma Özel Bağlantı. Bağımsız etkileşimli yazma etkinse trafiğin özel bağlantıdan geçtiğine dikkat edin. Bkz . Bağımsız Etkileşimli Yazma.
Not
Bağımsız etkileşimli yazma etkinleştirildiğinde hem "GET IP" hem de "Send log" desteklenmez.
- Otomatik güncelleştirmeyi etkinleştirirseniz Microsoft İndirme Merkezi'nden otomatik olarak indirilebilen şirket içinde barındırılan IR'nin yeni sürümü şu anda desteklenmiyor.
Şu anda desteklenmeyen işlevler için, sanal ağda veya şirket güvenlik duvarınızda daha önce bahsedilen etki alanını ve bağlantı noktasını yapılandırmanız gerekir.
Data Factory'ye özel uç nokta üzerinden bağlanmak yalnızca Data Factory'de şirket içinde barındırılan IR için geçerlidir. Azure Synapse Analytics için desteklenmez.
Uyarı
Özel Bağlantı Data Factory'yi etkinleştirir ve genel erişimi aynı anda engellerseniz, kimlik bilgilerinizi güvenli olduklarından emin olmak için Azure Key Vault'ta depolayın.
Şirket içinde barındırılan IR ile Data Factory arasındaki iletişim için özel uç noktayı yapılandırma
Bu bölümde, şirket içinde barındırılan IR ile Data Factory arasındaki iletişim için özel uç noktanın nasıl yapılandırıldığı açıklanmaktadır.
Özel uç nokta oluşturma ve Data Factory için özel bağlantı ayarlama
Özel uç nokta, şirket içinde barındırılan IR ile Data Factory arasındaki iletişim için sanal ağınızda oluşturulur. Data Factory için özel uç nokta bağlantısı ayarlama başlığındaki adımları izleyin.
DNS yapılandırmasının doğru olduğundan emin olun
DNS ayarlarınızı denetlemek veya yapılandırmak için özel uç noktaların DNS değişikliklerindeki yönergeleri izleyin.
Azure Relay ve İndirme Merkezi'nin FQDN'lerini güvenlik duvarınızın izin verilenler listesine yerleştirin
Şirket içinde barındırılan IR'niz sanal ağınızdaki sanal makinede yüklüyse, sanal ağınızın NSG'sindeki FQDN'lerin altına giden trafiğe izin verin.
Şirket içi ortamınızdaki makinede şirket içinde barındırılan IR'niz yüklüyse, şirket içi ortamınızın güvenlik duvarında ve sanal ağınızın NSG'sinde FQDN'lerin altına giden trafiğe izin verin.
Domain | Bağlantı noktası | Açıklama |
---|---|---|
*.servicebus.windows.net |
443 | Etkileşimli yazma için şirket içinde barındırılan IR için gereklidir |
download.microsoft.com |
443 | Güncelleştirmeleri indirmek için şirket içinde barındırılan IR tarafından gereklidir |
Güvenlik duvarında ve NSG'de önceki giden trafiğe izin vermezseniz, şirket içinde barındırılan IR Sınırlı durumla gösterilir. Ancak yine de etkinlikleri yürütmek için kullanabilirsiniz. Yalnızca etkileşimli yazma ve otomatik güncelleştirme çalışmaz.
Not
Bir veri fabrikasında (paylaşılan) şirket içinde barındırılan bir IR varsa ve şirket içinde barındırılan IR diğer veri fabrikalarıyla paylaşılıyorsa (bağlı), yalnızca paylaşılan veri fabrikası için özel bir uç nokta oluşturmanız gerekir. Diğer bağlı veri fabrikaları, şirket içinde barındırılan IR ile Data Factory arasındaki iletişimler için bu özel bağlantıdan yararlanabilir.
Not
Şu anda şirket içinde barındırılan tümleştirme çalışma zamanı ile Synapse Analytics çalışma alanı arasında özel bağlantı oluşturmayı desteklemiyoruz. Synapse çalışma alanında veri sızdırma koruması etkinleştirildiğinde bile şirket içinde barındırılan tümleştirme çalışma zamanı Synapse ile iletişim kurmaya devam edebilir.
Özel uç noktalar için DNS değişiklikleri
Özel uç nokta oluşturduğunuzda, veri fabrikası için DNS CNAME kaynak kaydı özel bağlantı ön ekine sahip bir alt etki alanında bir diğer adla güncelleştirilir. Varsayılan olarak, özel uç noktaların DNS A kaynak kayıtlarıyla birlikte özel bağlantı alt etki alanına karşılık gelen bir özel DNS bölgesi de oluştururuz.
Veri fabrikası uç noktası URL'sini sanal ağın dışından özel uç noktayla çözümlediğinizde, data factory'nin genel uç noktasına çözümler. Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, depolama uç noktası URL'si özel uç noktanın IP adresine çözümlenir.
Yukarıdaki örnek için DataFactoryA adlı veri fabrikasının DNS kaynak kayıtları, özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde şöyle olacaktır:
Adı | Tür | Değer |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | < Data Factory genel uç noktası > |
< Data Factory genel uç noktası > | A | < Data Factory genel IP adresi > |
DataFactoryA için DNS kaynak kayıtları, özel uç noktayı barındıran sanal ağda çözümlendiğinde şöyle olur:
Adı | Tür | Değer |
---|---|---|
DataFactoryA. {region}.datafactory.azure.net | CNAME | DataFactoryA. {region}.privatelink.datafactory.azure.net |
DataFactoryA. {region}.privatelink.datafactory.azure.net | A | < özel uç nokta IP adresi > |
Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemcilerin veri fabrikası uç noktası için FQDN'yi özel uç nokta IP adresine çözümleyebilmesi gerekir. DNS sunucunuzu, Özel Bağlantı alt etki alanınızı sanal ağın özel DNS bölgesine temsilci olarak ataması için yapılandırmanız gerekir. Veya DataFactoryA için A kayıtlarını yapılandırabilirsiniz. Özel uç nokta IP adresiyle {region}.datafactory.azure.net.
Not
Şu anda yalnızca bir Data Factory portalı uç noktası olduğundan, bir DNS bölgesinde portal için yalnızca bir özel uç nokta vardır. İkinci veya sonraki bir portal özel uç noktası oluşturulmaya çalışılması, portal için önceden oluşturulmuş özel DNS girişinin üzerine yazar.
Data Factory için özel uç nokta bağlantısı ayarlama
Bu bölümde Data Factory için özel bir uç nokta bağlantısı ayarlayacaksınız.
Burada gösterilen Data Factory oluşturma adımı sırasında Genel uç nokta veya Özel uç nokta'yı seçerek şirket içinde barındırılan IR'nizi Data Factory'ye bağlamayı seçebilirsiniz:
Seçimi, oluşturulduktan sonra ağ bölmesindeki Data Factory portalı sayfasından istediğiniz zaman değiştirebilirsiniz. Orada Özel uç noktayı etkinleştirdikten sonra, veri fabrikasına özel bir uç nokta da eklemeniz gerekir.
Özel uç nokta, bağlantı için bir sanal ağ ve alt ağ gerektirir. Bu örnekte, özel uç nokta bağlantısı aracılığıyla bağlanan şirket içinde barındırılan IR'yi çalıştırmak için alt ağ içindeki bir sanal makine kullanılır.
Sanal ağ oluşturma
Özel uç nokta bağlantınızla kullanmak için mevcut bir sanal ağınız yoksa, bir ağ oluşturup bir alt ağ atamanız gerekir.
Azure Portal’ında oturum açın.
Ekranın sol üst köşesinde Kaynak>oluştur Ağ>Sanal ağı'nı seçin veya arama kutusunda Sanal ağ araması yapın.
Sanal ağ oluştur bölümünde Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Azure aboneliği seçin. Kaynak grubu Sanal ağınız için bir kaynak grubu seçin. Örnek ayrıntıları Veri Akışı Adı Sanal ağınız için bir ad girin. Bölge Önemli: Özel uç noktanızın kullandığı bölgeyi seçin. IP Adresleri sekmesini seçin veya sayfanın alt kısmındaki İleri: IP Adresleri'ni seçin.
IP Adresleri sekmesinde şu bilgileri girin:
Ayar Value IPv4 adres alanı 10.1.0.0/16 girin. Alt ağ adı'nın altında varsayılan sözcüğü seçin.
Alt ağı düzenle bölümüne şu bilgileri girin:
Ayar Value Alt ağ adı Alt ağınız için bir ad girin. Alt ağ adres aralığı 10.1.0.0/24 girin. Kaydet'i seçin.
Gözden Geçir + oluştur sekmesini seçin veya Gözden Geçir + oluştur düğmesini seçin.
Oluştur'u belirleyin.
Şirket içinde barındırılan IR için sanal makine oluşturma
Ayrıca, önceki adımlarda oluşturulan yeni alt ağda şirket içinde barındırılan IR'yi çalıştırmak için mevcut bir sanal makine oluşturmanız veya atamanız gerekir.
Portalın sol üst köşesinde Kaynak>oluştur İşlem>Sanal makinesi'ni seçin veya arama kutusunda Sanal makine'yi arayın.
Sanal makine oluştur bölümünde Temel Bilgiler sekmesinde değerleri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Azure aboneliği seçin. Kaynak grubu Kaynak grubunu seçin. Örnek ayrıntıları Virtual machine name Sanal makine için bir ad girin. Bölge Sanal ağınız için kullandığınız bölgeyi seçin. Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil'i seçin. Görsel Windows Server 2019 Datacenter - 1. Nesil'i veya şirket içinde barındırılan IR'yi destekleyen başka bir Windows görüntüsünü seçin. Azure spot örneği Hayır'ı seçin. Size VM boyutunu seçin veya varsayılan ayarı kullanın. Yönetici hesabı Username Bir kullanıcı adı girin. Parola Bir parola girin. Parolayı onaylayın Parolayı yeniden girin. Ağ sekmesini seçin veya İleri: Diskler>Sonraki: Ağ'ı seçin.
Ağ sekmesinde şunları seçin veya girin:
Ayar Value Ağ arabirimi Sanal ağ Oluşturduğunuz sanal ağı seçin. Alt ağ Oluşturduğunuz alt ağı seçin. Genel IP Hiçbiri seçeneğini belirtin. NIC ağ güvenlik grubu Temel. Genel gelen bağlantı noktaları Hiçbiri seçeneğini belirtin. Gözden geçir ve oluştur’u seçin.
Ayarları gözden geçirin ve oluştur'u seçin.
Not
Azure, genel IP adresi atanmamış veya bir iç temel Azure yük dengeleyicinin arka uç havuzunda yer alan VM'ler için varsayılan bir giden erişim IP'si sağlar. Varsayılan giden erişim IP mekanizması, yapılandırılamayan bir giden IP adresi sağlar.
Aşağıdaki olaylardan biri gerçekleştiğinde varsayılan giden erişim IP'si devre dışı bırakılır:
- VM'ye bir genel IP adresi atanır.
- VM, giden kuralları olan veya olmayan standart bir yük dengeleyicinin arka uç havuzuna yerleştirilir.
- VM'nin alt a bilgisayarına bir Azure NAT Gateway kaynağı atanır.
Sanal makine ölçek kümelerini esnek düzenleme modunda kullanarak oluşturduğunuz VM'lerin varsayılan giden erişimi yoktur.
Azure'daki giden bağlantılar hakkında daha fazla bilgi için bkz . Azure'da varsayılan giden erişim ve giden bağlantılar için Kaynak Ağ Adresi Çevirisi'ni (SNAT) kullanma.
Özel uç nokta oluşturma
Son olarak, veri fabrikanızda özel bir uç nokta oluşturmanız gerekir.
Veri fabrikanızın Azure portalı sayfasında Ağ>Özel uç nokta bağlantıları'nı ve ardından + Özel uç nokta'yı seçin.
Özel uç nokta oluştur'un Temel Bilgiler sekmesinde şu bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Aboneliğinizi seçin. Kaynak grubu Kaynak grubunu seçin. Örnek ayrıntıları Veri Akışı Adı Uç noktanız için bir ad girin. Bölge Oluşturduğunuz sanal ağın bölgesini seçin. Ekranın alt kısmındaki Kaynak sekmesini veya Sonraki: Kaynak düğmesini seçin.
Kaynak alanına şu bilgileri girin veya seçin:
Ayar Value Bağlantı yöntemi Dizinimdeki bir Azure kaynağına bağlan'ı seçin. Abonelik Aboneliğinizi seçin. Kaynak türü Microsoft.Datafactory/factory'yi seçin. Kaynak Veri fabrikanızı seçin. Target sub-resource Şirket içinde barındırılan IR ile Data Factory arasındaki komut iletişimleri için özel uç noktayı kullanmak istiyorsanız Hedef alt kaynak olarak datafactory'yi seçin. Sanal ağınızdaki veri fabrikasını yazmak ve izlemek için özel uç noktayı kullanmak istiyorsanız Portal'ı Hedef alt kaynak olarak seçin. Ekranın alt kısmındaki Yapılandırma sekmesini veya Sonraki: Yapılandırma düğmesini seçin.
Yapılandırma'da şu bilgileri girin veya seçin:
Ayar Value Ağ Sanal ağ Oluşturduğunuz sanal ağı seçin. Alt ağ Oluşturduğunuz alt ağı seçin. Özel DNS tümleştirmesi Özel DNS bölgesi ile tümleştirme Varsayılan değeri Evet olarak bırakın. Abonelik Aboneliğinizi seçin. Özel DNS bölgeleri Her iki Hedef alt kaynağında da varsayılan değeri bırakın: 1. datafactory: (Yeni) privatelink.datafactory.azure.net. 2. portal: (Yeni) privatelink.adf.azure.com. Gözden geçir ve oluştur’u seçin.
Oluştur'u belirleyin.
Özel Bağlantı kullanarak Data Factory kaynaklarına erişimi kısıtlama
Aboneliklerinizdeki Data Factory kaynaklarına erişimi Özel Bağlantı kısıtlamak istiyorsanız Azure kaynaklarını yönetmek için özel bağlantı oluşturmak üzere portalı kullanma başlığı altında yer alan adımları izleyin.
Bilinen sorun
Her iki taraf da Özel Bağlantı ve özel uç noktaya sunulduğunda her PaaS kaynağına erişemezsiniz. Bu sorun, Özel Bağlantı ve özel uç noktaların bilinen bir sınırlamasıdır.
Örneğin, A müşterisi A sanal ağındaki A veri fabrikasının portalına erişmek için özel bir bağlantı kullanıyor. A veri fabrikası genel erişimi engellemediğinde, B müşterisi B sanal ağındaki A veri fabrikası portalına genel erişim üzerinden erişebilir. Ancak B müşterisi, B sanal ağında B veri fabrikasına karşı özel bir uç nokta oluşturduğunda, B müşterisi A veri fabrikasına artık B sanal ağında genel olarak erişemez.