Condividi tramite


Metodo express virtual network injection

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Suggerimento

Provare Data Factory in Microsoft Fabric, una soluzione di analisi all-in-one per le aziende. Microsoft Fabric copre tutto, dallo spostamento dati al data science, all'analisi in tempo reale, alla business intelligence e alla creazione di report. Vedere le informazioni su come iniziare una nuova prova gratuita!

Nota

La funzionalità express virtual network injection non è ancora supportata per il runtime di integrazione SSIS nelle aree seguenti:

  • Jio India occidentale o Svizzera occidentale
  • US Gov Texas o US Gov Arizona
  • Cina settentrionale 2 o Cina orientale 2

Quando si usa SQL Server Integration Services (SSIS) in Azure Data Factory (ADF) o nelle pipeline di Synapse, sono disponibili due metodi per aggiungere il runtime di integrazione SSIS di Azure a una rete virtuale: standard ed express. Se si usa il metodo express, è necessario configurare la rete virtuale per soddisfare questi requisiti:

  • Assicurarsi che Microsoft.Batch sia un provider di risorse registrato nella sottoscrizione di Azure con la rete virtuale per l'aggiunta del runtime di integrazione Azure-SSIS. Per istruzioni dettagliate, vedere la sezione Registrare Azure Batch come provider di risorse .

  • Assicurarsi che nella rete virtuale non sia presente alcun blocco delle risorse.

  • Selezionare una subnet appropriata nella rete virtuale per aggiungere il runtime di integrazione Azure-SSIS. Per altre informazioni, vedere la sezione Selezionare una subnet di seguito.

  • Assicurarsi che all'utente che crea Azure-SSIS IR siano concesse le autorizzazioni necessarie per il controllo degli accessi in base al ruolo per l'aggiunta alla rete virtuale o alla subnet. Per altre informazioni, vedere la sezione Selezionare le autorizzazioni di rete virtuale di seguito.

A seconda dello scenario specifico, è possibile configurare facoltativamente quanto segue:

  • Per usare un indirizzo IP pubblico statico per il traffico in uscita del runtime di integrazione Azure-SSIS, vedere la sezione Configurare un indirizzo IP pubblico statico di seguito.

  • Se si vuole usare il proprio server DNS (Domain Name System) nella rete virtuale, vedere la sezione Configurare un server DNS personalizzato di seguito.

  • Per usare un gruppo di sicurezza di rete (NSG) per limitare il traffico in uscita nella subnet, vedere la sezione Configurare un gruppo di sicurezza di rete di seguito.

  • Se si vogliono usare route definite dall'utente per controllare/controllare il traffico in uscita, vedere la sezione Configurare le route definite dall'utente di seguito.

Questo diagramma mostra le connessioni necessarie per il runtime di integrazione Azure-SSIS:

Diagramma che mostra le connessioni necessarie per azure-SSIS IR in express virtual network injection.

Selezionare una subnet

Per abilitare l'inserimento rapido della rete virtuale, è necessario selezionare una subnet appropriata per il runtime di integrazione Azure-SSIS da aggiungere:

  • Non selezionare GatewaySubnet, perché è dedicato per i gateway di rete virtuale.

  • Assicurarsi che la subnet selezionata abbia indirizzi IP disponibili per almeno due volte il numero del nodo azure-SSIS IR. Questi sono necessari per evitare interruzioni durante l'implementazione di patch/aggiornamenti per il runtime di integrazione Azure-SSIS. Azure riserva anche alcuni indirizzi IP che non possono essere usati in ogni subnet. Il primo e l'ultimo indirizzo IP sono riservati per la conformità del protocollo, mentre altri tre indirizzi sono riservati per i servizi di Azure. Per altre informazioni, vedere la sezione Restrizioni relative agli indirizzi IP della subnet.

  • Non usare una subnet occupata esclusivamente da altri servizi di Azure, ad esempio Istanza gestita di SQL di Azure, servizio app e così via.

  • La subnet selezionata deve essere delegata al servizio Microsoft.Batch/batchAccounts . Per altre informazioni, vedere l'articolo Panoramica della delega della subnet. Per istruzioni dettagliate, vedere la sezione Delegare una subnet ad Azure Batch .

Selezionare le autorizzazioni di rete virtuale

Per abilitare l'inserimento rapido della rete virtuale, all'utente che crea Azure-SSIS IR deve essere concessa le autorizzazioni di controllo degli accessi in base al ruolo necessarie per l'aggiunta alla rete virtuale o alla subnet. È possibile procedere in due modi:

  • Usare il ruolo predefinito Collaboratore di rete. Questo ruolo include l'autorizzazione Microsoft.Network/* che ha un ambito molto più ampio del necessario.

  • Creare un ruolo personalizzato che includa solo l'autorizzazione Microsoft.Network/virtualNetworks/subnets/join/action necessaria.

Per istruzioni dettagliate, vedere la sezione Concedere le autorizzazioni di rete virtuale.

Configurare un indirizzo IP pubblico statico

Se si vuole usare un indirizzo IP pubblico statico per il traffico in uscita del runtime di integrazione Azure-SSIS, in modo da consentirlo nei firewall, è necessario configurare nat (Virtual Network Address Translation) per configurarlo.

Configurare un server DNS personalizzato

Se si vuole usare il proprio server DNS nella rete virtuale per risolvere i nomi host privati, assicurarsi che possa risolvere anche i nomi host globali di Azure( ad esempio, il Archiviazione BLOB di Azure denominato <your storage account>.blob.core.windows.).

È consigliabile configurare il proprio server DNS per inoltrare richieste DNS non risolte all'indirizzo IP dei resolver ricorsivi di Azure (168.63.129.16).

Per altre informazioni, vedere la sezione Risoluzione dei nomi del server DNS.

Attualmente, affinché Azure-SSIS IR usi il proprio server DNS, è necessario configurarlo con una configurazione personalizzata standard seguendo questa procedura:

  1. Scaricare uno script di installazione personalizzato main.cmd + il file associato setupdnsserver.ps1.

  2. Sostituire "your-dns-server-ip" in main.cmd con l'indirizzo IP del proprio server DNS.

  3. Caricare main.cmd + setupdnsserver.ps1 nel proprio contenitore BLOB Archiviazione di Azure per la configurazione personalizzata standard e immettere il relativo URI di firma di accesso condiviso durante il provisioning di Azure-SSIS IR, vedere l'articolo Personalizzazione di Azure-SSIS IR.

Nota

Usare un nome di dominio completo (FQDN) per il nome host privato, ad esempio usare <your_private_server>.contoso.com anziché <your_private_server>. In alternativa, è possibile usare una configurazione personalizzata standard nel runtime di integrazione Azure-SSIS per aggiungere automaticamente il proprio suffisso DNS (ad esempio contoso.com) a qualsiasi nome di dominio di etichetta singola non qualificato e trasformarlo in un nome di dominio completo prima di usarlo nelle query DNS, vedere la sezione Standard custom setup samples (Esempi di installazione personalizzata standard).

Configurare un gruppo di sicurezza di rete

Se si vuole usare un gruppo di sicurezza di rete nella subnet aggiunta dal runtime di integrazione Azure-SSIS, consentire il traffico in uscita seguente:

Protocollo di trasporto Origine Porte di origine Destinazione Porte di destinazione Commenti
TCP VirtualNetwork * DataFactoryManagement 443 Obbligatorio per il runtime di integrazione Azure-SSIS per accedere ai servizi di Azure Data Factory.

Per il momento, il traffico in uscita usa solo l'endpoint pubblico di Azure Data Factory.
TCP VirtualNetwork * Sql/VirtualNetwork 1433, 11000-11999 (Facoltativo) Obbligatorio solo se si usa database SQL di Azure server/Istanza gestita per ospitare il catalogo SSIS (SSISDB).

Se l'database SQL di Azure server/Istanza gestita è configurato con un endpoint pubblico o un endpoint servizio di rete virtuale, usare il tag del servizio Sql come destinazione.

Se il server/Istanza gestita database SQL di Azure è configurato con un endpoint privato, usare il tag del servizio VirtualNetwork come destinazione.

Se i criteri di connessione del server sono impostati su Proxy invece di Reindirizzamento, è necessaria solo la porta 1433 .
TCP VirtualNetwork * Archiviazione/Rete virtuale 443 (Facoltativo) Obbligatorio solo se si usa Archiviazione di Azure contenitore BLOB per archiviare lo script o i file di installazione personalizzati standard.

Se il Archiviazione di Azure è configurato con un endpoint pubblico o un endpoint servizio di rete virtuale, usare il tag del servizio di archiviazione come destinazione.

Se il Archiviazione di Azure è configurato con un endpoint privato, usare il tag del servizio VirtualNetwork come destinazione.
TCP VirtualNetwork * Archiviazione/Rete virtuale 445 (Facoltativo) Obbligatorio solo se è necessario accedere alle File di Azure.

Se il Archiviazione di Azure è configurato con un endpoint pubblico o un endpoint servizio di rete virtuale, usare il tag del servizio di archiviazione come destinazione.

Se il Archiviazione di Azure è configurato con un endpoint privato, usare il tag del servizio VirtualNetwork come destinazione.

Configurare le route definite dall'utente

Se si vuole controllare o controllare il traffico in uscita dal runtime di integrazione Azure-SSIS, è possibile usare route definite dall'utente (UDR) per reindirizzarlo a un'appliance firewall locale tramite il tunneling forzato di Azure ExpressRoute che annuncia una route BGP (Border Gateway Protocol) 0.0.0.0/0 alla rete virtuale, a un'appliance virtuale di rete (NVA) configurata come firewall o per Firewall di Azure servizio.

Seguendo le indicazioni riportate nella sezione Configurare un gruppo di sicurezza di rete precedente, è necessario implementare regole simili nell'appliance/servizio firewall per consentire il traffico in uscita dal runtime di integrazione Azure-SSIS:

  • Se si usa Firewall di Azure:

    • È necessario aprire la porta 443 per il traffico TCP in uscita con il tag del servizio DataFactoryManagement come destinazione.

    • Se si usa database SQL di Azure server/Istanza gestita per ospitare SSISDB, è necessario aprire le porte 1433, 11000-11999 per il traffico TCP in uscita con tag del servizio Sql/VirtualNetwork come destinazione.

    • Se si usa Archiviazione di Azure contenitore BLOB per archiviare lo script o i file di installazione personalizzati standard, è necessario aprire la porta 443 per il traffico TCP in uscita con il tag del servizio Storage/VirtualNetwork come destinazione.

    • Se è necessario accedere File di Azure, è necessario aprire la porta 445 per il traffico TCP in uscita con il tag del servizio Storage/VirtualNetwork come destinazione.

  • Se si usa un'altra appliance/servizio firewall:

    • È necessario aprire la porta 443 per il traffico TCP in uscita con 0.0.0.0/0 o il nome di dominio completo specifico dell'ambiente di Azure seguente come destinazione:

      Ambiente di Azure FQDN
      Pubblico di Azure *.frontend.clouddatahub.net
      Azure Government *.frontend.datamovement.azure.us
      Microsoft Azure gestito da 21Vianet *.frontend.datamovement.azure.cn
    • Se si usa database SQL di Azure server/Istanza gestita per ospitare SSISDB, è necessario aprire le porte 1433, 11000-11999 per il traffico TCP in uscita con 0.0.0.0/0 o il server database SQL di Azure/Istanza gestita FQDN come destinazione.

    • Se si usa Archiviazione di Azure contenitore BLOB per archiviare lo script/i file di installazione personalizzati standard, è necessario aprire la porta 443 per il traffico TCP in uscita con 0.0.0.0/0 o il nome di dominio completo Archiviazione BLOB di Azure come destinazione.

    • Se è necessario accedere a File di Azure, è necessario aprire la porta 445 per il traffico TCP in uscita con 0.0.0.0/0 o il nome di dominio completo File di Azure come destinazione.

Per altre informazioni su Azure-SSIS IR, vedere gli articoli seguenti:

  • Azure-SSIS IR. Questo articolo fornisce informazioni concettuali generali sugli IR, incluso Azure-SSIS IR.
  • Esercitazione: Distribuire pacchetti SSIS in Azure. Questa esercitazione fornisce istruzioni dettagliate per creare il runtime di integrazione Azure-SSIS. Usa database SQL di Azure server per ospitare SSISDB.
  • Creare un runtime di integrazione SSIS di Azure. Questo articolo si espande sull'esercitazione. Vengono fornite istruzioni sull'uso di database SQL di Azure server configurato con un endpoint servizio di rete virtuale/una regola del firewall IP/un endpoint privato o un Istanza gestita di SQL di Azure che unisce una rete virtuale all'host SSISDB. Illustra come aggiungere il runtime di integrazione Azure-SSIS a una rete virtuale.
  • Monitorare un runtime di integrazione SSIS di Azure. Questo articolo illustra come recuperare e comprendere le informazioni su Azure-SSIS IR.
  • Gestire un runtime di integrazione SSIS di Azure. In questo articolo viene illustrato come arrestare, avviare o rimuovere Azure-SSIS IR. Viene anche illustrato come aumentare il numero di istanze per Azure-SSIS IR tramite l'aggiunta di nodi.