從 Azure Data Factory 存取安全的 Microsoft Purview 帳戶
本文描述如何針對不同的整合案例,從 Azure Data Factory 存取安全的 Microsoft Purview 帳戶。
Microsoft Purview 私人端點部署案例
Microsoft Purview 提供不同的防火牆設定選項。 請參閱下列管線譜系支援矩陣,以取得每個 Data Factory 整合執行階段類型。
| Microsoft Purview 防火牆設定 | Azure 整合執行階段 | 具有受控虛擬網路的 Azure 整合執行階段 | 自我裝載整合執行階段 |
|---|---|---|---|
| 已從所有網路啟用 | 支援 | 支援 | 支援 |
| 僅針對擷取停用 | 支援 | 支援 | 支援,需要擷取私人端點 |
| 已從所有網路停用 | 不支援 | 支援,需要帳戶和擷取私人端點 | 支援,需要帳戶和擷取私人端點 |
您可使用 Microsoft Purview 帳戶的 Azure 私人端點,以透過 Private Link 從虛擬網路 (VNet) 安全地存取目錄。 Microsoft Purview 針對各種存取需求提供不同類型的私人端點:帳戶私人端點、入口網站私人端點,以及擷取私人端點。 深入了解 Microsoft Purview 私人端點概念概觀。
需要私人端點時,請務必遵循下列設定指示,如此 Data Factory 就可以成功連線到 Microsoft Purview。 如果整合執行階段無法連線到 Purview,您會在活動執行監視上看到譜系狀態為失敗或逾時,且活動執行持續時間可能稍長 (預設逾時設定最多 2 分鐘)。
| 案例 | 必要的 Microsoft Purview 私人端點 |
|---|---|
| 執行管線並將資料譜系回報至 Microsoft | 若要讓 Data Factory 管線將譜系推送至 Microsoft Purview: - 使用 Azure Integration Runtime 時,請遵循 Microsoft Purview 受控私人端點一節中的步驟,在 Data Factory 受控虛擬網路中建立受控私人端點。 - 使用自我裝載 Integration Runtime 時,請遵循本節中的步驟,在整合執行階段的虛擬網路中建立帳戶和擷取私人端點。 |
| 使用 Microsoft ADF UI 探索及瀏覽資料 | 若要使用 Data Factory 製作 UI 正上方的搜尋列來搜尋 Microsoft Purview 資料並執行動作,您必須在啟動 Data Factory Studio 的虛擬網路中建立 Microsoft Purview 帳戶與入口網站私人端點。 遵循啟用帳戶和入口網站私人端點中的步驟。 |
適用於 Microsoft Purview 的受控私人端點
受控私人端點是在 Azure Data Factory 受控虛擬網路中建立的私人端點,這會建立 Azure 資源的私人連結。 當您執行管線並將譜系回報至受防火牆保護的 Microsoft Purview 帳戶時,請建立已啟用 [虛擬網路設定] 選項的 Azure Integration Runtime,並建立 Microsoft Purview 帳戶與擷取受控私人端點,如下所示。
建立受控私人端點
若要以 Data Factory 製作 UI 建立 Microsoft Purview 的受控私人端點:
移至 [管理] ->[Microsoft Purview],然後按一下 [編輯] 以編輯現有已連線的 Microsoft Purview 帳戶,或按一下 [連線至 Microsoft Purview 帳戶],以連線至新的 Microsoft Purview 帳戶。
選取 [是] 以建立受控私人端點。 您必須至少有一個在資料處理站中已啟用 [虛擬網路設定] 選項的 Azure Integration Runtime,才能看到此選項。
按一下 [+ 全部建立] 按鈕,以針對 Microsoft Purview 受控資源 (Blob 儲存體、佇列儲存體和事件中樞命名空間),整批建立所需的 Microsoft Purview 私人端點,包括帳戶私人端點和擷取私人端點。 Microsoft Purview 帳戶至少須有讀者角色,Data Factory 才能擷取 Microsoft Purview 受控資源的資訊。
在下個頁面中,指定私人端點的名稱。 它會用來產生擷取私人端點的名稱以及尾碼。
按一下 [建立] 以建立私人端點。 建立後會產生 4 個私人端點要求,這些必須由 Microsoft Purview 的擁有者核准。
這類受控私人端點的批次建立功能僅適用於 Microsoft Purview UI。 若您想要以程式設計方式建立受控私人端點,則必須個別建立。 您可從 Azure 入口網站 -> 您的 Microsoft Purview 帳戶 -> [受控資源] 中,找到 Microsoft Purview 受控資源的資訊。
核准私人端點連線
建立 Microsoft Purview 的受控私人端點後,您會先看到「擱置」狀態。 Microsoft Purview 擁有者必須核准每個資源的私人端點連線。
若有從 Data Factory UI 核准 Microsoft Purview 私人端點連線的權限:
- 移至 [管理] ->[Microsoft Purview] ->[編輯]
- 在私人端點清單中,按一下每個私人端點名稱旁邊的 [編輯] (鉛筆) 按鈕
- 按一下 [在 Azure 入口網站中管理核准],系統會帶您前往資源。
- 在指定的資源上,移至 [網路] -> [私人端點連線] 或 [擷取私人端點連線] 以進行核准。 私人端點會命名為
data_factory_name.your_defined_private_endpoint_name,並具有「由 data_factory_name 要求」的描述。 - 針對所有私人端點重複此作業。
若您沒有權限核准 Microsoft Purview 私人端點連線,請要求 Microsoft Purview 帳戶擁有者核准,如下所示。
若是使用 Microsoft Purview 入口網站的 Microsoft Purview 帳戶:
- 移至 Azure 入口網站 -> Microsoft Purview 帳戶。
- 選取 [網路] -> [擷取私人端點連線],以進行核准。 私人端點會命名為
data_factory_name.your_defined_private_endpoint_name,並具有「由 data_factory_name 要求」的描述。
針對使用傳統 Microsoft Purview 治理入口網站的 Microsoft Purview 帳戶:
- 針對帳戶私人端點,移至 Azure 入口網站 -> 您的 Microsoft Purview 帳戶 -> [網路] -> [私人端點連線] 以核准。
- 如果帳戶是在 2023 年 11 月 10 日之後建立 (或使用 API 版本 2023-05-01-preview 及更新版本部署):
- 移至 Azure 入口網站 -> Microsoft Purview 帳戶。
- 選取 [網路] -> [擷取私人端點連線],以進行核准。 私人端點會命名為
data_factory_name.your_defined_private_endpoint_name,並具有「由 data_factory_name 要求」的描述。
- 如果帳戶是在 2023 年 11 月 10 日之前建立 (或使用 2023-05-01-preview 之前的 API 版本部署):
移至 Azure 入口網站 -> Microsoft Purview 帳戶 -> 受控資源。
分別選取 [儲存體帳戶] 和 [事件中樞] 命名空間,然後在 [網路] -> [私人端點連線] 頁面中核准私人端點連線。
提示
如果已針對 Kafka 通知設定帳戶,則帳戶只會有受控事件中樞命名空間。
監視受控私人端點
有兩個地方可讓您監視已針對 Microsoft Purview 建立的受控私人端點:
- 移至 [管理] ->[Microsoft Purview] ->[編輯],以開啟現有已連線的 Microsoft Purview 帳戶。 若要查看所有相關私人端點,Microsoft Purview 帳戶至少須有讀者角色,Data Factory 才能擷取 Microsoft Purview 受控資源的資訊。 否則,您只會看到具有警告的「帳戶」私人端點。
- 前往 [管理] ->[Managed private endpoints] \(受控私人端點\),您會在其中看到在資料處理站下建立的所有受控私人端點。 若您在 Microsoft Purview 帳戶上至少有讀者角色,則會看到 Microsoft Purview 相關的私人端點聚集在一起。 否則,它們會分別顯示在清單中。