Použití služby Azure SQL Managed Instance se službou SQL Server Integration Services (SSIS) ve službě Azure Data Factory nebo Azure Synapse Analytics

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Své projekty, balíčky a úlohy SSIS (SQL Server Integration Services) teď můžete přesunout do cloudu Azure. Nasazení, spuštění a správa projektů a balíčků SSIS ve službě Azure SQL Database nebo SQL Managed Instance pomocí známých nástrojů, jako je SQL Server Management Studio (SSMS). Tento článek popisuje následující konkrétní oblasti při používání služby Azure SQL Managed Instance s prostředím Azure-SSIS Integration Runtime (IR):

• Zřízení prostředí Azure-SSIS IR s využitím katalogu SSIS (SSISDB) hostovaného službou Azure SQL Managed Instance
• Spouštění balíčků SSIS s využitím úlohy agenta služby Azure SQL Managed Instance
• Vyčištění protokolů SSISDB s využitím úlohy agenta služby Azure SQL Managed Instance
• Převzetí služeb při selhání prostředí Azure-SSIS IR s využitím služby Azure SQL Managed Instance
• Migrace místních úloh SSIS do služby SSIS v ADF

Zřízení prostředí Azure-SSIS IR s využitím SSISDB hostovaného službou Azure SQL Managed Instance

Požadavky

1. Při volbě ověřování Microsoft Entra povolte ve službě Azure SQL Managed Instance ID Microsoftu.

2. Zvolte, jak připojit službu SQL Managed Instance přes privátní koncový bod nebo přes veřejný koncový bod:

   • Přes privátní koncový bod (upřednostňovaný)

     1. Zvolte virtuální síť pro Azure-SSIS IR, ke které se chcete připojit:

        • Ve stejné virtuální síti jako spravovaná instance s jinou podsítí.
        • V jiné virtuální síti, než je spravovaná instance, prostřednictvím partnerského vztahu virtuálních sítí (který je omezený na stejnou oblast kvůli omezením globálního partnerského vztahu virtuálních sítí) nebo připojení z virtuální sítě k virtuální síti.

        Další informace o připojení ke službě SQL Managed Instance najdete v tématu Připojení vaší aplikace ke službě Azure SQL Managed Instance.

     2. Konfigurace virtuální sítě

   • Přes veřejný koncový bod

     Spravované instance Azure SQL můžou poskytovat připojení přes veřejné koncové body. Požadavky na příchozí a odchozí provoz musí splňovat, aby bylo možné povolit provoz mezi službou SQL Managed Instance a prostředím Azure-SSIS IR:

     • pokud azure-SSIS IR není uvnitř virtuální sítě (upřednostňované)

       Příchozí požadavek služby SQL Managed Instance pro povolení příchozího provozu z Azure-SSIS IR.

       Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů
       TCP	Značka cloudové služby Azure	*	VirtualNetwork	3342

       Další informace najdete v tématu Povolení provozu veřejného koncového bodu ve skupině zabezpečení sítě.

     • Když azure-SSIS IR uvnitř virtuální sítě

       Existuje zvláštní scénář, kdy se spravovaná instance SQL nachází v oblasti, kterou Azure-SSIS IR nepodporuje, azure-SSIS IR je uvnitř virtuální sítě bez partnerského vztahu virtuálních sítí kvůli omezení globálního partnerského vztahu virtuálních sítí. V tomto scénáři azure-SSIS IR ve virtuální síti připojí službu SQL Managed Instance přes veřejný koncový bod. Pomocí následujících pravidel skupiny zabezpečení sítě (NSG) povolte provoz mezi spravovanou instancí SQL a prostředím Azure-SSIS IR:

       1. Příchozí požadavek služby SQL Managed Instance pro povolení příchozího provozu z Azure-SSIS IR.

          Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů
          TCP	Statická IP adresa Azure-SSIS IR Podrobnosti najdete v tématu Používání vlastní veřejné IP adresy pro Azure-SSIS IR.	*	VirtualNetwork	3342

       2. Odchozí požadavek azure-SSIS IR, který umožňuje odchozí provoz do služby SQL Managed Instance.

          Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů
          TCP	VirtualNetwork	*	IP adresa veřejného koncového bodu služby SQL Managed Instance	3342

Konfigurace virtuální sítě

1. Oprávnění uživatele. Uživatel, který vytvoří prostředí Azure-SSIS IR, musí mít přiřazení role alespoň u prostředku služby Azure Data Factory s jednou z následujících možností:

   • Použijte integrovanou roli Přispěvatel sítě. Tato role se dodává s oprávněním Microsoft.Network/* s mnohem větším rozsahem, než je nutné.
   • Vytvořte vlastní roli, která zahrnuje pouze nezbytné oprávnění Microsoft.Network/virtualNetworks/*/join/action . Pokud chcete při připojování k virtuální síti Azure Resource Manageru použít také vlastní veřejné IP adresy pro Azure-SSIS IR, zahrňte do role také oprávnění Microsoft.Network/publicIPAddresses/*/join/action .

2. Virtuální síť:

   1. Ujistěte se, že skupina prostředků virtuální sítě může vytvořit a odstranit určité síťové prostředky Azure.

      Prostředí Azure-SSIS IR musí vytvořit určité síťové prostředky ve stejné skupině prostředků jako virtuální síť. Mezi tyto prostředky patří:

      • Nástroj pro vyrovnávání zatížení Azure s názvem <Guid-azurebatch-cloudserviceloadbalancer>
      • Skupina zabezpečení sítě s názvem *<Guid-azurebatch-cloudservicenetworksecuritygroup>
      • Veřejná IP adresa Azure s názvem -azurebatch-cloudservicepublicip

      Tyto prostředky se vytvoří při spuštění prostředí Azure-SSIS IR. Po zastavení prostředí Azure-SSIS IR se odstraní. Abyste zabránili zablokování prostředí Azure-SSIS IR, nepoužívejte tyto síťové prostředky v jiných prostředcích znovu.

   2. Ujistěte se, že ve skupině prostředků nebo předplatném, do které patří virtuální síť, nemáte žádný zámek prostředků. Pokud nakonfigurujete zámek jen pro čtení nebo odstranění, spuštění a zastavení prostředí Azure-SSIS IR selže nebo přestane reagovat.

   3. Ujistěte se, že nemáte definici služby Azure Policy, která brání vytvoření následujících prostředků v rámci skupiny prostředků nebo předplatného, do kterého virtuální síť patří:

      • Microsoft.Network/LoadBalancers
      • Microsoft.Network/NetworkSecurityGroups

   4. Povolte provoz v pravidle skupiny zabezpečení sítě (NSG), který povolí provoz mezi spravovanou instancí SQL a prostředím Azure-SSIS IR a provozem potřebným prostředím Azure-SSIS IR.

      1. Příchozí požadavek služby SQL Managed Instance pro povolení příchozího provozu z Azure-SSIS IR.

         Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů	Komentáře
         TCP	VirtualNetwork	*	VirtualNetwork	1433, 11000-11999	Pokud je zásada připojení k serveru SLUŽBY SQL Database nastavená na Proxy místo přesměrování, je potřeba jenom port 1433.

      2. Odchozí požadavek azure-SSIS IR, který umožňuje odchozí provoz do služby SQL Managed Instance a další provoz potřebný prostředím Azure-SSIS IR.

         Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů	Komentáře
         TCP	VirtualNetwork	*	VirtualNetwork	1433, 11000-11999	Povolte odchozí provoz do služby SQL Managed Instance. Pokud je zásada připojení nastavená na Proxy místo přesměrování, je potřeba jenom port 1433.
         TCP	VirtualNetwork	*	AzureCloud	443	Uzly prostředí Azure-SSIS IR ve virtuální síti používají tento port pro přístup ke službám Azure, jako je Azure Storage a Azure Event Hubs.
         TCP	VirtualNetwork	*	Internet	80	(Volitelné) Uzly prostředí Azure-SSIS IR ve virtuální síti používají tento port ke stažení seznamu odvolaných certifikátů z internetu. Pokud tento provoz zablokujete, může dojít k downgradu výkonu při spuštění prostředí IR a ztrátě schopnosti kontrolovat seznam odvolaných certifikátů pro použití certifikátu. Pokud chcete dále zúžit cíl na určité plně kvalifikované názvy domén, přečtěte si informace o konfiguraci tras definovaných uživatelem (UDR).
         TCP	VirtualNetwork	*	Storage	445	(Volitelné) Toto pravidlo se vyžaduje jenom v případě, že chcete spustit balíček SSIS uložený ve službě Azure Files.

      3. Příchozí požadavek azure-SSIS IR, který umožňuje provoz potřebný službou Azure-SSIS IR.

         Přenosový protokol	Source	Rozsah zdrojových portů	Cíl	Rozsah cílových portů	Komentáře
         TCP	BatchNodeManagement	*	VirtualNetwork	29876, 29877 (pokud připojíte prostředí IR k virtuální síti Resource Manageru) 10100, 20100, 30100 (pokud připojíte prostředí IR k klasické virtuální síti)	Služba Data Factory používá tyto porty ke komunikaci s uzly prostředí Azure-SSIS IR ve virtuální síti. Bez ohledu na to, jestli vytvoříte skupinu zabezpečení sítě na úrovni podsítě, služba Data Factory vždy nakonfiguruje skupinu zabezpečení sítě na úrovni karet síťového rozhraní připojených k virtuálním počítačům, které hostují prostředí Azure-SSIS IR. Tuto skupinu zabezpečení sítě na úrovni síťové karty povoluje pouze příchozí provoz z IP adres služby Data Factory na zadaných portech. I když tyto porty otevřete pro internetový provoz na úrovni podsítě, provoz z IP adres, které nejsou IP adresami služby Data Factory, se na úrovni síťové karty zablokuje.
         TCP	CorpNetSaw	*	VirtualNetwork	3389	(Volitelné) Toto pravidlo se vyžaduje jenom v případě, že pracovník podpory Microsoftu požádá zákazníka o otevření pokročilého řešení potíží a může být zavřený hned po řešení potíží. Značka služby CorpNetSaw umožňuje používat vzdálenou plochu pouze pro zabezpečené přístupové pracovní stanice v podnikové síti Microsoftu. Tuto značku služby nejde vybrat z portálu a je dostupná jenom přes Azure PowerShell nebo Azure CLI. Na úrovni NSG síťové karty je port 3389 ve výchozím nastavení otevřený a umožňujeme vám řídit port 3389 na úrovni NSG na úrovni podsítě, zatímco Azure-SSIS IR ve výchozím nastavení nepovolil odchozí port 3389 v pravidle brány Windows Firewall na každém uzlu IR kvůli ochraně.

   5. Další informace najdete v tématu Konfigurace virtuální sítě:

      • Pokud pro Azure-SSIS IR používáte vlastní veřejné IP adresy
      • Pokud používáte vlastní server DNS (Domain Name System)
      • Pokud používáte Azure ExpressRoute nebo trasu definovanou uživatelem (UDR).
      • Pokud používáte přizpůsobené prostředí Azure-SSIS IR

Zřízení prostředí Azure-SSIS Integration Runtime

1. Vyberte privátní koncový bod služby SQL Managed Instance nebo veřejný koncový bod.

   Při zřizování Azure-SSIS IR na webu Azure Portal nebo aplikaci ADF na stránce SQL Nastavení použijte privátní koncový bod služby SQL Managed Instance nebo veřejný koncový bod při vytváření katalogu SSIS (SSISDB).

   Název hostitele veřejného koncového bodu je ve formátu <mi_name.public>.<>dns_zone.database.windows.net a že port použitý pro připojení je 3342.

   

2. Při použití vyberte ověřování Microsoft Entra.

   

   Další informace o povolení ověřování Microsoft Entra najdete v tématu Povolení ID Microsoft Entra ve službě Azure SQL Managed Instance.

3. Připojte prostředí Azure-SSIS IR k virtuální síti, pokud se použije.

   Na stránce rozšířeného nastavení vyberte virtuální síť a podsíť, ke které se chcete připojit.

   Ve stejné virtuální síti jako SQL Managed Instance zvolte jinou podsíť než SQL Managed Instance.

   Další informace o připojení prostředí Azure-SSIS IR k virtuální síti najdete v tématu Připojení prostředí Azure-SSIS Integration Runtime k virtuální síti.

   

Další informace o tom, jak vytvořit prostředí Azure-SSIS IR, najdete v tématu Vytvoření prostředí Azure-SSIS Integration Runtime ve službě Azure Data Factory.

Vyčištění protokolů SSISDB

Zásady uchovávání protokolů SSISDB jsou definovány následujícími vlastnostmi v catalog.catalog_properties:

• OPERATION_CLEANUP_ENABLED

  Pokud je hodnota PRAVDA, z katalogu se odstraní podrobnosti o operacích a zprávy operací starší než RETENTION_WINDOW (dny). Pokud je hodnota NEPRAVDA, uloží se v katalogu všechny podrobnosti o operacích a zprávy operací. Poznámka: Úloha SQL Serveru provádí vyčištění operace.

• RETENTION_WINDOW

  Počet dnů, po které jsou podrobnosti o operaci a zprávy operací uloženy v katalogu. Pokud je hodnota -1, okno uchovávání je nekonečné. Poznámka: Pokud není potřeba žádné vyčištění, nastavte OPERATION_CLEANUP_ENABLED na HODNOTU FALSE.

Chcete-li odebrat protokoly SSISDB, které jsou mimo okno uchovávání informací nastavené správcem, můžete aktivovat uloženou proceduru [internal].[cleanup_server_retention_window_exclusive]. Volitelně můžete naplánovat spuštění úlohy agenta služby SQL Managed Instance tak, aby aktivovala uloženou proceduru.

Související obsah

• Spouštění balíčků SSIS s využitím úlohy agenta služby Azure SQL Managed Instance
• Nastavení provozní kontinuity a zotavení po havárii (BCDR)
• Migrace místních úloh SSIS do služby SSIS v ADF