Azure Private Link pour Azure Data FactoryAzure Private Link for Azure Data Factory

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

En utilisant Azure Private Link, vous pouvez vous connecter à différents déploiements PaaS (platform as a service) dans Azure via un point de terminaison privé.By using Azure Private Link, you can connect to various platforms as a service (PaaS) deployments in Azure via a private endpoint. Un point de terminaison privé est une adresse IP privée au sein d’un réseau et d’un sous-réseau virtuels spécifiques.A private endpoint is a private IP address within a specific virtual network and subnet. Pour obtenir la liste des déploiements PaaS prenant en charge la fonctionnalité Liaison privée, consultez la documentation sur Liaison privée.For a list of PaaS deployments that support Private Link functionality, see Private Link documentation.

Sécuriser la communication entre les réseaux du client et Azure Data FactorySecure communication between customer networks and Azure Data Factory

Vous pouvez configurer un réseau virtuel Azure comme une représentation logique de votre réseau dans le cloud.You can set up an Azure virtual network as a logical representation of your network in the cloud. Les avantages que vous en tirez sont les suivants :Doing so provides the following benefits:

  • Vous protégez mieux vos ressources Azure contre les attaques sur les réseaux publics.You help protect your Azure resources from attacks in public networks.
  • Vous laissez les réseaux et Data Factory communiquer entre eux de façon sécurisée.You let the networks and Data Factory securely communicate with each other.

Vous pouvez également connecter un réseau local à votre réseau virtuel en configurant une connexion VPN (site à site) IPsec (sécurité du protocole Internet) ou une connexion Azure ExpressRoute (peering privé).You can also connect an on-premises network to your virtual network by setting up an Internet Protocol security (IPsec) VPN (site-to-site) connection or an Azure ExpressRoute (private peering) connection.

Vous pouvez également installer un runtime d’intégration auto-hébergé sur une machine locale ou une machine virtuelle dans le réseau virtuel.You can also install a self-hosted integration runtime on an on-premises machine or a virtual machine in the virtual network. Cela vous permet d’effectuer les opérations suivantes :Doing so lets you:

  • Exécuter des activités de copie entre un magasin de données cloud et un magasin de données situé sur un réseau privé.Run copy activities between a cloud data store and a data store in a private network.
  • Répartir les activités de transformation selon les ressources de calcul dans un réseau local ou un réseau virtuel Azure.Dispatch transform activities against compute resources in an on-premises network or an Azure virtual network.

Plusieurs canaux de communication sont nécessaires entre Azure Data Factory et le réseau virtuel du client, comme indiqué dans le tableau suivant :Several communication channels are required between Azure Data Factory and the customer virtual network, as shown in the following table:

DomainDomain PortPort DescriptionDescription
adf.azure.com 443443 Plan de contrôle nécessaire pour la création et la supervision de Data Factory.A control plane, required by Data Factory authoring and monitoring.
*.{region}.datafactory.azure.net 443443 Requis par le runtime d’intégration auto-hébergé pour se connecter au service Data Factory.Required by the self-hosted integration runtime to connect to the Data Factory service.
*.servicebus.windows.net 443443 Requis par le runtime d’intégration auto-hébergé pour la création interactive.Required by the self-hosted integration runtime for interactive authoring.
download.microsoft.com 443443 Exigé par le runtime d’intégration auto-hébergé pour télécharger les mises à jour.Required by the self-hosted integration runtime for downloading the updates.

Avec la prise en charge de Liaison privée pour Azure Data Factory, vous pouvez :With the support of Private Link for Azure Data Factory, you can:

  • Créer un point de terminaison privé dans votre réseau virtuel.Create a private endpoint in your virtual network.
  • Activer la connexion privée à une instance spécifique de la fabrique de données.Enable the private connection to a specific data factory instance.

Les communications avec le service Azure Data Factory transitent par Liaison privée et assurent une connectivité privée sécurisée.The communications to Azure Data Factory service go through Private Link and help provide secure private connectivity.

Diagramme d’une liaison privée pour Azure Data Factory.

L’activation du service Private Link pour chacun des canaux de communication précédents offre les fonctionnalités suivantes :Enabling the Private Link service for each of the preceding communication channels offers the following functionality:

  • Pris en charge :Supported:

    • Vous pouvez créer et superviser la fabrique de données sur votre réseau virtuel, même si vous bloquez toutes les communications sortantes.You can author and monitor the data factory in your virtual network, even if you block all outbound communications.
    • Les communications de commande entre le runtime d’intégration auto-hébergé et le service Azure Data Factory peuvent être établies en toute sécurité dans un environnement de réseau privé.The command communications between the self-hosted integration runtime and the Azure Data Factory service can be performed securely in a private network environment. Le trafic entre le runtime d’intégration auto-hébergé et le service Azure Data Factory transite par une liaison privée.The traffic between the self-hosted integration runtime and the Azure Data Factory service goes through Private Link.
  • Non pris en charge pour l’instant :Not currently supported:

    • Une création interactive qui utilise un runtime d’intégration auto-hébergé, par exemple, pour tester la connexion, parcourir la liste des dossiers et la liste des tables, obtenir le schéma et afficher un aperçu des données transite par Private Link.Interactive authoring that uses a self-hosted integration runtime, such as test connection, browse folder list and table list, get schema, and preview data, goes through Private Link.
    • La nouvelle version du runtime d’intégration auto-hébergé, qui peut être téléchargée automatiquement à partir du centre de téléchargement Microsoft si vous activez la mise à jour automatique, n’est pas prise en charge à l’heure actuelle.The new version of the self-hosted integration runtime which can be automatically downloaded from Microsoft Download Center if you enable Auto-Update , is not supported at this time .

    Notes

    Pour les fonctionnalités non encore prises en charge, vous devez toujours configurer le domaine et le port précédemment mentionnés dans le réseau virtuel ou le pare-feu de votre entreprise.For functionality that's not currently supported, you still need to configure the previously mentioned domain and port in the virtual network or your corporate firewall.

    Notes

    La connexion à Azure Data Factory via un point de terminaison privé s’applique uniquement au runtime d’intégration auto-hébergé dans la fabrique de données.Connecting to Azure Data Factory via private endpoint is only applicable to self-hosted integration runtime in data factory. Elle n’est pas prise en charge dans Synapse.It's not supported in Synapse.

Avertissement

Quand vous créez un service lié, vérifiez que vos informations d’identification sont stockées dans un coffre de clés Azure.When you create a linked service, make sure that your credentials are stored in an Azure key vault. Sinon, les informations d’identification ne fonctionnent pas quand vous activez Private Link dans Azure Data Factory.Otherwise, the credentials won't work when you enable Private Link in Azure Data Factory.

Modifications DNS pour les points de terminaison privésDNS changes for Private Endpoints

Quand vous créez un point de terminaison privé, l’enregistrement de la ressource DNS CNAME pour la fabrique de données est mis à jour avec un alias dans un sous-domaine avec le préfixe « privatelink ».When you create a private endpoint, the DNS CNAME resource record for the Data Factory is updated to an alias in a subdomain with the prefix 'privatelink'. Par défaut, nous créons également une zone DNS privée correspondant au sous-domaine « privatelink », avec les enregistrements de ressource DNS A pour les points de terminaison privés.By default, we also create a private DNS zone, corresponding to the 'privatelink' subdomain, with the DNS A resource records for the private endpoints.

Lorsque vous résolvez l’URL du point de terminaison de la fabrique de données à l’extérieur du réseau virtuel avec le point de terminaison privé, elle correspond au point de terminaison public du service de fabrique de données.When you resolve the data factory endpoint URL from outside the VNet with the private endpoint, it resolves to the public endpoint of the data factory service. En cas de résolution à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison de stockage correspond à l’adresse IP du point de terminaison privé.When resolved from the VNet hosting the private endpoint, the storage endpoint URL resolves to the private endpoint's IP address.

Pour l’exemple illustré ci-dessus, les enregistrements de ressources DNS correspondant à « DataFactoryA » de Data Factory, lorsqu’ils sont résolus à l’extérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :For the illustrated example above, the DNS resource records for the Data Factory 'DataFactoryA', when resolved from outside the VNet hosting the private endpoint, will be:

NameName TypeType ValeurValue
DataFactoryA.{région}.datafactory.azure.netDataFactoryA.{region}.datafactory.azure.net CNAMECNAME DataFactoryA.{région}.privatelink.datafactory.azure.netDataFactoryA.{region}.privatelink.datafactory.azure.net
DataFactoryA.{région}.privatelink.datafactory.azure.netDataFactoryA.{region}.privatelink.datafactory.azure.net CNAMECNAME < point de terminaison public du service de fabrique de données >< data factory service public endpoint >
< point de terminaison public du service de fabrique de données >< data factory service public endpoint > UnA < IP publique du service de fabrique de données >< data factory service public IP address >

Les enregistrements de ressources DNS correspondant à DataFactoryA, lorsqu’ils sont résolus dans le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :The DNS resource records for DataFactoryA, when resolved in the VNet hosting the private endpoint, will be:

NameName TypeType ValeurValue
DataFactoryA.{région}.datafactory.azure.netDataFactoryA.{region}.datafactory.azure.net CNAMECNAME DataFactoryA.{région}.privatelink.datafactory.azure.netDataFactoryA.{region}.privatelink.datafactory.azure.net
DataFactoryA.{région}.privatelink.datafactory.azure.netDataFactoryA.{region}.privatelink.datafactory.azure.net UnA < adresse IP du point de terminaison privé >< private endpoint IP address >

Si vous utilisez un serveur DNS personnalisé sur votre réseau, les clients doivent pouvoir résoudre le nom de domaine complet du point de terminaison Data Factory vers l’adresse IP du point de terminaison privé.If you are using a custom DNS server on your network, clients must be able to resolve the FQDN for the Data Factory endpoint to the private endpoint IP address. Vous devez configurer votre serveur DNS pour déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurer les enregistrements A pour « DataFactoryA.{région}.privatelink.datafactory.azure.net » avec l’adresse IP du point de terminaison privé.You should configure your DNS server to delegate your private link subdomain to the private DNS zone for the VNet, or configure the A records for ' DataFactoryA.{region}.privatelink.datafactory.azure.net' with the private endpoint IP address.

Pour plus d’informations sur la configuration de votre propre serveur DNS pour la prise en charge des points de terminaison privés, reportez-vous aux articles suivants :For more information on configuring your own DNS server to support private endpoints, refer to the following articles:

Vous pouvez créer des points de terminaison privés via le portail Azure.You can create private endpoints by using the Azure portal.

Vous pouvez choisir de connecter votre runtime d’intégration auto-hébergé à Azure Data Factory via un point de terminaison public ou privé.You can choose whether to connect your self-hosted integration runtime to Azure Data Factory via public endpoint or private endpoint.

Capture d’écran du blocage de l’accès public du runtime d’intégration auto-hébergé.

Vous pouvez également accéder à votre fabrique de données Azure dans le portail Azure et créer un point de terminaison privé, comme indiqué ici :You can also go to your Azure data factory in the Azure portal and create a private endpoint, as shown here:

Capture d’écran du volet « Connexions des points de terminaison privés » pour la création d’un point de terminaison privé.

À l’étape des ressources, sélectionnez Microsoft.Datafactory/factories comme type de ressource.In the step of Resource, select Microsoft.Datafactory/factories as Resource type. Et si vous souhaitez créer un point de terminaison privé pour les communications de commande entre le runtime d’intégration auto-hébergé et le service Azure Data Factory, sélectionnez datafactory comme sous-ressource cible.And if you want to create private endpoint for command communications between the self-hosted integration runtime and the Azure Data Factory service, select datafactory as Target sub-resource.

Capture d’écran du volet « Connexions des points de terminaison privés » pour la sélection de la ressource.

Notes

La désactivation de l’accès au réseau public s’applique uniquement au runtime d’intégration auto-hébergé, pas à Azure Integration Runtime ni au runtime d’intégration SSIS (SQL Server Integration Services).Disabling public network access is applicable only to the self-hosted integration runtime, not to Azure Integration Runtime and SQL Server Integration Services (SSIS) Integration Runtime.

Si vous souhaitez créer un point de terminaison privé pour la création et la surveillance de la fabrique de données dans votre réseau virtuel, sélectionnez portail comme sous-ressource cible.If you want to create private endpoint for authoring and monitoring the data factory in your virtual network, select portal as Target sub-resource.

Notes

Vous pouvez toujours accéder au portail Azure Data Factory par le biais d’un réseau public après avoir créé un point de terminaison privé pour le portail.You can still access the Azure Data Factory portal through a public network after you create private endpoint for portal.

Étapes suivantesNext steps