Menyambungkan ke Azure Purview Anda dan memindai sumber data secara privat dan aman

Dalam panduan ini, Anda akan mempelajari cara untuk menyebarkan titik akhir privat akun, portal, dan penyerapan untu akun Azure Purview Anda untuk mengakses akun purview dan memindai sumber data menggunakan runtime integrasi yang dihosting mandiri secara aman dan privat, sehingga memungkinkan isolasi jaringan end-to-end.

Titik akhir privat akun Azure Purview digunakan untuk menambahkan lapisan keamanan tambahan dengan mengaktifkan skenario di mana hanya panggilan klien yang berasal dari dalam jaringan virtual yang diizinkan untuk mengakses akun Azure Purview. Titik akhir privat ini juga merupakan prasyarat untuk titik akhir privat portal.

Titik akhir privat portal Azure Purview diperlukan untuk mengaktifkan konektivitas ke Azure Purview Studio menggunakan jaringan privat.

Azure Purview dapat memindai sumber data di Azure atau lingkungan lokal dengan menggunakan titik akhir privat penyerapan. Tiga sumber daya titik akhir privat diperlukan untuk disebarkan dan ditautkan ke sumber daya terkelola Azure Purview saat penyerapan titik akhir privat disebarkan:

  • Titik akhir privat blob ditautkan ke akun penyimpanan terkelola Azure Purview.

  • Titik akhir privat antrian ditautkan ke akun penyimpanan terkelola Azure Purview.

  • namespace titik akhir privat ditautkan ke namespace hub peristiwa terkelola Azure Purview.

    Diagram yang menunjukkan arsitektur Azure Purview dan Private Link.

Daftar periksa penyebaran

Dengan menggunakan salah satu opsi penerapan yang dijelaskan dalam panduan ini, Anda dapat menerapkan akun Azure Purview dengan titik akhir privat akun, portal, dan Penyerapan atau Anda dapat memilih untuk menerapkan titik akhir privat ini untuk akun Azure Purview yang ada:

  1. Pilih jaringan virtual Azure yang sesuai dan subnet untuk menerapkan titik akhir privat penerapan Azure Purview. Pilih salah satu opsi berikut ini:

    • Sebarkan jaringan virtual baru di langganan Azure Anda.
    • Temukan jaringan Virtual azure yang ada dan subnet di langganan Azure Anda.
  2. Tetapkan metode resolusi nama DNS yang sesuai, sehingga Anda dapat mengakses akun Azure Purview dan memindai sumber data menggunakan jaringan privat. Anda dapat menggunakan salah satu opsi berikut:

    • Sebarkan zona Azure DNS baru menggunakan langkah-langkah yang dijelaskan lebih lanjut dalam panduan ini.
    • Tambahkan catatan DNS yang diperlukan ke zona Azure DNS yang ada menggunakan langkah-langkah yang dijelaskan lebih lanjut dalam panduan ini.
    • Setelah menyelesaikan langkah-langkah dalam panduan ini, tambahkan catatan DNS A yang diperlukan di server DNS Anda yang ada secara manual.
  3. Sebarkan akun Purview baru dengan titik akhir privat akun, portal, dan penyerapan atau sebarkan titik akhir privat penyerapan untuk akun Purview yang ada.

  4. Aktifkan akses ke Azure Active Directory jika jaringan pribadi Anda memiliki aturan grup keamanan jaringan yang ditetapkan untuk menolak semua lalu lintas internet publik.

  5. Sebarkan dan daftarkan Waktu proses integrasi yang dihosting sendiri di dalam VNet yang sama tempat titik akhir privat penyerapan Azure Purview disebarkan.

  6. Setelah menyelesaikan panduan ini, sesuaikan konfigurasi DNS jika diperlukan.

  7. Validasi jaringan dan resolusi nama Anda antara mesin manajemen, VM IR yang dihosting sendiri, dan sumber data ke Azure Purview.

Opsi 1 - Sebarkan akun Azure Purview baru dengan titik akhir privat akun, portal, dan penyerapan

  1. Buka Portal Microsoft Azure, lalu buka halaman Tinjau akun. Pilih + Buat untuk membuat akun Azure Purview baru.

  2. Isi informasi dasar, dan pada tab Jaringan, setel metode konektivitas ke Titik akhir privat. Atur titik akhir privat ke Akun, Portal, dan Penyerapan.

  3. Di bawah Akun dan portal, pilih + Tambahkan untuk menambahkan titik akhir privat untuk akun Azure Purview Anda.

    Cuplikan layar yang menunjukkan pilihan halaman buat end-to-end titik akhir privat.

  4. Pada halaman Buat titik akhir privat, untuk Sub-sumber daya Purview, pilih lokasi Anda, berikan nama untuk titik akhir privat akun dan pilih akun. Di bawah jaringan, pilih jaringan virtual dan subnet, dan secara opsional, pilih Integrasikan dengan zona DNS privat untuk membuat zona Azure Private DNS baru.

    Cuplikan layar yang menunjukkan halaman buat titik akhir privat akun.

    Catatan

    Anda juga dapat menggunakan Azure Private DNS Zones yang ada atau membuat catatan DNS di Server DNS Anda nanti secara manual. Untuk informasi selengkapnya, lihat Mengonfigurasi Resolusi Nama DNS untuk titik akhir privat

  5. Pilih OK.

  6. Di bawah wizard Akun dan portal, pilih lagi +Tambahkan untuk menambahkan titik akhir privat portal.

  7. Pada halaman Buat titik akhir privat, untuk Sub-sumber daya Purview, pilih lokasi Anda, berikan nama untuk titik akhir privat portal dan pilih portal. Di bawah jaringan, pilih jaringan virtual dan subnet, dan secara opsional, pilih Integrasikan dengan zona DNS privat untuk membuat zona Azure Private DNS baru.

    Catatan

    Anda juga dapat menggunakan Azure Private DNS Zones yang ada atau membuat catatan DNS di Server DNS Anda nanti secara manual. Untuk informasi selengkapnya, lihat Mengonfigurasi Resolusi Nama DNS untuk titik akhir privat

  8. Pilih OK.

  9. Di bawah Penyerapan, Siapkan titik akhir privat penyerapan dengan memberikan detail untuk Langganan, Jaringan virtual, dan Subnet yang ingin Anda pasangkan dengan titik akhir privat.

  10. Secara opsional, pilih Integrasi DNS Pribadi untuk menggunakan Azure Private DNS Zones.

    Cuplikan layar yang menunjukkan halaman buat ringkasan titik akhir privat.

    Penting

    Penting untuk memilih Azure Private DNS Zones yang benar untuk memungkinkan resolusi nama yang benar antara Azure Purview dan sumber data. Anda juga dapat menggunakan Azure Private DNS Zones yang ada atau membuat catatan DNS di Server DNS Anda nanti secara manual. Untuk informasi selengkapnya, lihat Mengonfigurasi Resolusi Nama DNS untuk titik akhir privat

  11. Pilih Tinjau + Buat. Pada halaman Tinjau + Buat, Azure memvalidasi konfigurasi Anda.

  12. Saat Anda melihat pesan “Validasi berhasil”, pilih Buat.

Opsi 2 - Aktifkan titik akhir privat akun, portal, dan penyerapan di akun Azure Purview yang ada

  1. Buka portal Microsoft Azure, lalu klik ke akun Azure Purview Anda, di bawah Pengaturan pilih Jaringan, lalu pilih Koneksi titik akhir privat.

    Cuplikan layar yang menunjukkan pembuatan titik akhir privat akun.

  2. Pilih +Titik akhir privat untuk membuat titik akhir privat baru.

  3. Isi informasi dasar.

  4. Di tab Sumber Daya, untuk Jenis sumber daya, pilih Microsoft.Purview/accounts.

  5. Pilih Sumber Daya, pilih akun Purview dan untuk Target sub-sumber daya, pilih akun.

  6. Pada tab Konfigurasi, pilih jaringan virtual dan secara opsional, pilih zona DNS Azure Private untuk membuat Zona DNS Azure baru.

    Catatan

    Untuk konfigurasi DNS, Anda juga dapat menggunakan Zona DNS Pribadi Azure yang ada dari daftar dropdown atau menambahkan catatan DNS yang diperlukan ke Server DNS Anda secara manual nanti. Untuk informasi selengkapnya, lihat Mengonfigurasi Resolusi Nama DNS untuk titik akhir privat

  7. Buka halaman ringkasan, dan pilih Buat untuk membuat titik akhir privat portal.

  8. Ikuti langkah yang sama saat Anda memilih portal untuk Sub-sumber daya target.

  9. Dari akun Azure Purview Anda, di bawah Pengaturan, pilih Jaringan, lalu pilih Koneksi titik akhir privat penyerapan.

    Cuplikan layar yang menunjukkan penambahan titik akhir privat ke akun yang ada.

  10. Di bawah Koneksi titik akhir privat penyerapan, pilih + Baru untuk membuat titik akhir privat penyerapan baru.

  11. Isi informasi dasar, pilih jaringan virtual yang ada dan detail subnet. Secara opsional, pilih Integrasi DNS Pribadi untuk menggunakan Azure Private DNS Zones. Pilih Azure Private DNS Zones yang benar dari setiap daftar.

Catatan

Anda juga dapat menggunakan Azure Private DNS Zones yang ada atau membuat catatan DNS di Server DNS Anda nanti secara manual. Untuk informasi selengkapnya, lihat Mengonfigurasi Resolusi Nama DNS untuk titik akhir privat

  1. Pilih Buat untuk menyelesaikan penyiapan.

Mengaktifkan akses ke Microsoft Azure Active Directory

Catatan

Jika VM, gateway VPN, atau gateway VNet Peering Anda memiliki akses internet publik, VM dapat mengakses portal Azure Purview dan akun Azure Purview yang diaktifkan dengan titik akhir privat. Untuk alasan ini, Anda tidak harus mengikuti instruksi lainnya. Jika jaringan privat Anda memiliki aturan grup keamanan jaringan yang diatur untuk menolak semua lalu lintas internet publik, Anda perlu menambahkan beberapa aturan untuk mengaktifkan akses Microsoft Azure Active Directory (Azure AD). Ikuti instruksi untuk melakukannya.

Instruksi di bawah ini adalah untuk mengakses Azure Purview dengan aman dari Azure VM. Langkah serupa harus diikuti jika Anda menggunakan VPN atau gateway VNet Peering lainnya.

  1. Buka VM Anda di portal Microsoft Azure, dan di bawah Pengaturan, pilih Jaringan. Lalu pilih Aturan port keluar > Tambahkan aturan port keluar.

    Cuplikan layar yang menunjukkan penambahan aturan keluar.

  2. Pada panel Tambahkan aturan keamanan keluar:

    1. Di bawah Tujuan, pilih Tag Layanan.
    2. Di bawah Tag layanan tujuan, pilih AzureActiveDirectory.
    3. Di bawah Rentang port tujuan, pilih *.
    4. DI bawah Tindakan, pilih Izinkan.
    5. Di bawah Prioritas, nilai harus lebih tinggi dibandingkan aturan yang menolak semua lalu lintas internet.

    Buat aturan.

    Cuplikan layar yang menunjukkan penambahan detail aturan keluar.

  3. Ikuti langkah yang sama untuk membuat aturan lain untuk mengizinkan tag layanan AzureResourceManager. Jika Anda perlu mengakses portal Microsoft Azure, Anda juga dapat menambahkan aturan untuk tag layanan AzurePortal.

  4. Sambungkan ke VM dan buka browser. Buka konsol browser dengan memilih Ctrl+Shift+J, dan beralih ke tab jaringan untuk memantau permintaan jaringan. Masukkan web.purview.azure.com dalam kotak URL dan coba masuk menggunakan info masuk Microsoft Azure Active Directory Anda. Masuk mungkin gagal dan di tab Jaringan pada konsol, Anda dapat melihat Microsoft Azure Active Directory mencoba mengakses aadcdn.msauth.net tetapi diblokir.

    Cuplikan layar yang menunjukkan detail gagal masuk.

  5. Dalam hal ini, buka prompt perintah pada VM dan ping aadcdn.msauth.net, dapatkan IP-nya, lalu tambahkan aturan port keluar untuk IP dalam aturan keamanan jaringan VM. Atur Tujuan ke Alamat IP dan atur alamat IP Tujuan ke IP aadcdn. Karena Azure Load Balancer dan Azure Traffic Manager, IP Azure AD Content Delivery Network mungkin dinamis. Setelah Anda mendapatkan IP-nya, lebih baik menambahkannya ke file host VM untuk memaksa browser mengunjungi IP itu untuk mendapatkan Azure AD Content Delivery Network.

    Cuplikan layar yang menunjukkan ping tes.

    Cuplikan layar yang memperlihatkan aturan Microsoft Azure Content Delivery Network.

  6. Setelah aturan baru dibuat, kembali ke VM dan coba masuk menggunakan info masuk Microsoft Azure Active Directory lagi. Jika masuk berhasil, portal Azure Purview siap digunakan. Tetapi dalam beberapa kasus, Microsoft Azure Active Directory mengarahkan ke domain lain untuk masuk berdasarkan jenis akun pelanggan. Misalnya, untuk akun live.com, Microsoft Azure Active Directory mengalihkan ke live.com untuk masuk, dan kemudian permintaan tersebut diblokir lagi. Untuk akun karyawan Microsoft, Microsoft Azure Active Directory mengakses msft.sts.microsoft.com untuk informasi masuk.

    Periksa permintaan jaringan di tab Jaringan browser untuk melihat permintaan domain mana yang diblokir, ulangi langkah sebelumnya untuk mendapatkan IP-nya, dan tambahkan aturan port keluar dalam grup keamanan jaringan untuk memungkinkan permintaan untuk IP itu. Jika memungkinkan, tambahkan URL dan IP ke file host VM untuk memperbaiki resolusi DNS. Jika Anda mengetahui rentang IP domain masuk yang tepat, Anda juga dapat langsung menambahkannya ke dalam aturan jaringan.

  7. Sekarang proses masuk Microsoft Azure Active Directory Anda harus berhasil. Portal Purview akan berhasil dimuat tetapi pencantuman semua akun Azure Purview tidak akan berfungsi karena ini hanya dapat mengakses akun Azure Purview tertentu. Masukkan web.purview.azure.com/resource/{PurviewAccountName} untuk langsung mengunjungi akun Azure Purview yang berhasil Anda siapkan titik akhir privatnya.

Sebarkan waktu proses integrasi (IR) yang dihosting sendiri dan pindai sumber data Anda.

Setelah Anda menyebarkan titik akhir privat penyerapan untuk Azure Purview Anda, Anda perlu menyiapkan dan mendaftarkan setidaknya satu runtime integrasi (IR) yang dihosting sendiri:

  • Semua jenis sumber lokal seperti Microsoft SQL Server, Oracle, SAP, dan lainnya saat ini hanya didukung melalui pemindaian berbasis IR yang dihost sendiri. IR yang dihosting sendiri harus berjalan dalam jaringan pribadi Anda dan kemudian di-peering dengan jaringan virtual Anda di Azure.

  • Untuk semua jenis sumber Azure seperti Azure Blob Storage dan Azure SQL Database, Anda harus secara eksplisit memilih untuk menjalankan pemindaian dengan menggunakan waktu proses integrasi yang dihosting sendiri yang disebarkan di VNet yang sama dengan titik akhir privat penyerapan Azure Purview.

Ikuti langkah-langkah dalam Membuat dan mengelola runtime integrasi yang dihost sendiri untuk menyiapkan IR yang dihost sendiri. Kemudian siapkan pemindaian Anda pada sumber Azure dengan memilih IR yang dihosting sendiri di daftar tarik-turun Connect via integration runtime untuk memastikan isolasi jaringan.

Cuplikan layar yang menunjukkan menjalankan pemindaian Azure dengan menggunakan IR yang dihosting sendiri.

Penting

Jika Anda telah membuat akun Azure Purview setelah 18 Agustus 2021, pastikan Anda mengunduh dan memasang versi terbaru waktu proses integrasi yang dihosting sendiri dari pusat unduhan Microsoft.

Firewall untuk membatasi akses publik

Untuk sepenuhnya memotong akses ke akun Azure Purview dari internet publik, ikuti langkah-langkah berikut. Pengaturan ini berlaku untuk koneksi titik akhir privat dan titik akhir privat penyerapan.

  1. Buka akun Azure Purview dari portal Microsoft Azure, dan di bawah Pengaturan > Jaringan, pilih Koneksi titik akhir pribadi.

  2. Buka tab Firewall, dan pastikan bahwa tombol diatur menjadi Tolak.

    Cuplikan layar yang menunjukkan pengaturan firewall titik akhir privat.

Langkah berikutnya