Azure Data Factory 用の Azure Private LinkAzure Private Link for Azure Data Factory

適用対象: はいAzure Data Factory いいえAzure Synapse Analytics (プレビュー) APPLIES TO: yesAzure Data Factory noAzure Synapse Analytics (Preview)

Private Link を使用すると、プライベート エンドポイントを経由して Azure 内のさまざまな PaaS サービスに接続できます。Private Link allows you to connect to various PaaS services in Azure via a private endpoint. Private Link 機能をサポートしている PaaS サービスの一覧については、「Private Link のドキュメント」ページを参照してください。For a list of PaaS services that support Private Link functionality, go to the Private Link Documentation page. プライベート エンドポイントは、特定の仮想ネットワークおよびサブネット内のプライベート IP アドレスです。A private endpoint is a private IP address within a specific virtual network and subnet.

カスタマー ネットワークと Azure Data Factory サービス間の通信をセキュリティで保護するSecure communication between customer network and Azure Data Factory service

ご利用の Azure リソースをパブリック ネットワーク内で攻撃から保護したり、相互に安全に通信できるようにしたりするには、クラウド内のご利用のネットワークの論理表現として Azure Virtual Network を設定します。To protect your Azure resources from attacks in public network or let them securely communicate with each other, you can set up an Azure Virtual Network as a logical representation of your network in the cloud. また、IPSec VPN (サイト間) または ExpressRoute (プライベート ピアリング) を設定して、オンプレミス ネットワークをご利用の仮想ネットワークに接続することもできます。You can also connect an on-premises network to your virtual network by setting up IPSec VPN (site-to-site) or ExpressRoute (private peering). セルフホステッド統合ランタイムをオンプレミス マシンまたは Virtual Network 内の仮想マシンにインストールすると、クラウド データ ストアとプライベート ネットワーク内のデータ ストアとの間でコピー アクティビティを実行し、オンプレミス ネットワークまたは Azure Virtual Network 内のコンピューティング リソースに対して変換アクティビティをディスパッチすることができます。The Self-hosted Integration Runtime can be installed on an on- premise machine or virtual machine in Virtual Network to run copy activities between a cloud data store and a data store in a private network or dispatch transform activities against compute resources in an on-premises network or an Azure virtual network.

Data Factory とお客様の仮想ネットワークの間には、いくつかの通信チャネルが必要です。There are several communication channels required between Data Factory and customer virtual network.

[ドメイン]Domain [ポート]Port 説明Description
pe-adf.azure.com 443443 コントロール プレーン。Control Plane. Data Factory の作成と監視に必要です。Required by Data Factory authoring and monitoring.
*.{region}.datafactory.azure.net 443443 セルフホステッド統合ランタイムが Data Factory サービスに接続するために必要です。Required by the Self-hosted Integration Runtime to connect to the Data Factory service.
*.servicebus.windows.net 443443 セルフホステッド統合ランタイムがインタラクティブな作成のために必要です。Required by the Self-hosted Integration Runtime for Interactive Authoring.
download.microsoft.com 443443 セルフホステッド統合ランタイムが更新プログラムをダウンロードするために必要です。Required by the Self-hosted Integration Runtime for downloading the updates.

Azure Data Factory の Azure Private Link のサポートにより、ご利用の仮想ネットワーク内にプライベート エンドポイント (PE) を作成し、特定の Azure Data Factory へのプライベート接続を有効にすることができます。With the support of Azure Private Link for Azure Data Factory, you can create a Private Endpoint (PE) in your virtual network and enable the private connection to specific Azure Data Factory. Azure Data Factory サービスへの通信は、セキュリティで保護されたプライベート接続を提供する Azure Private Link を経由します。The communications to Azure Data Factory service go through Azure Private Link that provides secured private connectivity. また、ご利用のリソースをより安全に保護する方法を提供する仮想ネットワーク内のドメインとポートまたはご利用の企業ファイアウォールを超えて構成する必要はありません。And you don’t need to configure above domain and port in virtual network or your corporate firewall that provide a more secure way to protect your resources.

Azure Data Factory の Private Link アーキテクチャ

上記の各通信チャネルに対して Private Link サービスを有効にする利点を次に示します。Here are the benefits for enabling Private Link Service for each of the communication channels depicted above:

  • (サポートされています) 送信方向の通信をすべてブロックした場合でも、ご利用の仮想ネットワーク内で Azure Data Factory の作成と監視を行うことができます。(Supported) You can do authoring and monitoring of Azure Data Factory in your virtual network, even you block all outbound communications.
  • (サポートされています) セルフホステッド統合ランタイムと Azure Data Factory サービス間のコマンド通信をプライベート ネットワーク環境内で安全に実行できます。(Supported) The command communications between Self-hosted Integration Runtime and Azure Data Factory service can be performed securely in a private network environment. セルフホステッド統合ランタイムと Azure Data Factory サービス間のトラフィックは Private Link を経由します。The traffic between Self-hosted Integration Runtime and Azure Data Factory service goes through Private Link.
  • (現在サポートされていません) テスト接続、フォルダー リストやテーブル リストの参照、スキーマの取得、データのプレビューなど、セルフホステッド統合ランタイムを使用したインタラクティブな作成は Private Link を経由します。(Not currently supported) Interactive authoring using Self-hosted Integration Runtime go through Private Link, such as test connection, browse folder list and table list, get schema, and preview data.
  • (現在サポートされていません) 自動更新を有効にした場合、セルフホステッド統合ランタイムの新しいバージョンをダウンロード センターから自動的にダウンロードできます。(Not currently supported) The new version of Self-hosted Integration Runtime can be automatically downloaded from the download center if you enable auto-update.

注意

現在サポートされていない機能については、引き続き、仮想ネットワーク内のドメインとポートまたはご利用の企業ファイアウォールを超えて構成する必要があります。For functionality that's not currently supported, you still need to configure above domain and port in the virtual network or your corporate firewall.

警告

リンクされたサービスを作成する場合は、必ず資格情報を Azure Key Vault 内に格納してください。When you create Linked Service, make sure the credential is stored in Azure Key Vault. そうしないと、Azure Data Factory 内で Private Link サービスを有効にしても機能しません。Otherwise, it doesn’t work when you enable Private Link Service in Azure Data Factory.

プライベート エンドポイントは、Azure portal、PowerShell、または Azure CLI を使用して作成できます。Private Endpoints can be created using the Azure portal, PowerShell, or the Azure CLI:

ポータルPortal

また、Azure portal 内でご利用の Azure Data Factory に移動し、プライベート エンドポイント (PE) を作成することもできます。You can also navigate to your Azure Data Factory in Azure portal and create Private Endpoint (PE):

プライベート エンドポイントの作成

この Azure Data Factory へのパブリック アクセスをブロックし、Private Link 経由のアクセスのみを許可する場合は、Azure portal 内で Azure Data Factory のネットワーク アクセスを無効にすることができます。If you want to block public access to this Azure Data Factory and only allow access through Private Link, you can disable network access of Azure Data Factory in Azure portal:

プライベート エンドポイントの作成

注意

パブリック ネットワーク アクセスの無効化は、Azure Integration Runtime および SSIS Integration Runtime ではなく、セルフホステッド統合ランタイムにのみ適用されます。Disabling public network access is only applicable to Self-hosted Integration Runtime, not to Azure Integration Runtime and SSIS Integration Runtime.

注意

パブリック ネットワーク アクセスを無効にした後も、ユーザーはパブリック ネットワークを介して Azure Data Factory ポータルにアクセスできます。Users can still access Azure Data Factory Portal through public network after disabling public network access.

次のステップNext steps