Поделиться через


Использование управляемой виртуальной сети с учетной записью Microsoft Purview

Важно!

В настоящее время управляемые виртуальная сеть и управляемые частные конечные точки доступны для учетных записей Microsoft Purview, развернутых в следующих регионах:

  • Восток Австралии
  • Центральная Канада
  • Восточная часть США
  • Восточная часть США 2
  • Северная Европа
  • Западная Европа

Концептуальный обзор

В этой статье описывается настройка управляемых виртуальная сеть и управляемых частных конечных точек для Microsoft Purview.

Поддерживаемые регионы

В настоящее время управляемые виртуальная сеть и управляемые частные конечные точки доступны для учетных записей Microsoft Purview, развернутых в следующих регионах:

  • Восток Австралии
  • Центральная Канада
  • Восточная часть США
  • Восточная часть США 2
  • Северная Европа
  • Западная Европа

Поддерживаемые источники данных

В настоящее время поддерживаются следующие источники данных, чтобы иметь управляемую частную конечную точку. Их можно сканировать с помощью среды выполнения управляемой виртуальной сети в Microsoft Purview:

  • Хранилище BLOB-объектов Azure
  • Azure Cosmos DB
  • Azure Data Lake Storage 2-го поколения
  • База данных Azure для MySQL
  • База данных Azure для PostgreSQL
  • Выделенный пул SQL Azure (ранее — хранилище данных SQL)
  • Файлы Azure
  • База данных SQL Azure
  • Управляемый экземпляр SQL Azure
  • Azure Synapse Analytics

Кроме того, вы можете развернуть управляемые частные конечные точки для ресурсов azure Key Vault, если вам нужно выполнить сканирование с использованием любых параметров проверки подлинности, а не управляемых удостоверений, таких как проверка подлинности SQL или ключ учетной записи.

Управляемые виртуальная сеть

Управляемый виртуальная сеть в Microsoft Purview — это виртуальная сеть, которая развертывается и управляется Azure в том же регионе, что и учетная запись Microsoft Purview, что позволяет сканировать источники данных Azure в управляемой сети без необходимости развертывать и управлять виртуальными машинами локальной среды выполнения интеграции клиентом в Azure.

Архитектура управляемого виртуальная сеть Microsoft Purview

Вы можете развернуть Управляемый Integration Runtime Azure в управляемом виртуальная сеть Microsoft Purview. После этого среда выполнения управляемой виртуальной сети будет использовать частные конечные точки для безопасного подключения к поддерживаемым источникам данных и проверки.

Создание управляемой среды выполнения виртуальной сети в управляемом виртуальная сеть гарантирует изоляцию и безопасность процесса интеграции данных.

Преимущества использования управляемых виртуальная сеть:

  • С помощью управляемого виртуальная сеть можно разгрузить нагрузку по управлению виртуальная сеть в Microsoft Purview. Вам не нужно создавать виртуальные сети или подсети Azure и управлять ими для Integration Runtime, которые будут использоваться для сканирования источников данных Azure.
  • Для безопасной интеграции данных не требуются глубокие знания о сети Azure. Использование управляемого виртуальная сеть значительно упрощается для инженеров данных.
  • Управляемые виртуальная сеть наряду с управляемыми частными конечными точками защищают от кражи данных.

Важно!

В настоящее время управляемый виртуальная сеть поддерживается только в том же регионе, что и регион учетной записи Microsoft Purview.

Примечание.

Глобальную среду выполнения интеграции Azure или локальную среду выполнения интеграции нельзя переключить на управляемую среду выполнения виртуальной сети и наоборот.

Управляемая виртуальная сеть создается для учетной записи Microsoft Purview при создании среды выполнения управляемой виртуальной сети впервые в учетной записи Microsoft Purview. Вы не можете просматривать управляемые виртуальные сети или управлять ими.

Управляемые частные конечные точки

Управляемые частные конечные точки — это частные конечные точки, созданные в управляемой виртуальная сеть Microsoft Purview, устанавливающей приватный канал с ресурсами Microsoft Purview и Azure. Microsoft Purview управляет этими частными конечными точками от вашего имени.

Управляемая частная конечная точка Microsoft Purview

Microsoft Purview поддерживает приватные ссылки. Приватный канал позволяет получить доступ к службам Azure (PaaS), таким как служба хранилища Azure, Azure Cosmos DB, Azure Synapse Analytics).

При использовании приватного канала трафик между источниками данных и управляемыми виртуальная сеть полностью проходит через магистральную сеть Майкрософт. Приватный канал защищает от рисков кражи данных. Вы устанавливаете приватный канал к ресурсу, создавая частную конечную точку.

Частная конечная точка использует частный IP-адрес в Управляемом виртуальная сеть, чтобы эффективно использовать службу. Частные конечные точки сопоставляются с определенным ресурсом в Azure, а не со всей службой. Клиенты могут ограничить подключение к определенному ресурсу, утвержденному их организацией. Дополнительные сведения о приватных каналах и частных конечных точках.

Примечание.

Чтобы уменьшить административные издержки, рекомендуется создавать управляемые частные конечные точки для сканирования всех поддерживаемых источников данных Azure.

Предупреждение

Если в хранилище данных Azure PaaS (BLOB-объект, Azure Data Lake Storage 2-го поколения, Azure Synapse Analytics) уже создана частная конечная точка и даже если оно разрешает доступ из всех сетей, Microsoft Purview сможет получить доступ только с помощью управляемой частной конечной точки. Если частная конечная точка еще не существует, ее необходимо создать в таких сценариях.

Подключение к частной конечной точке создается в состоянии "Ожидание" при создании управляемой частной конечной точки в Microsoft Purview. Инициируется рабочий процесс утверждения. Владелец ресурса приватного канала отвечает за утверждение или отклонение подключения.

утверждение управляемой частной конечной точки

Если владелец утверждает подключение, устанавливается приватный канал. В противном случае приватный канал не будет установлен. В любом случае управляемая частная конечная точка будет обновлена с учетом состояния подключения.

Утверждение управляемой частной конечной точки

Только управляемая частная конечная точка в утвержденном состоянии может отправлять трафик в данный ресурс приватного канала.

Интерактивная разработка

Интерактивные возможности разработки используются для таких функций, как проверка подключения, просмотр списка папок и списка таблиц, получение схемы и предварительный просмотр данных. Интерактивную разработку можно включить при создании или редактировании Integration Runtime Azure, которая находится в Purview-Managed виртуальная сеть. Серверная служба предварительно выделяет вычислительные ресурсы для интерактивных функций разработки. В противном случае вычислительные ресурсы будут выделяться каждый раз при выполнении любой интерактивной операции, что займет больше времени. Срок жизни (TTL) для интерактивной разработки составляет 60 минут, что означает, что он автоматически отключается после 60 минут последней интерактивной операции разработки.

Интерактивная разработка

Этапы развертывания

Предварительные требования

Перед развертыванием управляемой виртуальной сети и управляемой среды выполнения виртуальной сети для учетной записи Microsoft Purview убедитесь, что выполнены следующие предварительные требования:

  1. Учетная запись Microsoft Purview, развернутая в одном из поддерживаемых регионов.
  2. Из ролей Microsoft Purview необходимо быть куратором данных на корневом уровне сбора в учетной записи Microsoft Purview.
  3. Из ролей Azure RBAC необходимо участник в учетной записи Microsoft Purview и источнике данных, чтобы утвердить приватные ссылки.

Развертывание управляемых сред выполнения виртуальной сети

Примечание.

В следующем руководстве показано, как зарегистрировать и проверить Azure Data Lake Storage 2-го поколения с помощью управляемой среды выполнения виртуальной сети.

  1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

    Снимок экрана: учетная запись Microsoft Purview

  2. Перейдите к схеме данных —> среды выполнения интеграции.

    Снимок экрана: меню Схема данных Microsoft Purview

  3. На странице Среды выполнения интеграции выберите значок + Создать , чтобы создать новую среду выполнения. Выберите Azure, а затем — Продолжить.

    Снимок экрана: создание среды выполнения Azure

  4. Укажите имя управляемой среды выполнения виртуальной сети, выберите регион и настройте интерактивную разработку. Нажмите Создать.

    Снимок экрана: создание управляемой среды выполнения виртуальной сети

  5. При первом развертывании управляемой среды выполнения виртуальной сети на портале управления Microsoft Purview запускается несколько рабочих процессов для создания управляемых частных конечных точек для Microsoft Purview и управляемой учетной записи хранения. Выберите каждый рабочий процесс, чтобы утвердить частную конечную точку для соответствующего ресурса Azure.

    Снимок экрана: развертывание управляемой среды выполнения виртуальной сети

  6. В портал Azure в окне ресурса учетной записи Microsoft Purview утвердите управляемую частную конечную точку. На странице Учетная запись управляемого хранения утвердите управляемые частные конечные точки для служб BLOB-объектов и очередей:

    Снимок экрана: утверждение управляемой частной конечной точки для Microsoft Purview

    Снимок экрана: утверждение управляемой частной конечной точки для Microsoft Purview — утверждено

    Снимок экрана: утверждение управляемой частной конечной точки для управляемой учетной записи хранения

    Снимок экрана: утверждение управляемой частной конечной точки для управляемой учетной записи хранения — утверждено

  7. В разделе Управление выберите Управляемая частная конечная точка, чтобы проверить, успешно ли развернуты и утверждены все управляемые частные конечные точки. Все частные конечные точки будут утверждены.

    Снимок экрана: управляемые частные конечные точки в Microsoft Purview

    Снимок экрана: управляемые частные конечные точки в Microsoft Purview — утверждено

Развертывание управляемых частных конечных точек для источников данных

Управляемые частные конечные точки можно использовать для подключения источников данных, чтобы обеспечить безопасность данных во время передачи. Если источник данных разрешает общий доступ и вы хотите подключиться через общедоступную сеть, этот шаг можно пропустить. Сканирование может выполняться при условии, что среда выполнения интеграции может подключаться к источнику данных.

Чтобы развернуть и утвердить управляемую частную конечную точку для источника данных, выберите нужный источник данных из списка:

  1. Перейдите в раздел Управление и выберите Управляемые частные конечные точки.

  2. Выберите + Создать.

  3. В списке поддерживаемых источников данных выберите тип, соответствующий источнику данных, который планируется сканировать с помощью управляемой среды выполнения виртуальной сети.

    Снимок экрана: создание управляемой частной конечной точки для источников данных

  4. Укажите имя управляемой частной конечной точки, выберите подписку Azure и источник данных в раскрывающихся списках. Выберите Создать.

    Снимок экрана: выбор источника данных для настройки управляемой частной конечной точки

  5. В списке управляемых частных конечных точек выберите только что созданную управляемую частную конечную точку для источника данных, а затем выберите Управление утверждениями в портал Azure, чтобы утвердить частную конечную точку в портал Azure.

    Снимок экрана: утверждение управляемой частной конечной точки для источников данных

  6. Щелкнув ссылку, вы будете перенаправлены на портал Azure. В разделе Подключение к частным конечным точкам выберите только что созданную частную конечную точку и выберите утвердить.

    Снимок экрана: утверждение частной конечной точки для источников данных в портал Azure

    Снимок экрана: утвержденная частная конечная точка для источников данных в портал Azure

  7. На портале управления Microsoft Purview управляемая частная конечная точка также должна быть утверждена.

    Снимок экрана: управляемые частные конечные точки, включая источники данных, на портале управления Purview

Регистрация и проверка источника данных с помощью управляемой среды выполнения виртуальной сети

Регистрация источника данных

Перед настройкой проверки источника данных важно зарегистрировать источник данных в Microsoft Purview. Выполните следующие действия, чтобы зарегистрировать источник данных, если вы еще не зарегистрировали его.

  1. Перейдите к учетной записи Microsoft Purview.

  2. Выберите Карта данных в меню слева.

  3. Нажмите Зарегистрировать.

  4. На вкладке Регистрация источников выберите источник данных.

  5. Нажмите Продолжить.

  6. На экране Регистрация источников выполните следующие действия.

    1. В поле Имя введите имя, которое источник данных будет указан в каталоге.
    2. В раскрывающемся списке Подписка выберите подписку.
    3. В поле Выберите коллекцию выберите коллекцию.
    4. Выберите Зарегистрировать , чтобы зарегистрировать источники данных.

Дополнительные сведения см. в статье Управление источниками данных в Microsoft Purview.

Сканирование источника данных

Для сканирования источников данных с помощью среды выполнения управляемой виртуальной сети Microsoft Purview можно использовать любой из следующих параметров:

  • Использование управляемого удостоверения (рекомендуется) — как только создается учетная запись Microsoft Purview, в Azure AD клиенте автоматически создается управляемое удостоверение, назначаемое системой (SAMI). В зависимости от типа ресурса для выполнения проверок назначаемого системой управляемого удостоверения Microsoft Purview (SAMI) требуются определенные назначения ролей RBAC.

  • Использование других параметров проверки подлинности:

    • Ключ учетной записи или проверка подлинности SQL. Секреты можно создать в Key Vault Azure для хранения учетных данных, чтобы предоставить Microsoft Purview доступ к безопасному сканированию источников данных с помощью секретов. Секрет может быть ключом учетной записи хранения, паролем для входа SQL или паролем.

    • Субъект-служба. В этом методе можно создать новый или использовать существующий субъект-службу в клиенте Azure Active Directory.

Сканирование с помощью управляемого удостоверения

Чтобы проверить источник данных с помощью управляемой среды выполнения виртуальной сети и управляемого удостоверения Microsoft Purview, выполните следующие действия.

  1. Перейдите на вкладку Карта данных на левой панели на портале управления Microsoft Purview.

  2. Выберите зарегистрированный источник данных.

  3. Выберите Просмотреть сведения>+ Создать сканирование или используйте значок быстрого действия Сканирования на плитке источника.

  4. Укажите имя для сканирования.

  5. В разделе Подключение через среду выполнения интеграции выберите только что созданную среду выполнения управляемой виртуальной сети.

  6. В поле Учетные данные Выберите управляемое удостоверение, выберите соответствующую коллекцию для сканирования и выберите Проверить подключение. При успешном подключении нажмите кнопку Продолжить.

    Снимок экрана: создание проверки с помощью управляемой виртуальной сети

  7. Выполните действия, чтобы выбрать соответствующее правило проверки и область для сканирования.

  8. Выберите триггер сканирования. Вы можете настроить расписание или запустить проверку один раз.

  9. Просмотрите проверку и выберите Сохранить и запустить.

    проверка проверки

Сканирование с помощью других параметров проверки подлинности

Вы также можете использовать другие поддерживаемые параметры для сканирования источников данных с помощью управляемой среды выполнения Microsoft Purview. Для этого необходимо настроить частное подключение к Azure Key Vault, где хранится секрет.

Чтобы настроить проверку с помощью ключа учетной записи или проверки подлинности SQL, выполните следующие действия.

  1. Предоставьте Microsoft Purview доступ к Key Vault Azure.

  2. Создайте учетные данные в Microsoft Purview.

  3. Перейдите в раздел Управление и выберите Управляемые частные конечные точки.

  4. Выберите + Создать.

  5. В списке поддерживаемых источников данных выберите Key Vault.

    Снимок экрана: создание управляемой частной конечной точки для Azure Key Vault

  6. Укажите имя управляемой частной конечной точки, выберите подписку Azure и Key Vault Azure в раскрывающихся списках. Выберите Создать.

    Снимок экрана: создание управляемой частной конечной точки для Azure Key Vault на портале управления Microsoft Purview

  7. В списке управляемых частных конечных точек выберите только что созданную управляемую частную конечную точку для azure Key Vault, а затем выберите Управление утверждениями в портал Azure, чтобы утвердить частную конечную точку в портал Azure.

    Снимок экрана: утверждение управляемой частной конечной точки для Azure Key Vault

  8. Щелкнув ссылку, вы будете перенаправлены на портал Azure. В разделе Подключение к частным конечным точкам выберите только что созданную частную конечную точку для Key Vault Azure и выберите Утвердить.

    Снимок экрана: утверждение частной конечной точки для Key Vault Azure в портал Azure

    Снимок экрана: утвержденная частная конечная точка для azure Key Vault в портал Azure

  9. На портале управления Microsoft Purview управляемая частная конечная точка также должна быть утверждена.

    Снимок экрана: управляемые частные конечные точки, включая Key Vault Azure на портале управления Purview

  10. Перейдите на вкладку Карта данных на левой панели на портале управления Microsoft Purview.

  11. Выберите зарегистрированный источник данных.

  12. Выберите Просмотреть сведения>+ Создать сканирование или используйте значок быстрого действия Сканирования на плитке источника.

  13. Укажите имя для сканирования.

  14. В разделе Подключение через среду выполнения интеграции выберите только что созданную среду выполнения управляемой виртуальной сети.

  15. В поле Учетные данные Выберите учетные данные, которые вы зарегистрировали ранее, выберите соответствующую коллекцию для проверки и выберите Проверить подключение. При успешном подключении нажмите кнопку Продолжить.

    Снимок экрана: создание проверки с помощью управляемой виртуальной сети и имени субъекта-службы

  16. Выполните действия, чтобы выбрать соответствующее правило проверки и область для сканирования.

  17. Выберите триггер сканирования. Вы можете настроить расписание или запустить проверку один раз.

  18. Просмотрите проверку и выберите Сохранить и запустить.

    Проверка проверки с использованием имени субъекта-службы

Дальнейшие действия