Azure Data Factory veri hareketine yönelik güvenlik konularıSecurity considerations for data movement in Azure Data Factory

Uygulama hedefi: Azure SYNAPSE Analytics 'i Azure Data Factory

Bu makalede, verilerinizin güvenliğini sağlamaya yardımcı olmak için Azure Data Factory veri taşıma hizmetlerinin kullandığı temel güvenlik altyapısı açıklanır.This article describes basic security infrastructure that data movement services in Azure Data Factory use to help secure your data. Data Factory yönetim kaynakları Azure güvenlik altyapısına kurulmuştur ve Azure tarafından sunulan tüm olası güvenlik önlemlerini kullanır.Data Factory management resources are built on Azure security infrastructure and use all possible security measures offered by Azure.

Bir Data Factory çözümünde bir veya daha fazla işlem hattı oluşturursunuz.In a Data Factory solution, you create one or more data pipelines. İşlem hattı, bir görevi gerçekleştiren etkinliklerden oluşan mantıksal gruptur.A pipeline is a logical grouping of activities that together perform a task. Bu işlem hatları, Data Factory 'nin oluşturulduğu bölgede bulunur.These pipelines reside in the region where the data factory was created.

Data Factory yalnızca birkaç bölgede kullanılabilir olsa da, veri taşıma hizmeti, veri uyumluluğu, verimlilik ve azaltılmış ağ çıkış maliyetlerini sağlamak için genel olarak kullanılabilir .Even though Data Factory is only available in few regions, the data movement service is available globally to ensure data compliance, efficiency, and reduced network egress costs.

Azure Integration Runtime ve şirket içinde barındırılan Integration Runtime dahil Azure Data Factory, sertifikaları kullanarak şifrelenen bulut veri depoları için bağlı hizmet kimlik bilgileri hariç, geçici verileri, önbellek verilerini veya günlükleri depolamaz.Azure Data Factory including Azure Integration Runtime and Self-hosted Integration Runtime does not store any temporary data, cache data or logs except for linked service credentials for cloud data stores, which are encrypted by using certificates. Data Factory, verileri desteklenen veri depolarıarasında düzenlemek için veri odaklı iş akışları oluşturun ve diğer bölgelerde veya şirket içi bir ortamda işlem hizmetlerini kullanarak verileri işleme.With Data Factory, you create data-driven workflows to orchestrate movement of data between supported data stores, and processing of data by using compute services in other regions or in an on-premises environment. Ayrıca, SDK 'Ları ve Azure Izleyici 'yi kullanarak iş akışlarını izleyebilir ve yönetebilirsiniz.You can also monitor and manage workflows by using SDKs and Azure Monitor.

Data Factory için sertifikalıdır:Data Factory has been certified for:

CSA STAR sertifikasıCSA STAR Certification
ISO 20000-1:2011ISO 20000-1:2011
ISO 22301:2012ISO 22301:2012
ISO 27001:2013ISO 27001:2013
ISO 27017:2015ISO 27017:2015
ISO 27018:2014ISO 27018:2014
ISO 9001:2015ISO 9001:2015
SOC 1, 2, 3SOC 1, 2, 3
HIPAA BAAHIPAA BAA

Azure uyumluluğu ile ilgileniyorsanız ve Azure 'un kendi altyapısını nasıl güvenlik altına alırsanız, Microsoft Güven Merkezi' ni ziyaret edin.If you're interested in Azure compliance and how Azure secures its own infrastructure, visit the Microsoft Trust Center. Tüm Azure uyumluluk teklifleri denetiminin en son listesi için https://aka.ms/AzureCompliance .For the latest list of all Azure Compliance offerings check - https://aka.ms/AzureCompliance.

Bu makalede, aşağıdaki iki veri taşıma senaryosunda güvenlik konularını gözden geçiririz:In this article, we review security considerations in the following two data movement scenarios:

  • Bulut senaryosu: Bu senaryoda hem kaynağınız hem de Hedefinizdeki internet üzerinden genel olarak erişilebilir olması gerekir.Cloud scenario: In this scenario, both your source and your destination are publicly accessible through the internet. Bunlar Azure Storage, Azure SYNAPSE Analytics, Azure SQL veritabanı, Azure Data Lake Store, Amazon S3, Amazon Redshift, Salesforce gibi SaaS Hizmetleri ve FTP ve OData gibi web protokolleri gibi yönetilen bulut depolama hizmetlerini içerir.These include managed cloud storage services such as Azure Storage, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS services such as Salesforce, and web protocols such as FTP and OData. Desteklenen veri depoları ve biçimlerindedesteklenen veri kaynaklarının tüm listesini bulun.Find a complete list of supported data sources in Supported data stores and formats.
  • Karma senaryo: Bu senaryoda, kaynağınız veya hedefi bir güvenlik duvarının arkasında ya da şirket içi bir şirket ağında yer alır.Hybrid scenario: In this scenario, either your source or your destination is behind a firewall or inside an on-premises corporate network. Ya da, veri deposu özel bir ağda veya sanal ağda (genellikle kaynak) bulunur ve herkese açık bir şekilde erişilebilir değildir.Or, the data store is in a private network or virtual network (most often the source) and is not publicly accessible. Sanal makinelerde barındırılan veritabanı sunucuları da bu senaryonun altına düşmektedir.Database servers hosted on virtual machines also fall under this scenario.

Not

Bu makale yeni Azure PowerShell Az modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the new Azure PowerShell Az module. En azından Aralık 2020'ye kadar hata düzeltmeleri almaya devam edecek olan AzureRM modülünü de kullanmaya devam edebilirsiniz.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Yeni Az modülüyle AzureRM'nin uyumluluğu hakkında daha fazla bilgi edinmek için bkz. Yeni Azure PowerShell Az modülüne giriş.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme.For Az module installation instructions, see Install Azure PowerShell.

Bulut senaryolarıCloud scenarios

Veri deposu kimlik bilgilerinin güvenliğini sağlamaSecuring data store credentials

  • Şifrelenmiş kimlik bilgilerini Azure Data Factory yönetilen bir depoda depolayın.Store encrypted credentials in an Azure Data Factory managed store. Data Factory, veri deposu kimlik bilgilerinizi Microsoft tarafından yönetilen sertifikalarla şifreleyerek korumanıza yardımcı olur.Data Factory helps protect your data store credentials by encrypting them with certificates managed by Microsoft. Bu sertifikalar her iki yılda bir döndürülür (sertifika yenilemesi ve kimlik bilgileri geçişi dahildir).These certificates are rotated every two years (which includes certificate renewal and the migration of credentials). Azure Depolama güvenliği hakkında daha fazla bilgi için bkz. Azure Storage güvenliğine genel bakış.For more information about Azure Storage security, see Azure Storage security overview.
  • Azure Key Vault kimlik bilgilerini depolayın.Store credentials in Azure Key Vault. Veri deposunun kimlik bilgilerini Azure Key Vaultde saklayabilirsiniz.You can also store the data store's credential in Azure Key Vault. Data Factory, bir etkinliğin yürütülmesi sırasında kimlik bilgisini alır.Data Factory retrieves the credential during the execution of an activity. Daha fazla bilgi için bkz. kimlik bilgilerini Azure Key Vault Içinde depola.For more information, see Store credential in Azure Key Vault.

Aktarım sırasında veri şifrelemeData encryption in transit

Bulut veri deposu HTTPS veya TLS 'yi destekliyorsa, Data Factory ve bulut veri deposundaki veri taşıma hizmetleri arasındaki tüm veri aktarımları, güvenli kanal HTTPS veya TLS aracılığıyla yapılır.If the cloud data store supports HTTPS or TLS, all data transfers between data movement services in Data Factory and a cloud data store are via secure channel HTTPS or TLS.

Not

Azure SQL veritabanı ve Azure SYNAPSE Analytics 'e yönelik tüm bağlantılar, veriler veritabanına aktarılırken ve veritabanından aktarılırken şifreleme (SSL/TLS) gerektirir.All connections to Azure SQL Database and Azure Synapse Analytics require encryption (SSL/TLS) while data is in transit to and from the database. JSON kullanarak bir işlem hattı yazarken, şifreleme özelliğini ekleyin ve bağlantı dizesinde true olarak ayarlayın.When you're authoring a pipeline by using JSON, add the encryption property and set it to true in the connection string. Azure depolama için bağlantı dizesinde https kullanabilirsiniz.For Azure Storage, you can use HTTPS in the connection string.

Not

Verileri Oracle 'dan taşırken geçişte şifrelemeyi etkinleştirmek için aşağıdaki seçeneklerden birini izleyin:To enable encryption in transit while moving data from Oracle follow one of the below options:

  1. Oracle Server 'da Oracle gelişmiş güvenlik (OAS) bölümüne gidin ve Üçlü DES şifrelemesini (3DES) ve Gelişmiş Şifreleme Standardı (AES) destekleyen şifreleme ayarlarını yapılandırın, Ayrıntılar için buraya bakın.In Oracle server, go to Oracle Advanced Security (OAS) and configure the encryption settings, which supports Triple-DES Encryption (3DES) and Advanced Encryption Standard (AES), refer here for details. ADF, Oracle bağlantısı kurarken OAS 'de yapılandırdığınız birini kullanmak üzere şifreleme yöntemini otomatik olarak belirler.ADF automatically negotiates the encryption method to use the one you configure in OAS when establishing connection to Oracle.
  2. ADF 'de, bağlantı dizesinde (bağlantılı hizmette) EncryptionMethod = 1 ekleyebilirsiniz.In ADF, you can add EncryptionMethod=1 in the connection string (in the Linked Service). Bu, şifreleme yöntemi olarak SSL/TLS kullanır.This will use SSL/TLS as the encryption method. Bunu kullanmak için, şifreleme çakışmasını önlemek için Oracle sunucu tarafında OAS 'de SSL olmayan şifreleme ayarlarını devre dışı bırakmanız gerekir.To use this, you need to disable non-SSL encryption settings in OAS on the Oracle server side to avoid encryption conflict.

Not

Kullanılan TLS sürümü 1,2.TLS version used is 1.2.

Bekleme sırasında veri şifrelemesiData encryption at rest

Bazı veri depoları, bekleyen verilerin şifrelenmesini destekler.Some data stores support encryption of data at rest. Bu veri depoları için veri şifreleme mekanizmasını etkinleştirmenizi öneririz.We recommend that you enable the data encryption mechanism for those data stores.

Azure Synapse AnalyticsAzure Synapse Analytics

Azure SYNAPSE Analytics 'te Saydam Veri Şifrelemesi (TDE), bekleyen verilerinizin gerçek zamanlı olarak şifrelenmesini ve şifresinin çözülmesini gerçekleştirerek kötü amaçlı etkinlik tehditlerine karşı korunmaya yardımcı olur.Transparent Data Encryption (TDE) in Azure Synapse Analytics helps protect against the threat of malicious activity by performing real-time encryption and decryption of your data at rest. Bu davranış, istemci için saydamdır.This behavior is transparent to the client. Daha fazla bilgi için bkz. Azure SYNAPSE Analytics 'te veritabanını güvenli hale getirme.For more information, see Secure a database in Azure Synapse Analytics.

Azure SQL VeritabanıAzure SQL Database

Azure SQL veritabanı Ayrıca, uygulamada değişiklik yapılmasına gerek kalmadan gerçek zamanlı şifreleme ve veri şifre çözme işlemleri gerçekleştirerek kötü amaçlı etkinlik tehditlerine karşı korunmaya yardımcı olan saydam veri şifrelemesini (TDE) destekler.Azure SQL Database also supports transparent data encryption (TDE), which helps protect against the threat of malicious activity by performing real-time encryption and decryption of the data, without requiring changes to the application. Bu davranış, istemci için saydamdır.This behavior is transparent to the client. Daha fazla bilgi için bkz. SQL veritabanı ve veri ambarı Için saydam veri şifrelemesi.For more information, see Transparent data encryption for SQL Database and Data Warehouse.

Azure Data Lake StoreAzure Data Lake Store

Azure Data Lake Store, hesapta depolanan veriler için de şifreleme sağlar.Azure Data Lake Store also provides encryption for data stored in the account. Etkinleştirildiğinde Data Lake Store, verileri vermeden önce kalıcı hale getirerek ve şifresini çözmeden önce otomatik olarak şifreler ve verilere erişen istemciye saydam hale getirir.When enabled, Data Lake Store automatically encrypts data before persisting and decrypts before retrieval, making it transparent to the client that accesses the data. Daha fazla bilgi için bkz. Azure Data Lake Store güvenlik.For more information, see Security in Azure Data Lake Store.

Azure Blob depolama ve Azure Tablo depolamaAzure Blob storage and Azure Table storage

Azure Blob depolama ve Azure Tablo depolama desteği Depolama Hizmeti Şifrelemesi (SSE), depolamayı kalıcı yapmadan önce verilerinizi otomatik olarak şifreler ve almadan önce çözer.Azure Blob storage and Azure Table storage support Storage Service Encryption (SSE), which automatically encrypts your data before persisting to storage and decrypts before retrieval. Daha fazla bilgi için bkz. bekleyen veriler Için Azure depolama hizmeti şifrelemesi.For more information, see Azure Storage Service Encryption for Data at Rest.

Amazon S3Amazon S3

Amazon S3, bekleyen verilerin hem istemci hem de sunucu şifrelemesini destekler.Amazon S3 supports both client and server encryption of data at rest. Daha fazla bilgi için bkz. şifrelemeyi kullanarak verileri koruma.For more information, see Protecting Data Using Encryption.

Amazon RedshiftAmazon Redshift

Amazon Redshift, bekleyen veriler için küme şifrelemeyi destekler.Amazon Redshift supports cluster encryption for data at rest. Daha fazla bilgi için bkz. Amazon Redshift veritabanı şifrelemesi.For more information, see Amazon Redshift Database Encryption.

SalesforceSalesforce

Salesforce, tüm dosyalar, ekler ve özel alanların şifrelenmesini sağlayan kalkan platform şifrelemesini destekler.Salesforce supports Shield Platform Encryption that allows encryption of all files, attachments, and custom fields. Daha fazla bilgi için bkz. Web sunucusu OAuth kimlik doğrulama akışını anlama.For more information, see Understanding the Web Server OAuth Authentication Flow.

Karma senaryolarHybrid scenarios

Karma senaryolar, şirket içinde barındırılan tümleştirme çalışma zamanının bir sanal ağ (Azure) içinde veya bir sanal özel bulutun (Amazon) içinde yüklü olmasını gerektirir.Hybrid scenarios require self-hosted integration runtime to be installed in an on-premises network, inside a virtual network (Azure), or inside a virtual private cloud (Amazon). Şirket içinde barındırılan tümleştirme çalışma zamanı, yerel veri depolarına erişebilmelidir.The self-hosted integration runtime must be able to access the local data stores. Şirket içinde barındırılan tümleştirme çalışma zamanı hakkında daha fazla bilgi için bkz. Şirket içinde barındırılan tümleştirme çalışma zamanı oluşturma ve yapılandırma.For more information about self-hosted integration runtime, see How to create and configure self-hosted integration runtime.

Şirket içinde barındırılan tümleştirme çalışma zamanı kanalları

Komut kanalı, Data Factory ve şirket içinde barındırılan tümleştirme çalışma zamanının veri taşıma hizmetleri arasında iletişime olanak sağlar.The command channel allows communication between data movement services in Data Factory and self-hosted integration runtime. İletişim, etkinlikle ilgili bilgiler içerir.The communication contains information related to the activity. Veri kanalı, şirket içi veri depoları ile bulut veri depoları arasında veri aktarmak için kullanılır.The data channel is used for transferring data between on-premises data stores and cloud data stores.

Şirket içi veri deposu kimlik bilgileriOn-premises data store credentials

Kimlik bilgileri veri fabrikası içinde depolanabilir veya Azure Key Vault çalışma zamanı sırasında Veri Fabrikası tarafından başvurulabilir .The credentials can be stored within data factory or be referenced by data factory during the runtime from Azure Key Vault. Veri Fabrikası içinde kimlik bilgileri depoluyorsanız, her zaman otomatik olarak barındırılan tümleştirme çalışma zamanı 'nda şifreli olarak depolanır.If storing credentials within data factory, it is always stored encrypted on the self-hosted integration runtime.

  • Kimlik bilgilerini yerel olarak depolayın.Store credentials locally. Set-AzDataFactoryV2LinkedService CMDLET 'ini JSON içinde bağlantı dizeleri ve kimlik bilgileri ile doğrudan kullanırsanız, bağlantılı hizmet şifrelenir ve şirket içinde barındırılan tümleştirme çalışma zamanı üzerinde depolanır.If you directly use the Set-AzDataFactoryV2LinkedService cmdlet with the connection strings and credentials inline in the JSON, the linked service is encrypted and stored on self-hosted integration runtime. Bu durumda kimlik bilgileri, son derece güvenli olan Azure arka uç hizmeti üzerinden akar ve bu, son olarak şifrelenir ve saklanır.In this case the credentials flow through Azure backend service, which is extremely secure, to the self-hosted integration machine where it is finally encrypted and stored. Şirket içinde barındırılan tümleştirme çalışma zamanı, hassas verileri ve kimlik bilgisi bilgilerini şifrelemek için Windows DPAPI kullanır.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

  • Azure Key Vault kimlik bilgilerini depolayın.Store credentials in Azure Key Vault. Veri deposunun kimlik bilgilerini Azure Key Vaultde saklayabilirsiniz.You can also store the data store's credential in Azure Key Vault. Data Factory, bir etkinliğin yürütülmesi sırasında kimlik bilgisini alır.Data Factory retrieves the credential during the execution of an activity. Daha fazla bilgi için bkz. kimlik bilgilerini Azure Key Vault Içinde depola.For more information, see Store credential in Azure Key Vault.

  • Kimlik bilgilerini Azure arka ucu aracılığıyla şirket içinde barındırılan tümleştirme çalışma zamanına taşımadan yerel olarak depolayın.Store credentials locally without flowing the credentials through Azure backend to the self-hosted integration runtime. Kimlik bilgilerini veri fabrikası arka ucu aracılığıyla akışa almak zorunda kalmadan şirket içinde barındırılan tümleştirme çalışma zamanında şifrelemek ve depolamak istiyorsanız Azure Data Factory içindeki şirket içi veri depoları için kimlik bilgilerini şifrelemebölümündeki adımları izleyin.If you want to encrypt and store credentials locally on the self-hosted integration runtime without having to flow the credentials through data factory backend, follow the steps in Encrypt credentials for on-premises data stores in Azure Data Factory. Tüm bağlayıcılar bu seçeneği destekler.All connectors support this option. Şirket içinde barındırılan tümleştirme çalışma zamanı, hassas verileri ve kimlik bilgisi bilgilerini şifrelemek için Windows DPAPI kullanır.The self-hosted integration runtime uses Windows DPAPI to encrypt the sensitive data and credential information.

    Bağlı hizmette bağlantılı hizmet kimlik bilgilerini ve hassas ayrıntıları şifrelemek için New-AzDataFactoryV2LinkedServiceEncryptedCredential cmdlet 'ini kullanın.Use the New-AzDataFactoryV2LinkedServiceEncryptedCredential cmdlet to encrypt linked service credentials and sensitive details in the linked service. Daha sonra set-AzDataFactoryV2LinkedService cmdlet 'ini kullanarak bağlı bir hizmet oluşturmak IÇIN döndürülen JSON (bağlantı dizesindeki encryptedcredential öğesiyle) öğesini kullanabilirsiniz.You can then use the JSON returned (with the EncryptedCredential element in the connection string) to create a linked service by using the Set-AzDataFactoryV2LinkedService cmdlet.

Şirket içinde barındırılan tümleştirme çalışma zamanında bağlı hizmeti şifrelerken kullanılan bağlantı noktalarıPorts used when encrypting linked service on self-hosted integration runtime

Varsayılan olarak, PowerShell, güvenli iletişim için şirket içinde barındırılan tümleştirme çalışma zamanı ile makinede 8060 numaralı bağlantı noktasını kullanır.By default, PowerShell uses port 8060 on the machine with self-hosted integration runtime for secure communication. Gerekirse, bu bağlantı noktası değiştirilebilir.If necessary, this port can be changed.

Ağ Geçidi için HTTPS bağlantı noktası

Aktarım sırasında şifrelemeEncryption in transit

Tüm veri aktarımları, Azure hizmetleriyle iletişim sırasında ortadaki adam saldırılarını engellemek için güvenli kanal HTTPS ve TCP üzerinden TLS aracılığıyla yapılır.All data transfers are via secure channel HTTPS and TLS over TCP to prevent man-in-the-middle attacks during communication with Azure services.

Ayrıca, şirket içi ağınız ve Azure arasında iletişim kanalının güvenliğini sağlamak için ıPSEC VPN veya Azure ExpressRoute 'u da kullanabilirsiniz.You can also use IPSec VPN or Azure ExpressRoute to further secure the communication channel between your on-premises network and Azure.

Azure sanal ağ, buluttaki ağınızın mantıksal bir gösterimidir.Azure Virtual Network is a logical representation of your network in the cloud. IPSec VPN (siteden siteye) veya ExpressRoute (özel eşleme) ayarlayarak, şirket içi bir ağı sanal ağınıza bağlayabilirsiniz.You can connect an on-premises network to your virtual network by setting up IPSec VPN (site-to-site) or ExpressRoute (private peering).

Aşağıdaki tabloda, karma veri hareketine yönelik farklı kaynak ve hedef konum birleşimlerine dayanan ağ ve şirket içinde barındırılan tümleştirme çalışma zamanı yapılandırma önerileri özetlenmektedir.The following table summarizes the network and self-hosted integration runtime configuration recommendations based on different combinations of source and destination locations for hybrid data movement.

KaynakSource HedefDestination Ağ yapılandırmasıNetwork configuration Tümleştirme çalışma zamanı kurulumuIntegration runtime setup
Şirket içiOn-premises Sanal ağlarda dağıtılan sanal makineler ve bulut HizmetleriVirtual machines and cloud services deployed in virtual networks IPSec VPN (Noktadan siteye veya siteden siteye)IPSec VPN (point-to-site or site-to-site) Şirket içinde barındırılan tümleştirme çalışma zamanının sanal ağdaki bir Azure sanal makinesine yüklenmesi gerekir.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
Şirket içiOn-premises Sanal ağlarda dağıtılan sanal makineler ve bulut HizmetleriVirtual machines and cloud services deployed in virtual networks ExpressRoute (özel eşleme)ExpressRoute (private peering) Şirket içinde barındırılan tümleştirme çalışma zamanının sanal ağdaki bir Azure sanal makinesine yüklenmesi gerekir.The self-hosted integration runtime should be installed on an Azure virtual machine in the virtual network.
Şirket içiOn-premises Genel uç noktası olan Azure tabanlı hizmetlerAzure-based services that have a public endpoint ExpressRoute (Microsoft eşlemesi)ExpressRoute (Microsoft peering) Şirket içinde barındırılan tümleştirme çalışma zamanı, şirket içinde veya bir Azure sanal makinesine yüklenebilir.The self-hosted integration runtime can be installed on-premises or on an Azure virtual machine.

Aşağıdaki resimlerde ExpressRoute ve IPSec VPN (Azure sanal ağı ile) kullanarak şirket içi veritabanı ve Azure hizmetleri arasında veri taşımak için şirket içinde barındırılan tümleştirme çalışma zamanının kullanımı gösterilmektedir:The following images show the use of self-hosted integration runtime for moving data between an on-premises database and Azure services by using ExpressRoute and IPSec VPN (with Azure Virtual Network):

ExpressRouteExpressRoute

Ağ geçidiyle ExpressRoute kullanma

IPSec VPNIPSec VPN

Ağ Geçidi ile IPSec VPN

Güvenlik Duvarı konfigürasyonları ve izin verilenler listesi IP adresleri için ayarlanıyorFirewall configurations and allow list setting up for IP addresses

Not

Bağlantı noktalarını yönetmeniz veya şirket güvenlik duvarı düzeyindeki etki alanları için izin verilenler listesini ilgili veri kaynaklarının gerektirdiği şekilde ayarlamanız gerekebilir.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Bu tablo, örnek olarak yalnızca Azure SQL veritabanı, Azure SYNAPSE Analytics ve Azure Data Lake Store kullanır.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

Not

Azure Data Factory aracılığıyla veri erişimi stratejileri hakkında daha fazla bilgi için Bu makaleyebakın.For details about data access strategies through Azure Data Factory, see this article.

Şirket içi/özel ağ için güvenlik duvarı gereksinimleriFirewall requirements for on-premises/private network

Bir kuruluşta kurumsal güvenlik duvarı kuruluşun merkezi yönlendiricisinde çalışır.In an enterprise, a corporate firewall runs on the central router of the organization. Windows Güvenlik Duvarı, şirket içinde barındırılan tümleştirme çalışma zamanının yüklendiği yerel makinede bir daemon olarak çalışır.Windows Firewall runs as a daemon on the local machine in which the self-hosted integration runtime is installed.

Aşağıdaki tabloda, şirket güvenlik duvarları için giden bağlantı noktası ve etki alanı gereksinimleri verilmiştir:The following table provides outbound port and domain requirements for corporate firewalls:

Etki alanı adlarıDomain names Giden bağlantı noktalarıOutbound ports AçıklamaDescription
*.servicebus.windows.net 443443 Etkileşimli yazma için şirket içinde barındırılan tümleştirme çalışma zamanı için gereklidir.Required by the self-hosted integration runtime for interactive authoring.
{datafactory}.{region}.datafactory.azure.net
veya *.frontend.clouddatahub.netor *.frontend.clouddatahub.net
443443 Şirket içinde barındırılan tümleştirme çalışma zamanı tarafından Data Factory hizmetine bağlanmak için gereklidir.Required by the self-hosted integration runtime to connect to the Data Factory service.
Yeni oluşturulan Data Factory için, lütfen {DataFactory} biçiminde olan şirket içinde barındırılan Integration Runtime anahtarınızdan FQDN 'yi bulun. {Region}. DataFactory. Azure. net.For new created Data Factory, please find the FQDN from your Self-hosted Integration Runtime key which is in format {datafactory}.{region}.datafactory.azure.net. Eski Veri Fabrikası için, FQDN 'yi şirket içinde barındırılan tümleştirme anahtarınıza görmüyorsanız lütfen bunun yerine *. frontend.clouddatahub.net kullanın.For old Data factory, if you don't see the FQDN in your Self-hosted Integration key, please use *.frontend.clouddatahub.net instead.
download.microsoft.com 443443 Güncelleştirmeleri indirmek için şirket içinde barındırılan tümleştirme çalışma zamanı için gereklidir.Required by the self-hosted integration runtime for downloading the updates. Otomatik güncelleştirmeyi devre dışı bırakırsanız, bu etki alanını yapılandırmayı atlayabilirsiniz.If you have disabled auto-update, you can skip configuring this domain.
*.core.windows.net 443443 Kendi kendine barındırılan tümleştirme çalışma zamanı tarafından, hazırlanan kopyalama özelliğini kullandığınızda Azure depolama hesabına bağlanmak için kullanılır.Used by the self-hosted integration runtime to connect to the Azure storage account when you use the staged copy feature.
*.database.windows.net 14331433 Yalnızca, Azure SQL veritabanı veya Azure SYNAPSE Analytics 'ten ya da isteğe bağlı olarak, aksi takdirde gerekir.Required only when you copy from or to Azure SQL Database or Azure Synapse Analytics and optional otherwise. 1433 numaralı bağlantı noktasını açmadan verileri SQL veritabanı veya Azure SYNAPSE Analytics 'e kopyalamak için hazırlanan kopyalama özelliğini kullanın.Use the staged-copy feature to copy data to SQL Database or Azure Synapse Analytics without opening port 1433.
*.azuredatalakestore.net
login.microsoftonline.com/<tenant>/oauth2/token
443443 Yalnızca Azure Data Lake Store 'den veya ' a kopyaladığınızda ve isteğe bağlı olarak, aksi takdirde gereklidir.Required only when you copy from or to Azure Data Lake Store and optional otherwise.

Not

Bağlantı noktalarını yönetmeniz veya şirket güvenlik duvarı düzeyindeki etki alanları için izin verilenler listesini ilgili veri kaynaklarının gerektirdiği şekilde ayarlamanız gerekebilir.You might have to manage ports or set up allow list for domains at the corporate firewall level as required by the respective data sources. Bu tablo, örnek olarak yalnızca Azure SQL veritabanı, Azure SYNAPSE Analytics ve Azure Data Lake Store kullanır.This table only uses Azure SQL Database, Azure Synapse Analytics, and Azure Data Lake Store as examples.

Aşağıdaki tabloda Windows Güvenlik Duvarı için gelen bağlantı noktası gereksinimleri verilmiştir:The following table provides inbound port requirements for Windows Firewall:

Gelen bağlantı noktalarıInbound ports DescriptionDescription
8060 (TCP)8060 (TCP) Azure Data Factory içindeki şirket içi veri depoları için kimlik bilgilerini şifrelemeve kimlik bilgileri Yöneticisi uygulaması tarafından, şirket içinde barındırılan tümleştirme çalışma zamanı üzerinde şirket içi veri depoları için kimlik bilgilerini güvenli bir şekilde ayarlamak üzere PowerShell şifreleme cmdlet 'i gerekir.Required by the PowerShell encryption cmdlet as described in Encrypt credentials for on-premises data stores in Azure Data Factory, and by the credential manager application to securely set credentials for on-premises data stores on the self-hosted integration runtime.

Ağ Geçidi bağlantı noktası gereksinimleri

Veri depolarında IP konfigürasyonları ve izin verilenler listesi ayarıIP configurations and allow list setting up in data stores

Buluttaki bazı veri depoları da depoya erişen makinenin IP adresine izin vermeyi gerektirir.Some data stores in the cloud also require that you allow the IP address of the machine accessing the store. Şirket içinde barındırılan tümleştirme çalışma zamanı makinesinin IP adresinin güvenlik duvarında uygun şekilde verildiğinden veya yapılandırıldığından emin olun.Ensure that the IP address of the self-hosted integration runtime machine is allowed or configured in the firewall appropriately.

Aşağıdaki bulut veri depoları, şirket içinde barındırılan tümleştirme çalışma zamanı makinesinin IP adresine izin vermeniz gerekir.The following cloud data stores require that you allow the IP address of the self-hosted integration runtime machine. Bu veri mağazalarından bazıları varsayılan olarak izin verilenler listesine gerek olmayabilir.Some of these data stores, by default, might not require allow list.

Sık sorulan sorularFrequently asked questions

Şirket içinde barındırılan tümleştirme çalışma zamanı farklı veri fabrikaları arasında paylaşılabilir mi?Can the self-hosted integration runtime be shared across different data factories?

Evet.Yes. Burada daha fazla ayrıntı bulabilirsiniz.More details here.

Şirket içinde barındırılan tümleştirme çalışma zamanının çalışması için bağlantı noktası gereksinimleri nelerdir?What are the port requirements for the self-hosted integration runtime to work?

Şirket içinde barındırılan tümleştirme çalışma zamanı, HTTP tabanlı bağlantıları internet 'e erişmesine olanak sağlar.The self-hosted integration runtime makes HTTP-based connections to access the internet. Bu bağlantıyı yapmak için şirket içinde barındırılan tümleştirme çalışma zamanı için 443 giden bağlantı noktaları açılmalıdır.The outbound ports 443 must be opened for the self-hosted integration runtime to make this connection. Kimlik bilgisi Yöneticisi uygulaması için yalnızca makine düzeyinde (Şirket güvenlik duvarı düzeyi değil) gelen bağlantı noktası 8060 ' i açın.Open inbound port 8060 only at the machine level (not the corporate firewall level) for credential manager application. Kaynak veya hedef olarak Azure SQL veritabanı veya Azure SYNAPSE Analytics kullanılıyorsa, bağlantı noktası 1433 ' i de açmanız gerekir.If Azure SQL Database or Azure Synapse Analytics is used as the source or the destination, you need to open port 1433 as well. Daha fazla bilgi için, bkz. IP adresleri Için güvenlik duvarı yapılandırması ve izin listesi ayarları bölümü.For more information, see the Firewall configurations and allow list setting up for IP addresses section.

Sonraki adımlarNext steps

Azure Data Factory etkinliği performansını kopyalama hakkında daha fazla bilgi için bkz. kopyalama etkinliği performansı ve ayarlama Kılavuzu.For information about Azure Data Factory Copy Activity performance, see Copy Activity performance and tuning guide.