Azure Data Factory-veri hareketine yönelik güvenlik konularıAzure Data Factory - Security considerations for data movement

Not

Bu makale, Data Factory’nin 1. sürümü için geçerlidir.This article applies to version 1 of Data Factory. Data Factory hizmetinin geçerli sürümünü kullanıyorsanız, bkz. Data Factory için veri taşıma güvenliği konuları.If you are using the current version of the Data Factory service, see data movement security considerations for Data Factory.

GirişIntroduction

Bu makalede, veri taşıma hizmetlerinin Azure Data Factory verileri güvenli hale getirmek için kullandığı temel güvenlik altyapısı açıklanır.This article describes basic security infrastructure that data movement services in Azure Data Factory use to secure your data. Azure Data Factory yönetim kaynakları Azure güvenlik altyapısına kurulmuştur ve Azure tarafından sunulan tüm olası güvenlik önlemlerini kullanır.Azure Data Factory management resources are built on Azure security infrastructure and use all possible security measures offered by Azure.

Bir Data Factory çözümünde bir veya daha fazla işlem hattı oluşturursunuz.In a Data Factory solution, you create one or more data pipelines. İşlem hattı, bir görevi gerçekleştiren etkinliklerden oluşan mantıksal gruptur.A pipeline is a logical grouping of activities that together perform a task. Bu işlem hatları, Data Factory 'nin oluşturulduğu bölgede bulunur.These pipelines reside in the region where the data factory was created.

Data Factory yalnızca Batı ABD, Doğu ABD ve Kuzey Avrupa bölgelerinde kullanılabilir olsa da, veri taşıma hizmeti küresel olarak birkaç bölgedekullanılabilir.Even though Data Factory is available in only West US, East US, and North Europe regions, the data movement service is available globally in several regions. Data Factory hizmeti, veri taşıma hizmeti henüz o bölgeye dağıtılmamışsa, hizmeti açık bir şekilde bir alternatif bölge kullanmaya yönlendirmediğiniz müddetçe verilerin coğrafi bir alana/bölgeye ayrılmamasını sağlar.Data Factory service ensures that data does not leave a geographical area/ region unless you explicitly instruct the service to use an alternate region if the data movement service is not yet deployed to that region.

Azure Data Factory kendisi, sertifikalar kullanılarak şifrelenen bulut veri depoları için bağlı hizmet kimlik bilgileri dışında hiçbir veri depolamaz.Azure Data Factory itself does not store any data except for linked service credentials for cloud data stores, which are encrypted using certificates. Veri hareketini desteklenen veri depoları arasında, verilerin işlenmesini de başka bölgelerde veya şirket içi bir ortamda işlem hizmetleri kullanarak düzenlemek için veri temelinde iş akışları oluşturmanızı sağlar.It lets you create data-driven workflows to orchestrate movement of data between supported data stores and processing of data using compute services in other regions or in an on-premises environment. Hem programlama, hem de kullanıcı arabirimi mekanizmalarını kullanarak iş akışlarını izlemenizi ve yönetmenizi de sağlar.It also allows you to monitor and manage workflows using both programmatic and UI mechanisms.

Azure Data Factory kullanarak veri taşıma için sertifikalıdır :Data movement using Azure Data Factory has been certified for:

Azure uyumluluğu ile ilgileniyorsanız ve Azure 'un kendi altyapısını nasıl güvenlik altına alıyorsa, Microsoft Güven Merkezi' ni ziyaret edin.If you are interested in Azure compliance and how Azure secures its own infrastructure, visit the Microsoft Trust Center.

Bu makalede, aşağıdaki iki veri taşıma senaryosunda güvenlik konularını gözden geçiririz:In this article, we review security considerations in the following two data movement scenarios:

  • Bulut senaryosu-Bu senaryoda, hem kaynak hem de hedef Internet üzerinden herkese açık bir şekilde erişilebilir.Cloud scenario- In this scenario, both your source and destination are publicly accessible through internet. Bunlar Azure Storage, Azure SYNAPSE Analytics, Azure SQL veritabanı, Azure Data Lake Store, Amazon S3, Amazon Redshift, Salesforce gibi SaaS Hizmetleri ve FTP ve OData gibi web protokolleri gibi yönetilen bulut depolama hizmetlerini içerir.These include managed cloud storage services like Azure Storage, Azure Synapse Analytics, Azure SQL Database, Azure Data Lake Store, Amazon S3, Amazon Redshift, SaaS services such as Salesforce, and web protocols such as FTP and OData. Desteklenen veri kaynaklarının tüm listesini buradabulabilirsiniz.You can find a complete list of supported data sources here.
  • Karma senaryo-Bu senaryoda, kaynak veya hedef bir güvenlik duvarının arkasında veya şirket içi bir şirket ağında yer alır ya da veri deposu özel bir ağ/sanal ağda (genellikle kaynak) ve genel olarak erişilebilir değildir.Hybrid scenario- In this scenario, either your source or destination is behind a firewall or inside an on-premises corporate network or the data store is in a private network/ virtual network (most often the source) and is not publicly accessible. Sanal makinelerde barındırılan veritabanı sunucuları da bu senaryonun altına düşmektedir.Database servers hosted on virtual machines also fall under this scenario.

Not

Bu makale Azure Az PowerShell modülünü kullanacak şekilde güncelleştirilmiştir.This article has been updated to use the Azure Az PowerShell module. Az PowerShell modülü, Azure ile etkileşim kurmak için önerilen PowerShell modülüdür.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin.To get started with the Az PowerShell module, see Install Azure PowerShell. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Bulut senaryolarıCloud scenarios

Veri deposu kimlik bilgilerinin güvenliğini sağlamaSecuring data store credentials

Azure Data Factory, Microsoft tarafından yönetilen sertifikaları kullanarak verileri şifreleyerek veri deposu kimlik bilgilerinizi korur.Azure Data Factory protects your data store credentials by encrypting them by using certificates managed by Microsoft. Bu sertifikalar her iki yılda bir döndürülür (sertifika yenileme ve kimlik bilgilerinin geçirilmesi dahildir).These certificates are rotated every two years (which includes renewal of certificate and migration of credentials). Bu şifrelenmiş kimlik bilgileri, Azure Data Factory Yönetim Hizmetleri tarafından yönetilen bir Azure depolama alanında güvenli bir şekilde depolanır.These encrypted credentials are securely stored in an Azure Storage managed by Azure Data Factory management services. Azure Depolama güvenliği hakkında daha fazla bilgi için Azure depolama güvenliğine genel bakışkonusuna bakın.For more information about Azure Storage security, refer Azure Storage Security Overview.

Aktarım sırasında veri şifrelemeData encryption in transit

Bulut veri deposu HTTPS veya TLS 'yi destekliyorsa, Data Factory ve bulut veri deposundaki veri taşıma hizmetleri arasındaki tüm veri aktarımları, güvenli kanal HTTPS veya TLS aracılığıyla yapılır.If the cloud data store supports HTTPS or TLS, all data transfers between data movement services in Data Factory and a cloud data store are via secure channel HTTPS or TLS.

Not

Azure SQL veritabanı ve Azure SYNAPSE Analytics 'e yönelik tüm bağlantılar her zaman ŞIFRELEME (SSL/TLS) gerektirir ve veriler veritabanına aktarım sırasında ve veritabanından gönderilir.All connections to Azure SQL Database and Azure Synapse Analytics always require encryption (SSL/TLS) while data is in transit to and from the database. JSON Düzenleyicisi kullanarak bir işlem hattı yazarken, şifreleme özelliğini ekleyin ve bağlantı dizesinde true olarak ayarlayın.While authoring a pipeline using a JSON editor, add the encryption property and set it to true in the connection string. Kopyalama Sihirbazı'nı kullandığınızda, sihirbaz bu özelliği varsayılan olarak ayarlar.When you use the Copy Wizard, the wizard sets this property by default. Azure depolama için bağlantı dizesinde https kullanabilirsiniz.For Azure Storage, you can use HTTPS in the connection string.

Bekleme sırasında veri şifrelemesiData encryption at rest

Bazı veri depoları, bekleyen verilerin şifrelenmesini destekler.Some data stores support encryption of data at rest. Bu veri depoları için veri şifreleme mekanizmasını etkinleştirmenizi öneririz.We suggest that you enable data encryption mechanism for those data stores.

Azure Synapse AnalyticsAzure Synapse Analytics

Azure SYNAPSE Analytics 'te Saydam Veri Şifrelemesi (TDE), bekleyen verilerinizin gerçek zamanlı olarak şifrelenmesini ve şifresinin çözülmesini gerçekleştirerek kötü amaçlı etkinlik tehditlerine karşı korumaya yardımcı olur.Transparent Data Encryption (TDE) in Azure Synapse Analytics helps with protecting against the threat of malicious activity by performing real-time encryption and decryption of your data at rest. Bu davranış, istemci için saydamdır.This behavior is transparent to the client. Daha fazla bilgi için bkz. Azure SYNAPSE Analytics 'te veritabanını güvenli hale getirme.For more information, see Secure a database in Azure Synapse Analytics.

Azure SQL VeritabanıAzure SQL Database

Azure SQL veritabanı Ayrıca, uygulamada değişiklik yapılmasına gerek kalmadan gerçek zamanlı şifreleme ve veri şifre çözme işlemleri gerçekleştirerek kötü amaçlı etkinlik tehditlerine karşı korumaya yardımcı olan saydam veri şifrelemesini (TDE) destekler.Azure SQL Database also supports transparent data encryption (TDE), which helps with protecting against the threat of malicious activity by performing real-time encryption and decryption of the data without requiring changes to the application. Bu davranış, istemci için saydamdır.This behavior is transparent to the client. Daha fazla bilgi için bkz. Azure SQL veritabanı ile saydam veri şifrelemesi.For more information, see Transparent Data Encryption with Azure SQL Database.

Azure Data Lake StoreAzure Data Lake Store

Azure Data Lake depolama, hesapta depolanan veriler için de şifreleme sağlar.Azure Data Lake store also provides encryption for data stored in the account. Etkinleştirildiğinde, Data Lake deposu verileri vermeden önce kalıcı hale getirerek ve şifresini çözmeden önce otomatik olarak şifreler ve verilere erişen istemciye saydam hale getirir.When enabled, Data Lake store automatically encrypts data before persisting and decrypts before retrieval, making it transparent to the client accessing the data. Daha fazla bilgi için bkz. Azure Data Lake Store güvenlik.For more information, see Security in Azure Data Lake Store.

Azure Blob depolama ve Azure Tablo depolamaAzure Blob Storage and Azure Table Storage

Azure Blob depolama ve Azure Tablo depolama, verileri depolamaya kalıcı yapmadan önce otomatik olarak şifreleyen Depolama Hizmeti Şifrelemesi (SSE) destekler ve almadan önce şifresini çözer.Azure Blob Storage and Azure Table storage supports Storage Service Encryption (SSE), which automatically encrypts your data before persisting to storage and decrypts before retrieval. Daha fazla bilgi için bkz. bekleyen veriler Için Azure depolama hizmeti şifrelemesi.For more information, see Azure Storage Service Encryption for Data at Rest.

Amazon S3Amazon S3

Amazon S3, bekleyen verilerin hem istemci hem de sunucu şifrelemesini destekler.Amazon S3 supports both client and server encryption of data at Rest. Daha fazla bilgi için bkz. şifrelemeyi kullanarak verileri koruma.For more information, see Protecting Data Using Encryption. Şu anda Data Factory, bir sanal özel bulut (VPC) içinde Amazon S3 desteklemez.Currently, Data Factory does not support Amazon S3 inside a virtual private cloud (VPC).

Amazon RedshiftAmazon Redshift

Amazon Redshift, bekleyen veriler için küme şifrelemeyi destekler.Amazon Redshift supports cluster encryption for data at rest. Daha fazla bilgi için bkz. Amazon Redshift veritabanı şifrelemesi.For more information, see Amazon Redshift Database Encryption. Şu anda Data Factory, bir VPC içinde Amazon Redshift 'ı desteklemez.Currently, Data Factory does not support Amazon Redshift inside a VPC.

SalesforceSalesforce

Salesforce, tüm dosyaları, ekleri ve özel alanları şifrelemeye izin veren Shield platform şifrelemesini destekler.Salesforce supports Shield Platform Encryption that allows encryption of all files, attachments, custom fields. Daha fazla bilgi için bkz. Web sunucusu OAuth kimlik doğrulama akışını anlama.For more information, see Understanding the Web Server OAuth Authentication Flow.

Karma senaryolar (Veri Yönetimi ağ geçidini kullanarak)Hybrid Scenarios (using Data Management Gateway)

Karma senaryolar, Veri Yönetimi ağ geçidinin şirket içi bir ağa veya bir sanal ağ (Azure) ya da bir sanal özel buluta (Amazon) yüklenmesini gerektirir.Hybrid scenarios require Data Management Gateway to be installed in an on-premises network or inside a virtual network (Azure) or a virtual private cloud (Amazon). Ağ geçidinin yerel veri depolarına erişebilmesi gerekir.The gateway must be able to access the local data stores. Ağ Geçidi hakkında daha fazla bilgi için bkz. veri yönetimi Gateway.For more information about the gateway, see Data Management Gateway.

Veri Yönetimi ağ geçidi kanalları

Komut kanalı , Data Factory ve veri yönetimi ağ geçidinde veri taşıma hizmetleri arasında iletişime olanak sağlar.The command channel allows communication between data movement services in Data Factory and Data Management Gateway. İletişim, etkinlikle ilgili bilgiler içerir.The communication contains information related to the activity. Veri kanalı, şirket içi veri depoları ile bulut veri depoları arasında veri aktarmak için kullanılır.The data channel is used for transferring data between on-premises data stores and cloud data stores.

Şirket içi veri deposu kimlik bilgileriOn-premises data store credentials

Şirket içi veri depolarınız için kimlik bilgileri yerel olarak depolanır (bulutta değil).The credentials for your on-premises data stores are stored locally (not in the cloud). Bunlar üç farklı şekilde ayarlanabilir.They can be set in three different ways.

  • Azure portalından/kopyalama sihirbazından HTTPS aracılığıyla düz metin (daha az güvenli) kullanma.Using plain-text (less secure) via HTTPS from Azure Portal/ Copy Wizard. Kimlik bilgileri, şirket içi ağ geçidine düz metin olarak geçirilir.The credentials are passed in plain-text to the on-premises gateway.
  • Kopyalama sihirbazından JavaScript şifreleme kitaplığı 'nı kullanma.Using JavaScript Cryptography library from Copy Wizard.
  • Tıklama tabanlı kimlik bilgileri Yöneticisi uygulamasını kullanma.Using click-once based credentials manager app. Bir kez tıklama uygulaması, ağ geçidine erişimi olan şirket içi makinede yürütülür ve veri deposunun kimlik bilgilerini ayarlar.The click-once application executes on the on-premises machine that has access to the gateway and sets credentials for the data store. Bu seçenek ve bir sonraki seçenek en güvenli seçeneklerdir.This option and the next one are the most secure options. Kimlik bilgisi Yöneticisi uygulaması, varsayılan olarak güvenli iletişim için ağ geçidine sahip makinede 8050 numaralı bağlantı noktasını kullanır.The credential manager app, by default, uses the port 8050 on the machine with gateway for secure communication.
  • Kimlik bilgilerini şifrelemek için New-AzDataFactoryEncryptValue PowerShell cmdlet 'ini kullanın.Use New-AzDataFactoryEncryptValue PowerShell cmdlet to encrypt credentials. Cmdlet 'i, kimlik bilgilerini şifrelemek için kullanılacak ağ geçidinin yapılandırıldığı sertifikayı kullanır.The cmdlet uses the certificate that gateway is configured to use to encrypt the credentials. Bu cmdlet tarafından döndürülen şifrelenmiş kimlik bilgilerini kullanabilir ve bunu New-AzDataFactoryLinkedService cmdlet 'i Ile kullandığınız JSON dosyasındaki ya da PORTALDAKI Data Factory düzenleyicisinde JSON kod öğesine ekleyebilirsiniz .You can use the encrypted credentials returned by this cmdlet and add it to EncryptedCredential element of the connectionString in the JSON file that you use with the New-AzDataFactoryLinkedService cmdlet or in the JSON snippet in the Data Factory Editor in the portal. Bu seçenek ve tek tıklama uygulaması en güvenli seçeneklerdir.This option and the click-once application are the most secure options.

JavaScript şifreleme kitaplığı tabanlı şifrelemeJavaScript cryptography library-based encryption

Kopyalama sihirbazından JavaScript şifreleme kitaplığı 'nı kullanarak veri deposu kimlik bilgilerini şifreleyebilirsiniz.You can encrypt data store credentials using JavaScript Cryptography library from the Copy Wizard. Bu seçeneği belirlediğinizde, kopyalama Sihirbazı ağ geçidinin ortak anahtarını alır ve veri deposu kimlik bilgilerini şifrelemek için kullanır.When you select this option, the Copy Wizard retrieves the public key of gateway and uses it to encrypt the data store credentials. Kimlik bilgilerinin ağ geçidi makinesi tarafından şifresi çözülür ve Windows DPAPItarafından korunur.The credentials are decrypted by the gateway machine and protected by Windows DPAPI.

Desteklenen tarayıcılar: IE8, ıE9, ıE10, ıE11, Microsoft Edge ve en son Firefox, Chrome, Opera, Safari tarayıcıları.Supported browsers: IE8, IE9, IE10, IE11, Microsoft Edge, and latest Firefox, Chrome, Opera, Safari browsers.

Tıkla-bir kez kimlik bilgileri Yöneticisi uygulamasıClick-once credentials manager app

İşlem hatları yazarken Azure portal/kopyalama sihirbazından tıklama tabanlı kimlik bilgileri Yöneticisi uygulamasını başlatabilirsiniz.You can launch the click-once based credential manager app from Azure portal/Copy Wizard when authoring pipelines. Bu uygulama, kimlik bilgilerinin kablo üzerinden düz metin olarak aktarılmamasını sağlar.This application ensures that credentials are not transferred in plain text over the wire. Varsayılan olarak, güvenli iletişim için ağ geçidine sahip makinede 8050 numaralı bağlantı noktasını kullanır.By default, it uses the port 8050 on the machine with gateway for secure communication. Gerekirse, bu bağlantı noktası değiştirilebilir.If necessary, this port can be changed.

Ağ Geçidi için HTTPS bağlantı noktası

Şu anda Veri Yönetimi ağ geçidi tek bir sertifika kullanıyor.Currently, Data Management Gateway uses a single certificate. Bu sertifika, ağ geçidi yüklemesi sırasında oluşturulur (2016 Kasım ve sürüm 2.4 ' den sonra oluşturulan Veri Yönetimi ağ geçidi için geçerlidir. xxxx. x veya üzeri).This certificate is created during the gateway installation (applies to Data Management Gateway created after November 2016 and version 2.4.xxxx.x or later). Bu sertifikayı kendi SSL/TLS sertifikanız ile değiştirebilirsiniz.You can replace this certificate with your own SSL/TLS certificate. Bu sertifika, veri deposu kimlik bilgilerini ayarlamak için ağ geçidi makinesine güvenli bir şekilde bağlanmak üzere tıkla-bir tek kimlik bilgileri Yöneticisi uygulaması tarafından kullanılır.This certificate is used by the click-once credential manager application to securely connect to the gateway machine for setting data store credentials. Ağ geçidine sahip makinede Windows DPAPI kullanarak şirket içinde güvenli bir şekilde veri deposu kimlik bilgilerini depolar.It stores data store credentials securely on-premises by using the Windows DPAPI on the machine with gateway.

Not

2016 Kasım veya 2.3 sürümünden önce yüklenen eski ağ geçitleri. xxxx. x, buluta şifrelenmiş ve depolanan kimlik bilgilerini kullanmaya devam eder.Older gateways that were installed before November 2016 or of version 2.3.xxxx.x continue to use credentials encrypted and stored on cloud. Ağ geçidini en son sürüme yükseltseniz bile, kimlik bilgileri şirket içi bir makineye geçirilmezEven if you upgrade the gateway to the latest version, the credentials are not migrated to an on-premises machine

Ağ Geçidi sürümü (oluşturma sırasında)Gateway version (during creation) Depolanan kimlik bilgileriCredentials Stored Kimlik bilgisi şifreleme/güvenlikCredential encryption/ security
< = 2.3. xxxx. x< = 2.3.xxxx.x BuluttaOn cloud Sertifika kullanılarak şifrelendi (kimlik bilgileri Yöneticisi uygulamasının kullandığı bilgisayardan farklı)Encrypted using certificate (different from the one used by Credential manager app)
> = 2,4. xxxx. x> = 2.4.xxxx.x Şirket içindeOn premises DPAPI aracılığıyla güvenli hale getirilirSecured via DPAPI

Aktarım sırasında şifrelemeEncryption in transit

Tüm veri aktarımları, Azure hizmetleriyle iletişim sırasında ortadaki adam saldırılarını engellemek için güvenli kanal https ve TCP üzerinden TLS aracılığıyla yapılır.All data transfers are via secure channel HTTPS and TLS over TCP to prevent man-in-the-middle attacks during communication with Azure services.

Ayrıca, şirket içi ağınız ve Azure arasında iletişim kanalını daha güvenli hale getirmek için ıPSEC VPN veya Express Route 'u da kullanabilirsiniz.You can also use IPSec VPN or Express Route to further secure the communication channel between your on-premises network and Azure.

Sanal ağ, buluttaki ağınızın mantıksal bir gösterimidir.Virtual network is a logical representation of your network in the cloud. IPSec VPN (siteden siteye) veya Express Route (özel eşleme) ayarlayarak, şirket içi bir ağı Azure sanal ağınıza (VNet) bağlayabilirsinizYou can connect an on-premises network to your Azure virtual network (VNet) by setting up IPSec VPN (site-to-site) or Express Route (Private Peering)

Aşağıdaki tabloda, karma veri hareketine yönelik farklı kaynak ve hedef konum birleşimlerine göre ağ ve ağ geçidi yapılandırma önerileri özetlenmektedir.The following table summarizes the network and gateway configuration recommendations based on different combinations of source and destination locations for hybrid data movement.

KaynakSource HedefDestination Ağ yapılandırmasıNetwork configuration Ağ geçidi kurulumuGateway setup
Şirket içiOn-premises Sanal ağlarda dağıtılan sanal makineler ve bulut HizmetleriVirtual machines and cloud services deployed in virtual networks IPSec VPN (Noktadan siteye veya siteden siteye)IPSec VPN (point-to-site or site-to-site) Ağ Geçidi, şirket içinde veya VNet 'teki bir Azure sanal makinesine (VM) yüklenebilirGateway can be installed either on-premises or on an Azure virtual machine (VM) in VNet
Şirket içiOn-premises Sanal ağlarda dağıtılan sanal makineler ve bulut HizmetleriVirtual machines and cloud services deployed in virtual networks ExpressRoute (özel eşleme)ExpressRoute (Private Peering) Ağ Geçidi, şirket içinde veya VNet 'teki bir Azure VM 'ye yüklenebilirGateway can be installed either on-premises or on an Azure VM in VNet
Şirket içiOn-premises Genel uç noktası olan Azure tabanlı hizmetlerAzure-based services that have a public endpoint ExpressRoute (genel eşleme)ExpressRoute (Public Peering) Ağ geçidinin şirket içinde yüklü olması gerekirGateway must be installed on-premises

Aşağıdaki resimlerde Express Route ve IPSec VPN (sanal ağ ile) kullanarak şirket içi veritabanı ve Azure hizmetleri arasında veri taşımak için Veri Yönetimi ağ geçidinin kullanımı gösterilmektedir:The following images show the usage of Data Management Gateway for moving data between an on-premises database and Azure services using Express route and IPSec VPN (with Virtual Network):

Hızlı rota:Express Route:

Ağ Geçidi ile Express Route kullanma

IPSec VPN:IPSec VPN:

Ağ Geçidi ile IPSec VPN

Güvenlik Duvarı konfigürasyonları ve filtreleme IP adresiFirewall configurations and filtering IP address of gateway

Şirket içi/özel ağ için güvenlik duvarı gereksinimleriFirewall requirements for on-premises/private network

Bir kuruluşta kurumsal güvenlik duvarı kuruluşun merkezi yönlendiricisinde çalışır.In an enterprise, a corporate firewall runs on the central router of the organization. Ve Windows Güvenlik Duvarı , ağ geçidinin yüklü olduğu yerel makinede bir daemon olarak çalışır.And, Windows firewall runs as a daemon on the local machine on which the gateway is installed.

Aşağıdaki tabloda, Şirket güvenlik duvarı için giden bağlantı noktası ve etki alanı gereksinimleri verilmiştir.The following table provides outbound port and domain requirements for the corporate firewall.

Etki alanı adlarıDomain names Giden bağlantı noktalarıOutbound ports DescriptionDescription
*.servicebus.windows.net 443, 80443, 80 Data Factory içindeki veri taşıma hizmetlerine bağlanmak için ağ geçidi için gereklidirRequired by the gateway to connect to data movement services in Data Factory
*.core.windows.net 443443 Hazırlanmış kopya özelliğini kullandığınızda, Azure depolama hesabına bağlanmak için ağ geçidi tarafından kullanılır.Used by the gateway to connect to Azure Storage Account when you use the staged copy feature.
*.frontend.clouddatahub.net 443443 Azure Data Factory hizmetine bağlanmak için ağ geçidi gereklidir.Required by the gateway to connect to the Azure Data Factory service.
*.database.windows.net 14331433 (Isteğe bağlı) hedef Azure SQL veritabanı/Azure SYNAPSE Analytics olduğunda gereklidir.(OPTIONAL) needed when your destination is Azure SQL Database/ Azure Synapse Analytics. 1433 numaralı bağlantı noktasını açmadan verileri Azure SQL veritabanı/Azure SYNAPSE Analytics 'e kopyalamak için hazırlanan kopyalama özelliğini kullanın.Use the staged copy feature to copy data to Azure SQL Database/Azure Synapse Analytics without opening the port 1433.
*.azuredatalakestore.net 443443 (Isteğe bağlı) hedef Azure Data Lake deposu olduğunda gereklidir(OPTIONAL) needed when your destination is Azure Data Lake store

Not

Şirket güvenlik duvarı düzeyindeki bağlantı noktalarını ve filtreleme etki alanlarını ilgili veri kaynakları için gereken şekilde yönetmeniz gerekebilir.You may have to manage ports/filtering domains at the corporate firewall level as required by respective data sources. Bu tablo yalnızca Azure SQL veritabanı, Azure SYNAPSE Analytics, örnek olarak Azure Data Lake Store kullanır.This table only uses Azure SQL Database, Azure Synapse Analytics, Azure Data Lake Store as examples.

Aşağıdaki tabloda Windows Güvenlik Duvarı için gelen bağlantı noktası gereksinimleri verilmiştir.The following table provides inbound port requirements for the windows firewall.

Gelen bağlantı noktalarıInbound ports DescriptionDescription
8050 (TCP)8050 (TCP) Ağ geçidinde şirket içi veri depoları için kimlik bilgilerini güvenli bir şekilde ayarlamak üzere kimlik bilgileri Yöneticisi uygulaması gereklidir.Required by the credential manager application to securely set credentials for on-premises data stores on the gateway.

Ağ Geçidi bağlantı noktası gereksinimleri

Veri deposunda IP yapılandırması/filtrelemeIP configurations/filtering in data store

Buluttaki bazı veri depoları da bunlara erişen makinenin IP adresinin onaylanması gerekir.Some data stores in the cloud also require approving of IP address of the machine accessing them. Ağ Geçidi makinesinin IP adresinin güvenlik duvarında uygun şekilde onaylanmış/yapılandırılmış olduğundan emin olun.Ensure that the IP address of the gateway machine is approved/configured in firewall appropriately.

Aşağıdaki bulut veri depoları, ağ geçidi makinesinin IP adresinin onaylanması gerektirir.The following cloud data stores require approving of IP address of the gateway machine. Bu veri mağazalarından bazıları varsayılan olarak IP adresinin onaylanması gerektirmez.Some of these data stores, by default, may not require approving of the IP address.

Sık sorulan sorularFrequently asked questions

Soru: Ağ Geçidi farklı veri fabrikaları genelinde paylaşılabilir mi?Question: Can the Gateway be shared across different data factories? Cevap: Henüz bu özelliği desteklemiyoruz.Answer: We do not support this feature yet. Üzerinde çalışmaya devam ediyoruz.We are actively working on it.

Soru: Ağ geçidinin çalışması için bağlantı noktası gereksinimleri nelerdir?Question: What are the port requirements for the gateway to work? Cevap: Ağ Geçidi, HTTP tabanlı bağlantıları internet 'te açmaya olanak sağlar.Answer: Gateway makes HTTP-based connections to open internet. Bu bağlantıyı yapmak için ağ geçidi 443 ve 80 giden bağlantı noktaları açılmalıdır.The outbound ports 443 and 80 must be opened for gateway to make this connection. Kimlik bilgisi Yöneticisi uygulaması için yalnızca makine düzeyinde (kurumsal güvenlik duvarı düzeyinde değil) gelen bağlantı noktası 8050 ' i açın.Open Inbound Port 8050 only at the machine level (not at corporate firewall level) for Credential Manager application. Azure SQL veritabanı veya Azure SYNAPSE Analytics kaynak/hedef olarak kullanılıyorsa, 1433 bağlantı noktasını da açmanız gerekir.If Azure SQL Database or Azure Synapse Analytics is used as source/ destination, then you need to open 1433 port as well. Daha fazla bilgi için bkz. [güvenlik duvarı yapılandırması ve FILTRELEME IP adresleri](#firewall-configurations-and-filtering-ip-address-of gateway) bölümü.For more information, see [Firewall configurations and filtering IP addresses](#firewall-configurations-and-filtering-ip-address-of gateway) section.

Soru: Ağ Geçidi için sertifika gereksinimleri nelerdir?Question: What are certificate requirements for Gateway? Cevap: Geçerli ağ geçidi, veri deposu kimlik bilgilerini güvenli bir şekilde ayarlamak için kimlik bilgisi Yöneticisi uygulaması tarafından kullanılan bir sertifika gerektirir.Answer: Current gateway requires a certificate that is used by the credential manager application for securely setting data store credentials. Bu sertifika, ağ geçidi kurulumu tarafından oluşturulan ve yapılandırılan kendinden imzalı bir sertifikadır.This certificate is a self-signed certificate created and configured by the gateway setup. Bunun yerine kendi TLS/SSL sertifikanızı kullanabilirsiniz.You can use your own TLS/SSL certificate instead. Daha fazla bilgi için bkz. tıklama-bir kez kimlik bilgileri Yöneticisi uygulaması bölümü.For more information, see click-once credential manager application section.

Sonraki adımlarNext steps

Kopyalama etkinliğinin performansı hakkında daha fazla bilgi için bkz. kopyalama etkinliği performansı ve ayarlama Kılavuzu.For information about performance of copy activity, see Copy activity performance and tuning guide.