使用受控 VNet 搭配您的 Microsoft Purview 帳戶
重要事項
目前,受控虛擬網路和受控私人端點適用于部署在下欄區域中的 Microsoft Purview 帳戶:
- 澳大利亞東部
- 加拿大中部
- 美國東部
- 美國東部 2
- 北歐
- 西歐
Conceptual overview
本文說明如何為 Microsoft Purview 設定受控虛擬網路和受控私人端點。
支援的地區
目前,受控虛擬網路和受控私人端點適用于部署在下欄區域中的 Microsoft Purview 帳戶:
- 澳大利亞東部
- 加拿大中部
- 美國東部
- 美國東部 2
- 北歐
- 西歐
支援的資料來源
目前支援下列資料來源具有受控私人端點,並可在 Microsoft Purview 中使用受控 VNet 執行時間進行掃描:
- Azure Blob 儲存體
- Azure Cosmos DB
- Azure Data Lake Storage Gen 2
- 適用於 MySQL 的 Azure 資料庫
- 適用於 PostgreSQL 的 Azure 資料庫
- Azure 專用 SQL 集區 (先前稱為 SQL DW)
- Azure 檔案儲存體
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure Synapse Analytics
此外,如果您需要使用任何驗證選項而不是受控識別來執行掃描,例如 SQL 驗證或帳戶金鑰,您可以為 Azure 金鑰保存庫 資源部署受控私人端點。
Managed 虛擬網路
Microsoft Purview 中的受控虛擬網路是一種虛擬網路,由 Azure 部署和管理,位於與 Microsoft Purview 帳戶相同的區域內,以允許掃描受控網路內的 Azure 資料來源,而不需要在 Azure 中由客戶部署和管理任何自我裝載整合執行時間虛擬機器。
您可以在 Microsoft Purview 受控虛擬網路內部署 Azure 受控Integration Runtime。 受控 VNet 執行時間會從該處使用私人端點,安全地連線並掃描支援的資料來源。
在受控虛擬網路內建立受控 VNet 執行時間,可確保資料整合程式是隔離且安全的。
使用受控虛擬網路的優點:
- 透過受控虛擬網路,您可以將管理虛擬網路的負擔卸載至 Microsoft Purview。 您不需要建立和管理 Azure Integration Runtime的 VNet 或子網,即可用於掃描 Azure 資料來源。
- 不需要具備深度的 Azure 網路知識,即可安全地進行資料整合。 對於資料工程師來說,使用受控虛擬網路已大幅簡化。
- 受控虛擬網路和受控私人端點可防止資料外泄。
重要事項
目前,只有與 Microsoft Purview 帳戶區域相同的區域才支援受控虛擬網路。
注意事項
您無法將全域 Azure 整合執行時間或自我裝載整合執行時間切換至受控 VNet 執行時間,反之亦然。
當您第一次在 Microsoft Purview 帳戶中建立受控 VNet 執行時間時,會為您的 Microsoft Purview 帳戶建立受控 VNet。 您無法檢視或管理受控 VNet。
受控私人端點
受控私人端點是在 Microsoft Purview Managed 中建立的私人端點,虛擬網路建立 Microsoft Purview 和 Azure 資源的私人連結。 Microsoft Purview 會代表您管理這些私人端點。
Microsoft Purview 支援私人連結。 私人連結可讓您存取 Azure (PaaS) 服務 (,例如 Azure 儲存體、Azure Cosmos DB、Azure Synapse Analytics) 。
當您使用私人連結時,資料來源與受控虛擬網路之間的流量會完全透過 Microsoft 骨幹網路周遊。 Private Link可防範資料外泄風險。 您可以建立私人端點來建立資源的私人連結。
私人端點會使用受控虛擬網路中的私人 IP 位址,有效地將服務帶入其中。 私人端點會對應至 Azure 中的特定資源,而不是整個服務。 客戶可以限制其組織核准之特定資源的連線能力。 深入瞭解 私人連結和私人端點。
注意事項
若要降低系統管理額外負荷,建議您建立受控私人端點來掃描所有支援的 Azure 資料來源。
警告
如果 Azure PaaS 資料存放區 (Blob、Azure Data Lake Storage Gen2、Azure Synapse Analytics) 已針對它建立私人端點,即使允許來自所有網路的存取,Microsoft Purview 也只能使用受控私人端點來存取它。 如果私人端點不存在,您必須在這類情況下建立一個。
當您在 Microsoft Purview 中建立受控私人端點時,會以「擱置中」狀態建立私人端點連線。 核准工作流程已起始。 私人連結資源擁有者負責核准或拒絕連線。
如果擁有者核准連線,則會建立私人連結。 否則,將不會建立私人連結。 不論是哪一種情況,受控私人端點都會以連線的狀態更新。
只有處於核准狀態的受控私人端點可以將流量傳送至指定的私人連結資源。
互動式撰寫
互動式撰寫功能可用於測試連線、流覽資料夾清單和資料表清單、取得架構和預覽資料等功能。 您可以在建立或編輯 Purview-Managed 虛擬網路 中的 Azure Integration Runtime時啟用互動式撰寫。 後端服務會預先配置互動式撰寫功能的計算。 否則,每次執行任何需要更多時間的互動式作業時,都會配置計算。 互動式撰寫的存留時間 (TTL) 為 60 分鐘,這表示它會在上一個互動式撰寫作業的 60 分鐘後自動停用。
部署步驟
必要條件
為 Microsoft Purview 帳戶部署受控 VNet 和受控 VNet 執行時間之前,請確定您符合下列必要條件:
- 部署在其中一個 支援區域中的 Microsoft Purview 帳戶。
- 從 Microsoft Purview 角色,您必須是 Microsoft Purview 帳戶中根集合層級的資料編者。
- 從 Azure RBAC 角色,您必須是 Microsoft Purview 帳戶和資料來源的參與者,才能核准私人連結。
部署受控 VNet 執行時間
注意事項
下列指南示範如何使用受控 VNet 執行時間註冊及掃描第 2 代Azure Data Lake Storage。
透過下列方式開啟 Microsoft Purview 治理入口網站:
- 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
- 開啟Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。
流覽至 資料對應 -- > 整合執行時間。
從 [整合執行時間 ] 頁面,選取 [+ 新增 ] 圖示,以建立新的執行時間。 選取 [Azure],然後選取 [ 繼續]。
提供受控 VNet 執行時間的名稱、選取區域並設定互動式撰寫。 選取 [建立]。
第一次部署受控 VNet 執行時間會在 Microsoft Purview 治理入口網站中觸發多個工作流程,以建立 Microsoft Purview 及其受控儲存體帳戶的受控私人端點。 在每個工作流程上選取 ,以核准對應 Azure 資源的私人端點。
在Azure 入口網站中,從您的 Microsoft Purview 帳戶資源視窗中,核准受控私人端點。 從 [受控儲存體帳戶] 頁面,核准 Blob 和佇列服務的受控私人端點:
從 [管理] 選取 [受控私人端點],以驗證是否已成功部署和核准所有受控私人端點。 所有私人端點都會獲得核准。
部署資料來源的受控私人端點
您可以使用受控私人端點來連線資料來源,以確保傳輸期間的資料安全性。 如果您的資料來源允許公用存取,而且您想要透過公用網路連線,您可以略過此步驟。 只要整合執行時間可以連線到您的資料來源,就可以執行掃描執行。
若要部署及核准資料來源的受控私人端點,請遵循下列步驟,從清單中選取您選擇的資料來源:
流覽至 [ 管理],然後選取 [ 受控私人端點]。
選 取 [+ 新增]。
從支援的資料來源清單中,選取對應至您打算使用受控 VNet 執行時間掃描之資料來源的類型。
提供受控私人端點的名稱,從下拉式清單中選取 Azure 訂用帳戶和資料來源。 選 取 [建立]。
從受控私人端點清單中,為您的資料來源選取新建立的受控私人端點,然後選取 [管理Azure 入口網站中的核准],以核准Azure 入口網站中的私人端點。
按一下連結,就會將您重新導向至Azure 入口網站。 在 [私人端點連線] 下,選取新建立的私人端點,然後選取 [ 核准]。
在 Microsoft Purview 治理入口網站中,受控私人端點也必須顯示為已核准。
使用受控 VNet 執行時間註冊和掃描資料來源
註冊資料來源
在設定資料來源掃描之前,請務必先在 Microsoft Purview 中註冊資料來源。 如果您尚未註冊資料來源,請遵循下列步驟來註冊資料來源。
移至您的 Microsoft Purview 帳戶。
選取左側功能表上的 [資料對應 ]。
選取 [登錄]。
在 [註冊來源]上,選取您的資料來源
選取 [繼續]。
在 [ 註冊來源] 畫面上,執行下列動作:
- 在 [ 名稱] 方 塊中,輸入資料來源將在目錄中列出的名稱。
- 在 [ 訂用帳戶 ] 下拉式清單方塊中,選取訂用帳戶。
- 在 [ 選取集合] 方 塊中,選取集合。
- 選 取 [註冊 ] 以註冊資料來源。
如需詳細資訊,請 參閱在 Microsoft Purview 中管理資料來源。
掃描資料來源
您可以使用下列任何選項,使用 Microsoft Purview 受控 VNet 執行時間掃描資料來源:
使用 受控識別 (建議) - 一旦建立 Microsoft Purview 帳戶,系統指派的受控識別 (SAMI) 就會自動在 Azure AD 租使用者中建立。 視資源類型而定,Microsoft Purview 系統指派的受控識別 (SAMI) 需要特定的 RBAC 角色指派,才能執行掃描。
-
帳戶金鑰或 SQL 驗證 - 您可以在 Azure 金鑰保存庫內建立秘密來儲存認證,讓 Microsoft Purview 能夠使用秘密安全地掃描資料來源。 秘密可以是儲存體帳戶金鑰、SQL 登入密碼或密碼。
服務主體 - 在此方法中,您可以在 Azure Active Directory 租使用者中建立新的或使用現有的服務主體。
使用受控識別進行掃描
若要使用受控 VNet 執行時間和 Microsoft Purview 受控識別掃描資料來源,請執行下列步驟:
在 Microsoft Purview 治理入口網站的左窗格中,選取 [ 資料對 應] 索引標籤。
選取您註冊的資料來源。
選取 [檢視詳細資料>+ 新增掃描],或使用來源磚上的[掃描快速動作] 圖示。
提供掃描的 名稱 。
在 [ 透過整合執行時間連線] 下,選取新建立的受控 VNet 執行時間。
針對 [認證 ][選取受控識別],選擇掃描的適當集合,然後選取 [ 測試連線]。 在成功的連線上,選取 [ 繼續]。
請遵循步驟來選取適合掃描的掃描規則和範圍。
選擇掃描觸發程式。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [儲存並執行]。
使用其他驗證選項掃描
您也可以使用其他支援的選項,使用 Microsoft Purview Managed Runtime 掃描資料來源。 這需要設定與儲存秘密之 Azure 金鑰保存庫的私人連線。
若要使用帳戶金鑰或 SQL 驗證來設定掃描,請遵循下列步驟:
流覽至 [ 管理],然後選取 [ 受控私人端點]。
選 取 [+ 新增]。
從支援的資料來源清單中,選取 [金鑰保存庫]。
提供受控私人端點的名稱,從下拉式清單中選取 Azure 訂用帳戶和 Azure 金鑰保存庫。 選 取 [建立]。
從受控私人端點清單中,針對您的 Azure 金鑰保存庫選取新建立的受控私人端點,然後選取 [管理Azure 入口網站中的核准],以核准 Azure 入口網站 中的私人端點。
按一下連結,就會將您重新導向至Azure 入口網站。 在 [私人端點連線] 下,為您的 Azure 金鑰保存庫選取新建立的私人端點,然後選取 [核准]。
在 Microsoft Purview 治理入口網站中,受控私人端點也必須顯示為已核准。
在 Microsoft Purview 治理入口網站的左窗格中,選取 [ 資料對 應] 索引標籤。
選取您註冊的資料來源。
選取 [檢視詳細資料>+ 新增掃描],或使用來源磚上的[掃描快速動作] 圖示。
提供掃描的 名稱 。
在 [ 透過整合執行時間連線] 下,選取新建立的受控 VNet 執行時間。
針對 [認證 ][選取您稍早註冊的認證],選擇掃描的適當集合,然後選取 [ 測試連線]。 在成功的連線上,選取 [ 繼續]。
請遵循步驟來選取適合掃描的掃描規則和範圍。
選擇掃描觸發程式。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [儲存並執行]。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應