为 Azure-SSIS 集成运行时的注入配置虚拟网络
适用于:
Azure 数据工厂 Azure Synapse Analytics
使用 Azure 数据工厂 (ADF) 或 Synapse Pipelines 中的 SQL Server Integration Services (SSIS) 时,可通过两种方法将 Azure-SSIS 集成运行时 (IR) 加入到虚拟网络:标准和快速。 快速方法可以更快地启动 Azure-SSIS IR,并且没有入站和较少的出站流量要求,但与标准方法相比,它有一些限制。
比较标准和快速虚拟网络注入方法
下表重点介绍了标准和快速虚拟网络注入方法之间的差异:
| 比较 | 标准虚拟网络注入 | Express 虚拟网络注入 |
|---|---|---|
| Azure-SSIS IR 启动持续时间 | 大约 30 分钟。 | 大约 5 分钟。 |
| Azure 订阅和资源组设置 | Microsoft.Batch 必须在虚拟网络订阅中注册为资源提供程序。 必须允许在虚拟网络资源组中创建公共 IP 地址、负载均衡器和网络安全组 (NSG)。 |
Microsoft.Batch 必须在虚拟网络订阅中注册为资源提供程序。 |
| 虚拟网络子网 | 子网不能专用于其他 Azure 服务。 | 子网不能专用于其他 Azure 服务。 子网必须委托给 Microsoft.Batch/batchAccounts。 |
| 虚拟网络权限 | 创建 Azure-SSIS IR 的用户必须具有 Microsoft.Network/virtualNetworks/*/join 权限。 | 创建 Azure-SSIS IR 的用户必须具有 Microsoft.Network/virtualNetworks/subnets/join/action 权限。 |
| 静态公共 IP 地址 | (可选)为 Azure-SSIS IR 提供你自己的静态公共 IP 地址 (BYOIP)。 | (可选)配置虚拟网络的网络地址转换 (NAT),为 Azure-SSIS IR 设置静态公共 IP 地址。 |
| 自定义 DNS 服务器 | 建议将未解析的 DNS 请求转发到 Azure 递归解析程序。 | 建议将未解析的 DNS 请求转发到 Azure 递归解析程序。 需要 Azure-SSIS IR 的标准自定义设置。 |
| 入站流量 | 必须为将 BatchNodeManagement 服务标记作为源为 TCP 流量打开端口 29876、29877。 | 不需要。 |
| 出站流量 | 必须为将 AzureCloud 服务标记作为目标的 TCP 流量打开端口 443。 | 必须为将 DataFactoryManagement 服务标记作为目标的 TCP 流量打开端口 443。 |
| 资源锁 | 不允许在资源组中使用。 | 不允许在虚拟网络中使用。 |
| 每个虚拟网络的 Azure-SSIS IR | 不受限制。 | 仅有一个。 |
虚拟网络需要根据注入方法进行不同的配置。 如果使用快速方法,请参阅快速虚拟网络注入方法一文,否则请参阅标准虚拟网络注入方法一文。
将 Azure Batch 注册为资源提供程序
使用 Azure 门户,可以将 Azure Batch(ADF 中 SSIS 的底层基础结构)注册为 Azure 订阅中的资源提供程序,该提供程序具有供 Azure-SSIS IR 加入的虚拟网络。 如果已在该订阅中使用 Azure Batch 或通过 ADF UI 创建了 Azure-SSIS IR,则它已注册。 否则,你可以执行以下步骤:
在 Azure 门户中选择虚拟网络后,在其“概述”页上选择突出显示的订阅。
在左侧菜单中,选择“资源提供程序”。
选择并注册 Microsoft.Batch(如果尚未注册)。
如果列表中未出现 Microsoft.Batch,可以在该订阅中创建一个空的 Azure Batch 帐户,以便稍后删除。
将子网委托给 Azure Batch
如果使用快速虚拟网络注入,则必须把将在其中注入 Azure-SSIS IR 的子网委托给 ADF 中 SSIS 的底层基础结构 Azure Batch。 使用 Azure 门户,可以执行以下步骤:
在 Azure 门户中选择虚拟网络后,在左侧菜单中选择“子网”。
选择子网名称以打开其窗格,并确保它具有至少两倍于 Azure-SSIS IR 节点数量的可用 IP 地址。
在“将子网委托给服务”下拉菜单中选择 Microsoft.Batch/batchAccounts。
选择“保存”按钮。
授予虚拟网络权限
使用 Azure 门户,可以为创建 Azure-SSIS IR 的用户授予加入虚拟网络/子网所需的基于角色的访问控制 (RBAC) 权限。 可以按照以下步骤操作:
在 Azure 门户中选择虚拟网络后,如果使用标准虚拟网络注入,则可以在左侧菜单中选择“访问控制(IAM)”。 如果使用快速虚拟网络注入,则可以选择左侧菜单中的“子网”,选择你的子网行,然后选择顶部菜单中的“管理用户”以打开“访问控制”页面。
选择“添加角色分配”按钮,打开“添加角色分配”页面。
在“角色”列表中选择“网络参与者”或你的自定义角色,然后选择“下一步”按钮。
在“分配访问权限至”部分,选择“用户、组或服务主体”。
选择“选择成员”链接以搜索并选择创建 Azure-SSIS IR 的用户。
选择“选择”、“下一步”和“查看 + 分配”按钮。
相关内容
有关 Azure-SSIS IR 的详细信息,请参阅以下文章:
- Azure-SSIS IR。 此文提供有关 IR(包括 Azure-SSIS IR)的一般概念性信息。
- 教程:将 SSIS 包部署到 Azure 中的分步说明创建一个。 此教程提供有关创建 Azure-SSIS IR 的分步说明。 它使用 Azure SQL 数据库服务器来托管 SSISDB。
- 创建 Azure-SSIS IR。 此文对本教程的内容做了扩充。 它提供了一些说明,介绍如何使用配置了虚拟网络服务终结点/IP 防火墙规则/专用终结点的 Azure SQL 数据库服务器或加入虚拟网络的 Azure SQL 托管实例来托管 SSISDB。 它介绍了如何将 Azure-SSIS IR 加入虚拟网络。
- 监视 Azure-SSIS IR。 此文介绍如何检索并了解有关 Azure-SSIS IR 的信息。
- 管理 Azure-SSIS IR。 此文介绍如何停止、启动或删除 Azure-SSIS IR。 此外,介绍如何通过添加更多节点来横向扩展 Azure-SSIS IR。