Доступ ADF к ADLS Gen2 в пределах VNet

Question

Мне нужна помощь в настройке ADLS Gen2, в которой включен брандмауэр и который подключен к VNet, чтобы я мог подключиться к нему из ADF.

Если я добавлю IP-адреса для Azure IR для брандмауэра хранилища, без добавления VNet соединение с подключенной службой успешно, однако, когда я добавляю VNet в хранилище, проверка соединения завершается неудачно с генерическое сообщение об ошибке c, как будто брандмауэр блокирует соединение.

Я также попытался добавить метку обслуживания Azure IR IP-адреса / DataFactory в NSG в качестве входящего правила, но это не имеет значения , соединение все еще не установлено.

Есть предложения?

Спасибо

Answer 1

Если вы добавляете виртуальные сети в брандмауэр учетной записи хранения, это означает, что вы включаете конечную точку службы для Azure Хранилище в VNet. В этом случае вам разрешен доступ к хранилищу только из указанных c подсети .

В настоящее время фабрика данных теперь является доверенной службой исключения в брандмауэре Azure Storage. Среда выполнения интеграции (Azure, Self-hosted и SSIS) теперь может подключаться к хранилищу без необходимости находиться внутри одной виртуальной сети или требовать разрешения всех входящих подключений к службе.

Шаги для подключения к Azure Хранилищу (с использованием Azure blob или Azure Служба озера данных Gen2) как «Доверенная служба» из этого блога .

1. Предоставить управляемый фабрикой данных доступ к удостоверениям для чтения данных в управлении доступом к хранилищу. Для получения более подробных инструкций см. this .
2. Создание связанной службы с использованием управляемых удостоверений для Azure аутентификация ресурсов
3. Изменение настроек брандмауэра в Azure Учетная запись хранения выбрать «Разрешить доверенные службы Microsoft…».

Для получения дополнительной информации: https://towardsdatascience.com/how-to-secure-your-azure-data-factory-pipeline-e2450502cd43