使用 AAD 从 ADF 连接到 Azure SQL,并禁用允许 Azure 服务和资源访问
From ADF connect to Azure SQL using AAD with Allow Azure services and resources access disabled
我正在为 ETL/ELT 项目开发 ADF,目前我正在使用 Azure SQL 数据库加载源数据。要从 ADF 管道连接到 Azure SQL 数据库,我必须启用“允许 Azure 服务和资源访问此服务器”,而这具有安全威胁,任何人都可以在 Azure 环境中连接到此服务器。
因此我想禁用此选项,但我也想从 ADF 管道连接到 Azure SQL 数据库。
在这种情况下,Azure AAD 用户是否可以提供帮助?我知道将某些 IP 列入白名单,但 ADF 的 IP 对于每次运行都是动态的,因此我很难将其中的一些列入白名单。
Azure我们知道,如果我们不设置启用“允许Azure服务和资源访问此服务器”,那么访问SQL数据库的唯一方法是我们必须设置Data factory client IP 到数据库防火墙。
否则我们会得到如下错误:
正如您所说的“ADF 的 IP 在每次运行时都是动态的,因此我很难将其中的几个列入白名单”,好消息是 Azure 数据工厂支持静态 IP 范围作为防火墙角色。
数据工厂产品团队为我们提供了解决方法:
好消息 – Azure Integration Runtime 的静态 IP 范围现已在所有 ADF 区域可用!作为防火墙规则的一部分,您可以将 ADF 的特定 IP 范围列入白名单。 IP 记录在此处:https://docs.microsoft.com/en-us/azure/data-factory/azure-integration-runtime-ip-addresses#azure-integration-runtime-ip-addresses-specific-regions。政府云和中国云的静态IP范围即将发布!
请参阅此博客 post,了解如何使用各种机制(包括受信任的 Azure 服务和静态 IP)通过 ADF 保护数据访问:
https://techcommunity.microsoft.com/t5/azure-data-factory/azure-data-factory-now-supports-static-ip-address-ranges/ba-p/1117508
服务标签支持将在接下来的几周内提供。敬请期待!
如果您的网络安全要求要求对 VNet 提供 ADF 支持,但使用 Trusted Azure 服务(2019 年 10 月发布)、静态 IP 范围(2020 年 1 月发布)或服务标签(即将发布)无法满足,请投票在此处获取 VNet 功能:https://feedback.azure.com/forums/270578-data-factory/suggestions/37105363-data-factory-should-be-able-to-use-vnet-without-re
请参考此反馈:Static IP ranges for Data Factory and add ADF to list of Trusted Azure Services
您可以获得数据工厂静态 IP 范围并将列表添加到 Azure SQL 数据库防火墙角色。
数据工厂静态 IP 列表示例:
{
"name": "DataFactory",
"id": "DataFactory",
"properties": {
"changeNumber": 6,
"region": "",
"platform": "Azure",
"systemService": "DataFactory",
"addressPrefixes": [
"13.66.143.128/28",
"13.67.10.208/28",
...,
...
]
}
}
希望这对您有所帮助。
我正在为 ETL/ELT 项目开发 ADF,目前我正在使用 Azure SQL 数据库加载源数据。要从 ADF 管道连接到 Azure SQL 数据库,我必须启用“允许 Azure 服务和资源访问此服务器”,而这具有安全威胁,任何人都可以在 Azure 环境中连接到此服务器。
因此我想禁用此选项,但我也想从 ADF 管道连接到 Azure SQL 数据库。 在这种情况下,Azure AAD 用户是否可以提供帮助?我知道将某些 IP 列入白名单,但 ADF 的 IP 对于每次运行都是动态的,因此我很难将其中的一些列入白名单。
Azure我们知道,如果我们不设置启用“允许Azure服务和资源访问此服务器”,那么访问SQL数据库的唯一方法是我们必须设置Data factory client IP 到数据库防火墙。
否则我们会得到如下错误:
正如您所说的“ADF 的 IP 在每次运行时都是动态的,因此我很难将其中的几个列入白名单”,好消息是 Azure 数据工厂支持静态 IP 范围作为防火墙角色。
数据工厂产品团队为我们提供了解决方法:
好消息 – Azure Integration Runtime 的静态 IP 范围现已在所有 ADF 区域可用!作为防火墙规则的一部分,您可以将 ADF 的特定 IP 范围列入白名单。 IP 记录在此处:https://docs.microsoft.com/en-us/azure/data-factory/azure-integration-runtime-ip-addresses#azure-integration-runtime-ip-addresses-specific-regions。政府云和中国云的静态IP范围即将发布!
请参阅此博客 post,了解如何使用各种机制(包括受信任的 Azure 服务和静态 IP)通过 ADF 保护数据访问: https://techcommunity.microsoft.com/t5/azure-data-factory/azure-data-factory-now-supports-static-ip-address-ranges/ba-p/1117508
服务标签支持将在接下来的几周内提供。敬请期待!
如果您的网络安全要求要求对 VNet 提供 ADF 支持,但使用 Trusted Azure 服务(2019 年 10 月发布)、静态 IP 范围(2020 年 1 月发布)或服务标签(即将发布)无法满足,请投票在此处获取 VNet 功能:https://feedback.azure.com/forums/270578-data-factory/suggestions/37105363-data-factory-should-be-able-to-use-vnet-without-re
请参考此反馈:Static IP ranges for Data Factory and add ADF to list of Trusted Azure Services
您可以获得数据工厂静态 IP 范围并将列表添加到 Azure SQL 数据库防火墙角色。
数据工厂静态 IP 列表示例:
{
"name": "DataFactory",
"id": "DataFactory",
"properties": {
"changeNumber": 6,
"region": "",
"platform": "Azure",
"systemService": "DataFactory",
"addressPrefixes": [
"13.66.143.128/28",
"13.67.10.208/28",
...,
...
]
}
}
希望这对您有所帮助。