Azure Data Factory での Azure Private Link のサポートの提供が開始されました がアナウンスされていますが、Azure Data Factory (ADF) が Private Link をサポートしました。
詳細については、Azure Data Factory 用の Azure Private Link で公開されていますが、何ができるのかいまいちわかっていなかったので試してみました。
デフォルトの Azure 統合ランタイム (Azure IR) ではなく、Self-Hosted Integration Runtime (SHIR) を使用する場合に、通信を Private Endpoint 経由にするために使用するものなんでしょうかね。
データ周りを Private Link 経由にする方法もいろいろと調査しないと。
Contents
ADF の初期状態
ADF のブレードの「Networking」から初期状態を確認することができます。
初期状態では、Public Network Access が「有効」になっており、Private Endpoint は「無効」となっています。
Public Network Access の設定
Public Network Access については「Enabled」「Disabled」のどちらだったとしても、ADF のポータルには接続をすることができますので、この設定を無効にしても管理ポータル自体にはアクセスが可能です。
注意
パブリック ネットワーク アクセスを無効にした後も、ユーザーはパブリック ネットワークを介して Azure Data Factory ポータルにアクセスできます。
Disabled の状態でも ADF のポータルにアクセスすることは可能です。
Disabled の状態にして、オンプレミスの環境に Self-Hosted Integration Runtime をインストールしてみます。
Disabled の場合、Self-Hosted Integration Runtime は ADF の Service URL にインターネット経由で直接接続を行うことができなくなるようです。
そのため、Integration Runtime を登録しようとしてもエラーとなるかと。
Public Network Access の設定により、Self-Hosted Integration Runtime を登録可能にできるネットワーク (ADF と SHIR が通信できるネットワーク) が制御された状態となっていますね。
Private Endpoint を使用した Self-Hosted Integration Runtime (SHIR) の接続
それでは、Private Endpoint を設定します。
今回は次のような dataFactory に対しての Private Endpoint を作成し、「10.6.0.4」が ADF の Service URL のプライベート IP として設定が行われていますね。
それでは、オンプレミスと、Private Endpoint を作成した VNET を VPN で接続し、名前解決については、hosts で解決できるようにしてみます。
Private Endpoint に設定されている IP アドレスで、ADF の Service URL の解決ができ、実際のその URL に対し HTTPS (443) で接続ができれば、Private Endpoint 経由で SHIR を ADF に接続することができました。
Private Endpoint を使用することで、SHIR との通信経路を制限できるような構成が取れていますね。
Private Endpoint については、SHIR で使用するエンドポイントだけでなく、ADF のポータルについても作成することができます。
ADF のポータルの Private Endpoint についてですが、SR で確認をしたところ、2020/9/24 時点では、US のリージョンでしか利用ができないそうで、それ以外のリージョンに Private Endpoint を作成して、Endpoint 経由で AD のポータルにアクセスを行おうとすると、403 のエラーになってしまいアクセスができないようです。
Portal の Endpoint で 403 が発生した場合は、サポートされるリージョンについても注意したほうがよさそうです。
Private Endpoint を使用することでどのような通信が、内部ネットワーク経由になるのかは自分で試してみないとわからないなと思う今日この頃でした。