本文属于【Azure 架构师学习笔记】系列。
本文属于【Azure Data Factory】系列。
接上文【Azure 架构师学习笔记】-Azure Data Factory (4)-触发器详解-事件触发器

前言

PaaS服务默认都经过公网传输， 这对很多企业而言并不安全，那么就需要对其进行安全改造，本文介绍一下ADF 在这方面的内容。

当我们需要用ADF 访问SQL DB 时，如何使用更加安全？如果有一定ADF 基础的人可能知道ADF 可以使用SHIR，和Azure IR两种主流方式， SHIR 基于VM ，IaaS是可以通过网络配置使其私有化，更加安全。对于Azure IR，默认使用Internet。对于这种IR， 可以使用Managed Virtual Network和private endpoint搭配组成安全的链接。

另外微软本身也建议用托管private Endpoint来连接所有Azure的数据源。

创建Azure 服务之间的安全连接总的来说就是以下3步。

1. 创建Azure IR，启用VNet 配置。
2. 创建Managed Private Endpoint到对应的Azure 资源（Azure SQL DB或者Storage Account等）
3. 管理员在Private Link中心批准创建

创建步骤

Managed VNet目前是ADF 和Azure Synapse 里面特有的配置，它可以通过ADF Azure IR和对应资源的Private Endpoint使用私有连接直接访问从而减少风险。

默认情况下，这个并没有开启，可以在管理界面查看，如下图，是灰色的。

要创建托管Vnet，首先要创建一个Azure IR， 如图：

选择 Azure 而不是“自承载”也就是Self-hosted IR。

填写必要信息，然后点击下图【虚拟网络】

启用【虚拟网络配置】：

创建后，原本【托管专用终结点】已经可选，并且多了一个Azure IR。

创建新的托管专用终结点，选择资源：

然后就可以看到下面创建了一个Managed Endpoint。

在创建后可以看到它的审批状态是pending，这就要到审批中心批准。

在portal上搜索：

可以看到有一个正在等待审批的专用链接中心，当然你得有权限才可以进去。

审批完毕， 这个private endpoint就可以用了。

除了安全之外，由于ADF 某些活动如data flow并不支持SHIR（self-hosted integration runtime），只支持Azure IR，所以创建安全的链接就显得尤为重要。

小结

本文演示了如何创建安全的ADF 链接，创建之后，就可以通过如DataFlow的活动来使用，保证数据的安全性。