Azure Postgres и фабрика данных - правила брандмауэра

У меня есть база данных Azure Postgres, и я хочу запросить ее в конвейере фабрики данных Azure. Когда я иду добавить базу данных в качестве связанной службы, я вижу, что это не удается, поскольку IP-адрес не включен в белый список. Глядя на https://docs.microsoft.com/en-us/azure/virtual-network/service-tags-overview#discover-service-tags-by-using-downloadable-json-files, Я вижу, что в регионе много IP-адресов для Sql. Мне было интересно, есть ли другой способ разрешить фабрике данных читать из базы данных postgres без включения кнопки, которая разрешает всем подпискам (даже не моей) сетевой доступ к базе данных. В идеале я бы хотел разрешить все подключения из этой лазурной подписки. Это выполнимо?


azure-data-factory azure-postgresql azure-virtual-network
person ashic    schedule 30.09.2020    source источник
comment
Вы пробовали добавить роли доступа для фабрики данных?   -  person Leon Yue    schedule 01.10.2020

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете попробовать добавить роль доступа для фабрики данных: введите описание изображения здесь

Предоставьте фабрике данных одну из следующих ролей:

  • Участник: предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC.
  • Читатель: просмотр всех ресурсов, но не позволяет вносить какие-либо изменения.

обычно есть только древовидные способы управления доступом: 1. добавить IP-роли, 2. разрешить доступ в Azure. 3. Контроль доступа (IAM). Если IAM не работает, мы можем только добавить IP-адрес или разрешить доступ из Azure.

Для всей базы данных Azure (насколько я знаю) единственное, что мы можем настроить для выполнения вашего запроса, - это Разрешить доступ к службе Azure:

введите описание изображения здесь

HTH.

person Leon Yue    schedule 01.10.2020
comment
Фабрика данных использует стандартного пользователя или принципала? Откуда сверху dfleon? Или я могу указать пользователя, от имени которого будет работать фабрика данных? - person ashic; 01.10.2020
comment
@ashic конечно можно. Вы можете выбрать своего пользователя AD для базы данных Postgre. dfleon - это имя моей фабрики данных и просто пример. - person Leon Yue; 01.10.2020
comment
Поэтому, когда я добавляю базу данных Azure для связанной службы Postgres, мне нужно указать базу данных, имя пользователя, пароль, порт и т.д. разрешенный список. В этом проблема - правило ip. - person ashic; 01.10.2020
comment
@ashic Я знаю, что вы имеете в виду, поэтому я хочу, чтобы вы в тесте добавили роль фабрики данных для базы данных postgres. Это один из способов. Если это не сработает, мы бы сказали, что это невозможно по вашему вопросу. - person Leon Yue; 01.10.2020
comment
Привет @ashic, есть ли у тебя какие-то успехи? - person Leon Yue; 02.10.2020
comment
Нет ... не сработало ... можно добавить отдельные IP-адреса или разрешить доступ с любого лазурного суб. - person ashic; 02.10.2020
comment
@ashic, как правило, существует только дерево способов управления доступом: 1. добавить IP-роли, 2. разрешить доступ в Azure. 3. Контроль доступа (IAM). Если IAM не работает, мы можем только добавить IP-адрес или разрешить доступ из Azure. - person Leon Yue; 03.10.2020
comment
@ashic Вы установили для параметра Разрешить доступ к службе Azure значение ДА? - person Leon Yue; 03.10.2020
comment
В итоге я так и сделал, но предпочел бы, чтобы это ограничивалось только нашей подпиской. Думаю, это невозможно. - person ashic; 16.10.2020
comment
Жаль это слышать. Спасибо за отметку и хорошего дня! - person Leon Yue; 16.10.2020