Freigeben über

Herstellen einer Verbindung mit einem sicheren Azure Storage-Konto aus einem Synapse-Arbeitsbereich

  • Artikel

In diesem Artikel erfahren Sie, wie Sie aus Ihrem Azure Synapse-Arbeitsbereich eine Verbindung mit einem sicheren Azure Storage-Konto herstellen. Sie können ein Azure-Speicherkonto mit Ihrem Synapse-Arbeitsbereich verknüpfen, wenn Sie den Arbeitsbereich erstellen. Nachdem Sie den Arbeitsbereich erstellt haben, können Sie weitere Speicherkonten verknüpfen.

Geschützte Azure-Speicherkonten

Azure Storage bietet ein mehrschichtiges Sicherheitsmodell, mit dem Sie den Zugriff auf Ihre Speicherkonten schützen und steuern können. Sie können IP-Firewallregeln konfigurieren, um Datenverkehr von ausgewählten öffentlichen IP-Adressbereichen Zugriff auf Ihr Speicherkonto zu gewähren. Sie können auch Netzwerkregeln konfigurieren, um Datenverkehr von ausgewählten virtuellen Netzwerken Zugriff auf Ihr Speicherkonto zu gewähren. Sie können IP-Firewallregeln, die den Zugriff von ausgewählten IP-Adressbereichen zulassen, und Netzwerkregeln, die Zugriff von ausgewählten virtuellen Netzwerken auf dasselbe Speicherkonto gewähren, kombinieren.

Diese Regeln gelten für den öffentlichen Endpunkt eines Speicherkontos. Sie benötigen keine Zugriffsregeln, um den Datenverkehr von verwalteten privaten Endpunkten, die in Ihrem Arbeitsbereich erstellt wurden, zu einem Speicherkonto zuzulassen. Speicherfirewallregeln können auf vorhandene Speicherkonten angewendet werden, oder auf neue Speicherkonten, während Sie diese erstellen. Weitere Informationen zum Schützen Ihres Speicherkontos finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken.

Synapse-Arbeitsbereiche und virtuelle Netzwerke

Wenn Sie einen Synapse-Arbeitsbereich erstellen, können Sie auswählen, dass diesem ein verwaltetes virtuelles Netzwerk zugeordnet werden kann.

Wenn Sie das verwaltete virtuelle Netzwerk beim Erstellen Ihres Arbeitsbereichs nicht aktivieren, befindet sich der Arbeitsbereich in einem gemeinsamen virtuellen Netzwerk mit anderen Synapse-Arbeitsbereichen, denen kein verwaltetes virtuelles Netzwerk zugeordnet ist.

Wenn Sie beim Erstellen des Arbeitsbereichs das verwaltete virtuelle Netzwerk aktivieren, wird Ihr Arbeitsbereich einem dedizierten, von Azure Synapse verwalteten virtuellen Netzwerk zugeordnet. Diese virtuellen Netzwerke werden nicht in Ihrem Kundenabonnement erstellt. Daher können Sie mithilfe der oben beschriebenen Netzwerkregeln Datenverkehr von diesen virtuellen Netzwerken keinen Zugriff auf Ihr geschütztes Speicherkonto gewähren.

Zugriff auf ein geschütztes Speicherkonto

Synapse wird in Netzwerken betrieben, die nicht in Ihre Netzwerkregeln eingeschlossen werden können. Führen Sie die folgenden Schritte aus, um den Zugriff von Ihrem Arbeitsbereich auf Ihr geschütztes Speicherkonto zu ermöglichen.

  1. Erstellen Sie einen Azure Synapse-Arbeitsbereich mit einem zugeordneten verwalteten virtuellen Netzwerk, und erstellen Sie verwaltete private Endpunkte zum sicheren Speicherkonto. Wenn Sie das Azure-Portal zum Erstellen Ihres Arbeitsbereichs verwenden, können Sie das verwaltete virtuelle Netzwerk auf der Registerkarte Netzwerk aktivieren.

    Screenshot: Option „Verwaltetes virtuelles Netzwerk“ auf der Registerkarte „Netzwerk“

  2. Wenn Sie das verwaltete virtuelle Netzwerk aktivieren oder Synapse feststellt, dass es sich bei dem primären Speicherkonto um ein sicheres Speicherkonto handelt, haben Sie die Möglichkeit, die Option Erstellen Sie einen verwalteten privaten Endpunkt für das primäre Speicherkonto auszuwählen, wie in der Abbildung dargestellt. Der Besitzer des Speicherkontos muss die Verbindungsanfrage genehmigen, um die private Verbindung herzustellen. Alternativ genehmigt Synapse diese Verbindungsanfrage, wenn die benutzende Person, die einen Apache Spark-Pool im Arbeitsbereich erstellt, über ausreichende Berechtigungen verfügt, um die Verbindungsanfrage zu genehmigen.

  3. Gewähren Sie Ihrem Azure Synapse-Arbeitsbereich als vertrauenswürdigem Azure-Dienst Zugriff auf Ihr geschütztes Speicherkonto. Als vertrauenswürdiger Dienst stellt Azure Synapse dann unter Verwendung einer strengen Authentifizierung eine sichere Verbindung mit Ihrem Speicherkonto her.

Erstellen Sie einen Synapse-Arbeitsbereich mit einem verwalteten virtuellen Netzwerk, und erstellen Sie verwaltete private Endpunkte für Ihr Speicherkonto

Informationen zum Erstellen eines Synapse-Arbeitsbereichs, dem ein verwaltetes virtuelles Netzwerk zugeordnet ist, finden Sie unter Azure Synapse Analytics: verwaltetes virtuelles Netzwerk.

Nachdem der Arbeitsbereich mit einem zugeordneten verwalteten virtuellen Netzwerk erstellt wurde, können Sie einen verwalteten privaten Endpunkt für Ihr sicheres Speicherkonto erstellen. Weitere Informationen dazu finden Sie unter Erstellen eines verwalteten privaten Endpunkts zu Ihrer Datenquelle.

Gewähren Sie Ihrem Azure Synapse-Arbeitsbereich als vertrauenswürdigem Azure-Dienst Zugriff auf Ihr geschütztes Speicherkonto

Analytische Funktionen wie der dedizierte SQL-Pool und der serverlose SQL-Pool verwenden eine mehrinstanzenfähige Infrastruktur, die im verwalteten virtuellen Netzwerk nicht bereitgestellt wird. Damit Datenverkehr von diesen Funktionen auf das geschützte Speicherkonto zugreifen kann, müssen Sie mit den folgenden Schritten den Zugriff auf Ihr Speicherkonto basierend auf der systemseitig zugewiesenen verwalteten Identität des Arbeitsbereichs konfigurieren.

  1. Navigieren Sie im Azure-Portal zu Ihrem geschützten Speicherkonto, und wählen Sie im linken Navigationsbereich Netzwerk aus.

    Screenshot: Netzwerkkonfiguration des Speicherkontos

  2. Wählen Sie im Abschnitt Ressourceninstanzen die Option Microsoft.Synapse/workspaces als Ressourcentyp aus, und geben Sie für Instanzname den Namen des Arbeitsbereichs ein. Wählen Sie Speichern.

    Sie sollten jetzt in der Lage sein, über den Arbeitsbereich auf das geschützte Speicherkonto zuzugreifen.

Zugehöriger Inhalt