制限されたネットワークからのワークスペース リソースへの接続

あなたは組織の制限付きネットワークを管理している IT 管理者であるとします。 Azure Synapse Analytics Studio と、この制限されたネットワーク内のワークステーションとの間のネットワーク接続を有効にします。 この記事では、その方法について説明します。

前提条件

• Azure サブスクリプション:Azure サブスクリプションをお持ちでない場合は、開始する前に無料の Azure アカウントを作成してください。
• Azure Synapse Analytics ワークスペース:これは、Azure Synapse Analytics から作成できます。 手順 4 ではワークスペース名が必要です。
• 制限付きネットワーク:IT 管理者は、組織の制限されたネットワークを維持し、ネットワーク ポリシーを構成するアクセス許可を持っています。 手順 3 では、仮想ネットワーク名とサブネットが必要です。

手順 1:制限付きネットワークにネットワーク アウトバウンド セキュリティ規則を追加する

4 つのサービス タグを持つ 4 つのネットワーク アウトバウンド セキュリティ規則を追加する必要があります。

• AzureResourceManager
• AzureFrontDoor.Frontend
• AzureActiveDirectory
• AzureMonitor (この種類のルールはオプションです。データを Microsoft と共有する場合にのみ追加してください)

次のスクリーンショットは、Azure Resource Manager アウトバウンド規則の詳細を示しています。

他の 3 つのルールを作成する場合は、宛先サービス タグの値をリストから AzureFrontDoor、AzureActiveDirectory、または AzureMonitor に置き換えます。

詳細については、サービス タグの概要に関するページを参照してください。

手順 2:プライベート リンク ハブの作成

次に、Azure portal からプライベート リンク ハブを作成します。 ポータルでこれを見つけるには Azure Synapse Analytics (プライベート リンク ハブ) を検索し、必要な情報を入力して作成します。

手順 3:Synapse Studio のプライベート エンドポイントの作成

Azure Synapse Analytics Studio にアクセスするには、Azure portal からプライベート エンドポイントを作成する必要があります。 ポータルでこれを見つけるには、Private Link を検索します。 Private Link センターで、 [プライベート エンドポイントの作成] を選択し、作成するために必要な情報を入力します。

Note

[リージョン] の値が、Azure Synapse Analytics ワークスペースと同じであることを確認します。

[リソース] タブで、手順 2 で作成したプライベート リンク ハブを選択します。

[構成] タブに移動します。

• [仮想ネットワーク] に、制限された仮想ネットワーク名を選択します。
• [サブネット] に、制限付き仮想ネットワークのサブネットを選択します。
• [プライベート DNS ゾーンと統合する] に、 [はい] を選択します。

プライベート リンク エンドポイントが作成された後、Azure Synapse Analytics Studio の Web ツールのサインイン ページにアクセスできます。 ただし、ワークスペース内のリソースにはまだアクセスできません。 そのためには、次の手順を完了する必要があります。

手順 4:ワークスペース リソースのプライベート エンドポイントの作成

Azure Synapse Analytics Studio ワークスペース リソース内のリソースにアクセスするには、次のものを作成する必要があります。

• ターゲット サブリソースの型が Dev である少なくとも 1 つのプライベート リンク エンドポイント。
• アクセスするワークスペースのリソースに応じて、その他の 2 つの Sql または SqlOnDemand の型の省略可能なプライベート リンク エンドポイント。

これらの作成は、前の手順でエンドポイントを作成する方法と似ています。

[リソース] タブで、次の操作を実行します。

• [リソースの種類] に、 [Microsoft.Synapse/workspaces] を選択します。
• [リソース] に、前に作成したワークスペース名を選択します。
• [対象サブリソース] に、エンドポイントの種類を選択します。
  • [Sql] は、SQL プールで SQL クエリを実行するためのものです。
  • [SqlOnDemand] は、SQL に組み込まれているクエリを実行するためのものです。
  • [Dev] は、Azure Synapse Analytics Studio ワークスペース内の他のすべてのユーザーにアクセスするためのものです。 少なくともこの種類のプライベート リンク エンドポイントを 1 つ作成する必要があります。

手順 5:ワークスペースのリンクされたストレージに対するプライベート エンドポイントの作成

Azure Synapse Analytics Studio ワークスペースのストレージ エクスプローラーを使用してリンクされたストレージにアクセスするには、1 つのプライベート エンドポイントを作成する必要があります。 この手順は、手順 3 と似ています。

[リソース] タブで、次の操作を実行します。

• [リソースの種類] には、[Microsoft.Storage/storageAccounts] を選択します。
• [リソース] に、前に作成したストレージ アカウント名を選択します。
• [対象サブリソース] に、エンドポイントの種類を選択します。
  • [BLOB] は Azure Blob Storage 用です。
  • [DFS] は Azure Data Lake Storage Gen2 用です。

これで、リンクされたストレージ リソースにアクセスできるようになりました。 仮想ネットワーク内の Azure Synapse Analytics Studio ワークスペースで、ストレージ エクスプローラーを使用して、リンクされたストレージ リソースにアクセスできます。

次のスクリーンショットに示すように、ワークスペースのマネージド仮想ネットワークを有効にすることができます。

ノートブックが特定のストレージ アカウントの元にあるリンクされたストレージ リソースにアクセスできるようにするには、Azure Synapse Analytics Studio でマネージド プライベート エンドポイントを追加します。 [ストレージ アカウント名] には、ノートブックからアクセスする必要のあるものを指定します。 詳細については、「データ ソースへのマネージド プライベート エンドポイントを作成する」を参照してください。

このエンドポイントを作成すると、承認状態に [保留中] の状態が表示されます。 このストレージ アカウントの所有者からの承認を要求するには、Azure portal 内のこのストレージ アカウントの [プライベート エンドポイント接続] タブで行います。 承認されると、このストレージ アカウントで、リンクされたストレージ リソースにノートブックからアクセスできるようになります。

これで、すべてが設定されました。 Azure Synapse Analytics Studio ワークスペース リソースにアクセスできます。

手順 6: ファイアウォール経由で URL を許可する

Azure Synapse プライベート リンク ハブを有効にした後、クライアント ブラウザーから次の URL にアクセスできる必要があります。

認証に必要:

• login.microsoftonline.com
• aadcdn.msauth.net
• msauth.net
• msftauth.net
• graph.microsoft.com
• login.live.comただし、これはアカウントの種類によって異なる場合があります。

ワークスペース/プールの管理に必要:

• management.azure.com
• {workspaceName}.[dev|sql].azuresynapse.net
• {workspaceName}-ondemand.sql.azuresynapse.net

Synapse ノートブックの作成に必要:

• aznb.azuresandbox.ms

アクセス制御と ID 検索に必要:

• graph.windows.net

付録: プライベート エンドポイントの DNS 登録

次のスクリーンショットのように、プライベート エンドポイントの作成中に [プライベート DNS ゾーンとの統合] が有効になっていない場合は、プライベート エンドポイントごとに "プライベート DNS ゾーン" を作成する必要があります。

ポータルでプライベート DNS ゾーンを見つけるには、 [プライベート DNS ゾーン] で検索します。 [プライベート DNS ゾーン] で、作成に必要な以下の情報を入力します。

• [名前] には、次のように特定のプライベート エンドポイントのプライベート DNS ゾーン専用の名前を入力します。
  • privatelink.azuresynapse.net は、Azure Synapse Analytics Studio ゲートウェイにアクセスするためのプライベート エンドポイント用です。 この種類のプライベート エンドポイントの作成については、手順 3 を参照してください。
  • privatelink.sql.azuresynapse.net は、SQL プールおよび組み込みプールで SQL クエリを実行するためのこの種類のプライベート エンドポイント用です。 エンドポイントの作成については、手順 4 を参照してください。
  • privatelink.dev.azuresynapse.net は、Azure Synapse Analytics Studio ワークスペース内の他のすべてにアクセスするためのこの種類のプライベート エンドポイント用です。 この種類のプライベート エンドポイントの作成については、手順 4 を参照してください。
  • privatelink.dfs.core.windows.net は、Azure Data Lake Storage Gen2 にリンクされたワークスペースにアクセスするためのプライベート エンドポイント用です。 この種類のプライベート エンドポイントの作成については、手順 5 を参照してください。
  • privatelink.blob.core.windows.net は、Azure Blob Storage にリンクされたワークスペースにアクセスするためのプライベート エンドポイント用です。 この種類のプライベート エンドポイントの作成については、手順 5 を参照してください。

プライベート DNS ゾーンを作成した後、作成したプライベート DNS ゾーンを入力し、 [仮想ネットワーク リンク] を選択して仮想ネットワークへのリンクを追加します。

必須フィールドを次のように入力します。

• [リンク名] には、リンクの名前を入力します。
• [仮想ネットワーク] では、お使いの仮想ネットワークを選択します。

仮想ネットワーク リンクが追加されたら、前に作成したプライベート DNS ゾーンに DNS レコード セットを追加する必要があります。

• [名前] には、別のプライベート エンドポイント専用の名前文字列を入力します。
  • web は、Azure Synapse Analytics Studio にアクセスするためのプライベート エンドポイント用です。
  • "YourWorkSpaceName" は、SQL プールで SQL クエリを実行するためのプライベート エンドポイント用で、Azure Synapse Analytics Studio ワークスペース内の他のすべてにアクセスするためのプライベート エンドポイント用でもあります。
  • "YourWorkSpaceName-ondemand" は、組み込みプールで SQL クエリを実行するためのプライベート エンドポイント用です。
• [種類] では、DNS レコードの種類 [A] のみを選択します。
• [IP アドレス] には、各プライベート エンドポイントの対応する IP アドレスを入力します。 プライベート エンドポイントの概要の [ネットワーク インターフェイス] で IP アドレスを取得できます。

次のステップ

マネージド ワークスペースの仮想ネットワークの詳細を参照してください。

マネージド プライベート エンドポイントの詳細を参照してください。