Azure Synapse Analytics のマネージド仮想ネットワーク
この記事では、Azure Synapse Analytics のマネージド仮想ネットワークについて説明します。
マネージド ワークスペース仮想ネットワーク
Azure Synapse ワークスペースを作成するときに、そのワークスペースを Microsoft Azure Virtual Network に関連付けることを選択できます。 ワークスペースに関連付けられた仮想ネットワークは、Azure Synapse によって管理されます。 この仮想ネットワークは、"マネージド ワークスペース仮想ネットワーク" と呼ばれます。
マネージド ワークスペース仮想ネットワークでは、次の 4 つの方法で価値が提供されます。
- マネージド ワークスペース仮想ネットワークを使用すると、仮想ネットワークの管理負荷を Azure Synapse にオフロードすることができます。
- Azure Synapse 管理トラフィックが仮想ネットワークに入るのを許可するインバウンド NSG ルールを、独自の仮想ネットワークに対して構成する必要はありません。 そのような NSG ルールの構成ミスは、顧客へのサービス中断を招きます。
- Spark クラスター用のサブネットをピーク負荷に基づいて自分で作成する必要がありません。
- マネージド ワークスペース仮想ネットワークは、マネージド プライベート エンドポイントと共に、データ流出への保護対策となります。 マネージド プライベート エンドポイントは、マネージド ワークスペース仮想ネットワークが関連付けられているワークスペースにのみ作成できます。
マネージド ワークスペース仮想ネットワークが関連付けられたワークスペースを作成することによって、そのワークスペースが他のワークスペースから分離されたネットワークであることが保証されます。 Azure Synapse ではワークスペースにおいて、データ統合、サーバーレス Apache Spark プール、専用 SQL プール、サーバーレス SQL プールなど、さまざまな分析機能が提供されます。
マネージド ワークスペース仮想ネットワークが関連付けられているワークスペースには、データ統合および Spark リソースがデプロイされます。 さらに、マネージド ワークスペース仮想ネットワークでは、Spark のアクティビティに関して、ユーザーレベルの分離性が確保されます。各 Spark クラスターが独自のサブネットに配置されるためです。
専用 SQL プールとサーバーレス SQL プールはマルチテナントの機能であるため、マネージド ワークスペース仮想ネットワークの外に存在します。 ワークスペース内の専用 SQL プールとサーバーレス SQL プールへの通信には、Azure Private Link が使用されます。 このプライベート リンクは、マネージド ワークスペース仮想ネットワークが関連付けられたワークスペースを作成すると自動的に作成されます。
重要
このワークスペースの構成は、ワークスペースの作成後に変更することはできません。 たとえば、マネージド ワークスペース仮想ネットワークが関連付けられていないワークスペースを再構成する、および仮想ネットワークをそれに関連付けることはできません。 同様に、マネージド ワークスペース仮想ネットワークが関連付けられているワークスペースを再構成する、および仮想ネットワークの関連付けを解除することはできません。
マネージド ワークスペース仮想ネットワークを使用して Azure Synapse ワークスペースを作成する
まだ登録していない場合、ネットワーク リソース プロバイダーを登録します。 リソース プロバイダーの登録によって、サブスクリプションがリソース プロバイダーと連携するように構成されます。 登録時、リソース プロバイダーの一覧から Microsoft.Network を選択します。
マネージド ワークスペース仮想ネットワークが関連付けられた Azure Synapse ワークスペースを作成するには、Azure portal の [Networking]\(ネットワーク\) タブを選択し、 [マネージド仮想ネットワークの有効化] チェック ボックスをオンにします。
チェック ボックスをオフのままにした場合、ワークスペースには仮想ネットワークが関連付けられません。
重要
プライベート リンクは、マネージド ワークスペース仮想ネットワークがあるワークスペースでしか使用できません。
![[Create Synapse workspace]\(Synapse ワークスペースの作成\) の [Networking]\(ネットワーク\) ページのスクリーンショット。[Managed virtual network]\(マネージド仮想ネットワーク\) オプションが [Enable]\(有効\) で、[承認されたターゲットへの送信データ トラフィックのみを許可する] オプションが [Yes]\(はい\) に設定されています。](media/synpase-workspace-ip-firewall/azure-synapse-analytics-networking-managed-virtual-network-outbound-traffic.png#lightbox)
ご利用のワークスペースにマネージド ワークスペース仮想ネットワークを関連付けるよう選択したら、マネージド プライベート エンドポイントを使用して、マネージド ワークスペース仮想ネットワークからのアウトバウンド接続を承認済みのターゲットにのみ許可することで、データ流出から保護することができます。 マネージド ワークスペース仮想ネットワークからのアウトバウンド トラフィックを、マネージド プライベート エンドポイント経由するターゲットに制限するには、 [はい] を選択します。
![[承認されたターゲットへの送信データ トラフィックのみを許可する] オプションが [Yes]\(はい\) に設定されている、[Managed virtual network]\(マネージド仮想ネットワーク\) ページのスクリーンショット。](media/synpase-workspace-ip-firewall/azure-synapse-workspace-managed-virtual-network-allow-outbound-traffic.png#lightbox)
ワークスペースからのアウトバウンド トラフィックをすべてのターゲットに許可する場合は [いいえ] を選択します。
マネージド プライベート エンドポイントの作成先となるターゲットを Azure Synapse ワークスペースから制御することもできます。 既定では、サブスクリプションが属する同じ Microsoft Entra ID テナント内のリソースへのマネージド プライベート エンドポイントが許可されます。 サブスクリプションが属するものとは異なる Microsoft Entra ID テナント内のリソースに対してマネージド プライベート エンドポイントを作成する場合は、[+ 追加] を選択して、その Microsoft Entra ID テナントを追加してください。 ドロップダウンから Microsoft Entra ID テナントを選択するか、Microsoft Entra ID テナント ID を手動で入力できます。
![Azure テナントの [追加] ボタンが強調表示されている、[マネージド仮想ネットワーク] ページのスクリーンショット。](media/synpase-workspace-ip-firewall/azure-synapse-workspace-managed-virtual-network-private-endpoints-azure-ad.png#lightbox)
ワークスペースの作成後、Azure Synapse ワークスペースがマネージド ワークスペース仮想ネットワークに関連付けられているかどうかは、Azure portal の [概要] を選択することで確認できます。
![[Managed virtual network]\(マネージド仮想ネットワーク\) が有効であることを示す、Azure Synapse ワークスペースの概要ページのスクリーンショット。](media/synpase-workspace-ip-firewall/azure-synapse-analytics-overview-managed-virtual-network-enabled.png#lightbox)