Nawiązywanie połączenia z zasobami obszaru roboczego z poziomu sieci z ograniczeniami

Załóżmy, że jesteś administratorem IT, który zarządza siecią z ograniczeniami w organizacji. Chcesz włączyć połączenie sieciowe między usługą Azure Synapse Analytics Studio i stacją roboczą w tej sieci z ograniczeniami. W tym artykule pokazano, jak to zrobić.

Wymagania wstępne

• Subskrypcja platformy Azure: jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure .
• obszar roboczy usługi Azure Synapse Analytics: możesz go utworzyć na podstawie usługi Azure Synapse Analytics. Nazwa obszaru roboczego jest potrzebna w kroku 4.
• Sieć z ograniczeniami: administrator IT utrzymuje sieć z ograniczeniami dla organizacji i ma uprawnienia do konfigurowania zasad sieciowych. W kroku 3 potrzebna jest nazwa sieci wirtualnej i jej podsieć.

Krok 1. Dodawanie reguł zabezpieczeń ruchu wychodzącego sieci do sieci z ograniczeniami

Musisz dodać cztery sieciowe reguły zabezpieczeń dla ruchu wychodzącego z czterema tagami usług.

• AzureResourceManager
• AzureFrontDoor.Frontend
• AzureActiveDirectory
• AzureMonitor (ten typ reguły jest opcjonalny. Dodaj je tylko wtedy, gdy chcesz udostępnić dane firmie Microsoft.

Poniższy zrzut ekranu przedstawia szczegóły reguły ruchu wychodzącego usługi Azure Resource Manager.

Podczas tworzenia pozostałych trzech reguł zastąp wartość tagu usługi Destination na wartość AzureFrontDoor.Frontend, AzureActiveDirectory lub AzureMonitor z listy.

Aby uzyskać więcej informacji, zobacz Omówienie tagów usług.

Krok 2. Tworzenie centrów łącza prywatnego

Następnie utwórz koncentratory linków prywatnych na podstawie Azure Portal. Aby znaleźć to w portalu, wyszukaj pozycję Azure Synapse Analytics (centra linków prywatnych), a następnie wypełnij wymagane informacje, aby je utworzyć.

Krok 3. Tworzenie prywatnego punktu końcowego dla Synapse Studio

Aby uzyskać dostęp do programu Azure Synapse Analytics Studio, musisz utworzyć prywatny punkt końcowy z Azure Portal. Aby znaleźć to w portalu, wyszukaj Private Link. W centrum Private Link wybierz pozycję Utwórz prywatny punkt końcowy, a następnie wypełnij wymagane informacje, aby je utworzyć.

Uwaga

Upewnij się, że wartość Region jest taka sama jak wartość, w której znajduje się obszar roboczy usługi Azure Synapse Analytics.

Na karcie Zasób wybierz centrum łącza prywatnego, które zostało utworzone w kroku 2.

Na karcie Konfiguracja :

• W obszarze Sieć wirtualna wybierz nazwę sieci wirtualnej z ograniczeniami.
• W obszarze Podsieć wybierz podsieć sieci wirtualnej z ograniczeniami.
• W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak.

Po utworzeniu punktu końcowego łącza prywatnego możesz uzyskać dostęp do strony logowania narzędzia internetowego dla programu Azure Synapse Analytics Studio. Jednak nie możesz jeszcze uzyskać dostępu do zasobów w obszarze roboczym. W tym celu należy wykonać następny krok.

Krok 4. Tworzenie prywatnych punktów końcowych dla zasobu obszaru roboczego

Aby uzyskać dostęp do zasobów wewnątrz zasobu obszaru roboczego usługi Azure Synapse Analytics Studio, należy utworzyć następujące elementy:

• Co najmniej jeden prywatny punkt końcowy linku z docelowym podsób typu Dev.
• Dwa inne opcjonalne punkty końcowe łącza prywatnego z typami sql lub SqlOnDemand, w zależności od zasobów w obszarze roboczym, do którego chcesz uzyskać dostęp.

Tworzenie tych elementów jest podobne do sposobu tworzenia punktu końcowego w poprzednim kroku.

Na karcie Zasób :

• W polu Typ zasobu wybierz pozycję Microsoft.Synapse/workspaces.
• W polu Zasób wybierz nazwę utworzonego wcześniej obszaru roboczego.
• W obszarze Docelowy zasób podrzędny wybierz typ punktu końcowego:
  • Sql jest przeznaczony do wykonywania zapytań SQL w puli SQL.
  • SqlOnDemand jest przeznaczony do wbudowanego wykonywania zapytań SQL.
  • Deweloper umożliwia uzyskiwanie dostępu do wszystkich innych elementów w obszarach roboczych usługi Azure Synapse Analytics Studio. Musisz utworzyć co najmniej jeden punkt końcowy łącza prywatnego tego typu.

Krok 5. Tworzenie prywatnych punktów końcowych dla magazynu połączonego obszaru roboczego

Aby uzyskać dostęp do połączonego magazynu za pomocą Eksploratora magazynu w obszarze roboczym usługi Azure Synapse Analytics Studio, musisz utworzyć jeden prywatny punkt końcowy. Kroki tego działania są podobne do kroków 3.

Na karcie Zasób :

• W polu Typ zasobu wybierz pozycję Microsoft.Storage/storageAccounts.
• W polu Zasób wybierz nazwę utworzonego wcześniej konta magazynu.
• W obszarze Docelowy zasób podrzędny wybierz typ punktu końcowego:
  • Obiekt blob jest przeznaczony dla Azure Blob Storage.
  • dfs jest przeznaczony dla Azure Data Lake Storage Gen2.

Teraz możesz uzyskać dostęp do połączonego zasobu magazynu. W sieci wirtualnej w obszarze roboczym usługi Azure Synapse Analytics Studio możesz użyć Eksploratora magazynu, aby uzyskać dostęp do połączonego zasobu magazynu.

Możesz włączyć zarządzaną sieć wirtualną dla obszaru roboczego, jak pokazano na poniższym zrzucie ekranu:

Jeśli chcesz, aby notes uzyskiwał dostęp do połączonych zasobów magazynu w ramach określonego konta magazynu, dodaj zarządzane prywatne punkty końcowe w ramach programu Azure Synapse Analytics Studio. Nazwa konta magazynu powinna być nazwą konta magazynu, do którego należy uzyskać dostęp. Aby uzyskać więcej informacji, zobacz Tworzenie zarządzanego prywatnego punktu końcowego do źródła danych.

Po utworzeniu tego punktu końcowego stan zatwierdzenia będzie wyświetlany jako Oczekujące. Zażądaj zatwierdzenia od właściciela tego konta magazynu na karcie Połączenia prywatnego punktu końcowego tego konta magazynu w Azure Portal. Po zatwierdzeniu notes może uzyskać dostęp do połączonych zasobów magazynu na tym koncie magazynu.

Teraz wszystko jest ustawione. Możesz uzyskać dostęp do zasobu obszaru roboczego usługi Azure Synapse Analytics Studio.

Krok 6. Zezwalaj na adres URL przez zaporę

Następujące adresy URL muszą być dostępne z przeglądarki klienta po włączeniu Azure Synapse centrum linków prywatnych.

Wymagane do uwierzytelniania:

• login.microsoftonline.com
• aadcdn.msauth.net
• msauth.net
• msftauth.net
• graph.microsoft.com
• login.live.com, choć może się to różnić w zależności od typu konta.

Wymagane do zarządzania obszarem roboczym/pulą:

• management.azure.com
• {workspaceName}.[dev|sql].azuresynapse.net
• {workspaceName}-ondemand.sql.azuresynapse.net

Wymagane do tworzenia notesów usługi Synapse:

• aznb.azuresandbox.ms

Wymagane do wyszukiwania kontroli dostępu i tożsamości:

• graph.windows.net

Dodatek: Rejestracja DNS dla prywatnego punktu końcowego

Jeśli opcja "Integracja z prywatną strefą DNS" nie jest włączona podczas tworzenia prywatnego punktu końcowego, jak pokazano na poniższym zrzucie ekranu, musisz utworzyć "strefę Prywatna strefa DNS" dla każdego z prywatnych punktów końcowych.

Aby znaleźć strefę Prywatna strefa DNS w portalu, wyszukaj strefę Prywatna strefa DNS. W strefie Prywatna strefa DNS wprowadź wymagane informacje poniżej, aby je utworzyć.

• W polu Nazwa wprowadź dedykowaną nazwę prywatnej strefy DNS dla określonego prywatnego punktu końcowego w następujący sposób:
  • privatelink.azuresynapse.netjest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do bramy Azure Synapse Analytics Studio. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 3.
  • privatelink.sql.azuresynapse.net jest przeznaczony dla tego typu prywatnego punktu końcowego wykonywania zapytań SQL w puli SQL i wbudowanej puli. Zobacz tworzenie punktu końcowego w kroku 4.
  • privatelink.dev.azuresynapse.netjest przeznaczony dla tego typu prywatnego punktu końcowego uzyskiwania dostępu do wszystkich innych elementów w obszarach roboczych Azure Synapse Analytics Studio. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 4.
  • privatelink.dfs.core.windows.netjest przeznaczony dla prywatnego punktu końcowego dostępu do połączonego Azure Data Lake Storage Gen2 obszaru roboczego. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 5.
  • privatelink.blob.core.windows.netjest przeznaczony dla prywatnego punktu końcowego dostępu do połączonego Azure Blob Storage obszaru roboczego. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 5.

Po utworzeniu strefy Prywatna strefa DNS wprowadź utworzoną prywatną strefę DNS i wybierz link Sieć wirtualna, aby dodać link do sieci wirtualnej.

Wypełnij obowiązkowe pola, jak pokazano poniżej:

• W polu Nazwa łącza wprowadź nazwę łącza.
• W obszarze Sieć wirtualna wybierz sieć wirtualną.

Po dodaniu linku sieci wirtualnej należy dodać zestaw rekordów DNS w utworzonej wcześniej strefie Prywatna strefa DNS.

• W polu Nazwa wprowadź dedykowane ciągi nazw dla innego prywatnego punktu końcowego:
  • Internet jest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do programu Azure Synapse Analytics Studio.
  • Element "YourWorkSpaceName" jest przeznaczony dla prywatnego punktu końcowego wykonywania zapytań SQL w puli SQL, a także prywatnego punktu końcowego uzyskiwania dostępu do wszystkich innych elementów w obszarach roboczych programu Azure Synapse Analytics Studio.
  • Element "YourWorkSpaceName-ondemand" jest przeznaczony dla prywatnego punktu końcowego wykonywania zapytania SQL w wbudowanej puli.
• W polu Typ wybierz pozycję Typ rekordu DNS tylko A .
• W polu Adres IP wprowadź odpowiedni adres IP każdego prywatnego punktu końcowego. Adres IP można uzyskać w interfejsie sieciowym z przeglądu prywatnego punktu końcowego.

Następne kroki

Dowiedz się więcej o zarządzanej sieci wirtualnej obszaru roboczego.

Dowiedz się więcej o zarządzanych prywatnych punktach końcowych.