Nawiązywanie połączenia z zasobami obszaru roboczego z poziomu sieci z ograniczeniami

Załóżmy, że jesteś administratorem IT, który zarządza siecią o ograniczonym dostępie twojej organizacji. Chcesz włączyć połączenie sieciowe między programem Azure Synapse Analytics Studio i stacją roboczą w tej sieci z ograniczeniami. W tym artykule pokazano, jak to zrobić.

Wymagania wstępne

• Subskrypcja platformy Azure: jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
• Obszar roboczy usługi Azure Synapse Analytics: możesz go utworzyć w usłudze Azure Synapse Analytics. Nazwa obszaru roboczego jest potrzebna w kroku 4.
• Sieć z ograniczeniami: administrator IT utrzymuje sieć z ograniczeniami dla organizacji i ma uprawnienia do konfigurowania zasad sieciowych. W kroku 3 potrzebna jest nazwa sieci wirtualnej i jej podsieć.

Krok 1. Dodawanie reguł zabezpieczeń ruchu wychodzącego sieci do sieci z ograniczeniami

Musisz dodać cztery reguły zabezpieczeń ruchu wychodzącego dla sieci z czterema tagami usługi.

• AzureResourceManager
• AzureFrontDoor.Frontend
• AzureActiveDirectory
• AzureMonitor (ten typ reguły jest opcjonalny. Dodaj je tylko wtedy, gdy chcesz udostępnić dane firmie Microsoft.

Poniższy zrzut ekranu przedstawia szczegóły reguły ruchu wychodzącego usługi Azure Resource Manager.

Podczas tworzenia pozostałych trzech reguł zastąp wartość tagu usługi Docelowej na AzureFrontDoor.Frontend, AzureActiveDirectory lub AzureMonitor z listy.

Aby uzyskać więcej informacji, zobacz Omówienie tagów usługi.

Krok 2. Tworzenie centrów łącza prywatnego

Następnie utwórz koncentratory linków prywatnych w witrynie Azure Portal. Aby znaleźć to w portalu, wyszukaj usługę Azure Synapse Analytics (centra linków prywatnych), a następnie wypełnij wymagane informacje, aby je utworzyć.

Krok 3. Tworzenie prywatnego punktu końcowego dla programu Synapse Studio

Aby uzyskać dostęp do programu Azure Synapse Analytics Studio, musisz utworzyć prywatny punkt końcowy w witrynie Azure Portal. Aby znaleźć to w portalu, wyszukaj Private Link. W Centrum usługi Private Link wybierz pozycję Utwórz prywatny punkt końcowy, a następnie wypełnij wymagane informacje, aby je utworzyć.

Uwaga

Upewnij się, że wartość Region jest taka sama jak wartość, w której znajduje się obszar roboczy usługi Azure Synapse Analytics.

Na karcie Zasób wybierz centrum łącza prywatnego, które zostało utworzone w kroku 2.

Na karcie Konfiguracja:

• W obszarze Sieć wirtualna wybierz nazwę sieci wirtualnej z ograniczeniami.
• Dla Podsieć wybierz podsieć ograniczonej sieci wirtualnej.
• W obszarze Integracja z prywatną strefą DNS wybierz pozycję Tak.

Po utworzeniu punktu końcowego łącza prywatnego możesz uzyskać dostęp do strony logowania aplikacji internetowej Azure Synapse Analytics Studio. Jednak nie możesz jeszcze uzyskać dostępu do zasobów w obszarze roboczym. W tym celu należy wykonać następny krok.

Krok 4. Tworzenie prywatnych punktów końcowych dla zasobu obszaru roboczego

Aby uzyskać dostęp do zasobów wewnątrz zasobu obszaru roboczego usługi Azure Synapse Analytics, należy utworzyć następujące elementy:

• Co najmniej jeden prywatny punkt końcowy połączenia z docelowym subzasobem typu Dev.
• Dwa inne opcjonalne punkty końcowe łącza prywatnego z typami sql lub SqlOnDemand w zależności od zasobów w obszarze roboczym, do którego chcesz uzyskać dostęp.

Tworzenie tych elementów jest podobne do sposobu tworzenia punktu końcowego w poprzednim kroku.

Na karcie Zasób :

• W polu Typ zasobu wybierz pozycję Microsoft.Synapse/workspaces.
• W polu Zasób wybierz wcześniej utworzoną nazwę obszaru roboczego.
• W obszarze Docelowy zasób podrzędny wybierz typ punktu końcowego:
  • Sql jest przeznaczony do wykonywania zapytań SQL w puli SQL.
  • SqlOnDemand jest przeznaczony do wbudowanego wykonywania zapytań SQL.
  • Dev służy do uzyskiwania dostępu do wszelkich innych zasobów w obszarach roboczych usługi Azure Synapse Analytics. Musisz utworzyć co najmniej jeden prywatny punkt dostępu tego typu.

Krok 5. Tworzenie prywatnych punktów końcowych dla połączonego magazynu obszaru roboczego

Aby uzyskać dostęp do połączonego magazynu za pomocą eksploratora magazynu w obszarze roboczym usługi Azure Synapse Analytics, musisz utworzyć jeden prywatny punkt końcowy. Kroki tego kroku są podobne do kroków 3.

Na karcie Zasób :

• W polu Typ zasobu wybierz pozycję Microsoft.Storage/storageAccounts.
• W polu Zasób wybierz wcześniej utworzoną nazwę konta magazynu.
• W obszarze Docelowy zasób podrzędny wybierz typ punktu końcowego:
  • Obiekt blob jest przeznaczony dla usługi Azure Blob Storage.
  • Dfs jest przeznaczony dla usługi Azure Data Lake Storage Gen2.

Teraz możesz uzyskać dostęp do połączonego zasobu pamięci. W ramach sieci wirtualnej w obszarze roboczym usługi Azure Synapse Analytics możesz użyć Eksploratora magazynu, aby uzyskać dostęp do połączonego zasobu magazynu.

Możesz włączyć zarządzaną sieć wirtualną dla obszaru roboczego, jak pokazano na poniższym zrzucie ekranu:

Jeśli chcesz, aby twój notebook uzyskiwał dostęp do połączonych zasobów magazynowych w ramach określonego konta magazynowego, dodaj zarządzane prywatne punkty końcowe w środowisku Azure Synapse Analytics Studio. Nazwa konta magazynu powinna być tą, do której notes musi uzyskać dostęp. Aby uzyskać więcej informacji, zobacz Tworzenie zarządzanego prywatnego punktu końcowego do źródła danych.

Po utworzeniu tego punktu końcowego stan zatwierdzenia ma stan Oczekujące. Zażądaj zatwierdzenia od właściciela tego konta magazynu na karcie Połączenia prywatnego punktu końcowego tego konta magazynu w witrynie Azure Portal. Po zatwierdzeniu notatnik może uzyskać dostęp do połączonych zasobów magazynowych tego konta magazynowego.

Teraz wszystko jest ustawione. Możesz uzyskać dostęp do zasobu obszaru roboczego usługi Azure Synapse Analytics.

Krok 6. Zezwalaj na adres URL za pośrednictwem zapory

Następujące adresy URL muszą być dostępne z przeglądarki klienta po włączeniu centrum usługi Azure Synapse private link.

Wymagane do uwierzytelniania:

• login.microsoftonline.com
• aadcdn.msauth.net
• msauth.net
• msftauth.net
• graph.microsoft.com
• login.live.com, chociaż może to być inne w zależności od typu konta.

Wymagane do zarządzania obszarem roboczym/pulą:

• management.azure.com
• {workspaceName}.[dev|sql].azuresynapse.net
• {workspaceName}-ondemand.sql.azuresynapse.net

Wymagania dotyczące tworzenia notatników w Synapse:

• aznb.azuresandbox.ms

Wymagane do kontroli dostępu i wyszukiwania tożsamości:

• graph.windows.net

Dodatek: Rejestracja DNS dla prywatnego punktu końcowego

Jeśli opcja "Integracja z prywatną strefą DNS" nie jest włączona podczas tworzenia prywatnego punktu końcowego, jak pokazano poniżej, musisz utworzyć "Prywatną strefę DNS" dla każdego z prywatnych punktów końcowych.

Aby znaleźć prywatną strefę DNS w portalu, wyszukaj prywatną strefę DNS. W prywatnej strefie DNS wypełnij poniższe wymagane informacje, aby je utworzyć.

• W polu Nazwa wprowadź dedykowaną nazwę prywatnej strefy DNS dla określonego prywatnego punktu końcowego, jak pokazano poniżej:
  • privatelink.azuresynapse.net jest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do bramy usługi Azure Synapse Analytics Studio. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 3.
  • privatelink.sql.azuresynapse.net jest przeznaczony dla tego typu prywatnego punktu końcowego do wykonywania zapytań SQL w puli SQL i puli wbudowanej. Zobacz tworzenie punktu końcowego w kroku 4.
  • privatelink.dev.azuresynapse.net jest przeznaczony dla tego typu prywatnego punktu końcowego uzyskiwania dostępu do wszystkich innych elementów w obszarach roboczych usługi Azure Synapse Analytics. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 4.
  • privatelink.dfs.core.windows.net jest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do połączonego obszaru roboczego usługi Azure Data Lake Storage Gen2. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 5.
  • privatelink.blob.core.windows.net jest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do połączonego obszaru roboczego usługi Azure Blob Storage. Zobacz ten typ tworzenia prywatnego punktu końcowego w kroku 5.

Po utworzeniu prywatnej strefy DNS, przejdź do utworzonej prywatnej strefy DNS i wybierz Linki sieci wirtualnej, aby dodać link do sieci wirtualnej.

Wypełnij obowiązkowe pola, jak pokazano poniżej:

• W polu Nazwa łącza wprowadź nazwę łącza.
• W obszarze Sieć wirtualna wybierz sieć wirtualną.

Po dodaniu linku sieci wirtualnej należy dodać zestaw rekordów DNS w prywatnej strefie DNS utworzonej wcześniej.

• W polu Nazwa wprowadź dedykowane ciągi nazw dla innego prywatnego punktu końcowego:
  • Internet jest przeznaczony dla prywatnego punktu końcowego uzyskiwania dostępu do programu Azure Synapse Analytics Studio.
  • Element "YourWorkSpaceName" jest przeznaczony dla prywatnego punktu końcowego wykonywania zapytań SQL w puli SQL, a także prywatnego punktu końcowego uzyskiwania dostępu do wszystkich innych elementów w obszarach roboczych usługi Azure Synapse Analytics.
  • Element "YourWorkSpaceName-ondemand" jest przeznaczony dla prywatnego punktu końcowego wykonywania zapytań SQL w wbudowanej puli.
• W polu Typ wybierz typ rekordu DNS tylko A .
• W polu Adres IP wprowadź odpowiedni adres IP każdego prywatnego punktu końcowego. Adres IP można uzyskać w interfejsie sieciowym z podglądu prywatnego punktu końcowego.

Następne kroki

Dowiedz się więcej o zarządzanej sieci wirtualnej obszaru roboczego.

Dowiedz się więcej o zarządzanych prywatnych punktach końcowych.