Udostępnij za pośrednictwem

Zarządzana sieć wirtualna usługi Azure Synapse Analytics

  • Artykuł

W tym artykule wyjaśniono zarządzaną sieć wirtualną w usłudze Azure Synapse Analytics.

Zarządzana sieć wirtualna obszaru roboczego

Podczas tworzenia obszaru roboczego usługi Azure Synapse możesz skojarzyć go z usługą Microsoft Azure Virtual Network. Sieć wirtualna skojarzona z obszarem roboczym jest zarządzana przez usługę Azure Synapse. Ta sieć wirtualna jest nazywana zarządzaną siecią wirtualną obszaru roboczego.

Zarządzana sieć wirtualna obszaru roboczego zapewnia wartość na cztery sposoby:

  • Za pomocą zarządzanej sieci wirtualnej obszaru roboczego można odciążyć obciążenie związane z zarządzaniem siecią wirtualną w usłudze Azure Synapse.
  • Nie musisz konfigurować przychodzących reguł sieciowej grupy zabezpieczeń we własnych sieciach wirtualnych, aby zezwolić na ruch zarządzania usługi Azure Synapse w celu wprowadzenia sieci wirtualnej. Błędna konfiguracja tych reguł sieciowej grupy zabezpieczeń powoduje zakłócenia usług dla klientów.
  • Nie musisz tworzyć podsieci dla klastrów Spark na podstawie szczytowego obciążenia.
  • Zarządzana sieć wirtualna obszaru roboczego wraz z zarządzanymi prywatnymi punktami końcowymi chroni przed eksfiltracją danych. Można tworzyć tylko zarządzane prywatne punkty końcowe w obszarze roboczym, z którym jest skojarzona zarządzana sieć wirtualna obszaru roboczego.

Utworzenie obszaru roboczego za pomocą skojarzonej z nią zarządzanej sieci wirtualnej obszaru roboczego gwarantuje, że obszar roboczy jest odizolowany od innych obszarów roboczych. Usługa Azure Synapse oferuje różne możliwości analityczne w obszarze roboczym: integracja danych, bezserwerowa pula Platformy Apache Spark, dedykowana pula SQL i bezserwerowa pula SQL.

Jeśli obszar roboczy ma zarządzaną sieć wirtualną obszaru roboczego, integracja danych i zasoby platformy Spark są w nim wdrażane. Zarządzana sieć wirtualna obszaru roboczego zapewnia również izolację na poziomie użytkownika dla działań platformy Spark, ponieważ każdy klaster Spark znajduje się we własnej podsieci.

Dedykowana pula SQL i bezserwerowa pula SQL są funkcjami wielodostępności i dlatego znajdują się poza zarządzaną siecią wirtualną obszaru roboczego. Komunikacja wewnątrz obszaru roboczego z dedykowaną pulą SQL i bezserwerową pulą SQL używają linków prywatnych platformy Azure. Te łącza prywatne są tworzone automatycznie podczas tworzenia obszaru roboczego z skojarzona z nią siecią wirtualną zarządzanego obszaru roboczego.

Ważne

Nie można zmienić tej konfiguracji obszaru roboczego po utworzeniu obszaru roboczego. Na przykład nie można ponownie skonfigurować obszaru roboczego, który nie ma skojarzonej z nią zarządzanej sieci wirtualnej obszaru roboczego i skojarzyć z nim sieć wirtualną. Podobnie nie można ponownie skonfigurować obszaru roboczego za pomocą skojarzonej z nią zarządzanej sieci wirtualnej obszaru roboczego i usunąć skojarzenie z niej sieci wirtualnej.

Tworzenie obszaru roboczego usługi Azure Synapse za pomocą zarządzanej sieci wirtualnej obszaru roboczego

Jeśli jeszcze tego nie zrobiono, zarejestruj dostawcę zasobów sieciowych. Zarejestrowanie dostawcy zasobów umożliwia skonfigurowanie subskrypcji do pracy z dostawcą zasobów. Wybierz pozycję Microsoft.Network z listy dostawców zasobów podczas rejestrowania.

Aby utworzyć obszar roboczy usługi Azure Synapse z skojarzoną siecią wirtualną zarządzanego obszaru roboczego, zaznacz kartę Sieć w witrynie Azure Portal i zaznacz pole wyboru Włącz zarządzaną sieć wirtualną.

Jeśli pole wyboru nie zostanie zaznaczone, obszar roboczy nie będzie miał skojarzonej z nim sieci wirtualnej.

Ważne

Łącza prywatne można używać tylko w obszarze roboczym, w którym znajduje się zarządzana sieć wirtualna obszaru roboczego.

Zrzut ekranu przedstawiający stronę Tworzenie sieci obszaru roboczego usługi Synapse z włączoną opcją Zarządzana sieć wirtualna i zezwalaj na ruch wychodzący tylko do zatwierdzonych elementów docelowych na wartość Tak.

Po wybraniu skojarzenia zarządzanej sieci wirtualnej obszaru roboczego z obszarem roboczym można chronić przed eksfiltracją danych, zezwalając na łączność wychodzącą z zarządzanej sieci wirtualnej obszaru roboczego tylko do zatwierdzonych obiektów docelowych przy użyciu zarządzanych prywatnych punktów końcowych. Wybierz pozycję Tak , aby ograniczyć ruch wychodzący z zarządzanej sieci wirtualnej obszaru roboczego do obiektów docelowych za pośrednictwem zarządzanych prywatnych punktów końcowych.

Zrzut ekranu przedstawiający stronę Zarządzana sieć wirtualna z opcją Zezwalaj na ruch danych wychodzących tylko do zatwierdzonych miejsc docelowych na wartość Tak.

Wybierz pozycję Nie , aby zezwolić na ruch wychodzący z obszaru roboczego do dowolnego miejsca docelowego.

Możesz również kontrolować elementy docelowe, do których są tworzone zarządzane prywatne punkty końcowe z obszaru roboczego usługi Azure Synapse. Domyślnie zarządzane prywatne punkty końcowe do zasobów w tej samej dzierżawie identyfikatora Entra firmy Microsoft, do którego należy Twoja subskrypcja, są dozwolone. Jeśli chcesz utworzyć zarządzany prywatny punkt końcowy do zasobu w dzierżawie microsoft Entra ID, która różni się od tej, do której należy Twoja subskrypcja, możesz dodać tę dzierżawę identyfikatora Entra firmy Microsoft, wybierając pozycję + Dodaj. Możesz wybrać dzierżawę Microsoft Entra ID z listy rozwijanej lub ręcznie wprowadzić identyfikator dzierżawy Microsoft Entra ID.

Zrzut ekranu przedstawiający stronę Zarządzana sieć wirtualna z wyróżnionym przyciskiem Dodaj dla dzierżaw platformy Azure.

Po utworzeniu obszaru roboczego możesz sprawdzić, czy obszar roboczy usługi Azure Synapse jest skojarzony z zarządzaną siecią wirtualną obszaru roboczego, wybierając pozycję Przegląd w witrynie Azure Portal.

Zrzut ekranu przedstawiający stronę przeglądu obszaru roboczego usługi Azure Synapse wskazującą, że zarządzana sieć wirtualna jest włączona.

Powiązana zawartość