Управляемая виртуальная сеть Azure Synapse Analytics

В этой статье объясняется принцип работы с управляемой виртуальной сетью в Azure Synapse Analytics.

Управляемая виртуальная сеть рабочей области

При создании рабочей области Azure Synapse ее можно связать с виртуальной сетью Microsoft Azure. Управление виртуальной сетью, связанной с рабочей областью, происходит с помощью Azure Synapse. Эта виртуальная сеть называется управляемой виртуальной сетью рабочей области.

Управляемые виртуальная сеть рабочей области предоставляют вам четыре способа:

• С помощью управляемой виртуальной сети рабочей области можно перенести нагрузку управления виртуальной сетью в Azure Synapse.
• Вам не нужно настраивать входящие правила группы безопасности сети (NSG) для собственных виртуальных сетей, чтобы обеспечить возможность входа в виртуальную сеть для трафика управления Azure Synapse. Неправильная настройка этих правил NSG приводит к прерыванию работы службы для клиентов.
• Вам не нужно создавать подсеть для кластеров Spark на основе пиковой нагрузки.
• Управляемая виртуальная сеть рабочей области вместе с управляемыми частными конечными точками обеспечивают защиту от кражи данных. Вы можете создавать управляемые частные конечные точки только в той рабочей области, у которой есть связанная управляемая виртуальная сеть.

Создание рабочей области со связанной с ней управляемой виртуальной сетью гарантирует, что ваша рабочая область будет изолирована от других рабочих областей. Azure Synapse предоставляет различные аналитические возможности в рабочей области: интеграция данных, бессерверный пул Apache Spark, выделенный пул SQL и бессерверный пул SQL.

Если у рабочей области есть управляемая виртуальная сеть, в ней развертываются ресурсы Spark и интеграции данных. Управляемая виртуальная сеть рабочей области также обеспечивает изоляцию на уровне пользователя для действий Spark, так как каждый кластер Spark располагается в собственной подсети.

Выделенный пул SQL и бессерверный пул SQL являются мультитенантными возможностями и поэтому находятся вне управляемой рабочей области виртуальная сеть. В пределах рабочей области для взаимодействия с выделенным и бессерверным пулами SQL используются приватные каналы Azure. Эти приватные каналы создаются автоматически при создании рабочей области со связанной с ней управляемой виртуальной сетью.

Внимание

Эту конфигурацию рабочей области нельзя изменить после создания рабочей области. Например, вы не можете перенастроить рабочую область, которая не имеет управляемой рабочей области виртуальная сеть связана с ней и связать с ней виртуальная сеть. Аналогичным образом невозможно перенастроить рабочую область с виртуальная сеть управляемой рабочей области, связанной с ней, и отключить виртуальная сеть от нее.

Создание управляемой рабочей области Azure Synapse с виртуальной сетью.

Зарегистрируйте поставщик сетевых ресурсов, если вы еще это не сделали. Регистрация поставщика ресурсов настраивает подписку для работы с поставщиком ресурсов. В процессе регистрации выберите значение Microsoft.Network из списка поставщиков ресурсов.

Чтобы создать рабочую область Azure Synapse, у которой есть связанная управляемая виртуальная сеть, выберите вкладку Сеть на портале Azure и установите флажок Включить управляемую виртуальную сеть.

Если флажок не установлен, виртуальная сеть не будет связана с рабочей областью.

Внимание

В рабочей области с управляемой виртуальной сетью можно использовать только приватные каналы.

Когда вы настроите связь виртуальной сети управляемой рабочей области с конкретной рабочей областью, можно будет защитить данные от кражи, ограничив исходящие подключения из виртуальной сети управляемой рабочей области только утвержденными целевыми объектами с помощью управляемых частных конечных точек. Выберите ответ Да, чтобы весь исходящий трафик из виртуальной сети управляемой рабочей области направлялся к целевым объектам только через управляемые частные конечные точки.

Выберите ответ Нет, чтобы разрешить исходящий трафик из рабочей области к любому целевому объекту.

Вы также можете управлять тем, для каких целевых объектов будут создаваться управляемые частные конечные точки в рабочей области Azure Synapse. По умолчанию управляемые частные конечные точки для ресурсов в том же клиенте Идентификатора Microsoft Entra, к которому принадлежит подписка, разрешены. Если вы хотите создать управляемую частную конечную точку в ресурсе в клиенте идентификатора Microsoft Entra ID, отличном от того, к которому принадлежит подписка, можно добавить этот клиент Идентификатора Microsoft Entra, нажав кнопку +Добавить. Вы можете выбрать клиент Идентификатора Microsoft Entra из раскрывающегося списка или вручную ввести идентификатор клиента Microsoft Entra ID.

После создания рабочей области Azure Synapse вы можете проверить, связана ли она с виртуальной сетью управляемой рабочей области. Для этого выберите элемент Обзор на портале Azure.

Связанный контент

• Дополнительные сведения о создании рабочей области Azure Synapse см. здесь.
• См. дополнительные сведения об управляемых частных конечных точках и статью
• Создание управляемой частной конечной точки для источника данных