Dela via

Ansluta till arbetsyteresurser från ett begränsat nätverk

  • Artikel

Anta att du är EN IT-administratör som hanterar organisationens begränsade nätverk. Du vill aktivera nätverksanslutningen mellan Azure Synapse Analytics Studio och en arbetsstation i det här begränsade nätverket. Den här artikeln visar hur.

Förutsättningar

  • Azure-prenumeration: Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.
  • Azure Synapse Analytics-arbetsyta: Du kan skapa en från Azure Synapse Analytics. Du behöver arbetsytans namn i steg 4.
  • Ett begränsat nätverk: IT-administratören underhåller det begränsade nätverket för organisationen och har behörighet att konfigurera nätverksprincipen. Du behöver namnet på det virtuella nätverket och dess undernät i steg 3.

Steg 1: Lägg till regler för utgående nätverkssäkerhet i det begränsade nätverket

Du måste lägga till fyra utgående säkerhetsregler för nätverket med fyra tjänsttaggar.

  • AzureResourceManager
  • AzureFrontDoor.Frontend
  • AzureActiveDirectory
  • AzureMonitor (Den här typen av regel är valfri. Lägg bara till den när du vill dela data med Microsoft.)

Följande skärmbild visar information om utgående regel för Azure Resource Manager.

Skärmbild av information om Azure Resource Manager-tjänsttaggen.

När du skapar de andra tre reglerna ersätter du värdet för måltjänsttaggen med AzureFrontDoor.Frontend, AzureActiveDirectory eller AzureMonitor från listan.

Mer information finns i Översikt över tjänsttaggar.

Skapa sedan privata länkhubbar från Azure-portalen. Om du vill hitta detta i portalen söker du efter Azure Synapse Analytics (privata länkhubbar) och fyller sedan i nödvändig information för att skapa den.

Skärmbild av Skapa en privat Länk-hubb för Synapse.

Steg 3: Skapa en privat slutpunkt för Synapse Studio

För att få åtkomst till Azure Synapse Analytics Studio måste du skapa en privat slutpunkt från Azure-portalen. Sök efter Private Link för att hitta detta i portalen. I Private Link Center väljer du Skapa privat slutpunkt och fyller sedan i den information som krävs för att skapa den.

Anmärkning

Kontrollera att regionvärdet är detsamma som det där din Azure Synapse Analytics-arbetsyta finns.

Skärmbild av fliken Skapa en privat slutpunkt, Grundläggande.

På fliken Resurs väljer du den privata länkhubben som du skapade i steg 2.

Skärmbild av fliken Skapa en privat slutpunkt, Resurs.

På fliken Konfiguration :

  • För Virtuellt nätverk väljer du namnet på det begränsade virtuella nätverket.
  • För Undernät väljer du undernätet för det begränsade virtuella nätverket.
  • För Integrera med privat DNS-zon väljer du Ja.

Skärmbild av fliken Skapa en privat slutpunkt, konfiguration.

När slutpunkten för den privata länken har skapats kan du komma åt inloggningssidan för webbverktyget för Azure Synapse Analytics Studio. Du kan dock inte komma åt resurserna på din arbetsyta ännu. För det måste du slutföra nästa steg.

Steg 4: Skapa privata slutpunkter för din arbetsyteresurs

För att få åtkomst till resurserna i din Azure Synapse Analytics-arbetsyteresurs måste du skapa följande:

  • Minst en slutpunkt för privat länk med underresurstypen Mål för Dev.
  • Två andra valfria privata länkslutpunkter med typer av Sql eller SqlOnDemand, beroende på vilka resurser på arbetsytan du vill komma åt.

Att skapa dessa liknar hur du skapar slutpunkten i föregående steg.

På fliken Resurs :

  • Som Resurstyp väljer du Microsoft.Synapse/workspaces.
  • För Resurs väljer du det arbetsytenamn som du skapade tidigare.
  • För Målunderresurs väljer du slutpunktstyp:
    • Sql är för SQL-frågekörning i SQL-pool.
    • SqlOnDemand är för sql-inbyggd frågekörning.
    • Dev är till för att komma åt allt annat i Azure Synapse Analytics-arbetsytor. Du måste skapa minst en privat länkslutpunkt av den här typen.

Skärmbild av Skapa en privat slutpunkt, fliken Resurs, arbetsyta.

Steg 5: Skapa privata slutpunkter för arbetsytans länkade lagring

För att få åtkomst till den länkade lagringen med lagringsutforskaren på Azure Synapse Analytics-arbetsytan måste du skapa en privat slutpunkt. Stegen för detta liknar stegen i steg 3.

På fliken Resurs :

  • Som Resurstyp väljer du Microsoft.Storage/storageAccounts.
  • För Resurs väljer du namnet på lagringskontot som du skapade tidigare.
  • För Målunderresurs väljer du slutpunktstyp:
    • blob är för Azure Blob Storage.
    • dfs är för Azure Data Lake Storage Gen2.

Skärmbild av Skapa en privat slutpunkt, fliken Resurs, lagring.

Nu kan du komma åt den länkade lagringsresursen. I det virtuella nätverket kan du i azure Synapse Analytics-arbetsytan använda lagringsutforskaren för att komma åt den länkade lagringsresursen.

Du kan aktivera ett hanterat virtuellt nätverk för din arbetsyta, som du ser i den här skärmbilden:

Skärmbild av Skapa Synapse-arbetsyta med alternativet Aktivera hanterat virtuellt nätverk markerat.

Om du vill att anteckningsboken ska komma åt de länkade lagringsresurserna inom ett specifikt lagringskonto, lägger du till hanterade privata slutpunkter i Azure Synapse Analytics Studio. Namnet på lagringskontot ska vara det som din anteckningsbok måste komma åt. Mer information finns i Skapa en hanterad privat slutpunkt till din datakälla.

När du har skapat den här slutpunkten visar godkännandetillståndet statusen Väntar. Begär godkännande från ägaren av det här lagringskontot på fliken Privata slutpunktsanslutningar för det här lagringskontot i Azure-portalen. När den har godkänts kan din notebook få åtkomst till de länkade lagringsresurserna i det här lagringskontot.

Nu är allt klart. Du kan komma åt din Azure Synapse Analytics-arbetsyteresurs.

Steg 6: Tillåt URL via brandvägg

Följande URL:er måste vara tillgängliga från klientwebbläsaren när azure Synapse private link hub har aktiverats.

Krävs för autentisering:

  • login.microsoftonline.com
  • aadcdn.msauth.net
  • msauth.net
  • msftauth.net
  • graph.microsoft.com
  • login.live.com, även om detta kan vara annorlunda baserat på kontotyp.

Krävs för hantering av arbetsytor/pooler:

  • management.azure.com
  • {workspaceName}.[dev|sql].azuresynapse.net
  • {workspaceName}-ondemand.sql.azuresynapse.net

Krävs för Redigering av Synapse-notebook-filer:

  • aznb.azuresandbox.ms

Krävs för åtkomstkontroll och identitetssökning:

  • graph.windows.net

Bilaga: DNS-registrering för privat slutpunkt

Om "Integrera med privat DNS-zon" inte är aktiverad när den privata slutpunkten skapas som skärmbild nedan måste du skapa "Privat DNS-zon" för var och en av dina privata slutpunkter. Skärmbild av Create Synapse privat DNS-zon 1.

Sök efter privat DNS-zon för att hitta den privata DNS-zonen i portalen. I zonen Privat DNS fyller du i nödvändig information nedan för att skapa den.

  • För Namn anger du det privata dns-zonens dedikerade namn för en specifik privat slutpunkt enligt nedan:
    • privatelink.azuresynapse.net är för den privata slutpunkten för åtkomst till Azure Synapse Analytics Studio-gatewayen. Se den här typen av privat slutpunktsskapande i steg 3.
    • privatelink.sql.azuresynapse.net är för den här typen av privat slutpunkt för sql-frågekörning i SQL-pool och inbyggd pool. Se skapandet av slutpunkten i steg 4.
    • privatelink.dev.azuresynapse.net är för den här typen av privat slutpunkt för åtkomst till allt annat i Azure Synapse Analytics-arbetsytor. Se den här typen av privat slutpunktsskapande i steg 4.
    • privatelink.dfs.core.windows.net är den privata ändpunkten för åtkomst till den arbetsytelänkade Azure Data Lake Storage Gen2. Se den här typen av privat slutpunktsskapande i steg 5.
    • privatelink.blob.core.windows.net är för den privata slutpunkten för åtkomst till den länkade Azure Blob Storage-arbetsytan. Se den här typen av privat slutpunktsskapande i steg 5.

Skärmbild av Skapa synapse privat DNS-zon 2.

När den privata DNS-zonen har skapats anger du den skapade privata DNS-zonen och väljer länkarna Virtuellt nätverk för att lägga till länken till det virtuella nätverket.

Skärmbild av Skapa en privat Synapse DNS-zon 3.

Fyll i de obligatoriska fälten enligt nedan:

  • För Länknamn anger du länknamnet.
  • För Virtuellt nätverk väljer du ditt virtuella nätverk.

Skärmbild av Skapa en privat Synapse DNS-zon 4.

När länken för det virtuella nätverket har lagts till måste du lägga till DNS-posten i den privata DNS-zon som du skapade tidigare.

  • För Namn anger du de dedikerade namnsträngarna för olika privata slutpunkter:
    • web är för den privata slutpunkten för åtkomst till Azure Synapse Analytics Studio.
    • "YourWorkSpaceName" är för den privata slutpunkten för sql-frågekörning i SQL-poolen och även för den privata slutpunkten för åtkomst till allt annat i Azure Synapse Analytics-arbetsytor.
    • "YourWorkSpaceName-ondemand" är för den privata slutpunkten för sql-frågekörning i den inbyggda poolen.
  • För Typ väljer du endast DNS-posttyp A .
  • För IP-adress anger du motsvarande IP-adress för varje privat slutpunkt. Du kan hämta IP-adressen i nätverksgränssnittet från översikten över din privata slutpunkt.

Skärmbild av Skapa en privat Synapse DNS-zon 5.

Nästa steg

Läs mer om det virtuella nätverket för hanterade arbetsytor.

Läs mer om de hanterade privata slutpunkterna.