Dela via

Hanterat virtuellt nätverk i Azure Synapse Analytics

  • Artikel

I den här artikeln beskrivs hanterat virtuellt nätverk i Azure Synapse Analytics.

Virtuellt nätverk för hanterad arbetsyta

När du skapar din Azure Synapse-arbetsyta kan du välja att associera den med ett virtuellt Microsoft Azure-nätverk. Det virtuella nätverk som är associerat med din arbetsyta hanteras av Azure Synapse. Det här virtuella nätverket kallas för ett virtuellt nätverk för en hanterad arbetsyta.

Virtuellt nätverk för hanterad arbetsyta ger dig ett värde på fyra sätt:

  • Med ett virtuellt nätverk för en hanterad arbetsyta kan du avlasta bördan med att hantera det virtuella nätverket till Azure Synapse.
  • Du behöver inte konfigurera inkommande NSG-regler i dina egna virtuella nätverk så att Azure Synapse-hanteringstrafik kan komma in i ditt virtuella nätverk. Felkonfiguration av dessa NSG-regler orsakar tjänststörningar för kunder.
  • Du behöver inte skapa ett undernät för dina Spark-kluster baserat på hög belastning.
  • Hanterat virtuellt arbetsytenätverk tillsammans med hanterade privata slutpunkter skyddar mot dataexfiltrering. Du kan bara skapa hanterade privata slutpunkter på en arbetsyta som har ett virtuellt nätverk för hanterad arbetsyta associerat med den.

Om du skapar en arbetsyta med ett virtuellt nätverk för hanterad arbetsyta som är associerat med den ser du till att din arbetsyta är nätverksisolerad från andra arbetsytor. Azure Synapse har olika analysfunktioner på en arbetsyta: dataintegrering, serverlös Apache Spark-pool, dedikerad SQL-pool och serverlös SQL-pool.

Om din arbetsyta har ett virtuellt nätverk för hanterad arbetsyta distribueras dataintegrering och Spark-resurser i den. Ett virtuellt nätverk på hanterad arbetsyta ger också isolering på användarnivå för Spark-aktiviteter eftersom varje Spark-kluster finns i ett eget undernät.

Dedikerad SQL-pool och serverlös SQL-pool är funktioner för flera klientorganisationer och finns därför utanför det virtuella nätverket för den hanterade arbetsytan. Kommunikation mellan arbetsytor till dedikerad SQL-pool och serverlös SQL-pool använder privata Azure-länkar. Dessa privata länkar skapas automatiskt åt dig när du skapar en arbetsyta med ett virtuellt nätverk för hanterad arbetsyta som är associerat med den.

Viktigt!

Du kan inte ändra den här arbetsytekonfigurationen när arbetsytan har skapats. Du kan till exempel inte konfigurera om en arbetsyta som inte har ett virtuellt nätverk för hanterad arbetsyta associerat med den och associera ett virtuellt nätverk med den. På samma sätt kan du inte konfigurera om en arbetsyta med ett virtuellt nätverk för hanterad arbetsyta som är associerat med den och koppla bort det virtuella nätverket från det.

Skapa en Azure Synapse-arbetsyta med ett virtuellt nätverk för hanterad arbetsyta

Om du inte redan har gjort det registrerar du nätverksresursprovidern. När du registrerar en resursprovider konfigureras din prenumeration så att den fungerar med resursprovidern. Välj Microsoft.Network i listan över resursprovidrar när du registrerar dig.

Om du vill skapa en Azure Synapse-arbetsyta som har ett virtuellt nätverk för hanterad arbetsyta associerat med den markerar du fliken Nätverk i Azure Portal och markerar kryssrutan Aktivera hanterat virtuellt nätverk.

Om du lämnar kryssrutan avmarkerad kommer arbetsytan inte att ha något virtuellt nätverk associerat med den.

Viktigt!

Du kan bara använda privata länkar på en arbetsyta som har ett virtuellt nätverk för hanterad arbetsyta.

Skärmbild av sidan Skapa synapse-arbetsyta med alternativet Hanterat virtuellt nätverk aktiverat och alternativet Tillåt utgående datatrafik endast till godkända mål till Ja.

När du har valt att associera ett virtuellt nätverk för en hanterad arbetsyta med din arbetsyta kan du skydda mot dataexfiltrering genom att endast tillåta utgående anslutning från det hanterade virtuella arbetsytans virtuella nätverk till godkända mål med hjälp av hanterade privata slutpunkter. Välj Ja för att begränsa utgående trafik från den hanterade arbetsytans virtuella nätverk till mål via hanterade privata slutpunkter.

Skärmbild av sidan Hanterat virtuellt nätverk med alternativet Tillåt endast utgående datatrafik till godkända mål till Ja.

Välj Nej för att tillåta utgående trafik från arbetsytan till ett mål.

Du kan också styra de mål som hanterade privata slutpunkter skapas till från din Azure Synapse-arbetsyta. Som standard tillåts hanterade privata slutpunkter till resurser i samma Microsoft Entra-ID-klientorganisation som din prenumeration tillhör. Om du vill skapa en hanterad privat slutpunkt till en resurs i en Microsoft Entra-ID-klientorganisation som skiljer sig från den som din prenumeration tillhör kan du lägga till den Microsoft Entra ID-klientorganisationen genom att välja + Lägg till. Du kan antingen välja Microsoft Entra ID-klientorganisationen i listrutan eller manuellt ange Klient-ID:t för Microsoft Entra-ID.

Skärmbild av sidan Hanterat virtuellt nätverk med knappen Lägg till för Azure-klienter markerad.

När arbetsytan har skapats kan du kontrollera om din Azure Synapse-arbetsyta är associerad med ett virtuellt nätverk för hanterad arbetsyta genom att välja Översikt från Azure Portal.

Skärmbild av översiktssidan för Azure Synapse-arbetsytan som anger att ett hanterat virtuellt nätverk är aktiverat.

Relaterat innehåll