Поделиться через

Подключение к ресурсам рабочей области из сети с ограниченным доступом

  • Статья

Предположим, вы ИТ-администратор, который управляет ограниченной сетью вашей организации. Вы хотите включить сетевое подключение между Azure Synapse Analytics Studio и рабочей станцией в этой ограниченной сети. В этой статье показано, как это сделать.

Предпосылки

  • Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись Azure перед началом работы.
  • Рабочая область Azure Synapse Analytics: вы можете создать ее из Azure Synapse Analytics. Вам потребуется имя рабочей области на шаге 4.
  • Ограниченная сеть: ИТ-администратор поддерживает ограниченную сеть для организации и имеет разрешение на настройку политики сети. Вам потребуется имя виртуальной сети и ее подсеть на шаге 3.

Шаг 1. Добавление правил безопасности исходящего трафика сети в сеть с ограниченным доступом

Необходимо добавить четыре сетевых правила безопасности исходящего трафика с четырьмя служебными тегами.

  • AzureResourceManager
  • AzureFrontDoor.Frontend
  • AzureActiveDirectory
  • AzureMonitor (этот тип правила является необязательным. Добавьте его только в том случае, если вы хотите поделиться данными с корпорацией Майкрософт.)

На следующем снимке экрана показаны сведения о правиле исходящего трафика в Azure Resource Manager.

Снимок экрана: сведения о теге службы Azure Resource Manager.

При создании других трех правил замените значение тега назначения службы на AzureFrontDoor.Frontend, AzureActiveDirectory или AzureMonitor, выбирая из списка.

Дополнительные сведения см. в разделе "Общие сведения о тегах службы".

Затем создайте узлы приватных ссылок на портале Azure. Чтобы найти это на портале, выполните поиск по Azure Synapse Analytics (центры приватных ссылок), а затем введите необходимую информацию, чтобы его создать.

Снимок экрана концентратора частных каналов Synapse.

Шаг 3. Создание частной конечной точки для Synapse Studio

Чтобы получить доступ к Azure Synapse Analytics Studio, необходимо создать частную конечную точку на портале Azure. Чтобы найти это на портале, найдите частную ссылку. В Центре приватного канала выберите Создать приватную конечную точку, а затем введите необходимые сведения для её создания.

Примечание.

Убедитесь, что значение региона совпадает с тем, где находится рабочая область Azure Synapse Analytics.

Снимок экрана: создание частной конечной точки, вкладка

На вкладке "Ресурс" выберите концентратор частной ссылки, который вы создали на шаге 2.

Снимок экрана: создание частной конечной точки, вкладка

На вкладке Конфигурация:

  • Для виртуальной сети выберите имя ограниченной виртуальной сети.
  • Для подсети выберите подсеть ограниченной виртуальной сети.
  • Для параметра Интеграция с частной зоной DNS выберите Да.

Снимок экрана: создание частной конечной точки, вкладка

После создания конечной точки частной связи вы можете получить доступ к странице входа в веб-приложение Azure Synapse Analytics Studio. Однако вы еще не можете получить доступ к ресурсам в рабочей области. Для этого необходимо выполнить следующий шаг.

Шаг 4. Создание частных точек подключения для ресурса рабочей области

Чтобы получить доступ к ресурсам в ресурсе рабочей области Azure Synapse Analytics, необходимо создать следующее:

  • По крайней мере одна конечная точка частной связи с типом целевого подресурсаDev.
  • Две другие опциональные конечные точки приватного канала с типами Sql или SqlOnDemand в зависимости от того, к каким ресурсам в рабочей области вы хотите получить доступ.

Создание этой конечной точки аналогично созданию конечной точки на предыдущем шаге.

На вкладке "Ресурс" :

  • Для типа ресурса выберите Microsoft.Synapse/workspaces.
  • Для ресурса выберите имя рабочей области, созданное ранее.
  • Для целевого подресурса выберите тип конечной точки:
    • Sql предназначен для выполнения запросов SQL в пуле SQL.
    • SqlOnDemand предназначен для встроенного выполнения запросов SQL.
    • Разработка предназначена для доступа ко всем остальным функциям в рабочих пространствах Azure Synapse Analytics. Необходимо создать по крайней мере одну конечную точку приватного канала этого типа.

Снимок экрана: создание частной конечной точки, вкладки ресурсов, рабочей области.

Шаг 5. Создание частных конечных точек для связанного хранилища рабочей области

Чтобы получить доступ к связанному хранилищу с помощью обозревателя службы хранилища в рабочей области Azure Synapse Analytics, необходимо создать одну частную конечную точку. Шаги для этого похожи на шаги 3.

На вкладке "Ресурс" :

  • Для типа ресурса выберите Microsoft.Storage/storageAccounts.
  • Для ресурса выберите имя учетной записи хранения, созданной ранее.
  • Для целевого подресурса выберите тип конечной точки:
    • BLOB-объект предназначен для хранилища BLOB-объектов Azure.
    • dfs предназначен для Azure Data Lake Storage 2-го поколения.

Снимок экрана: создание частной конечной точки, вкладки ресурсов, хранилища.

Теперь вы можете получить доступ к связанному ресурсу хранения. В виртуальной сети в рабочей области Azure Synapse Analytics можно использовать обозреватель хранилища для доступа к связанному ресурсу хранилища.

Вы можете включить управляемую виртуальную сеть для рабочей области, как показано на снимке экрана:

Снимок экрана: создание рабочей области Synapse с выделенным параметром

Если вы хотите, чтобы записная книжка могла обращаться к связанным ресурсам хранилища в определенной учетной записи хранилища, добавьте управляемые частные конечные точки в среде Azure Synapse Analytics Studio. Название учетной записи хранилища должно быть тем, к которому ваша записная книжка должна иметь доступ. Дополнительные сведения см. в статье "Создание управляемой частной конечной точки в источнике данных".

После создания этой конечной точки состояние утверждения отображает состояние "Ожидание". Запросите утверждение от владельца этой учетной записи хранения на вкладке подключения к частной конечной точке этой учетной записи хранения на портале Azure. После утверждения записная книжка может получить доступ к связанным ресурсам хранилища в этой учетной записи хранения.

Теперь всё готово. Вы можете получить доступ к ресурсу рабочей области Azure Synapse Analytics.

Шаг 6. Разрешить URL-адрес через брандмауэр

Следующие URL-адреса должны быть доступны из клиентского браузера после включения концентратора приватного канала Azure Synapse.

Требуется для проверки подлинности:

  • login.microsoftonline.com
  • aadcdn.msauth.net
  • msauth.net
  • msftauth.net
  • graph.microsoft.com
  • login.live.com, хотя это может отличаться в зависимости от типа учетной записи.

Требуется для управления рабочей областью и пулом:

  • management.azure.com
  • {workspaceName}.[dev|sql].azuresynapse.net
  • {workspaceName}-ondemand.sql.azuresynapse.net

Требуется для создания блокнота Synapse:

  • aznb.azuresandbox.ms

Требуется для контроля доступа и поиска по идентификации:

  • graph.windows.net

Приложение. Регистрация DNS для частной конечной точки

Если во время создания частной конечной точки не включена интеграция с частной зоной DNS, как показано ниже, необходимо создать частную зону DNS для каждой из частных конечных точек. Снимок экрана: создание частной зоны DNS Synapse 1.

Чтобы найти частную зону DNS на портале, найдите частную зону DNS. В частной зоне DNS укажите необходимые сведения, приведенные ниже, чтобы создать его.

  • Для имени введите выделенное имя частной зоны DNS для конкретной частной конечной точки, как показано ниже:
    • privatelink.azuresynapse.net предназначен для частной конечной точки доступа к шлюзу Azure Synapse Analytics Studio. См. этот тип создания частной конечной точки на шаге 3.
    • privatelink.sql.azuresynapse.net предназначен для этого типа частной конечной точки выполнения SQL-запросов в SQL-пуле и встроенном пуле. Просмотрите создание конечной точки на шаге 4.
    • privatelink.dev.azuresynapse.net используется для этой частной конечной точки доступа ко всему остальному в рабочих областях Azure Synapse Analytics. См. этот тип создания частной конечной точки на шаге 4.
    • privatelink.dfs.core.windows.net предназначен для частной конечной точки доступа к рабочей области, связанной с Azure Data Lake Storage 2-го поколения. См. этот тип создания частной конечной точки на шаге 5.
    • privatelink.blob.core.windows.net предназначен для частной конечной точки для доступа к связанному с рабочей областью хранилищу Blob в Azure. См. этот тип создания частной конечной точки на шаге 5.

Снимок экрана: создание частной зоны DNS Synapse 2.

После создания частной зоны DNS введите созданную частную зону DNS и выберите ссылки виртуальной сети , чтобы добавить ссылку в виртуальную сеть.

Снимок экрана: создание частной зоны DNS Synapse 3.

Заполните обязательные поля, как показано ниже:

  • Для названия ссылки введите название ссылки.
  • Для параметра Виртуальная сеть выберите свою виртуальную сеть.

Снимок экрана: создание частной зоны DNS Synapse 4.

После добавления ссылки виртуальной сети необходимо добавить набор записей DNS в созданной ранее частной зоне DNS .

  • Для имени введите строки выделенного имени для другой частной конечной точки:
    • Web предназначен для частной конечной точки доступа к Azure Synapse Analytics Studio.
    • YourWorkSpaceName предназначен для частной конечной точки выполнения sql-запросов в пуле SQL, а также для частной конечной точки доступа ко всему остальному в рабочих областях Azure Synapse Analytics.
    • "YourWorkSpaceName-ondemand" предназначен для частной конечной точки выполнения sql-запросов в встроенном пуле.
  • В поле "Тип" выберите только тип записи DNS A .
  • Для IP-адреса введите соответствующий IP-адрес каждой частной конечной точки. Вы можете получить IP-адрес в сетевом интерфейсе из обзора вашей частной конечной точки.

Снимок экрана: создание частной зоны DNS Synapse 5.

Дальнейшие действия

Дополнительные сведения о виртуальной сети управляемой рабочей области.

Дополнительные сведения об управляемых частных конечных точках.