Управляемая виртуальная сеть Azure Synapse Analytics

В этой статье объясняется принцип работы с управляемой виртуальной сетью в Azure Synapse Analytics.

Управляемая виртуальная сеть рабочей области

При создании рабочей области Azure Synapse ее можно связать с виртуальной сетью Microsoft Azure. Управление виртуальной сетью, связанной с рабочей областью, происходит с помощью Azure Synapse. Эта виртуальная сеть называется управляемой виртуальной сетью рабочей области.

Управляемая виртуальная сеть рабочей области предоставляет вам ценность четырьмя способами.

  • С помощью управляемой виртуальной сети рабочей области можно перенести нагрузку управления виртуальной сетью в Azure Synapse.
  • Вам не нужно самостоятельно настраивать входящие правила группы безопасности сети (NSG) для ваших виртуальных сетей, чтобы разрешить вход трафика управления Azure Synapse. Неправильная настройка этих правил NSG приводит к прерыванию работы службы для клиентов.
  • Вам не нужно создавать подсеть для кластеров Spark на основе пиковой нагрузки.
  • Управляемая виртуальная сеть рабочей области вместе с управляемыми частными конечными точками обеспечивают защиту от кражи данных. Вы можете создавать управляемые частные конечные точки только в той рабочей области, которая имеет связанную с ней управляемую виртуальную сеть рабочего пространства.

Создание рабочей области со связанной с ней управляемой виртуальной сетью гарантирует, что ваша рабочая область будет изолирована от других рабочих областей. Azure Synapse предоставляет различные аналитические возможности в рабочей области: интеграция данных, бессерверный пул Apache Spark, выделенный пул SQL и бессерверный пул SQL.

Если в рабочей области есть управляемая виртуальная сеть, в ней развертываются ресурсы интеграции данных и Spark. Управляемая виртуальная сеть рабочей области также обеспечивает изоляцию на уровне пользователя для действий Spark, так как каждый кластер Spark располагается в собственной подсети.

Выделенный пул SQL и бессерверный пул SQL являются мультитенантными функциями и поэтому находятся вне управляемой рабочей области в виртуальной сети. В пределах рабочей области для взаимодействия с выделенным и бессерверным пулами SQL используются приватные каналы Azure. Эти частные ссылки автоматически создаются для вас, когда вы создаете рабочую область, связанную с управляемой виртуальной сетью рабочей области.

Внимание

Эту конфигурацию рабочей области нельзя изменить после создания рабочей области. Например, вы не можете перенастроить рабочую область, в которой нет ассоциированной управляемой виртуальной сети рабочей области, и присоединить к ней виртуальную сеть. Аналогичным образом, невозможно перенастроить рабочую область с управляемой рабочей областью, связанной с ней виртуальной сетью, и отключить эту виртуальную сеть от нее.

Создание рабочей области Azure Synapse с управляемой виртуальной сетью рабочей области.

Зарегистрируйте сетевой ресурсный провайдер, если вы еще этого не сделали. Регистрация поставщика ресурсов настраивает подписку для работы с поставщиком ресурсов. В процессе регистрации выберите значение Microsoft.Network из списка поставщиков ресурсов.

Чтобы создать рабочую область Azure Synapse, у которой есть связанная управляемая виртуальная сеть, выберите вкладку Сеть на портале Azure и установите флажок Включить управляемую виртуальную сеть.

Если флажок не установлен, виртуальная сеть не будет связана с рабочей областью.

Внимание

В рабочей области с управляемой виртуальной сетью можно использовать только приватные каналы.

Снимок экрана: страница

Когда вы настроите связь виртуальной сети управляемой рабочей области с конкретной рабочей областью, можно будет защитить данные от кражи, ограничив исходящие подключения из виртуальной сети управляемой рабочей области только утвержденными целевыми объектами с помощью управляемых частных конечных точек. Выберите ответ Да, чтобы весь исходящий трафик из виртуальной сети управляемой рабочей области направлялся к целевым объектам только через управляемые частные конечные точки.

Снимок экрана: страница

Выберите ответ Нет, чтобы разрешить исходящий трафик из рабочей области к любому целевому объекту.

Вы также можете управлять тем, для каких целевых объектов будут создаваться управляемые частные конечные точки в рабочей области Azure Synapse. По умолчанию разрешены управляемые частные конечные точки для ресурсов в том же клиенте Microsoft Entra ID, которому принадлежит ваша подписка. Если вы хотите создать управляемую частную конечную точку для ресурса в арендаторе Microsoft Entra ID, отличном от того, которому принадлежит ваша подписка, вы можете добавить этот арендатор Microsoft Entra ID, выбрав +Добавить. Вы можете выбрать арендатора Microsoft Entra ID из раскрывающегося списка или вручную ввести идентификатор арендатора Microsoft Entra.

Снимок экрана: страница

После создания рабочей области Azure Synapse вы можете проверить, связана ли она с виртуальной сетью управляемой рабочей области. Для этого выберите элемент Обзор на портале Azure.

Снимок экрана: страница обзора рабочей области Azure Synapse, указывающая, что управляемая виртуальная сеть включена.

Поведение среды выполнения интеграции с управляемой виртуальной сетью и защитой от утечки данных

При создании рабочей области Azure Synapse с включенной поддержкой Управляемой Виртуальной Сети и Защиты от Кражи Данных (DEP), перемещение данных и внешний доступ к данным предназначены для выполнения с помощью Среды Выполнения Интеграции Управляемой Виртуальной Сети (VNET IR).

Использование VNET IR гарантирует следующее:

  • Доступ к данным направляется через границу управляемой виртуальной сети

  • Исходящее подключение ограничено утвержденными целевыми объектами

  • Управляемые частные конечные точки используются для доступа к внешним ресурсам

  • Меры безопасности DEP последовательно применяются для всех действий конвейера и операций с данными.

В рабочих областях с поддержкой DEP VNET IR должна использоваться для конвейеров, связанных служб и действий, обращающихся к внешним источникам данных.

Замечание

В некоторых сценариях, из-за известной проблемы в производственной среде, рабочая область с включенной поддержкой DEP может по-прежнему позволять артефактам, таким как конвейеры, связанные службы или действия, ссылаться на общедоступную среду выполнения интеграции Azure (Azure IR). Azure IR может получить доступ к источникам данных через общедоступные сетевые пути, которые не соответствуют предполагаемой модели защиты от кражи данных.

Клиенты должны просматривать ссылки среды выполнения интеграции в рабочих областях с поддержкой DEP и обновлять их для использования среды выполнения интеграции управляемой виртуальной сети. Индикаторы предупреждений могут отображаться в пользовательском интерфейсе Synapse, когда Azure IR ссылается на рабочую область с поддержкой DEP.

Снимок экрана: управляемая виртуальная сеть с включенной защитой от кражи данных и предупреждением об использовании общедоступной среды выполнения интеграции Azure в связанной службе или действиях.

Для действий веб-перехватчика можно включить использование среды выполнения интеграции с помощью тега рабочей области enable_webhookonir, после чего VNET IR может быть выбрана в пользовательском интерфейсе.

Если требуется доступ к общедоступной сети, используйте рабочую область без включения DEP вместо сочетания Azure IR с рабочей областью с поддержкой DEP.

Связанный контент

  • Last updated on