Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется принцип работы с управляемой виртуальной сетью в Azure Synapse Analytics.
Управляемая виртуальная сеть рабочей области
При создании рабочей области Azure Synapse ее можно связать с виртуальной сетью Microsoft Azure. Управление виртуальной сетью, связанной с рабочей областью, происходит с помощью Azure Synapse. Эта виртуальная сеть называется управляемой виртуальной сетью рабочей области.
Управляемая виртуальная сеть рабочей области предоставляет вам ценность четырьмя способами.
- С помощью управляемой виртуальной сети рабочей области можно перенести нагрузку управления виртуальной сетью в Azure Synapse.
- Вам не нужно самостоятельно настраивать входящие правила группы безопасности сети (NSG) для ваших виртуальных сетей, чтобы разрешить вход трафика управления Azure Synapse. Неправильная настройка этих правил NSG приводит к прерыванию работы службы для клиентов.
- Вам не нужно создавать подсеть для кластеров Spark на основе пиковой нагрузки.
- Управляемая виртуальная сеть рабочей области вместе с управляемыми частными конечными точками обеспечивают защиту от кражи данных. Вы можете создавать управляемые частные конечные точки только в той рабочей области, которая имеет связанную с ней управляемую виртуальную сеть рабочего пространства.
Создание рабочей области со связанной с ней управляемой виртуальной сетью гарантирует, что ваша рабочая область будет изолирована от других рабочих областей. Azure Synapse предоставляет различные аналитические возможности в рабочей области: интеграция данных, бессерверный пул Apache Spark, выделенный пул SQL и бессерверный пул SQL.
Если в рабочей области есть управляемая виртуальная сеть, в ней развертываются ресурсы интеграции данных и Spark. Управляемая виртуальная сеть рабочей области также обеспечивает изоляцию на уровне пользователя для действий Spark, так как каждый кластер Spark располагается в собственной подсети.
Выделенный пул SQL и бессерверный пул SQL являются мультитенантными функциями и поэтому находятся вне управляемой рабочей области в виртуальной сети. В пределах рабочей области для взаимодействия с выделенным и бессерверным пулами SQL используются приватные каналы Azure. Эти частные ссылки автоматически создаются для вас, когда вы создаете рабочую область, связанную с управляемой виртуальной сетью рабочей области.
Внимание
Эту конфигурацию рабочей области нельзя изменить после создания рабочей области. Например, вы не можете перенастроить рабочую область, в которой нет ассоциированной управляемой виртуальной сети рабочей области, и присоединить к ней виртуальную сеть. Аналогичным образом, невозможно перенастроить рабочую область с управляемой рабочей областью, связанной с ней виртуальной сетью, и отключить эту виртуальную сеть от нее.
Создание рабочей области Azure Synapse с управляемой виртуальной сетью рабочей области.
Зарегистрируйте сетевой ресурсный провайдер, если вы еще этого не сделали. Регистрация поставщика ресурсов настраивает подписку для работы с поставщиком ресурсов. В процессе регистрации выберите значение Microsoft.Network из списка поставщиков ресурсов.
Чтобы создать рабочую область Azure Synapse, у которой есть связанная управляемая виртуальная сеть, выберите вкладку Сеть на портале Azure и установите флажок Включить управляемую виртуальную сеть.
Если флажок не установлен, виртуальная сеть не будет связана с рабочей областью.
Внимание
В рабочей области с управляемой виртуальной сетью можно использовать только приватные каналы.
Когда вы настроите связь виртуальной сети управляемой рабочей области с конкретной рабочей областью, можно будет защитить данные от кражи, ограничив исходящие подключения из виртуальной сети управляемой рабочей области только утвержденными целевыми объектами с помощью управляемых частных конечных точек. Выберите ответ Да, чтобы весь исходящий трафик из виртуальной сети управляемой рабочей области направлялся к целевым объектам только через управляемые частные конечные точки.
Выберите ответ Нет, чтобы разрешить исходящий трафик из рабочей области к любому целевому объекту.
Вы также можете управлять тем, для каких целевых объектов будут создаваться управляемые частные конечные точки в рабочей области Azure Synapse. По умолчанию разрешены управляемые частные конечные точки для ресурсов в том же клиенте Microsoft Entra ID, которому принадлежит ваша подписка. Если вы хотите создать управляемую частную конечную точку для ресурса в арендаторе Microsoft Entra ID, отличном от того, которому принадлежит ваша подписка, вы можете добавить этот арендатор Microsoft Entra ID, выбрав +Добавить. Вы можете выбрать арендатора Microsoft Entra ID из раскрывающегося списка или вручную ввести идентификатор арендатора Microsoft Entra.
После создания рабочей области Azure Synapse вы можете проверить, связана ли она с виртуальной сетью управляемой рабочей области. Для этого выберите элемент Обзор на портале Azure.
Связанный контент
- Создайте рабочую область Azure Synapse
- Узнайте больше об управляемых частных конечных точках
- Создание управляемой частной конечной точки для источника данных