Azure Synapse Analytics Managed Virtual Network

  • Artykuł

W tym artykule opisano Virtual Network zarządzane w usłudze Azure Synapse Analytics.

Virtual Network zarządzanego obszaru roboczego

Podczas tworzenia obszaru roboczego Azure Synapse możesz skojarzyć go z Virtual Network platformy Microsoft Azure. Virtual Network skojarzone z obszarem roboczym jest zarządzane przez Azure Synapse. Ta Virtual Network jest nazywana Virtual Network zarządzanym obszarem roboczym.

Zarządzany obszar roboczy Virtual Network zapewnia wartość na cztery sposoby:

  • Za pomocą zarządzanego obszaru roboczego Virtual Network można odciążyć obciążenie związane z zarządzaniem Virtual Network w celu Azure Synapse.
  • Nie musisz konfigurować reguł sieciowej grupy zabezpieczeń dla ruchu przychodzącego we własnych sieciach wirtualnych, aby umożliwić Azure Synapse ruch zarządzania w celu wprowadzania Virtual Network. Błędna konfiguracja tych reguł sieciowej grupy zabezpieczeń powoduje przerwy w działaniu usług dla klientów.
  • Nie musisz tworzyć podsieci dla klastrów Spark na podstawie szczytowego obciążenia.
  • Zarządzany obszar roboczy Virtual Network wraz z zarządzanymi prywatnymi punktami końcowymi chroni przed eksfiltracją danych. Można tworzyć tylko zarządzane prywatne punkty końcowe w obszarze roboczym, który ma skojarzony z nim obszar roboczy Zarządzany Virtual Network.

Tworzenie obszaru roboczego z zarządzanym obszarem roboczym Virtual Network skojarzonych z nim gwarantuje, że obszar roboczy jest siecią odizolowaną od innych obszarów roboczych. Azure Synapse oferuje różne możliwości analityczne w obszarze roboczym: integracja danych, bezserwerowa pula Apache Spark, dedykowana pula SQL i bezserwerowa pula SQL.

Jeśli obszar roboczy ma zarządzany obszar roboczy Virtual Network, integracja danych i zasoby platformy Spark zostaną wdrożone w nim. Zarządzany obszar roboczy Virtual Network zapewnia również izolację na poziomie użytkownika dla działań platformy Spark, ponieważ każdy klaster Spark znajduje się we własnej podsieci.

Dedykowana pula SQL i bezserwerowa pula SQL to funkcje wielodostępne i dlatego znajdują się poza zarządzanym obszarem roboczym Virtual Network. Komunikacja wewnątrz obszaru roboczego z dedykowaną pulą SQL i bezserwerową pulą SQL używają linków prywatnych platformy Azure. Te linki prywatne są tworzone automatycznie podczas tworzenia obszaru roboczego z zarządzanym obszarem roboczym Virtual Network skojarzonym z nim.

Ważne

Nie można zmienić tej konfiguracji obszaru roboczego po utworzeniu obszaru roboczego. Na przykład nie można ponownie skonfigurować obszaru roboczego, który nie ma skojarzonego z nim obszaru roboczego zarządzanego Virtual Network i skojarzyć z nim Virtual Network. Podobnie nie można ponownie skonfigurować obszaru roboczego z zarządzanym obszarem roboczym Virtual Network skojarzonym z nim i usunąć skojarzenie Virtual Network z niego.

Tworzenie obszaru roboczego Azure Synapse za pomocą zarządzanego obszaru roboczego Virtual Network

Jeśli jeszcze tego nie zrobiono, zarejestruj dostawcę zasobów sieciowych. Zarejestrowanie dostawcy zasobów umożliwia skonfigurowanie subskrypcji do pracy z dostawcą zasobów. Wybierz pozycję Microsoft.Network z listy dostawców zasobów podczas rejestrowania.

Aby utworzyć Azure Synapse obszar roboczy z Virtual Network zarządzanym obszarem roboczym skojarzonym z nim, wybierz kartę Sieć w Azure Portal i zaznacz pole wyboru Włącz zarządzaną sieć wirtualną.

Jeśli pole wyboru nie zostanie zaznaczone, obszar roboczy nie będzie miał skojarzonego Virtual Network.

Ważne

Łącza prywatne można używać tylko w obszarze roboczym, w którym znajduje się zarządzany obszar roboczy Virtual Network.

Zrzut ekranu przedstawiający stronę Tworzenie sieci obszaru roboczego usługi Synapse z włączoną opcją Zarządzana sieć wirtualna i zezwalaj na ruch wychodzący tylko do zatwierdzonych obiektów docelowych na wartość Tak.

Po wybraniu skojarzenia zarządzanego obszaru roboczego Virtual Network z obszarem roboczym można chronić przed eksfiltracją danych, zezwalając na łączność wychodzącą z zarządzanego obszaru roboczego Virtual Network tylko do zatwierdzonych obiektów docelowych przy użyciu zarządzanych prywatnych punktów końcowych. Wybierz pozycję Tak, aby ograniczyć ruch wychodzący z zarządzanego obszaru roboczego Virtual Network do obiektów docelowych za pośrednictwem zarządzanych prywatnych punktów końcowych.

Zrzut ekranu przedstawiający stronę Zarządzana sieć wirtualna z opcją Zezwalaj na ruch wychodzący tylko do zatwierdzonych obiektów docelowych na wartość Tak.

Wybierz pozycję Nie , aby zezwolić na ruch wychodzący z obszaru roboczego do dowolnego miejsca docelowego.

Możesz również kontrolować cele, do których są tworzone zarządzane prywatne punkty końcowe z obszaru roboczego Azure Synapse. Domyślnie zarządzane prywatne punkty końcowe do zasobów w tej samej dzierżawie usługi AAD, do których należy Twoja subskrypcja, są dozwolone. Jeśli chcesz utworzyć zarządzany prywatny punkt końcowy do zasobu w dzierżawie usługi AAD, która różni się od tego, do którego należy twoja subskrypcja, możesz dodać tę dzierżawę usługi AAD, wybierając pozycję + Dodaj. Możesz wybrać dzierżawę usługi AAD z listy rozwijanej lub ręcznie wprowadzić identyfikator dzierżawy usługi AAD.

Zrzut ekranu przedstawiający stronę Zarządzana sieć wirtualna z wyróżnionym przyciskiem Dodaj dzierżawców dzierżawy platformy Azure.

Po utworzeniu obszaru roboczego możesz sprawdzić, czy obszar roboczy Azure Synapse jest skojarzony z zarządzanym obszarem roboczym Virtual Network, wybierając pozycję Przegląd w Azure Portal.

Zrzut ekranu przedstawiający stronę przeglądu obszaru roboczego Azure Synapse wskazującą, że zarządzana sieć wirtualna jest włączona.

Następne kroki

Tworzenie obszaru roboczego Azure Synapse

Dowiedz się więcej o zarządzanych prywatnych punktach końcowych

Tworzenie zarządzanych prywatnych punktów końcowych w źródłach danych