Konfigurace služby Azure Private Link pro analytické úložiště Azure Cosmos DB

PLATÍ PRO: NoSQL MongoDB Gremlin

V tomto článku se dozvíte, jak nastavit spravované privátní koncové body pro analytické úložiště Azure Cosmos DB. Pokud používáte transakční úložiště, přečtěte si článek o privátních koncových bodech transakčního úložiště . Pomocí spravovaných privátních koncových bodů můžete omezit síťový přístup k analytickému úložišti Azure Cosmos DB na spravovanou virtuální síť přidruženou k pracovnímu prostoru Azure Synapse. Spravované privátní koncové body vytvoří privátní propojení s vaším analytickým úložištěm.

Poznámka:

Pokud pro službu Azure Cosmos DB používáte Privátní DNS zóny a chcete vytvořit privátní koncový bod spravovaného synapse pro dílčí prostředek analytického úložiště, musíte nejprve vytvořit zónu DNS pro analytické úložiště (privatelink.analytics.cosmos.azure.com) propojenou s virtuální sítí služby Azure Cosmos DB.

Povolení privátního koncového bodu pro analytické úložiště

Nastavení pracovního prostoru Azure Synapse Analytics se spravovanou virtuální sítí a exfiltrací dat

Vytvořte v Azure Synapse Analytics pracovní prostor s povolenou exfiltrací dat. Díky ochraně před exfiltrací dat můžete zajistit, aby uživatelé se zlými úmysly nemohli kopírovat ani přenášet data z vašich prostředků Azure do umístění mimo rozsah vaší organizace.

Následující omezení přístupu platí, když je pro pracovní prostor Azure Synapse Analytics zapnutá ochrana před exfiltrací dat:

  • Pokud používáte Azure Spark pro Azure Synapse Analytics, je přístup povolený jenom ke schváleným spravovaným privátním koncovým bodům pro analytické úložiště Azure Cosmos DB.

  • Pokud používáte bezserverové fondy SQL Synapse, můžete dotazovat libovolný účet služby Azure Cosmos DB pomocí služby Azure Synapse Link. Žádosti o zápis, které vytvářejí externí tabulky jako výběr (CETAS), ale umožňují pouze schválené správě privátních koncových bodů ve virtuální síti pracovního prostoru.

Poznámka:

Po vytvoření pracovního prostoru nemůžete změnit spravovanou virtuální síť a konfiguraci exfiltrace dat.

Přidání spravovaného privátního koncového bodu pro analytické úložiště Azure Cosmos DB

  1. Přihlaste se k portálu Azure.

  2. Na webu Azure Portal přejděte do svého pracovního prostoru Synapse Analytics a otevřete podokno Přehled .

  3. Spusťte Synapse Studio tak, že přejdete do podokna Začínáme a vyberete Otevřít v části Otevřít Synapse Studio.

  4. V nástroji Synapse Studio otevřete kartu Spravovat .

  5. Přejděte do spravovaných privátních koncových bodů a vyberte Nový.

    Create a new private endpoint for analytical store.

  6. Vyberte typ >účtu Služby Azure Cosmos DB (API pro NoSQL) Pokračovat.

    Select Azure Cosmos DB API for NoSQL to create a private endpoint.

  7. Vyplňte formulář Nový spravovaný privátní koncový bod s následujícími podrobnostmi:

    • Název – název spravovaného privátního koncového bodu. Tento název nelze po vytvoření aktualizovat.
    • Popis – Zadejte popisný popis pro identifikaci privátního koncového bodu.
    • Předplatné Azure – V seznamu dostupných účtů ve vašich předplatných Azure vyberte účet služby Azure Cosmos DB.
    • Název účtu služby Azure Cosmos DB – Vyberte existující účet služby Azure Cosmos DB typu SQL nebo MongoDB.
    • Cílový dílčí prostředek – Vyberte jednu z následujících možností: Analytické: Pokud chcete přidat privátní koncový bod pro analytické úložiště Azure Cosmos DB. NoSQL (nebo MongoDB): Pokud chcete přidat koncový bod OLTP nebo transakčního účtu.

    Poznámka:

    Privátní koncové body transakčního úložiště i analytického úložiště můžete přidat do stejného účtu služby Azure Cosmos DB v pracovním prostoru Služby Synapse Analytics. Pokud chcete spouštět pouze analytické dotazy, můžete chtít mapovat pouze privátní koncový bod analytického úložiště.

    Choose analytical for the target subresource.

  8. Po vytvoření přejděte na název privátního koncového bodu a vyberte Spravovat schválení na webu Azure Portal.

  9. Přejděte ke svému účtu služby Azure Cosmos DB, vyberte privátní koncový bod a vyberte Schválit.

  10. Přejděte zpět do pracovního prostoru Synapse Analytics a v podokně Spravované privátní koncové body klikněte na Aktualizovat. Ověřte, že je privátní koncový bod ve schváleném stavu.

    Verify that the private endpoint is approved.

Použití Apache Sparku pro Azure Synapse Analytics

Pokud jste vytvořili pracovní prostor Azure Synapse se zapnutou ochranou exfiltrace dat, bude ve výchozím nastavení blokovaný odchozí přístup z účtů Synapse Spark do služby Azure Cosmos DB. Pokud už služba Azure Cosmos DB má existující privátní koncový bod, zablokuje se přístup ke službě Synapse Spark.

Povolení přístupu k datům Azure Cosmos DB:

  • Pokud k dotazování dat azure Cosmos DB používáte Azure Synapse Link, přidejte spravovaný privátní koncový bod analytického úložiště pro účet služby Azure Cosmos DB.

  • Pokud používáte dávkové zápisy, čtení a/nebo streamování zápisů/čtení do transakčního úložiště, přidejte spravovaný privátní koncový bod SQL nebo MongoDB pro účet služby Azure Cosmos DB. Kromě toho byste také měli nastavit connectionMode na Bránu , jak je znázorněno v následujícím fragmentu kódu:

    # Write a Spark DataFrame into an Azure Cosmos DB container
    # To select a preferred lis of regions in a multi-region account, add .option("spark.cosmos.preferredRegions", "<Region1>, <Region2>")
    
    YOURDATAFRAME.write\
      .format("cosmos.oltp")\
      .option("spark.synapse.linkedService", "<your-Cosmos-DB-linked-service-name>")\
      .option("spark.cosmos.container","<your-Cosmos-DB-container-name>")\
      .option("spark.cosmos.write.upsertEnabled", "true")\
      .option("spark.cosmos.connection.mode", "Gateway")\
      .mode('append')\
      .save()
    
    

Použití bezserverových fondů SQL Synapse

Bezserverové fondy SQL Synapse používají funkce s více tenanty, které nejsou nasazené do spravované virtuální sítě. Pokud má účet služby Azure Cosmos DB existující privátní koncový bod, bude bezserverový fond SQL Synapse zablokován přístup k účtu kvůli kontrole izolace sítě v účtu služby Azure Cosmos DB.

Konfigurace izolace sítě pro tento účet z pracovního prostoru Synapse:

  1. Povolte pracovnímu prostoru Synapse přístup k účtu služby Azure Cosmos DB zadáním NetworkAclBypassResourceId nastavení účtu.

    Pomocí PowerShellu

    Update-AzCosmosDBAccount -Name MyCosmosDBDatabaseAccount -ResourceGroupName MyResourceGroup -NetworkAclBypass AzureServices -NetworkAclBypassResourceId "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
    

    Použití Azure CLI

    az cosmosdb update --name MyCosmosDBDatabaseAccount --resource-group MyResourceGroup --network-acl-bypass AzureServices --network-acl-bypass-resource-ids "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
    

    Poznámka:

    Účet služby Azure Cosmos DB a pracovní prostor Azure Synapse Analytics by měly být ve stejném tenantovi Microsoft Entra.

  2. Teď můžete k účtu přistupovat z bezserverových fondů SQL pomocí dotazů T-SQL přes Azure Synapse Link. Pokud ale chcete zajistit izolaci sítě pro data v analytickém úložišti, musíte pro tento účet přidat privátní koncový bod spravovaný analytickým rozhraním. V opačném případě nebudou data v analytickém úložišti blokována z veřejného přístupu.

Důležité

Pokud používáte Azure Synapse Link a potřebujete izolaci sítě pro data v analytickém úložišti, musíte namapovat účet služby Azure Cosmos DB do pracovního prostoru Synapse pomocí privátního koncového bodu spravovaného analytickým úložištěm.

Další kroky