Se connecter aux ressources de l’espace de travail à partir d’un réseau restreint
Supposons que vous êtes un administrateur informatique qui gère le réseau restreint de votre organisation. Vous devez activer la connexion réseau entre Azure Synapse Analytics Studio et une station de travail au sein de ce réseau restreint. Cet article vous montre comment procéder.
Prérequis
- Abonnement Azure : Si vous n’avez pas d’abonnement Azure, créez un compte Azure gratuit avant de commencer.
- Espace de travail Azure Synapse Analytics : Vous pouvez en créer un à partir d’Azure Synapse Analytics. Vous avez besoin du nom de l’espace de travail à l’étape 4.
- Réseau restreint : L’administrateur informatique gère le réseau restreint pour l’organisation, et il est autorisé à configurer la stratégie réseau. Vous avez besoin du nom du réseau virtuel et de son sous-réseau à l’étape 3.
Étape 1 : Ajouter des règles de sécurité réseau sortantes au réseau restreint
Vous devez ajouter quatre règles de sécurité de trafic sortant du réseau avec quatre balises de service.
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (ce type de règle est facultatif, ajoutez-le uniquement lorsque vous souhaitez partager les données avec Microsoft.)
La capture d’écran suivante montre les détails de la règle de trafic sortant Azure Resource Manager.
Lorsque vous créez les trois autres règles, remplacez la valeur de Destination service tag par AzureFrontDoor.Frontend, AzureActiveDirectory ou AzureMonitor dans la liste.
Pour plus d’informations, consultez Vue d’ensemble des étiquettes de service Azure.
Étape 2 : Créer des hubs de liaison privée
Créez ensuite des hubs de liaison privée à partir du portail Azure. Pour trouver ces éléments dans le portail, recherchez Azure Synapse Analytics (hubs de liaison privée) , puis fournissez les informations requises pour les créer.
Étape 3 : Créer un point de terminaison privé pour Synapse Studio
Pour accéder à Azure Synapse Analytics Studio, vous devez créer un point de terminaison privé à partir du portail Azure. Pour trouver ce point dans le portail, recherchez Liaison privée. Dans le Centre de liaisons privées, sélectionnez Créer un point de terminaison privé, puis fournissez les informations requises pour le créer.
Notes
Assurez-vous que la valeur Région est identique à celle de votre espace de travail Azure Synapse Analytics.
Dans l’onglet Ressource, choisissez le hub de liaison privée que vous avez créé à l’étape 2.
Dans l’onglet Configuration :
- Pour Réseau virtuel, choisissez le nom de réseau virtuel restreint.
- Pour Sous-réseau, choisissez le sous-réseau du réseau virtuel restreint.
- Pour Intégrer à une zone DNS privée, sélectionnez Oui.
Une fois le point d'extrémité du lien privé créé, vous pouvez accéder à la page de connexion de l'outil web Azure Synapse Analytics Studio. Toutefois, vous ne pouvez pas encore accéder aux ressources dans votre espace de travail. Pour cela, vous devez effectuer l’étape suivante.
Étape 4 : Créer des points de terminaison privé pour votre ressource d’espace de travail
Pour accéder aux ressources dans votre ressource d’espace de travail Azure Synapse Analytics Studio, vous devez créer les éléments suivants :
- Au moins un point de terminaison de liaison privée avec un type Dev défini sur Target sub-resource.
- Deux autres points de terminaison de liaison privée facultatifs avec des types Sql ou SqlOnDemand, en fonction des ressources de l’espace de travail auxquelles vous souhaitez accéder.
Leur création est similaire à la celle du point de terminaison à l’étape précédente.
Dans l’onglet Ressource :
- pour Type de ressource, sélectionnez Microsoft.Synapse/workspaces.
- Pour Ressource, sélectionnez le nom de l’espace de travail que vous avez créé précédemment.
- Pour Sous-ressource cible, sélectionnez le type de point de terminaison :
- Sql est destiné à l’exécution de la requête SQL dans le pool SQL.
- SqlOnDemand est destiné à l’exécution de requêtes SQL intégrées.
- Dev est destiné à l’accès aux autres ressources dans les espaces de travail Azure Synapse Analytics Studio. Vous devez créer au moins un point de terminaison de la liaison privée de ce type.
Étape 5 : Créer des points de terminaison privé pour le stockage lié de l’espace de travail
Pour accéder au stockage lié à l’explorateur de stockage dans l’espace de travail Azure Synapse Analytics Studio, vous devez créer un point de terminaison privé. Les étapes de ce processus sont similaires à celles de l’étape 3.
Dans l’onglet Ressource :
- Pour Type de ressource, sélectionnez Microsoft.Storage/storageAccounts.
- Pour Ressource, sélectionnez le nom du compte de stockage que vous avez créé précédemment.
- Pour Sous-ressource cible, sélectionnez le type de point de terminaison :
- blob est destiné à Stockage Blob Azure.
- dfs pour Azure Data Lake Storage Gen2.
Vous pouvez maintenant accéder à la ressource de stockage liée. Au sein de votre réseau virtuel, dans votre espace de travail Azure Synapse Analytics Studio, vous pouvez utiliser l’explorateur de stockage pour accéder à la ressource de stockage liée.
Vous pouvez activer un réseau virtuel managé pour votre espace de travail, comme illustré dans cette capture d’écran :
Si vous souhaitez que votre notebook accède aux ressources de stockage liées sous un compte de stockage, ajoutez des points de terminaison privés managés sous Azure Synapse Analytics Studio. Le nom du compte de stockage doit être celui auquel votre notebook doit accéder. Pour plus d’informations, consultez Créer un point de terminaison privé managé pour votre source de données.
Une fois ce point de terminaison créé, l’état d’approbation affiche l’état En attente. Demandez l’approbation du propriétaire de ce compte de stockage, dans l’onglet Connexions des points de terminaison privés de ce compte de stockage dans le portail Azure. Une fois approuvé, votre notebook peut accéder aux ressources de stockage liées sous ce compte de stockage.
Tout est défini à présent. Vous pouvez accéder à votre ressource de l’espace de travail Azure Synapse Analytics Studio.
Étape 6 : Autoriser l’URL via le pare-feu
Les URL suivantes doivent être accessibles à partir du navigateur client après avoir activé le hub de liaison privée Azure Synapse.
Requis pour l’authentification :
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com, bien que cela puisse être différent en fonction du type de compte.
Requis pour la gestion de l’espace de travail/pool :
management.azure.com{workspaceName}.[dev|sql].azuresynapse.net{workspaceName}-ondemand.sql.azuresynapse.net
Requis pour la création de notebooks Synapse :
aznb.azuresandbox.ms
Obligatoire pour le contrôle d’accès et la recherche d’identité :
graph.windows.net
Annexe : Inscription DNS pour un point de terminaison privé
Si l’option « Intégrer à une zone DNS privée » n’est pas activée lors de la création du point de terminaison privé comme dans la capture d’écran ci-dessous, vous devez créer la « zone DNS privée » pour chacun de vos points de terminaison privés.
Pour rechercher la zone DNS privée dans le portail, recherchez Zone DNS privée. Dans la zone DNS privée, fournissez les informations requises ci-dessous pour créer la zone.
- Pour Nom, entrez le nom dédié de la zone DNS privée pour un point de terminaison privé spécifique, comme indiqué ci-dessous :
-
privatelink.azuresynapse.nets’applique au point de terminaison privé pour l’accès à la passerelle Azure Synapse Analytics Studio. Consultez ce type de création de point de terminaison privé à l’étape 3. -
privatelink.sql.azuresynapse.nets’applique à ce type de point de terminaison privé pour l’exécution d’une requête SQL dans le pool SQL et le pool intégré. Consultez la création d’un point de terminaison à l’étape 4. -
privatelink.dev.azuresynapse.nets’applique à ce type de point de terminaison privé pour l’accès aux autres ressources dans les espaces de travail Azure Synapse Analytics Studio. Consultez ce type de création de point de terminaison privé à l’étape 4. -
privatelink.dfs.core.windows.nets’applique au point de terminaison privé pour l’accès à l’espace de travail lié Azure Data Lake Storage Gen2. Consultez ce type de création de point de terminaison privé à l’étape 5. -
privatelink.blob.core.windows.nets’applique au point de terminaison privé pour l’accès à l’espace de travail lié Azure Blob Storage. Consultez ce type de création de point de terminaison privé à l’étape 5.
-
Une fois la zone DNS privée créée, entrez la zone DNS privée créée, puis sélectionnez les liens de réseau virtuel pour ajouter le lien à votre réseau virtuel.
Remplissez les champs obligatoires, comme indiqué ci-dessous :
- Pour Nom du lien, entrez le nom du lien.
- Pour Réseau virtuel, sélectionnez votre réseau virtuel.
Une fois le lien de réseau virtuel ajouté, vous devez ajouter le jeu d’enregistrements DNS dans la zone DNS privée que vous avez créée précédemment.
- Pour Nom, entrez les chaînes de noms dédiées pour différents points de terminaison privés :
- web s’applique au point de terminaison privé pour l’accès à la passerelle Azure Synapse Analytics Studio.
- « YourWorkSpaceName » s’applique au point de terminaison privé pour l’exécution d’une requête SQL dans le pool SQL, ainsi qu’au point de terminaison privé pour l’accès aux autres ressources dans les espaces de travail Azure Synapse Analytics Studio.
- « YourWorkSpaceName-ondemand » s’applique au point de terminaison privé pour l’exécution d’une requête SQL dans le pool intégré.
- Pour Type, sélectionnez le type d’enregistrement DNS A uniquement.
- Pour Adresse IP, entrez l’adresse IP correspondante de chaque point de terminaison privé. Vous pouvez récupérer l’adresse IP dans Interface réseau à partir de la vue d’ensemble de votre point de terminaison privé.
Étapes suivantes
En savoir plus sur le Réseau virtuel d’espace de travail managé.
En savoir plus sur les Points de terminaison privés managés.