Azure Synapse Analytics Felügyelt virtuális hálózat

Ez a cikk ismerteti a felügyelt virtuális hálózatot az Azure Synapse Analyticsben.

Felügyelt munkaterület virtuális hálózata

Az Azure Synapse-munkaterület létrehozásakor dönthet úgy, hogy azt egy Microsoft Azure-beli virtuális hálózathoz társítja. A munkaterülethez társított virtuális hálózatot az Azure Synapse felügyeli. Ezt a virtuális hálózatot felügyelt munkaterületi virtuális hálózatnak nevezzük.

A felügyelt munkaterület virtuális hálózata négyféleképpen biztosít értéket:

  • Egy felügyelt munkaterületi virtuális hálózattal átruházhatja a virtuális hálózat kezelésének terheit az Azure Synapse-ra.
  • Nem kell konfigurálnia a bejövő NSG-szabályokat a saját virtuális hálózatán, hogy az Azure Synapse felügyeleti forgalma beléphessen a virtuális hálózatba. Ezen NSG-szabályok helytelen konfigurálása szolgáltatáskimaradást okoz az ügyfelek számára.
  • Nem kell alhálózatot létrehoznia a Spark-fürtökhöz a csúcsterhelés alapján.
  • A felügyelt munkaterület virtuális hálózata és a felügyelt privát végpontok védelmet nyújtanak az adatkiszivárgás ellen. Felügyelt privát végpontokat csak olyan munkaterületen hozhat létre, amelyhez felügyelt munkaterületi virtuális hálózat van társítva.

Ha olyan munkaterületet hoz létre, amelyhez hozzárendel egy felügyelt munkaterületi virtuális hálózatot, biztosítja, hogy a munkaterület hálózata el legyen különítve más munkaterületektől. Az Azure Synapse különböző elemzési képességeket biztosít egy munkaterületen: adatintegráció, kiszolgáló nélküli Apache Spark-készlet, dedikált SQL-készlet és kiszolgáló nélküli SQL-készlet.

Ha a munkaterület felügyelt munkaterületi virtuális hálózatokkal rendelkezik, az adatintegráció és a Spark-erőforrások üzembe lesznek helyezve benne. A kezelt munkaterület virtuális hálózata felhasználói szintű elkülönítést is biztosít a Spark-tevékenységekhez, mivel minden Spark-fürt saját alhálózatban működik.

A dedikált SQL-készlet és a kiszolgáló nélküli SQL-készlet több-bérlős képességek, ezért a felügyelt munkaterület virtuális hálózatán kívül találhatók. A dedikált SQL-készlet és a kiszolgáló nélküli SQL-készlet munkaterületen belüli kommunikációja Azure-beli privát hivatkozásokat használ. Ezek a privát hivatkozások automatikusan létrejönnek, amikor létrehoz egy olyan munkaterületet, amelyhez hozzárendel egy felügyelt munkaterületi virtuális hálózatot.

Fontos

Ezt a munkaterület-konfigurációt a munkaterület létrehozása után nem módosíthatja. Nem konfigurálhat például olyan munkaterületet, amelyhez nincs hozzárendelve felügyelt munkaterületi virtuális hálózat, és nem társíthat hozzá virtuális hálózatot. Hasonlóképpen nem konfigurálhat újra egy munkaterületet a hozzá társított felügyelt munkaterületi virtuális hálózattal, és nem kapcsolhatja ki a virtuális hálózatot tőle.

Azure Synapse-munkaterület létrehozása felügyelt munkaterületi virtuális hálózattal

Ha még nem tette meg, regisztrálja a hálózati erőforrás-szolgáltatót. Az erőforrás-szolgáltató regisztrálása úgy konfigurálja az előfizetést, hogy működjön együtt az erőforrás-szolgáltatóval. A regisztrációkor válassza a Microsoft.Network lehetőséget az erőforrás-szolgáltatók listájából.

Ha olyan Azure Synapse-munkaterületet szeretne létrehozni, amelyhez felügyelt munkaterületi virtuális hálózat van társítva, jelölje be az Azure Portal Hálózatkezelés lapját, és jelölje be a Felügyelt virtuális hálózat engedélyezése jelölőnégyzetet.

Ha bejelöletlenül hagyja a jelölőnégyzetet, akkor a munkaterülethez nem lesz hozzárendelve virtuális hálózat.

Fontos

Csak felügyelt munkaterületi virtuális hálózatokkal rendelkező munkaterületen használhat privát hivatkozásokat.

Képernyőkép a Synapse-munkaterület hálózatkezelési lapjáról, amelyen a Felügyelt virtuális hálózat opció engedélyezve van, és az a beállítás, hogy a kimenő adatforgalom csak a jóváhagyott célokra legyen engedélyezve, igenre van állítva.

Miután úgy döntött, hogy hozzárendel egy felügyelt munkaterületi virtuális hálózatot a munkaterülethez, védelmet nyújthat az adatok kiszivárgása ellen, ha csak felügyelt privát végpontok használatával engedélyezi a felügyelt munkaterület virtuális hálózatából érkező kimenő kapcsolatot a jóváhagyott célok számára. Válassza az Igen lehetőséget a felügyelt munkaterület virtuális hálózatából a felügyelt privát végpontokon keresztüli célokra irányuló kimenő forgalom korlátozásához.

Képernyőkép a Felügyelt virtuális hálózat lapról, ahol a Kimenő adatforgalom engedélyezése csak jóváhagyott célpontokhoz opció Igen állásban van.

Válassza a Nem lehetőséget a munkaterületről bármely cél felé irányuló kimenő forgalom engedélyezéséhez.

Azt is szabályozhatja, hogy mely célokhoz jönnek létre felügyelt privát végpontok az Azure Synapse-munkaterületen. Alapértelmezés szerint az előfizetésével azonos Microsoft Entra ID-bérlőben lévő erőforrások felügyelt privát végpontjai engedélyezettek. Ha olyan felügyelt privát végpontot szeretne létrehozni egy erőforráshoz egy Microsoft Entra ID-bérlőben, amely eltér attól, amelyhez az előfizetés tartozik, akkor a +Hozzáadás gombra kattintva hozzáadhatja a Microsoft Entra ID-bérlőt. Kiválaszthatja a Microsoft Entra ID-bérlőt a legördülő listából, vagy manuálisan is megadhatja a Microsoft Entra-azonosító bérlőazonosítóját.

Képernyőkép a Felügyelt virtuális hálózat lapról, amelyen az Azure-bérlők hozzáadási gombja ki van emelve.

A munkaterület létrehozása után ellenőrizheti, hogy az Azure Synapse-munkaterület egy felügyelt munkaterület virtuális hálózatához van-e társítva, ha az Azure Portal Áttekintés elemét választja.

Képernyőkép az Azure Synapse-munkaterület áttekintési oldaláról, amely azt jelzi, hogy a felügyelt virtuális hálózat engedélyezve van.

Integrációs futtatási környezet viselkedése felügyelt virtuális hálózatban és adatok kiszivárgása elleni védelem esetén

Amikor egy Azure Synapse-munkaterületet felügyelt virtuális hálózattal és engedélyezett adatkiszivárgás elleni védelemmel (DEP) hoznak létre, az adatmozgatást és a külső adathozzáférést úgy tervezték, hogy a Felügyelt Virtuális Hálózati Integrációs Futókörnyezeten (VNET IR) át fusson.

A VNET IR használata biztosítja, hogy:

  • Az adathozzáférés a felügyelt virtuális hálózat határán keresztül történik

  • A kimenő kapcsolat jóváhagyott célokra korlátozódik

  • A felügyelt privát végpontok külső erőforrás-hozzáféréshez használatosak

  • A DEP biztonsági vezérlői következetesen érvényesülnek a folyamattevékenységek és az adatműveletek során

A DEP-kompatibilis munkaterületeken a virtuális hálózati integrációs modult olyan folyamatokhoz, társított szolgáltatásokhoz és tevékenységekhez kell használni, amelyek külső adatforrásokhoz férnek hozzá.

Megjegyzés:

Bizonyos esetekben egy ismert éles probléma miatt a DEP-kompatibilis munkaterületek bizonyos esetekben továbbra is engedélyezhetik az összetevők (például folyamatok, társított szolgáltatások vagy tevékenységek) számára, hogy nyilvános Azure Integration Runtime-ra (Azure IR) hivatkozhassanak. Az Azure IR nyilvános hálózati útvonalakon keresztül tud adatforrásokat elérni, amelyek nem összhangban vannak a tervezett Adatszűrésvédelmi modellel.

Az ügyfeleknek át kell tekinteniük az integrációs modul hivatkozásait a DEP-kompatibilis munkaterületeken, és frissíteniük kell őket a felügyelt virtuális hálózati integrációs modul használatára. Figyelmeztető jelzők jelenhetnek meg a Synapse felhasználói felületén, ha az Azure IR-ra hivatkozik egy DEP-kompatibilis munkaterületen.

Képernyőkép a felügyelt virtuális hálózatról, amelyen engedélyezve van az adatkiszivárgás elleni védelem, valamint a nyilvános Azure-integrációs futtatókörnyezet társított szolgáltatásban vagy tevékenységekben való használatakor megjelenő figyelmeztetés.

Webhook-tevékenységek esetén az Integrációs futtatókörnyezet használata engedélyezhető a munkaterület címke enable_webhookonir segítségével, ezt követően a felhasználói felületen kiválasztható egy VNET IR.

Ha nyilvános hálózati hozzáférésre van szükség, használjon DEP-engedélyezett munkaterület nélküli munkaterületet ahelyett, hogy az Azure IR-t DEP-engedélyezett munkaterülettel keveri.

Kapcsolódó tartalom

  • Last updated on