Az Azure Cosmos DB elemzési tárhoz készült Azure Private Link konfigurálása
A KÖVETKEZŐKRE VONATKOZIK: 
NoSQL MongoDB Gremlin
Ebből a cikkből megtudhatja, hogyan állíthat be felügyelt privát végpontokat az Azure Cosmos DB elemzési tárához. Ha a tranzakciós tárolót használja, tekintse meg a tranzakciós tárról szóló cikk privát végpontjait. Felügyelt privát végpontok használatával korlátozhatja az Azure Cosmos DB elemzési tár hálózati hozzáférését az Azure Synapse-munkaterülethez társított felügyelt virtuális hálózatra. A felügyelt privát végpontok létrehoznak egy privát hivatkozást az elemzési tárhoz.
Feljegyzés
Ha saját DNS Zónákat használ az Azure Cosmos DB-hez, és synapse által felügyelt privát végpontot szeretne létrehozni az elemzési tár alerőforrásához, először létre kell hoznia egy DNS-zónát az Azure Cosmos DB virtuális hálózatához társított elemzési tárhoz (privatelink.analytics.cosmos.azure.com).
Privát végpont engedélyezése az elemzési tárhoz
Azure Synapse Analytics-munkaterület beállítása felügyelt virtuális hálózattal és adatkiszivárgással
Hozzon létre egy munkaterületet az Azure Synapse Analyticsben az adatkiszivárgás engedélyezésével. Az adatkiszivárgás elleni védelemmel gondoskodhat arról, hogy a rosszindulatú felhasználók ne másolhassanak vagy továbbíthassanak adatokat az Azure-erőforrásokból a szervezet hatókörén kívüli helyekre.
Az azure Synapse Analytics-munkaterületen az adatkiszivárgás elleni védelem bekapcsolásakor a következő hozzáférési korlátozások érvényesek:
Ha az Azure Spark for Azure Synapse Analytics szolgáltatást használja, a hozzáférés csak az Azure Cosmos DB elemzési tár jóváhagyott felügyelt privát végpontjaihoz engedélyezett.
Ha a Synapse kiszolgáló nélküli SQL-készleteit használja, az Azure Synapse Link használatával bármilyen Azure Cosmos DB-fiókot lekérdezhet. A külső táblákat választóként (CETAS) létrehozó írási kérések azonban csak a munkaterület virtuális hálózatának jóváhagyott privát végpontjai számára engedélyezettek.
Feljegyzés
A munkaterület létrehozása után nem módosíthatja a felügyelt virtuális hálózat és az adatkiszivárgás konfigurációját.
Felügyelt privát végpont hozzáadása az Azure Cosmos DB elemzési tárhoz
Feljegyzés
Az alábbi lépések végrehajtásához temporar módon módosítania kell az Azure Cosmos DB-fiók hálózati konfigurációját. Nyissa meg a portál Hálózatkezelés lapját, és kattintson az Azure Portalról való hozzáférés engedélyezése lehetőségre. A privát végpont konfigurálása után visszaállíthatja ezt a műveletet, és letilthatja a hozzáférést.
Jelentkezzen be az Azure Portalra.
Az Azure Portalon lépjen a Synapse Analytics-munkaterületre, és nyissa meg az Áttekintés panelt .
Indítsa el a Synapse Studiót az Első lépések panelre lépve, és válassza a Megnyitás a Synapse Studio megnyitása csoportban lehetőséget.
A Synapse Studióban nyissa meg a Kezelés lapot.
Lépjen a felügyelt privát végpontokra, és válassza az Új lehetőséget
Válassza az Azure Cosmos DB (API for NoSQL) Folytatás típusú fióktípusát>.
Töltse ki az Új felügyelt privát végpont űrlapot a következő részletekkel:
- Név – A felügyelt privát végpont neve. Ez a név a létrehozása után nem frissíthető.
- Leírás – Adjon meg egy rövid leírást a privát végpont azonosításához.
- Azure-előfizetés – Válasszon ki egy Azure Cosmos DB-fiókot az Azure-előfizetésekben elérhető fiókok listájából.
- Azure Cosmos DB-fiók neve – Válasszon ki egy meglévő, SQL vagy MongoDB típusú Azure Cosmos DB-fiókot.
- Cél-alerőforrás – Válasszon az alábbi lehetőségek közül: Elemzés: Ha hozzá szeretné adni a privát végpontot az Azure Cosmos DB elemzési tárhoz. NoSQL (vagy MongoDB): Ha OLTP- vagy tranzakciós fiókvégpontot szeretne hozzáadni.
Feljegyzés
A tranzakciós tár és az elemzési tár privát végpontjait is hozzáadhatja ugyanahhoz az Azure Cosmos DB-fiókhoz egy Azure Synapse Analytics-munkaterületen. Ha csak elemzési lekérdezéseket szeretne futtatni, előfordulhat, hogy csak az elemzési privát végpontot szeretné leképezni.
A létrehozás után lépjen a privát végpont nevére, és válassza a Jóváhagyások kezelése lehetőséget az Azure Portalon.
Lépjen az Azure Cosmos DB-fiókjához, válassza ki a privát végpontot, és válassza a Jóváhagyás lehetőséget.
Lépjen vissza a Synapse Analytics-munkaterületre, és kattintson a Frissítés gombra a Felügyelt privát végpontok panelen. Ellenőrizze, hogy a privát végpont jóváhagyott állapotban van-e.
Az Apache Spark használata az Azure Synapse Analyticshez
Ha létrehozott egy Azure Synapse-munkaterületet, amelyen be van kapcsolva az adatkiszivárgás elleni védelem, a Synapse Sparkból az Azure Cosmos DB-fiókokba irányuló kimenő hozzáférés alapértelmezés szerint le lesz tiltva. Ha az Azure Cosmos DB-nek már van meglévő privát végpontja, a Synapse Spark nem fér hozzá.
Az Azure Cosmos DB-adatokhoz való hozzáférés engedélyezése:
Ha Az Azure Cosmos DB-adatok lekérdezéséhez az Azure Synapse Linket használja, adjon hozzá egy felügyelt elemzési privát végpontot az Azure Cosmos DB-fiókhoz.
Ha kötegelt írási/olvasási és/vagy streamelési írásokat/olvasásokat használ a tranzakciós tárolóba, adjon hozzá egy felügyelt SQL- vagy MongoDB-privát végpontot az Azure Cosmos DB-fiókhoz. Emellett a connectionMode értéket is be kell állítania az átjáróhoz, ahogyan az a következő kódrészletben látható:
# Write a Spark DataFrame into an Azure Cosmos DB container # To select a preferred lis of regions in a multi-region account, add .option("spark.cosmos.preferredRegions", "<Region1>, <Region2>") YOURDATAFRAME.write\ .format("cosmos.oltp")\ .option("spark.synapse.linkedService", "<your-Cosmos-DB-linked-service-name>")\ .option("spark.cosmos.container","<your-Cosmos-DB-container-name>")\ .option("spark.cosmos.write.upsertEnabled", "true")\ .option("spark.cosmos.connection.mode", "Gateway")\ .mode('append')\ .save()
Synapse kiszolgáló nélküli SQL-készletek használata
A Synapse kiszolgáló nélküli SQL-készletei olyan több-bérlős képességeket használnak, amelyek nincsenek üzembe helyezve a felügyelt virtuális hálózaton. Ha az Azure Cosmos DB-fiók rendelkezik meglévő privát végpontokkal, a Synapse kiszolgáló nélküli SQL-készlete nem fér hozzá a fiókhoz az Azure Cosmos DB-fiók hálózati elkülönítési ellenőrzései miatt.
A fiók hálózati elkülönítésének konfigurálása Synapse-munkaterületről:
Engedélyezze a Synapse-munkaterületnek, hogy hozzáférjen az Azure Cosmos DB-fiókhoz a fiók beállításának megadásával
NetworkAclBypassResourceId.A PowerShell használata
Update-AzCosmosDBAccount -Name MyCosmosDBDatabaseAccount -ResourceGroupName MyResourceGroup -NetworkAclBypass AzureServices -NetworkAclBypassResourceId "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"Az Azure parancssori felület használata
az cosmosdb update --name MyCosmosDBDatabaseAccount --resource-group MyResourceGroup --network-acl-bypass AzureServices --network-acl-bypass-resource-ids "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"Feljegyzés
Az Azure Cosmos DB-fióknak és az Azure Synapse Analytics-munkaterületnek ugyanabban a Microsoft Entra-bérlőben kell lennie.
Mostantól kiszolgáló nélküli SQL-készletekből is elérheti a fiókot T-SQL-lekérdezésekkel az Azure Synapse Linken keresztül. Az elemzési tárban lévő adatok hálózati elkülönítésének biztosításához azonban hozzá kell adnia egy elemzéssel felügyelt privát végpontot ehhez a fiókhoz. Ellenkező esetben az elemzési tár adatai nem lesznek blokkolva a nyilvános hozzáféréstől.
Fontos
Ha Az Azure Synapse Linket használja, és hálózati elkülönítésre van szüksége az elemzési tár adataihoz, az Azure Cosmos DB-fiókot synapse-munkaterületre kell képeznie elemzési felügyelt privát végpont használatával.
Következő lépések
- Az elemzési tár lekérdezésének első lépései az Azure Synapse Spark 3 használatával
- Az elemzési tár lekérdezésének első lépései az Azure Synapse Spark 2-vel
- Az elemzési tár lekérdezésének első lépései kiszolgáló nélküli Azure Synapse SQL-készletekkel