Connettersi alle risorse dell'area di lavoro da una rete con restrizioni
Si supponga di essere un amministratore IT che gestisce la rete con restrizioni dell'organizzazione. Si vuole abilitare la connessione di rete tra Azure Synapse Analytics Studio e una workstation all'interno di questa rete con restrizioni. Questo articolo illustra i passaggi da eseguire.
Prerequisiti
- Sottoscrizione di Azure: se non si dispone di una sottoscrizione di Azure, prima di iniziare, creare un account Azure gratuito.
- Area di lavoro di Azure Synapse Analytics: è possibile crearne una in Azure Synapse Analytics. Il nome dell'area di lavoro è necessario nel passaggio 4.
- Una rete con restrizioni: l'amministratore IT gestisce la rete con restrizioni per l'organizzazione ed dispone dell'autorizzazione per configurare i criteri di rete. Il nome della rete virtuale e della relativa subnet sono necessari nel passaggio 3.
Passaggio 1: aggiungere regole di sicurezza di rete in uscita alla rete con restrizioni
È necessario aggiungere quattro regole di sicurezza in uscita dalla rete con quattro tag di servizio.
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (Questo tipo di regola è facoltativo. Aggiungerla soltanto se si desidera condividere i dati con Microsoft.)
Lo screenshot seguente mostra i dettagli per la regola in uscita di Azure Resource Manager.
Quando si creano le altre tre regole, sostituire il valore di Tag del servizio di destinazione con AzureFrontDoor.Frontend , AzureActiveDirectory o AzureMonitor dall'elenco.
Per altre informazioni, vedere Panoramica dei tag dei servizi.
Passaggio 2: creare hub di collegamento privato
In seguito, creare un hub di collegamento privato dal portale di Azure. Per trovarlo nel portale, cercare Azure Synapse Analytics (hub di collegamento privato), quindi immettere le informazioni necessarie per crearlo.
Passaggio 3: creare un endpoint privato per Synapse Studio
Per accedere ad Azure Synapse Analytics Studio, si deve creare un endpoint privato dal portale di Azure. Per trovarlo nel portale, cercare Collegamento privato. In Centro collegamento privato selezionare Crea endpoint privato, quindi immettere le informazioni necessarie per crearlo.
Nota
Assicurarsi che il valore Regione sia uguale a quello in cui si trova l'area di lavoro di Azure Synapse Analytics.
Nella scheda Risorsa scegliere l'hub di collegamento privato creato nel passaggio 2.
Nella scheda Configurazione:
- Per Rete virtuale selezionare il nome della rete virtuale con restrizioni.
- Per Subnet selezionare la subnet della rete virtuale con restrizioni.
- Per Integrazione con zona DNS privata, scegliere Sì.
Dopo aver creato l'endpoint del collegamento privato, è possibile accedere alla pagina di accesso dello strumento Web per Azure Synapse Analytics Studio. Tuttavia, non è ancora possibile accedere alle risorse che si trovano nell'area di lavoro. Per farlo, è necessario completare il passaggio successivo.
Passaggio 4: creare endpoint privati per la risorsa dell'area di lavoro
Per accedere alle risorse all'interno della risorsa area di lavoro di Azure Synapse Analytics Studio, è necessario creare quanto segue:
- Almeno un endpoint di collegamento privato con un tipo di Risorsa secondaria di destinazione di Dev.
- Altri due endpoint di collegamento privato facoltativi di tipo Sql o SqlOnDemand, a seconda delle risorse dell'area di lavoro alle quali si desidera accedere.
La creazione di questi elementi è simile alla creazione dell'endpoint nel passaggio precedente.
Nella scheda Risorsa:
- Per Tipo di risorsa, selezionare Microsoft.Synapse/workspaces.
- Per Risorsa, selezionare il nome dell'area di lavoro creata in precedenza.
- Per Risorsa secondaria di destinazione, selezionare il tipo di endpoint:
- Sql per l'esecuzione di query SQL nel pool SQL.
- SqlOnDemand per l'esecuzione di query predefinite di SQL.
- Dev per accedere a tutti gli altri elementi all'interno delle aree di lavoro di Azure Synapse Analytics Studio. È necessario creare almeno un endpoint di collegamento privato di questo tipo.
Passaggio 5: creare endpoint privati per la risorsa di archiviazione collegata all'area di lavoro
Per accedere all'archiviazione collegata con lo strumento di esplorazione dell'archiviazione nell'area di lavoro di Azure Synapse Analytics Studio, è necessario creare un endpoint privato. I passaggi per questa operazione sono simili a quelli previsti per il passaggio 3.
Nella scheda Risorsa:
- Per Tipo di risorsa, selezionare Microsoft.Storage/storageAccounts.
- Per Risorsa, selezionare il nome dell'account di archiviazione creato in precedenza.
- Per Risorsa secondaria di destinazione, selezionare il tipo di endpoint:
- BLOB è per l'archiviazione BLOB di Azure.
- dfs è per Azure Data Lake Storage Gen2.
A questo punto è possibile accedere alla risorsa di archiviazione collegata. All'interno della rete virtuale, nell'area di lavoro di Azure Synapse Analytics Studio è possibile usare lo strumento di esplorazione dell'archiviazione per accedere alla risorsa di archiviazione collegata.
È possibile abilitare una rete virtuale gestita per l'area di lavoro, come illustrato in questa schermata:
Se si vuole accedere tramite il notebook alle risorse di archiviazione collegate con un determinato account di archiviazione, aggiungere endpoint privati gestiti in Azure Synapse Analytics Studio. Il nome dell'account di archiviazione deve essere quello indicato per l'accesso al notebook. Per altre informazioni, vedere Creare un endpoint privato gestito per l'origine dati.
Dopo aver creato questo endpoint, per lo stato di approvazione viene visualizzato lo stato In sospeso. Richiedere al proprietario l'approvazione di questo account di archiviazione, nella scheda Connessioni endpoint privato di tale account di archiviazione nel portale di Azure. Dopo l'approvazione, il notebook potrà accedere alle risorse di archiviazione collegate in questo account di archiviazione.
Le operazioni sono state completate. Ora è possibile accedere alla risorsa dell'area di lavoro di Azure Synapse Analytics Studio.
Passaggio 6: Consentire gli URL attraverso il firewall
Gli URL seguenti devono essere accessibili dal browser client dopo avere abilitato l'hub di collegamento privato di Azure Synapse.
Necessario per l'autenticazione:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com, sebbene possa essere diverso in base al tipo di account.
Necessario per la gestione dell'area di lavoro e del pool:
management.azure.com{workspaceName}.[dev|sql].azuresynapse.net{workspaceName}-ondemand.sql.azuresynapse.net
Necessario per la creazione di notebook Synapse:
aznb.azuresandbox.ms
Necessario per il controllo di accesso e la ricerca di identità:
graph.windows.net
Appendice: Registrazione DNS per l'endpoint privato
Se l'opzione "Integrazione con zona DNS privato" non è abilitata durante la creazione dell'endpoint privato come nella schermata riportata di seguito, è necessario creare la "Zona DNS privato" per ciascun endpoint privato.
Per trovare la Zona DNS privato nel portale, cercare Zona DNS privato. In Zona DNS privato inserire le informazioni riportate di seguito necessarie per crearla.
- Per Nome, inserire il nome dedicato della zona DNS privato per un endpoint privato specifico, come indicato di seguito:
privatelink.azuresynapse.netè per l'endpoint privato di accesso al gateway di Azure Synapse Analytics Studio. Vedere questo tipo di creazione di endpoint privato nel passaggio 3.privatelink.sql.azuresynapse.netè per questo tipo di endpoint privato dell'esecuzione di query SQL nel pool SQL e nel pool predefinito. Vedere la creazione dell'endpoint nel passaggio 4.privatelink.dev.azuresynapse.netè per questo tipo di endpoint privato di accesso a tutti gli altri elementi all'interno delle aree di lavoro di Azure Synapse Analytics Studio. Vedere questo tipo di creazione dell'endpoint privato nel passaggio 4.privatelink.dfs.core.windows.netè per l'endpoint privato di accesso all'area di lavoro collegata ad Azure Data Lake Storage Gen2. Vedere questo tipo di creazione dell'endpoint privato nel passaggio 5.privatelink.blob.core.windows.netè per l'endpoint privato di accesso all'area di lavoro collegata ad Archiviazione BLOB di Azure. Vedere questo tipo di creazione dell'endpoint privato nel passaggio 5.
Dopo aver creato la Zona DNS privato, immettere la zona DNS privato creata e selezionare i Collegamenti di rete virtuale per aggiungere il collegamento alla rete virtuale.
Compilare i campi obbligatori, come indicato di seguito:
- Per Nome collegamento, inserire il nome del collegamento.
- In Rete virtuale, selezionare la rete virtuale richiesta.
Dopo aver aggiunto il collegamento alla rete virtuale, è necessario aggiungere il set di record DNS nella Zona DNS privato creata in precedenza.
- In Nomeimmettere le stringhe del nome dedicato per un endpoint privato diverso:
- Web è destinato all'endpoint privato per accedere ad Azure Synapse Analytics Studio.
- "YourWorkSpaceName" è per l'endpoint privato dell'esecuzione di query SQL nel pool SQL, ma anche per l'endpoint privato di accesso a tutti gli altri elementi presenti nelle aree di lavoro di Azure Synapse Analytics Studio.
- "YourWorkSpaceName-ondemand" è per l'endpoint privato per l'esecuzione di query SQL nel pool predefinito.
- In Tiposelezionare soltanto il tipo di record DNSA.
- In Indirizzo IP, immettere l'indirizzo IP corrispondente di ciascun endpoint privato. È possibile ottenere l'indirizzo in Interfaccia di rete dalla panoramica dell'endpoint privato.
Passaggi successivi
Altre informazioni sulla Rete virtuale dell'area di lavoro gestita.
Altre informazioni sugli Endpoint privati gestiti.