Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
VAN TOEPASSING OP: 
NoSQL MongoDB Gremlin
In dit artikel leert u hoe u beheerde privé-eindpunten instelt voor analytische opslag van Azure Cosmos DB. Als u de transactionele opslag gebruikt, raadpleegt u Privé-eindpunten voor het artikel over het transactionele archief . Met beheerde privé-eindpunten kunt u de netwerktoegang van uw analytische opslag van Azure Cosmos DB beperken tot een beheerd virtueel netwerk dat is gekoppeld aan uw Azure Synapse-werkruimte. Beheerde privé-eindpunten maken een privékoppeling naar uw analytische opslag.
Notitie
Als u Privé-DNS Zones voor Azure Cosmos DB gebruikt en een door Synapse beheerd privé-eindpunt wilt maken voor de subresource van de analytische opslag, moet u eerst een DNS-zone maken voor de analytische opslag (privatelink.analytics.cosmos.azure.com) die is gekoppeld aan het virtuele netwerk van Azure Cosmos DB.
Maak een werkruimte in Azure Synapse Analytics waarvoor gegevensexfiltratie is ingeschakeld. Met gegevensexfiltratiebeveiliging kunt u ervoor zorgen dat kwaadwillende gebruikers geen gegevens van uw Azure-resources kunnen kopiëren of overdragen naar locaties buiten het bereik van uw organisatie.
De volgende toegangsbeperkingen zijn van toepassing wanneer gegevensexfiltratiebeveiliging is ingeschakeld voor een Azure Synapse Analytics-werkruimte:
Als u Azure Spark voor Azure Synapse Analytics gebruikt, is toegang alleen toegestaan voor de goedgekeurde beheerde privé-eindpunten voor analytische opslag van Azure Cosmos DB.
Als u serverloze SQL-pools van Synapse gebruikt, kunt u een query uitvoeren op elk Azure Cosmos DB-account met behulp van Azure Synapse Link. Schrijfaanvragen die externe tabellen maken als select (CETAS) zijn echter alleen toegestaan voor de goedgekeurde privé-eindpunten in het virtuele netwerk van de werkruimte.
Notitie
U kunt de configuratie van beheerde virtuele netwerken en gegevensexfiltratie niet wijzigen nadat de werkruimte is gemaakt.
Notitie
Als u enkele van de onderstaande stappen wilt uitvoeren, moet u de netwerkconfiguratie van het Azure Cosmos DB-account tijdelijk wijzigen. Ga naar het tabblad Netwerken in de portal en klik op verbindingen accepteren vanuit openbare Azure-datacenters en opties voor Middleware-IP-adressen van Azure Portal toevoegen. Na de configuratie van uw privé-eindpunt kunt u deze actie herstellen en de toegang uitschakelen.
Meld u aan bij het Azure-portaal.
Navigeer vanuit Azure Portal naar uw Synapse Analytics-werkruimte en open het deelvenster Overzicht .
Start Synapse Studio door naar het deelvenster Aan de slag te gaan en Open te selecteren onder Synapse Studio openen.
Open in Synapse Studio het tabblad Beheren .
Navigeer naar beheerde privé-eindpunten en selecteer Nieuw
Selecteer het accounttype >Continue van Azure Cosmos DB (API for NoSQL).
Vul het formulier Nieuw beheerd privé-eindpunt in met de volgende details:
Notitie
U kunt privé-eindpunten voor zowel transactionele opslag als analytische opslag toevoegen aan hetzelfde Azure Cosmos DB-account in een Azure Synapse Analytics-werkruimte. Als u alleen analytische query's wilt uitvoeren, wilt u mogelijk alleen het analytische privé-eindpunt toewijzen.
Nadat u het hebt gemaakt, gaat u naar de naam van het privé-eindpunt en selecteert u Goedkeuringen beheren in Azure Portal.
Navigeer naar uw Azure Cosmos DB-account, selecteer het privé-eindpunt en selecteer Goedkeuren.
Ga terug naar de Synapse Analytics-werkruimte en klik op Vernieuwen in het deelvenster Beheerde privé-eindpunten. Controleer of het privé-eindpunt de status Goedgekeurd heeft.
Als u een Azure Synapse-werkruimte hebt gemaakt met gegevensexfiltratiebeveiliging ingeschakeld, wordt de uitgaande toegang van Synapse Spark naar Azure Cosmos DB-accounts standaard geblokkeerd. Als Azure Cosmos DB al een bestaand privé-eindpunt heeft, wordt Synapse Spark ook geblokkeerd voor toegang tot het eindpunt.
Toegang tot Azure Cosmos DB-gegevens toestaan:
Als u Azure Synapse Link gebruikt om query's uit te voeren op Azure Cosmos DB-gegevens, voegt u een beheerd analytisch privé-eindpunt toe voor het Azure Cosmos DB-account.
Als u batch-schrijf-/leesbewerkingen en/of streaming-schrijf-/leesbewerkingen gebruikt voor transactionele opslag, voegt u een beheerd SQL - of MongoDB-privé-eindpunt toe voor het Azure Cosmos DB-account. Daarnaast moet u connectionMode ook instellen op Gateway, zoals wordt weergegeven in het volgende codefragment:
# Write a Spark DataFrame into an Azure Cosmos DB container
# To select a preferred lis of regions in a multi-region account, add .option("spark.cosmos.preferredRegions", "<Region1>, <Region2>")
YOURDATAFRAME.write\
.format("cosmos.oltp")\
.option("spark.synapse.linkedService", "<your-Cosmos-DB-linked-service-name>")\
.option("spark.cosmos.container","<your-Cosmos-DB-container-name>")\
.option("spark.cosmos.write.upsertEnabled", "true")\
.option("spark.cosmos.connection.mode", "Gateway")\
.mode('append')\
.save()
Serverloze SQL-pools in Synapse maken gebruik van multitenant-mogelijkheden die niet zijn geïmplementeerd in een beheerd virtueel netwerk. Als het Azure Cosmos DB-account een bestaand privé-eindpunt heeft, wordt serverloze SQL-pool van Synapse geblokkeerd voor toegang tot het account vanwege netwerkisolatiecontroles op het Azure Cosmos DB-account.
Netwerkisolatie voor dit account configureren vanuit een Synapse-werkruimte:
Sta de Synapse-werkruimte toegang tot het Azure Cosmos DB-account toe door de instelling voor het account op te NetworkAclBypassResourceId geven.
PowerShell gebruiken
Update-AzCosmosDBAccount -Name MyCosmosDBDatabaseAccount -ResourceGroupName MyResourceGroup -NetworkAclBypass AzureServices -NetworkAclBypassResourceId "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
Azure CLI gebruiken
az cosmosdb update --name MyCosmosDBDatabaseAccount --resource-group MyResourceGroup --network-acl-bypass AzureServices --network-acl-bypass-resource-ids "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
Notitie
Het Azure Cosmos DB-account en de Azure Synapse Analytics-werkruimte moeten zich onder dezelfde Microsoft Entra-tenant bevinden.
U hebt nu toegang tot het account vanuit serverloze SQL-pools met behulp van T-SQL-query's via Azure Synapse Link. Als u echter wilt zorgen voor netwerkisolatie voor de gegevens in analytische opslag, moet u een analytisch beheerd privé-eindpunt voor dit account toevoegen. Anders worden de gegevens in de analytische opslag niet geblokkeerd voor openbare toegang.
Belangrijk
Als u Azure Synapse Link gebruikt en netwerkisolatie nodig hebt voor uw gegevens in de analytische opslag, moet u het Azure Cosmos DB-account toewijzen aan de Synapse-werkruimte met behulp van een door analytische beheerde privé-eindpunt.
Training
Module
Azure Synapse Link implementeren met Azure Cosmos DB - Training
Azure Synapse Link implementeren met Azure Cosmos DB
Certificering
Microsoft-gecertificeerd: Azure Cosmos DB-ontwikkelaarsspecialisatie - Certifications
Schrijf efficiënte query's, maak indexeringsbeleid, beheer en inrichting van resources in de SQL-API en SDK met Microsoft Azure Cosmos DB.