Nawiązywanie połączenia z bezpiecznym kontem usługi Azure Storage z obszaru roboczego usługi Synapse
W tym artykule dowiesz się, jak nawiązać połączenie z bezpiecznym kontem usługi Azure Storage z poziomu obszaru roboczego Azure Synapse. Konto usługi Azure Storage można połączyć z obszarem roboczym usługi Synapse podczas tworzenia obszaru roboczego. Po utworzeniu obszaru roboczego możesz połączyć więcej kont magazynu.
Zabezpieczone konta usługi Azure Storage
Usługa Azure Storage udostępnia model zabezpieczeń warstwowych, który umożliwia zabezpieczanie i kontrolowanie dostępu do kont magazynu. Reguły zapory adresów IP można skonfigurować w celu udzielenia ruchu z wybranych zakresów publicznych adresów IP dostępu do konta magazynu. Można również skonfigurować reguły sieci w celu udzielenia ruchu z wybranych sieci wirtualnych dostępu do konta magazynu. Możesz połączyć reguły zapory ip, które zezwalają na dostęp z wybranych zakresów adresów IP i reguł sieci, które udzielają dostępu z wybranych sieci wirtualnych na tym samym koncie magazynu. Te reguły dotyczą publicznego punktu końcowego konta magazynu. Nie potrzebujesz żadnych reguł dostępu, aby zezwolić na ruch z zarządzanych prywatnych punktów końcowych utworzonych w obszarze roboczym do konta magazynu. Reguły zapory magazynu można stosować do istniejących kont magazynu lub do nowych kont magazynu podczas ich tworzenia. Więcej informacji na temat zabezpieczania konta magazynu można znaleźć tutaj.
Obszary robocze i sieci wirtualne usługi Synapse
Podczas tworzenia obszaru roboczego usługi Synapse można włączyć skojarzenie z nią zarządzanej sieci wirtualnej. Jeśli podczas tworzenia obszaru roboczego nie włączysz zarządzanej sieci wirtualnej, obszar roboczy znajduje się w udostępnionej sieci wirtualnej wraz z innymi obszarami roboczymi usługi Synapse, z którymi nie jest skojarzona zarządzana sieć wirtualna. Jeśli podczas tworzenia obszaru roboczego włączono zarządzaną sieć wirtualną, obszar roboczy jest skojarzony z dedykowaną siecią wirtualną zarządzaną przez Azure Synapse. Te sieci wirtualne nie są tworzone w ramach subskrypcji klienta. W związku z tym nie będzie można udzielić ruchu z tych sieci wirtualnych dostępu do zabezpieczonego konta magazynu przy użyciu reguł sieci opisanych powyżej.
Uzyskiwanie dostępu do zabezpieczonego konta magazynu
Usługa Synapse działa z sieci, których nie można uwzględnić w regułach sieciowych. Należy wykonać następujące czynności, aby umożliwić dostęp z obszaru roboczego do bezpiecznego konta magazynu.
Utwórz obszar roboczy Azure Synapse z skojarzona zarządzaną siecią wirtualną i utwórz z niego zarządzane prywatne punkty końcowe do bezpiecznego konta magazynu.
Jeśli używasz witryny Azure Portal do tworzenia obszaru roboczego, możesz włączyć zarządzaną sieć wirtualną na karcie Sieć , jak pokazano poniżej. Jeśli włączysz zarządzaną sieć wirtualną lub usługa Synapse ustali, że podstawowe konto magazynu jest bezpiecznym kontem magazynu, możesz utworzyć żądanie połączenia zarządzanego prywatnego punktu końcowego do bezpiecznego konta magazynu, jak pokazano poniżej. Właściciel konta magazynu będzie musiał zatwierdzić żądanie połączenia w celu ustanowienia łącza prywatnego. Alternatywnie usługa Synapse zatwierdzi to żądanie połączenia, jeśli użytkownik tworzący pulę apache Spark w obszarze roboczym ma wystarczające uprawnienia do zatwierdzenia żądania połączenia.
Przyznaj obszarowi roboczemu Azure Synapse dostęp do bezpiecznego konta magazynu jako zaufanej usługi platformy Azure. Jako zaufana usługa Azure Synapse następnie będzie używać silnego uwierzytelniania do bezpiecznego łączenia się z kontem magazynu.
Tworzenie obszaru roboczego usługi Synapse z zarządzaną siecią wirtualną i tworzenie zarządzanych prywatnych punktów końcowych na koncie magazynu
Możesz wykonać następujące kroki , aby utworzyć obszar roboczy usługi Synapse, z którym jest skojarzona zarządzana sieć wirtualna. Po utworzeniu obszaru roboczego ze skojarzona zarządzaną siecią wirtualną możesz utworzyć zarządzany prywatny punkt końcowy na koncie bezpiecznego magazynu, wykonując kroki wymienione tutaj.
Udzielanie Azure Synapse obszarowi roboczemu dostępu do bezpiecznego konta magazynu jako zaufanej usługi platformy Azure
Funkcje analityczne, takie jak dedykowana pula SQL i bezserwerowa pula SQL, używają infrastruktury wielodostępnej, która nie jest wdrożona w zarządzanej sieci wirtualnej. Aby ruch z tych funkcji uzyskiwał dostęp do zabezpieczonego konta magazynu, należy skonfigurować dostęp do konta magazynu na podstawie przypisanej przez system tożsamości zarządzanej obszaru roboczego, wykonując poniższe kroki.
W Azure Portal przejdź do zabezpieczonego konta magazynu. Wybierz pozycję Sieć w okienku nawigacji po lewej stronie. W sekcji Wystąpienia zasobów wybierz pozycję Microsoft.Synapse/workspaces jako typ zasobu i wprowadź nazwę obszaru roboczego w polu Nazwa wystąpienia. Wybierz pozycję Zapisz.
Teraz powinno być możliwe uzyskanie dostępu do zabezpieczonego konta magazynu z obszaru roboczego.
Następne kroki
Dowiedz się więcej o zarządzanej sieci wirtualnej obszaru roboczego.
Dowiedz się więcej o zarządzanych prywatnych punktach końcowych.