Zarządzana sieć wirtualna usługi Azure Synapse Analytics

W tym artykule wyjaśniono zarządzaną sieć wirtualną w usłudze Azure Synapse Analytics.

Zarządzana sieć wirtualna obszaru roboczego

Podczas tworzenia obszaru roboczego usługi Azure Synapse możesz skojarzyć go z usługą Microsoft Azure Virtual Network. Sieć wirtualna skojarzona z obszarem roboczym jest zarządzana przez usługę Azure Synapse. Ta sieć wirtualna jest nazywana zarządzaną siecią wirtualną obszaru roboczego.

Zarządzana sieć wirtualna obszaru roboczego zapewnia wartość na cztery sposoby:

  • Dzięki zarządzanej sieci wirtualnej obszaru roboczego można odciążyć obciążenie związane z zarządzaniem siecią wirtualną do usługi Azure Synapse.
  • Nie musisz konfigurować przychodzących reguł sieciowej grupy zabezpieczeń we własnych sieciach wirtualnych, aby zezwolić na ruch zarządzania usługi Azure Synapse do sieci wirtualnej. Błędna konfiguracja tych reguł sieciowej grupy zabezpieczeń powoduje zakłócenia usług dla klientów.
  • Nie musisz tworzyć podsieci dla klastrów Spark na podstawie szczytowego obciążenia.
  • Zarządzana sieć wirtualna obszaru roboczego wraz z zarządzanymi prywatnymi punktami końcowymi chroni przed eksfiltracją danych. Zarządzane prywatne punkty końcowe można tworzyć tylko w obszarze roboczym, z którym jest skojarzona zarządzana sieć wirtualna obszaru roboczego.

Utworzenie obszaru roboczego z skojarzona z nią siecią wirtualną zarządzanego obszaru roboczego gwarantuje, że obszar roboczy jest odizolowany od innych obszarów roboczych. Usługa Azure Synapse oferuje różne możliwości analityczne w obszarze roboczym: integracja danych, bezserwerowa pula Apache Spark, dedykowana pula SQL i bezserwerowa pula SQL.

Jeśli obszar roboczy ma zarządzaną sieć wirtualną obszaru roboczego, integracja danych i zasoby platformy Spark są w nim wdrażane. Zarządzana sieć wirtualna obszaru roboczego zapewnia również izolację na poziomie użytkownika dla działań platformy Spark, ponieważ każdy klaster Spark znajduje się we własnej podsieci.

Dedykowana pula SQL i bezserwerowa pula SQL są funkcjami wielodostępności i dlatego znajdują się poza zarządzaną siecią wirtualną obszaru roboczego. Komunikacja wewnątrz obszaru roboczego z dedykowaną pulą SQL i bezserwerową pulą SQL używają linków prywatnych platformy Azure. Te łącza prywatne są tworzone automatycznie podczas tworzenia obszaru roboczego z skojarzona z nią siecią wirtualną zarządzanego obszaru roboczego.

Ważne

Nie można zmienić tej konfiguracji obszaru roboczego po utworzeniu obszaru roboczego. Na przykład nie można ponownie skonfigurować obszaru roboczego, który nie ma skojarzonej z nią zarządzanej sieci wirtualnej obszaru roboczego i skojarzyć z nim sieć wirtualną. Podobnie nie można ponownie skonfigurować obszaru roboczego z skojarzona z nią zarządzaną siecią wirtualną obszaru roboczego i usunąć skojarzenie z niej sieci wirtualnej.

Tworzenie obszaru roboczego usługi Azure Synapse za pomocą zarządzanej sieci wirtualnej obszaru roboczego

Jeśli jeszcze tego nie zrobiono, zarejestruj dostawcę zasobów sieciowych. Zarejestrowanie dostawcy zasobów umożliwia skonfigurowanie subskrypcji do pracy z dostawcą zasobów. Wybierz pozycję Microsoft.Network z listy dostawców zasobów podczas rejestrowania.

Aby utworzyć obszar roboczy usługi Azure Synapse z skojarzoną z nią zarządzaną siecią wirtualną, zaznacz kartę Sieć w witrynie Azure Portal i zaznacz pole wyboru Włącz zarządzaną sieć wirtualną .

Jeśli pole wyboru nie zostanie zaznaczone, obszar roboczy nie będzie miał skojarzonej z nim sieci wirtualnej.

Ważne

W obszarze roboczym z zarządzaną siecią wirtualną obszaru roboczego można używać tylko łączy prywatnych.

Screenshot of the Create Synapse workspace networking page, with the Managed virtual network option Enabled and the Allow outbound data traffic only to approved targets option to Yes.

Po wybraniu skojarzenia zarządzanej sieci wirtualnej obszaru roboczego z obszarem roboczym można chronić przed eksfiltracją danych, zezwalając na łączność wychodzącą z zarządzanej sieci wirtualnej obszaru roboczego tylko do zatwierdzonych obiektów docelowych przy użyciu zarządzanych prywatnych punktów końcowych. Wybierz pozycję Tak , aby ograniczyć ruch wychodzący z zarządzanej sieci wirtualnej obszaru roboczego do obiektów docelowych za pośrednictwem zarządzanych prywatnych punktów końcowych.

Screenshot of the Managed virtual network page, with the Allow outbound data traffic only to approved targets option to Yes.

Wybierz pozycję Nie , aby zezwolić na ruch wychodzący z obszaru roboczego do dowolnego miejsca docelowego.

Możesz również kontrolować elementy docelowe, do których są tworzone zarządzane prywatne punkty końcowe z obszaru roboczego usługi Azure Synapse. Domyślnie zarządzane prywatne punkty końcowe do zasobów w tej samej dzierżawie usługi AAD, do których należy Twoja subskrypcja, są dozwolone. Jeśli chcesz utworzyć zarządzany prywatny punkt końcowy do zasobu w dzierżawie usługi AAD, która różni się od tego, do którego należy twoja subskrypcja, możesz dodać tę dzierżawę usługi AAD, wybierając pozycję + Dodaj. Możesz wybrać dzierżawę usługi AAD z listy rozwijanej lub ręcznie wprowadzić identyfikator dzierżawy usługi AAD.

Screenshot of the Managed virtual network page, with the Add button for Azure Tenant Tenants highlighted.

Po utworzeniu obszaru roboczego możesz sprawdzić, czy obszar roboczy usługi Azure Synapse jest skojarzony z zarządzaną siecią wirtualną obszaru roboczego, wybierając pozycję Przegląd w witrynie Azure Portal.

Screenshot of the Azure Synapse workspace overview page indicating that a managed virtual network is enabled.

Następne kroki

Tworzenie obszaru roboczego usługi Azure Synapse

Dowiedz się więcej o zarządzanych prywatnych punktach końcowych

Tworzenie zarządzanych prywatnych punktów końcowych w źródłach danych