Udostępnij za pośrednictwem


Zarządzana sieć wirtualna platformy Azure Synapse Analytics

W tym artykule wyjaśniono zarządzaną sieć wirtualną w usłudze Azure Synapse Analytics.

Zarządzana sieć wirtualna obszaru roboczego

Podczas tworzenia obszaru roboczego usługi Azure Synapse możesz skojarzyć go z usługą Microsoft Azure Virtual Network. Sieć wirtualna skojarzona z obszarem roboczym jest zarządzana przez usługę Azure Synapse. Ta sieć wirtualna jest nazywana zarządzaną siecią wirtualną obszaru roboczego.

Zarządzana sieć wirtualna obszaru roboczego zapewnia wartość na cztery sposoby:

  • Za pomocą zarządzanej sieci wirtualnej w obszarze roboczym można przenieść ciężar zarządzania siecią wirtualną na usługę Azure Synapse.
  • Nie musisz konfigurować przychodzących reguł sieciowej grupy zabezpieczeń (NSG) we własnych sieciach wirtualnych, aby umożliwić ruch związany z zarządzaniem Azure Synapse do twojej sieci wirtualnej. Błędna konfiguracja tych reguł NSG powoduje zakłócenia usług dla klientów.
  • Nie musisz tworzyć podsieci dla klastrów Spark na podstawie szczytowego obciążenia.
  • Zarządzana sieć wirtualna obszaru roboczego wraz z zarządzanymi prywatnymi punktami końcowymi chroni przed eksfiltracją danych. Można tworzyć tylko zarządzane prywatne punkty końcowe w obszarze roboczym, z którym jest skojarzona zarządzana sieć wirtualna obszaru roboczego.

Utworzenie obszaru roboczego z zarządzaną siecią wirtualną obszaru roboczego zapewnia, że obszar roboczy jest odizolowany sieciowo od innych obszarów roboczych. Usługa Azure Synapse oferuje różne możliwości analityczne w obszarze roboczym: integracja danych, bezserwerowa pula Platformy Apache Spark, dedykowana pula SQL i bezserwerowa pula SQL.

Jeśli obszar roboczy ma zarządzaną sieć wirtualną obszaru roboczego, integracja danych i zasoby platformy Spark są w nim wdrażane. Zarządzana sieć wirtualna obszaru roboczego zapewnia również izolację na poziomie użytkownika dla działań platformy Spark, ponieważ każdy klaster Spark znajduje się we własnej podsieci.

Dedykowana pula SQL i bezserwerowa pula SQL to możliwości współdzielenia, które znajdują się poza siecią wirtualną zarządzanego obszaru roboczego. Komunikacja wewnątrz obszaru roboczego do dedykowanej puli SQL i bezserwerowej puli SQL wykorzystuje prywatne łącza platformy Azure. Te łącza prywatne są tworzone automatycznie dla ciebie, gdy tworzysz obszar roboczy z zarządzaną siecią wirtualną obszaru roboczego skojarzoną z nim.

Ważne

Nie można zmienić tej konfiguracji obszaru roboczego po utworzeniu obszaru roboczego. Na przykład nie można ponownie skonfigurować obszaru roboczego, który nie ma skojarzonej z nim zarządzanej sieci wirtualnej, ani skojarzyć z nim sieci wirtualnej. Podobnie, nie można ponownie skonfigurować obszaru roboczego, do którego jest skojarzona Zarządzana Sieć Wirtualna, ani usunąć tego skojarzenia.

Utwórz obszar roboczy Azure Synapse w zarządzanej sieci wirtualnej.

Jeśli jeszcze tego nie zrobiono, zarejestruj dostawcę zasobów sieciowych. Zarejestrowanie dostawcy zasobów umożliwia skonfigurowanie subskrypcji do pracy z dostawcą zasobów. Wybierz pozycję Microsoft.Network z listy dostawców zasobów podczas rejestrowania.

Aby utworzyć obszar roboczy usługi Azure Synapse z skojarzoną siecią wirtualną zarządzanego obszaru roboczego, zaznacz kartę Sieć w witrynie Azure Portal i zaznacz pole wyboru Włącz zarządzaną sieć wirtualną.

Jeśli pole wyboru nie zostanie zaznaczone, obszar roboczy nie będzie miał skojarzonej z nim sieci wirtualnej.

Ważne

Łącza prywatne można używać tylko w obszarze roboczym, w którym znajduje się zarządzana sieć wirtualna obszaru roboczego.

Zrzut ekranu strony Tworzenie sieci obszaru roboczego usługi Synapse, z włączoną opcją Zarządzana sieć wirtualna oraz opcją Zezwalaj na ruch wychodzący tylko do zatwierdzonych elementów docelowych ustawioną na Tak.

Po wybraniu skojarzenia zarządzanej sieci wirtualnej obszaru roboczego z obszarem roboczym można chronić przed eksfiltracją danych, zezwalając na łączność wychodzącą z zarządzanej sieci wirtualnej obszaru roboczego tylko do zatwierdzonych obiektów docelowych przy użyciu zarządzanych prywatnych punktów końcowych. Wybierz pozycję Tak , aby ograniczyć ruch wychodzący z zarządzanej sieci wirtualnej obszaru roboczego do obiektów docelowych za pośrednictwem zarządzanych prywatnych punktów końcowych.

Zrzut ekranu przedstawiający stronę Zarządzana sieć wirtualna z opcją Zezwalaj na ruch danych wychodzących tylko do zatwierdzonych miejsc docelowych na wartość Tak.

Wybierz pozycję Nie , aby zezwolić na ruch wychodzący z obszaru roboczego do dowolnego miejsca docelowego.

Możesz również kontrolować cele docelowe, dla których są tworzone zarządzane przez ciebie prywatne punkty końcowe z obszaru roboczego usługi Azure Synapse. Domyślnie zarządzane prywatne punkty końcowe do zasobów w tej samej dzierżawie identyfikatora Entra firmy Microsoft, do którego należy Twoja subskrypcja, są dozwolone. Jeśli chcesz utworzyć zarządzany prywatny punkt końcowy do zasobu w dzierżawie Microsoft Entra ID, która różni się od tej, do której należy Twoja subskrypcja, możesz dodać tę dzierżawę Microsoft Entra ID, wybierając przycisk + Dodaj. Możesz albo wybrać dzierżawcę Microsoft Entra ID z listy rozwijanej, albo ręcznie wprowadzić identyfikator dzierżawcy Microsoft Entra ID.

Zrzut ekranu przedstawiający stronę Zarządzanej sieci wirtualnej z wyróżnionym przyciskiem Dodaj dla dzierżawców Azure.

Po utworzeniu obszaru roboczego możesz sprawdzić, czy obszar roboczy usługi Azure Synapse jest skojarzony z zarządzaną siecią wirtualną obszaru roboczego, wybierając pozycję Przegląd w witrynie Azure Portal.

Zrzut ekranu przedstawiający stronę przeglądu obszaru roboczego usługi Azure Synapse wskazującą, że zarządzana sieć wirtualna jest włączona.