Ligar a recursos da área de trabalho a partir de uma rede restrita
Suponha que é um administrador de TI que está a gerir a rede restrita da sua organização. Quer ativar a ligação de rede entre o Azure Synapse Analytics Studio e uma estação de trabalho nesta rede restrita. Este artigo mostra-lhe como.
Pré-requisitos
- Subscrição do Azure: se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.
- área de trabalho do Azure Synapse Analytics: pode criar uma a partir do Azure Synapse Analytics. Precisa do nome da área de trabalho no passo 4.
- Uma rede restrita: o administrador de TI mantém a rede restrita da organização e tem permissão para configurar a política de rede. Precisa do nome da rede virtual e da respetiva sub-rede no passo 3.
Passo 1: adicionar regras de segurança de saída de rede à rede restrita
Terá de adicionar quatro regras de segurança de saída de rede com quatro etiquetas de serviço.
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (este tipo de regra é opcional. Adicione-os apenas quando pretender partilhar os dados com a Microsoft.)
A seguinte captura de ecrã mostra os detalhes da regra de saída do Azure Resource Manager.
Quando estiver a criar as outras três regras, substitua o valor da etiqueta de serviço Destino por AzureFrontDoor.Frontend, AzureActiveDirectory ou AzureMonitor na lista.
Para obter mais informações, veja Descrição geral das etiquetas de serviço.
Passo 2: criar hubs de ligação privada
Em seguida, crie hubs de ligação privada a partir do portal do Azure. Para o encontrar no portal, procure Azure Synapse Analytics (hubs de ligação privada) e, em seguida, preencha as informações necessárias para criá-la.
Passo 3: criar um ponto final privado para a sua Synapse Studio
Para aceder ao Azure Synapse Analytics Studio, tem de criar um ponto final privado a partir do portal do Azure. Para o encontrar no portal, procure Private Link. No Centro de Private Link, selecione Criar ponto final privado e, em seguida, preencha as informações necessárias para o criar.
Nota
Certifique-se de que o valor Região é igual ao valor da área de trabalho do Azure Synapse Analytics.
No separador Recurso , selecione o hub de ligação privada, que criou no passo 2.
No separador Configuração :
- Em Rede virtual, selecione o nome da rede virtual restrita.
- Em Sub-rede, selecione a sub-rede da rede virtual restrita.
- Para Integrar com a zona DNS privada, selecione Sim.
Após a criação do ponto final da ligação privada, pode aceder à página de início de sessão da ferramenta Web do Azure Synapse Analytics Studio. No entanto, ainda não consegue aceder aos recursos dentro da área de trabalho. Para tal, tem de concluir o passo seguinte.
Passo 4: Criar pontos finais privados para o recurso da área de trabalho
Para aceder aos recursos no recurso da área de trabalho do Azure Synapse Analytics Studio, tem de criar o seguinte:
- Pelo menos um ponto final de ligação privada com um tipo de sub-recurso de Destino de Dev.
- Dois outros pontos finais opcionais de ligação privada com tipos de Sql ou SqlOnDemand, consoante os recursos na área de trabalho a que pretende aceder.
Criar estes dados é semelhante à forma como cria o ponto final no passo anterior.
No separador Recurso :
- Em Tipo de recurso, selecione Microsoft.Synapse/workspaces.
- Em Recurso, selecione o nome da área de trabalho que criou anteriormente.
- Para Sub-recurso de destino, selecione o tipo de ponto final:
- O SQL destina-se à execução de consultas SQL no conjunto de SQL.
- SqlOnDemand destina-se à execução de consultas incorporadas do SQL.
- O Programador destina-se a aceder a tudo o resto dentro das áreas de trabalho do Azure Synapse Analytics Studio. Tem de criar, pelo menos, um ponto final de ligação privada deste tipo.
Passo 5: Criar pontos finais privados para o armazenamento ligado da área de trabalho
Para aceder ao armazenamento ligado com o explorador de armazenamento na área de trabalho do Azure Synapse Analytics Studio, tem de criar um ponto final privado. Os passos para tal são semelhantes aos do passo 3.
No separador Recurso :
- Em Tipo de recurso, selecione Microsoft.Storage/storageContas.
- Em Recurso, selecione o nome da conta de armazenamento que criou anteriormente.
- Para Sub-recurso de destino, selecione o tipo de ponto final:
- O blob destina-se a Armazenamento de Blobs do Azure.
- dfs é para Azure Data Lake Storage Gen2.
Agora, pode aceder ao recurso de armazenamento ligado. Na sua rede virtual, na área de trabalho do Azure Synapse Analytics Studio, pode utilizar o explorador de armazenamento para aceder ao recurso de armazenamento ligado.
Pode ativar uma rede virtual gerida para a área de trabalho, conforme mostrado nesta captura de ecrã:
Se quiser que o seu bloco de notas aceda aos recursos de armazenamento ligados numa determinada conta de armazenamento, adicione pontos finais privados geridos no seu Azure Synapse Analytics Studio. O nome da conta de armazenamento deve ser aquele a que o seu bloco de notas precisa de aceder. Para obter mais informações, veja Criar um ponto final privado gerido para a sua origem de dados.
Depois de criar este ponto final, o estado de aprovação mostra o estado Pendente. Peça a aprovação do proprietário desta conta de armazenamento, no separador Ligações de ponto final privado desta conta de armazenamento no portal do Azure. Depois de aprovado, o seu bloco de notas pode aceder aos recursos de armazenamento ligados nesta conta de armazenamento.
Agora, tudo pronto. Pode aceder ao recurso da área de trabalho do Azure Synapse Analytics Studio.
Passo 6: permitir o URL através da firewall
Os URLs seguintes têm de estar acessíveis a partir do browser do cliente depois de ativar Azure Synapse hub de ligação privada.
Necessário para autenticação:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
-
login.live.com
, embora isto possa ser diferente com base no tipo de conta.
Necessário para a gestão de áreas de trabalho/conjuntos:
management.azure.com
{workspaceName}.[dev|sql].azuresynapse.net
{workspaceName}-ondemand.sql.azuresynapse.net
Necessário para a criação de blocos de notas do Synapse:
aznb.azuresandbox.ms
Necessário para controlo de acesso e pesquisa de identidade:
graph.windows.net
Apêndice: registo DNS para o ponto final privado
Se a opção "Integrar com a zona DNS privada" não estiver ativada durante a criação do ponto final privado como captura de ecrã abaixo, tem de criar a "zona de DNS Privado" para cada um dos pontos finais privados.
Para localizar a zona de DNS Privado no portal, procure DNS Privado zona. Na zona de DNS Privado, preencha as informações necessárias abaixo para criá-la.
- Em Nome, introduza o nome dedicado da zona DNS privado para um ponto final privado específico, conforme abaixo:
-
privatelink.azuresynapse.net
é para o ponto final privado de acesso ao gateway do Azure Synapse Analytics Studio. Veja este tipo de criação de ponto final privado no passo 3. -
privatelink.sql.azuresynapse.net
é para este tipo de ponto final privado da execução de consultas sql no conjunto de SQL e no conjunto incorporado. Veja a criação do ponto final no passo 4. -
privatelink.dev.azuresynapse.net
é para este tipo de ponto final privado de aceder a tudo o resto dentro das áreas de trabalho do Azure Synapse Analytics Studio. Veja este tipo de criação de ponto final privado no passo 4. -
privatelink.dfs.core.windows.net
é para o ponto final privado de acesso à área de trabalho ligada Azure Data Lake Storage Gen2. Veja este tipo de criação de ponto final privado no passo 5. -
privatelink.blob.core.windows.net
é para o ponto final privado de acesso à área de trabalho ligada Armazenamento de Blobs do Azure. Veja este tipo de criação de ponto final privado no passo 5.
-
Após a DNS Privado zona criada, introduza a zona DNS privada criada e selecione as ligações de rede virtual para adicionar a ligação à sua rede virtual.
Preencha os campos obrigatórios como abaixo:
- Em Nome da ligação, introduza o nome da ligação.
- Para Rede virtual, selecione a sua rede virtual.
Depois de adicionar a ligação de rede virtual, tem de adicionar o conjunto de registos DNS na zona de DNS Privado que criou anteriormente.
- Em Nome, introduza as cadeias de nomes dedicados para diferentes pontos finais privados:
- a Web destina-se ao ponto final privado de acesso ao Azure Synapse Analytics Studio.
- "YourWorkSpaceName" destina-se ao ponto final privado da execução de consultas sql no conjunto de SQL e também ao ponto final privado de aceder a tudo o resto dentro das áreas de trabalho do Azure Synapse Analytics Studio.
- "YourWorkSpaceName-ondemand" destina-se ao ponto final privado da execução de consultas sql no conjunto incorporado.
- Em Tipo, selecione Apenas o tipo de registo DNS A .
- Para o endereço IP, introduza o endereço IP correspondente de cada ponto final privado. Pode obter o endereço IP na Interface de rede a partir da descrição geral do ponto final privado.
Passos seguintes
Saiba mais sobre a rede virtual da área de trabalho gerida.
Saiba mais sobre os pontos finais privados geridos.