Подключение к защищенной учетной записи хранения Azure из рабочей области Azure Synapse

  • Статья

В этой статье поясняется, как подключиться к защищенной учетной записи хранения Azure из рабочей области Azure Synapse. При создании рабочей области вы можете связать учетную запись хранения Azure с рабочей областью Synapse. После создания рабочей области можно связать дополнительные учетные записи хранения.

Защищенные учетные записи хранения Azure

Служба хранилища Azure предоставляет многоуровневую модель безопасности, которая позволяет защищать и контролировать доступ к учетным записям хранения. Вы можете настроить правила брандмауэра IP-адресов, чтобы предоставить трафику из выбранных общедоступных IP-адресов доступ в учетную запись хранения. Вы также можете настроить правила сети, чтобы предоставить трафику из выбранных виртуальных сетей доступ к учетной записи хранилища. Вы можете объединить правила брандмауэра IP-адресов, разрешающие доступ из выбранных диапазонов IP-адресов, и правила сети, которые предоставляют доступ из выбранных виртуальных сетей в той же учетной записи хранения. Эти правила применяются к общедоступной конечной точке учетной записи хранения. Правила доступа не нужны, чтобы разрешить трафик от управляемых частных конечных точек, созданных в рабочей области, к учетной записи хранения. Правила брандмауэра хранилища могут быть применены к существующим учетным записям хранения или к новым учетным записям хранения при их создании. Дополнительные сведения о защите учетной записи хранения можно получить здесь.

Рабочие области Synapse и виртуальные сети

При создании рабочей области Synapse можно настроить включение управляемой виртуальной сети, которая будет связана с ним. Если вы не включите управляемую виртуальную сеть для рабочей области при ее создании, рабочая область будет находиться в общей виртуальной сети вместе с другими рабочими областями Synapse, с которыми не связана управляемая виртуальная сеть. Если вы включили управляемую виртуальную сеть при создании рабочей области, рабочая область будет связана с выделенной виртуальной сетью, управляемой Azure Synapse. Эти виртуальные сети не создаются в клиентской подписке. Поэтому вы не сможете предоставлять трафик из этих виртуальных сетей к защищенной учетной записи хранения с помощью описанных выше правил сети.

Доступ к защищенной учетной записи хранения

Synapse работает из сетей, которые не могут быть добавлены в правила сети. Чтобы разрешить доступ из рабочей области к защищенной учетной записи хранения, необходимо выполнить указанные ниже действия.

  • Создайте рабочую область Azure Synapse с управляемой виртуальной сетью, связанной с ней, и создайте управляемые частные конечные точки от нее к защищенной учетной записи хранения.

    Если вы используете портал Azure для создания рабочей области, вы можете включить управляемую виртуальную сеть на вкладке Сеть, как показано ниже. Если вы включили управляемую виртуальную сеть или Synapse определит, что первичная учетная запись хранения является защищенной, можно создать запрос на подключение управляемой частной конечной точки к защищенной учетной записи хранения, как показано ниже. Владелец учетной записи хранения должен утвердить запрос на подключение, чтобы установить приватный канал. Кроме того, Synapse утвердит этот запрос на подключение, если пользователь, создающий пул Apache Spark в рабочей области, имеет достаточные привилегии для утверждения запроса на подключение. Включение управляемой виртуальной сети и управляемой частной конечной точки

  • Предоставьте вашей рабочей области Azure Synapse доступ к вашей учетной записи защищенного хранения в качестве доверенной службы Azure. Для этих доверенных служб Azure Synapse будет использовать строгую аутентификацию для безопасного подключения к вашей учетной записи хранилища.

Создание рабочей области Synapse с управляемой виртуальной сетью и создание управляемых частных конечных точек в учетной записи хранения

Вы можете выполнить следующие действия, чтобы создать рабочую область Synapse со связанной с ней управляемой виртуальной сетью. После создания рабочей области со связанной управляемой виртуальной сетью можно создать управляемую закрытую конечную точку для защищенной учетной записи хранения, выполнив описанные здесь действия.

Предоставьте вашей рабочей области Azure Synapse доступ к вашей защищенной учетной записи хранения в качестве доверенной службы Azure.

Аналитические возможности, такие как выделенный пул SQL и бессерверный пул SQL, используют мультитенантную инфраструктуру, которая не развертывается в управляемой виртуальной сети. Чтобы трафик из этих возможностей мог получить доступ к защищенной учетной записи хранения, необходимо настроить доступ к учетной записи хранения на основе управляемого системой удостоверения рабочей области, выполнив указанные ниже действия.

Войдите в защищенную учетную запись хранения на портале Azure. В области навигации слева в разделе нажмите Сети. В разделе Экземпляры ресурсов выберите Microsoft.Synapse/workspaces в качестве типа ресурса и введите имя рабочей области в поле Имя экземпляра. Щелкните Сохранить.

Конфигурация сети учетной записи хранения.

Теперь вы можете получить доступ к защищенной учетной записи хранения из рабочей области.

Дальнейшие действия

Узнайте больше об управляемой виртуальной сети рабочей области.

Узнайте больше об управляемых частных конечных точках.