Подключение к ресурсам рабочей области из сети с ограниченным доступом

Предположим, вы являетесь ИТ-администратором, который управляет сетью с ограниченным доступом вашей организации. Вам нужно включить сетевое подключение между Azure Synapse Analytics Studio и рабочей станцией в этой сети. Эта статья поможет вам сделать это.

Предварительные требования

• Подписка Azure: Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.
• Рабочая область Azure Synapse Analytics. Вы можете создать такую область в Azure Synapse Analytics. Вам потребуется имя рабочей области на шаге 4.
• Ограниченная сеть. ИТ-администратор обслуживает сеть с ограниченным доступом для организации и имеет разрешение на настройку политики сети. Вам потребуется имя виртуальной сети и ее подсеть на шаге 3.

Шаг 1. Добавление сетевых правил безопасности для исходящего трафика в сеть с ограниченным доступом

Вам необходимо добавить четыре сетевых правила безопасности для исходящего трафика с четырьмя тегами службы.

• AzureResourceManager
• AzureFrontDoor.Frontend
• AzureActiveDirectory
• AzureMonitor (этот тип правила является необязательным. Добавьте его, только если вы хотите поделиться данными с Майкрософт.)

На следующем снимке экрана показаны подробные сведения о правиле для исходящего трафика Azure Resource Manager.

При создании остальных трех правил замените значение параметра Тег службы назначения на AzureFrontDoor.Frontend, AzureActiveDirectory или AzureMonitor из списка.

Дополнительные сведения см. в статье Теги службы виртуальной сети.

Шаг 2. Создание центров приватных каналов

Затем создайте центры приватных каналов на портале Azure. Чтобы найти их на портале, выполните поиск по запросу Azure Synapse Analytics (центры приватных каналов) , а затем введите необходимые сведения, чтобы его создать.

Шаг 3. Создание частной конечной точки для Synapse Studio

Чтобы получить доступ к Azure Synapse Analytics Studio, необходимо создать частную конечную точку на портале Azure. Чтобы найти ее на портале, выполните поиск по фразе Приватный канал. В Центре Приватного каналов выберите Создание частной конечной точки, а затем укажите необходимые сведения для ее создания.

Примечание

Убедитесь, что значение параметра Регион совпадает с тем, в котором находится рабочая область Azure Synapse Analytics.

На вкладке Ресурс выберите центр приватных каналов, созданный на шаге 2.

На вкладке Конфигурация:

• В поле Виртуальная сеть выберите имя виртуальной сети с ограниченным доступом.
• В поле Подсеть выберите подсеть виртуальной сети с ограниченным доступом.
• Для параметра Интеграция с частной зоной DNS выберите Да.

После создания конечной точки приватного канала вы можете получить доступ к странице входа веб-инструмента для Azure Synapse Analytics Studio. Но вы еще не можете получить доступ к ресурсам в вашей рабочей области. Для этого необходимо выполнить следующий шаг.

Шаг 4. Создание частных конечных точек для ресурса рабочей области

Для доступа к ресурсам в ресурсе рабочей области Azure Synapse Analytics Studio необходимо создать:

• по крайней мере одну конечную точку приватного канала с типом Целевой подресурсDev;
• две остальные необязательные конечные точки приватного канала с типами SQL или SqlOnDemand в зависимости от того, доступ к каким ресурсам в рабочей области необходимо получить.

Их создание аналогично созданию конечной точки на предыдущем шаге.

На вкладке Ресурс сделайте следующее:

• Для параметра Тип ресурса выберите Microsoft.Synapse/workspaces.
• Для параметра Ресурс выберите имя рабочей области, созданной ранее.
• Для параметра Целевой подресурс выберите тип конечной точки:
  • Значение Sql предназначено для выполнения запросов SQL в пуле SQL.
  • Значение SqlOnDemand предназначено для встроенного выполнения запросов SQL.
  • Значение Dev предназначено для доступа к остальному содержимому рабочих областей Azure Synapse Analytics Studio. Вам нужно создать хотя бы одну конечную точку приватного канала этого типа.

Шаг 5. Создание частных конечных точек для связанного хранилища рабочей области

Чтобы получить доступ к связанному хранилищу с помощью обозревателя хранилища в рабочей области Azure Synapse Analytics Studio, необходимо создать одну частную конечную точку. Эти действия похожи на те, что описаны в шаге 3.

На вкладке Ресурс сделайте следующее:

• Для параметра Тип ресурса выберите Microsoft.Storage/storageAccounts.
• Для параметра Ресурс выберите имя учетной записи хранения, созданной ранее.
• Для параметра Целевой подресурс выберите тип конечной точки:
  • Значение blob предназначено для Хранилища BLOB-объектов Azure.
  • Значение DFS предназначено для Azure Data Lake Storage 2-го поколения.

Теперь у вас есть доступ к связанному ресурсу хранилища. В виртуальной сети в рабочей области Azure Synapse Analytics Studio для получения доступа к связанному ресурсу хранилища можно использовать обозреватель хранилищ.

Вы можете включить управляемую виртуальную сеть для рабочей области, как показано на следующем снимке экрана:

Если вы хотите, чтобы записная книжка имела доступ к ресурсам связанного хранилища в определенной учетной записи хранения, добавьте управляемые частные конечные точки в Azure Synapse Analytics Studio. Необходимо указать имя учетной записи хранения, к которой должна иметь доступ ваша записная книжка. Дополнительные сведения см. в статье Создание управляемой частной конечной точки для источника данных.

После создания этой конечной точки состояние утверждения показывает состояние Ожидание. Запросите утверждение от владельца этой учетной записи хранения на вкладке Подключения к частной конечной точке этой учетной записи хранения на портале Azure. После утверждения записная книжка сможет получить доступ к ресурсам связанного хранилища в этой учетной записи хранения.

Теперь все готово. У вас есть доступ к ресурсу рабочей области Azure Synapse Analytics Studio.

Шаг 6. Разрешить URL-адрес через брандмауэр

Следующие URL-адреса должны быть доступны из клиентского браузера после включения Azure Synapse концентраторе приватных ссылок.

Требуется для проверки подлинности:

• login.microsoftonline.com
• aadcdn.msauth.net
• msauth.net
• msftauth.net
• graph.microsoft.com
• login.live.com, хотя это может отличаться в зависимости от типа учетной записи.

Требуется для управления рабочей областью или пулом:

• management.azure.com
• {workspaceName}.[dev|sql].azuresynapse.net
• {workspaceName}-ondemand.sql.azuresynapse.net

Требуется для разработки записных книжек Synapse:

• aznb.azuresandbox.ms

Требуется для управления доступом и поиска удостоверений:

• graph.windows.net

Приложение. Регистрация DNS для частной конечной точки

Если параметр "Интеграция с частной зоной DNS" не включен во время создания частной конечной точки, как продемонстрировано на снимке экрана ниже, необходимо создать зону "Частная зона DNS" для каждой из частных конечных точек.

Чтобы найти частную зону DNS на портале, выполните поиск по фразе Частная зона DNS. В поле Частная зона DNS введите необходимые сведения для ее создания.

• В поле Имя введите выделенное имя частной зоны DNS для конкретной частной конечной точки, как показано ниже:
  • privatelink.azuresynapse.net предназначен для частной конечной точки доступа к шлюзу Azure Synapse Analytics Studio. См. создание частной конечной точки этого типа на шаге 3.
  • privatelink.sql.azuresynapse.net предназначен для этого типа частной конечной точки выполнения SQL-запросов в пуле SQL и встроенном пуле. См. создание частной конечной точки на шаге 4.
  • privatelink.dev.azuresynapse.net предназначен для этого типа частной конечной точки доступа к остальному содержимому рабочих областей Azure Synapse Analytics Studio. См. создание этого типа частной конечной точки на шаге 4.
  • privatelink.dfs.core.windows.net предназначен для частной конечной точки доступа к рабочей области, связанной с Azure Data Lake Storage 2-го поколения. См. создание частной конечной точки этого типа на шаге 5.
  • privatelink.blob.core.windows.net предназначен для частной конечной точки доступа к рабочей области, связанной с Azure Blob Storage. См. создание частной конечной точки этого типа на шаге 5.

После создания Частной зоны DNS введите ее и выберите Связи виртуальной сети, чтобы добавить связь с вашей виртуальной сетью.

Заполните обязательные поля, как показано ниже:

• Для параметра Имя ссылки введите имя ссылки.
• Для параметра Виртуальная сеть выберите свою виртуальную сеть.

После добавления связи виртуальной сети необходимо добавить набор записей DNS в Частную зону DNS, созданную ранее.

• Для параметра Имя введите выделенные строки имени для другой частной конечной точки:
  • Значение web предназначено для частной конечной точки доступа к Azure Synapse Analytics Studio.
  • Объект YourWorkSpaceName предназначен для частной конечной точки выполнения SQL-запросов в пуле SQL, а также для частной конечной точки доступа к остальному содержимому рабочих областей Azure Synapse Analytics Studio.
  • Объект YourWorkSpaceName-ondemand предназначен для частной конечной точки выполнения SQL-запросов во встроенном пуле.
• Для параметра Тип выберите только тип записи DNS A.
• Для параметра IP-адрес введите соответствующий IP-адрес каждой частной конечной точки. Вы можете получить IP-адрес в сетевом интерфейсе из обзора частной конечной точки.

Дальнейшие действия

Узнайте больше об управляемой виртуальной сети рабочей области.

Узнайте больше об управляемых частных конечных точках.