Ansluta till arbetsyteresurser från ett begränsat nätverk

  • Artikel

Anta att du är en IT-administratör som hanterar organisationens begränsade nätverk. Du vill aktivera nätverksanslutningen mellan Azure Synapse Analytics Studio och en arbetsstation i det här begränsade nätverket. Den här artikeln visar hur du gör.

Förutsättningar

  • Azure-prenumeration: Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.
  • Azure Synapse Analytics-arbetsyta: Du kan skapa en från Azure Synapse Analytics. Du behöver arbetsytans namn i steg 4.
  • Ett begränsat nätverk: IT-administratören underhåller det begränsade nätverket för organisationen och har behörighet att konfigurera nätverksprincipen. Du behöver namnet på det virtuella nätverket och dess undernät i steg 3.

Steg 1: Lägg till utgående säkerhetsregler för nätverk i det begränsade nätverket

Du måste lägga till fyra utgående säkerhetsregler för nätverk med fyra tjänsttaggar.

  • AzureResourceManager
  • AzureFrontDoor.Frontend
  • AzureActiveDirectory
  • AzureMonitor (Den här typen av regel är valfri. Lägg bara till den när du vill dela data med Microsoft.)

Följande skärmbild visar information om Azure Resource Manager utgående regel.

Skärmbild av information om Azure Resource Manager-tjänsttagg.

När du skapar de andra tre reglerna ersätter du värdet för måltjänsttaggen med AzureFrontDoor.Frontend, AzureActiveDirectory eller AzureMonitor från listan.

Mer information finns i Översikt över tjänsttaggar.

Skapa sedan privata länkhubbar från Azure Portal. Om du vill hitta detta i portalen söker du efter Azure Synapse Analytics (privata länkhubbar) och fyller sedan i den information som krävs för att skapa den.

Skärmbild av Skapa en privat Länk-hubb för Synapse.

Steg 3: Skapa en privat slutpunkt för din Synapse Studio

För att få åtkomst till Azure Synapse Analytics Studio måste du skapa en privat slutpunkt från Azure Portal. Du hittar detta i portalen genom att söka efter Private Link. I Private Link Center väljer du Skapa privat slutpunkt och fyller sedan i den information som krävs för att skapa den.

Anteckning

Kontrollera att värdet för Region är samma som det där din Azure Synapse Analytics-arbetsyta finns.

Skärmbild av fliken Skapa en privat slutpunkt, fliken Grunder.

På fliken Resurs väljer du den privata länkhubben, som du skapade i steg 2.

Skärmbild av skapa en privat slutpunkt, fliken Resurs.

På fliken Konfiguration :

  • För Virtuellt nätverk väljer du namnet på det begränsade virtuella nätverket.
  • För Undernät väljer du undernätet för det begränsade virtuella nätverket.
  • För Integrera med privat DNS-zon väljer du Ja.

Skärmbild av fliken Skapa en privat slutpunkt, fliken Konfiguration.

När slutpunkten för den privata länken har skapats kan du komma åt inloggningssidan för webbverktyget för Azure Synapse Analytics Studio. Du kan dock inte komma åt resurserna på din arbetsyta ännu. För det måste du slutföra nästa steg.

Steg 4: Skapa privata slutpunkter för din arbetsyteresurs

För att få åtkomst till resurserna i din Azure Synapse Analytics Studio-arbetsyteresurs måste du skapa följande:

  • Minst en slutpunkt för privat länk med underresurstypen Mål för utveckling.
  • Två andra valfria privata länkslutpunkter med typer av Sql eller SqlOnDemand, beroende på vilka resurser på arbetsytan som du vill komma åt.

Att skapa dessa liknar hur du skapar slutpunkten i föregående steg.

På fliken Resurs :

  • För Resurstyp väljer du Microsoft.Synapse/workspaces.
  • För Resurs väljer du namnet på arbetsytan som du skapade tidigare.
  • För Målunderresurs väljer du slutpunktstypen:
    • SQL är för SQL-frågekörning i SQL-pool.
    • SqlOnDemand är för inbyggd SQL-frågekörning.
    • Dev är till för att komma åt allt annat i Azure Synapse Analytics Studio-arbetsytor. Du måste skapa minst en privat länkslutpunkt av den här typen.

Skärmbild av Skapa en privat slutpunkt, fliken Resurs, arbetsytan.

Steg 5: Skapa privata slutpunkter för länkad lagring för arbetsyta

Om du vill komma åt den länkade lagringen med lagringsutforskaren i Azure Synapse Analytics Studio-arbetsytan måste du skapa en privat slutpunkt. Stegen för detta liknar stegen i steg 3.

På fliken Resurs :

  • För Resurstyp väljer du Microsoft.Storage/storageAccounts.
  • För Resurs väljer du namnet på lagringskontot som du skapade tidigare.
  • För Målunderresurs väljer du slutpunktstypen:
    • blob är till för Azure Blob Storage.
    • dfs är för Azure Data Lake Storage Gen2.

Skärmbild av Skapa en privat slutpunkt, fliken Resurs, lagring.

Nu kan du komma åt den länkade lagringsresursen. I ditt virtuella nätverk, på din Azure Synapse Analytics Studio-arbetsyta, kan du använda lagringsutforskaren för att komma åt den länkade lagringsresursen.

Du kan aktivera ett hanterat virtuellt nätverk för din arbetsyta, som du ser i den här skärmbilden:

Skärmbild av Skapa Synapse-arbetsyta med alternativet Aktivera hanterat virtuellt nätverk markerat.

Om du vill att anteckningsboken ska få åtkomst till de länkade lagringsresurserna under ett visst lagringskonto lägger du till hanterade privata slutpunkter under din Azure Synapse Analytics Studio. Lagringskontots namn ska vara det som din notebook-fil behöver åtkomst till. Mer information finns i Skapa en hanterad privat slutpunkt för din datakälla.

När du har skapat den här slutpunkten visar godkännandetillståndet statusen Väntar. Begär godkännande från ägaren av det här lagringskontot på fliken Privata slutpunktsanslutningar i det här lagringskontot i Azure Portal. När den har godkänts kan din notebook-fil komma åt de länkade lagringsresurserna under det här lagringskontot.

Nu är allt klart. Du kan komma åt din Azure Synapse Analytics Studio-arbetsyteresurs.

Steg 6: Tillåt URL via brandväggen

Följande URL:er måste vara tillgängliga från klientwebbläsaren när du har aktiverat Azure Synapse privat länkhubb.

Krävs för autentisering:

  • login.microsoftonline.com
  • aadcdn.msauth.net
  • msauth.net
  • msftauth.net
  • graph.microsoft.com
  • login.live.com, även om detta kan vara annorlunda beroende på kontotyp.

Krävs för hantering av arbetsytor/pooler:

  • management.azure.com
  • {workspaceName}.[dev|sql].azuresynapse.net
  • {workspaceName}-ondemand.sql.azuresynapse.net

Krävs för redigering av Synapse-notebook-filer:

  • aznb.azuresandbox.ms

Krävs för åtkomstkontroll och identitetssökning:

  • graph.windows.net

Bilaga: DNS-registrering för privat slutpunkt

Om "Integrera med privat DNS-zon" inte är aktiverad när den privata slutpunkten skapas som skärmbild nedan måste du skapa "Privat DNS-zonen" för var och en av dina privata slutpunkter. Skärmbild av Skapa privat Synapse DNS-zon 1.

Sök efter Privat DNS zon för att hitta Privat DNS-zonen i portalen. I zonen Privat DNS fyller du i informationen nedan för att skapa den.

  • För Namn anger du det privata dns-zonens dedikerade namn för en specifik privat slutpunkt enligt nedan:
    • privatelink.azuresynapse.netär för den privata slutpunkten för åtkomst till Azure Synapse Analytics Studio-gateway. Se den här typen av skapande av privat slutpunkt i steg 3.
    • privatelink.sql.azuresynapse.net är för den här typen av privat slutpunkt för SQL-frågekörning i SQL-pool och inbyggd pool. Se skapandet av slutpunkten i steg 4.
    • privatelink.dev.azuresynapse.netär för den här typen av privat slutpunkt för åtkomst till allt annat i Azure Synapse Analytics Studio-arbetsytor. Se den här typen av skapande av privat slutpunkt i steg 4.
    • privatelink.dfs.core.windows.netär för den privata slutpunkten för åtkomst till arbetsytans länkade Azure Data Lake Storage Gen2. Se den här typen av skapande av privat slutpunkt i steg 5.
    • privatelink.blob.core.windows.netär för den privata slutpunkten för åtkomst till arbetsytans länkade Azure Blob Storage. Se den här typen av skapande av privat slutpunkt i steg 5.

Skärmbild av Skapa privat Synapse DNS-zon 2.

När Privat DNS zon har skapats anger du den skapade privata DNS-zonen och väljer länkarna för virtuella nätverk för att lägga till länken till det virtuella nätverket.

Skärmbild av Skapa privat Synapse DNS-zon 3.

Fyll i de obligatoriska fälten enligt nedan:

  • För Länknamn anger du länknamnet.
  • För Virtuellt nätverk väljer du ditt virtuella nätverk.

Skärmbild av Create Synapse private DNS zone 4 (Skapa en privat Synapse DNS-zon 4).

När länken för det virtuella nätverket har lagts till måste du lägga till DNS-postuppsättningen i den Privat DNS zon som du skapade tidigare.

  • För Namn anger du de dedikerade namnsträngarna för olika privata slutpunkter:
    • webb är för den privata slutpunkten för åtkomst Azure Synapse Analytics Studio.
    • "YourWorkSpaceName" är för den privata slutpunkten för SQL-frågekörning i SQL-poolen och även för den privata slutpunkten för åtkomst till allt annat i Azure Synapse Analytics Studio-arbetsytor.
    • "YourWorkSpaceName-ondemand" är för den privata slutpunkten för SQL-frågekörning i den inbyggda poolen.
  • För Typ väljer du ENDAST DNS-posttyp A .
  • För IP-adress anger du motsvarande IP-adress för varje privat slutpunkt. Du kan hämta IP-adressen i nätverksgränssnittet från översikten över din privata slutpunkt.

Skärmbild av Skapa privat Synapse DNS-zon 5.

Nästa steg

Läs mer om virtuellt nätverk för hanterad arbetsyta.

Läs mer om hanterade privata slutpunkter.