Azure Synapse Analytics Managed Virtual Network

  • Artikel

Den här artikeln beskriver hanterade Virtual Network i Azure Synapse Analytics.

Hanterad Virtual Network

När du skapar din Azure Synapse arbetsyta kan du välja att associera den med en Microsoft Azure-Virtual Network. Den Virtual Network som är associerad med din arbetsyta hanteras av Azure Synapse. Den här Virtual Network kallas för en hanterad arbetsyta Virtual Network.

Med Virtual Network för hanterade arbetsytor får du ett värde på fyra sätt:

  • Med en hanterad arbetsyta Virtual Network kan du avlasta belastningen med att hantera Virtual Network till Azure Synapse.
  • Du behöver inte konfigurera inkommande NSG-regler på dina egna virtuella nätverk för att tillåta Azure Synapse hanteringstrafik att ange din Virtual Network. Felkonfiguration av dessa NSG-regler orsakar tjänststörningar för kunder.
  • Du behöver inte skapa ett undernät för dina Spark-kluster baserat på hög belastning.
  • Hanterade arbetsytor Virtual Network tillsammans med hanterade privata slutpunkter skyddar mot dataexfiltrering. Du kan bara skapa hanterade privata slutpunkter på en arbetsyta som har en hanterad arbetsyta Virtual Network associerad med den.

Genom att skapa en arbetsyta med en hanterad arbetsyta Virtual Network associerad med den säkerställer du att arbetsytan är nätverksisolerad från andra arbetsytor. Azure Synapse tillhandahåller olika analysfunktioner på en arbetsyta: Dataintegrering, serverlös Apache Spark-pool, dedikerad SQL-pool och serverlös SQL-pool.

Om din arbetsyta har en hanterad arbetsyta Virtual Network distribueras dataintegrering och Spark-resurser i den. En hanterad arbetsyta Virtual Network ger också isolering på användarnivå för Spark-aktiviteter eftersom varje Spark-kluster finns i ett eget undernät.

Dedikerad SQL-pool och serverlös SQL-pool är funktioner för flera klientorganisationer och finns därför utanför den hanterade arbetsytan Virtual Network. Kommunikation mellan arbetsytor till dedikerad SQL-pool och serverlös SQL-pool använder privata Azure-länkar. Dessa privata länkar skapas automatiskt åt dig när du skapar en arbetsyta med en hanterad arbetsyta Virtual Network associerad till den.

Viktigt

Du kan inte ändra den här arbetsytekonfigurationen när arbetsytan har skapats. Du kan till exempel inte konfigurera om en arbetsyta som inte har en hanterad arbetsyta Virtual Network associerad med den och associera en Virtual Network till den. På samma sätt kan du inte konfigurera om en arbetsyta med en hanterad arbetsyta Virtual Network associerad till den och koppla bort Virtual Network från den.

Skapa en Azure Synapse arbetsyta med en hanterad arbetsyta Virtual Network

Om du inte redan har gjort det registrerar du nätverksresursprovidern. När du registrerar en resursprovider konfigureras din prenumeration så att den fungerar med resursprovidern. Välj Microsoft.Network i listan över resursprovidrar när du registrerar dig.

Om du vill skapa en Azure Synapse arbetsyta som har en hanterad arbetsyta Virtual Network associerad med den väljer du fliken Nätverk i Azure Portal och markerar kryssrutan Aktivera hanterat virtuellt nätverk.

Om du lämnar kryssrutan avmarkerad har arbetsytan ingen Virtual Network associerad med den.

Viktigt

Du kan bara använda privata länkar på en arbetsyta som har en hanterad arbetsyta Virtual Network.

Skärmbild av sidan Skapa nätverk för Synapse-arbetsyta med alternativet Hanterat virtuellt nätverk aktiverat och alternativet Tillåt endast utgående datatrafik till godkända mål till Ja.

När du har valt att associera en hanterad arbetsyta Virtual Network med din arbetsyta kan du skydda mot dataexfiltrering genom att tillåta utgående anslutningar från den hanterade arbetsytan Virtual Network endast till godkända mål med hjälp av hanterade privata slutpunkter. Välj Ja om du vill begränsa utgående trafik från den hanterade arbetsytan Virtual Network till mål via hanterade privata slutpunkter.

Skärmbild av sidan Hanterat virtuellt nätverk med alternativet Tillåt endast utgående datatrafik till godkända mål till Ja.

Välj Nej om du vill tillåta utgående trafik från arbetsytan till valfritt mål.

Du kan också styra de mål som hanterade privata slutpunkter skapas till från din Azure Synapse arbetsyta. Som standard tillåts hanterade privata slutpunkter till resurser i samma AAD-klientorganisation som din prenumeration tillhör. Om du vill skapa en hanterad privat slutpunkt till en resurs i en AAD-klientorganisation som skiljer sig från den som din prenumeration tillhör kan du lägga till AAD-klienten genom att välja + Lägg till. Du kan antingen välja AAD-klientorganisationen i listrutan eller manuellt ange AAD-klientorganisations-ID:t.

Skärmbild av sidan Hanterat virtuellt nätverk med knappen Lägg till för Azure-klientorganisationer markerad.

När arbetsytan har skapats kan du kontrollera om din Azure Synapse arbetsyta är associerad med en hanterad arbetsyta Virtual Network genom att välja Översikt från Azure Portal.

Skärmbild av översiktssidan för Azure Synapse arbetsyta som anger att ett hanterat virtuellt nätverk är aktiverat.

Nästa steg

Skapa en Azure Synapse arbetsyta

Läs mer om hanterade privata slutpunkter

Skapa hanterade privata slutpunkter till dina datakällor