你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从受限网络连接到工作区资源
假设你是 IT 管理员,负责管理组织的受限网络。 你希望在 Azure Synapse Analytics Studio 和这个受限网络内的工作站之间建立网络连接。 本文介绍如何进行此操作。
先决条件
- Azure 订阅:如果还没有 Azure 订阅,可以在开始前创建一个免费 Azure 帐户。
- Azure Synapse Analytics 工作区:你可以通过Azure Synapse Analytics 创建一个工作区。 步骤 4 中需要此工作区名称。
- 受限网络:IT 管理员为组织维护受限网络,并且有权配置网络策略。 步骤 3 中需要虚拟网络名称及其子网。
步骤 1:向受限网络添加网络出站安全规则
你需要使用四个服务标记添加四个网络出站安全规则。
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor(此规则类型是可选的。只有当你想要与 Microsoft 共享数据时才会添加。)
以下屏幕截图显示 Azure 资源管理器出站规则的详细信息。
创建其他三个规则时,请将“目标服务标记”的值替换为列表中的 AzureFrontDoor.Frontend、AzureActiveDirectory 或 AzureMonitor 。
有关详细信息,请参阅服务标记概述。
步骤 2:创建专用链接中心
接下来,通过 Azure 门户创建专用链接中心。 若要在门户中查找此项,请搜索“Azure Synapse Analytics(专用链接中心)”,然后填写所需信息进行创建。
步骤 3:为 Synapse Studio 创建专用终结点
若要访问 Azure Synapse Analytics Studio,必须从 Azure 门户创建专用终结点。 若要在门户中查找此项,请搜索“专用链接”。 在“专用链接中心”中,选择“创建专用终结点”,然后填写所需信息进行创建 。
注意
确保“区域”值与 Azure Synapse Analytics 工作区所在区域的值相同。
在“资源”选项卡上,选择你在步骤 2 中创建的专用链接中心。
在“配置”选项卡上:
- 对于“虚拟网络”,请选择受限虚拟网络名称。
- 对于“子网”,请选择受限虚拟网络的子网。
- 对于“与专用 DNS 区域集成”,请选择“是” 。
创建专用链接终结点后,可以访问 Azure Synapse Analytics Studio 的 Web 工具登录页面。 但是,你还无法访问工作区中的资源。 为此,需要完成下一步。
步骤 4:为工作区资源创建专用终结点
若要访问 Azure Synapse Analytics Studio 工作区资源中的资源,需要创建以下内容:
- 至少一个“目标子资源类型”为“Dev”的专用链接终结点 。
- 两个类型为 Sql 或 SqlOnDemand 的其他可选专用链接终结点,具体取决于要访问工作区中的哪些资源 。
创建这些终结点的方法与在上一步中创建终结点的方法类似。
在“资源”选项卡上:
- 对于“资源类型”,请选择“Microsoft.Synapse/workspaces” 。
- 对于“资源”,请选择之前创建的工作区名称。
- 对于“目标子资源”,请选择终结点类型:
- Sql,用于在 SQL 池中执行 SQL 查询。
- SqlOnDemand,用于执行 SQL 内置查询。
- Dev,用于访问 Azure Synapse Analytics Studio 工作区中的其他所有内容。 需要至少创建一个此类型的专用链接终结点。
步骤 5:为与工作区关联的存储创建专用终结点
若要使用 Azure Synapse Analytics Studio 工作区中的存储资源管理器访问关联的存储,需要创建一个专用终结点。 此操作的步骤与步骤 3 中的步骤类似。
在“资源”选项卡上:
- 对于“资源类型”,请选择“Microsoft.Storage/storageAccounts”。
- 对于“资源”,请选择之前创建的存储帐户名称。
- 对于“目标子资源”,请选择终结点类型:
- blob,用于 Azure Blob 存储。
- dfs,用于 Azure Data Lake Storage Gen2。
现在,你便可以访问关联的存储资源。 在虚拟网络中的 Azure Synapse Analytics Studio 工作区中,可以使用存储资源管理器来访问关联的存储资源。
你可以为工作区启用托管虚拟网络,如以下屏幕截图所示:
如果希望笔记本在特定存储帐户下访问关联的存储资源,请在 Azure Synapse Analytics Studio 下添加托管专用终结点。 存储帐户名称应为笔记本需要访问的帐户的名称。 有关详细信息,请参阅创建数据源的托管专用终结点。
创建此终结点后,审批状态将显示“挂起”状态。 在 Azure 门户的这个存储帐户的“专用终结点连接”选项卡中,请求该存储帐户的所有者批准。 批准后,笔记本就可以访问此存储帐户下关联的存储资源。
现已完成全部设置。 接下来,便可以访问 Azure Synapse Analytics Studio 工作区资源了。
步骤 6:允许 URL 通过防火墙
启用 Azure Synapse 专用链接中心后,必须可从客户端浏览器访问以下 URL。
身份验证所需:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com,但这可能因帐户类型而异。
工作区/池管理所需:
management.azure.com{workspaceName}.[dev|sql].azuresynapse.net{workspaceName}-ondemand.sql.azuresynapse.net
Synapse 笔记本创作需要:
aznb.azuresandbox.ms
访问控制和标识搜索需要:
graph.windows.net
附录:专用终结点的 DNS 注册
如果在专用终结点创建过程中没有启用“与专用 DNS 区域集成”,(如以下屏幕截图所示),则必须为每个专用终结点创建“专用 DNS 区域”。
若要在门户中查找“专用 DNS 区域”,请搜索“专用 DNS 区域”。 在“专用 DNS 区域”中,填写以下所需信息以创建它。
- 对于“名称”,请输入特定专用终结点的专用 DNS 区域专用名称,如下所示:
privatelink.azuresynapse.net是针对用于访问 Azure Synapse Analytics Studio 网关的专用终结点。 请参阅步骤 3,了解如何创建这类专用终结点。privatelink.sql.azuresynapse.net是针对用于在 SQL 池和内置池中执行这类 sql 查询的专用终结点。 请参阅步骤 4,了解如何创建这类终结点。privatelink.dev.azuresynapse.net是针对用于访问 Azure Synapse Analytics Studio 工作区中其他所有内容的这类专用终结点。 请参阅步骤 4,了解如何创建这类专用终结点。privatelink.dfs.core.windows.net是针对用于访问与工作区关联的 Azure Data Lake Storage Gen2 的专用终结点。 请参阅步骤 5,了解如何创建这类专用终结点。privatelink.blob.core.windows.net是针对用于访问与工作区关联的 Azure Blob 存储的专用终结点。 请参阅步骤 5,了解如何创建这类专用终结点。
创建“专用 DNS 区域”后,输入创建的专用 DNS 区域,并选择“虚拟网络链接”以添加虚拟网络的链接 。
按如下所示填写必填字段:
- 对于“链接名称”,请输入链接名称。
- 对于“虚拟网络”,请选择虚拟网络。
添加虚拟网络链接后,需要在之前创建的“专用 DNS 区域”中添加 DNS 记录集。
- 对于“名称”,请输入不同专用终结点的专用名称字符串:
- web 是针对用于访问 Azure Synapse Analytics Studio 的专用终结点。
- “YourWorkSpaceName”是针对用于在 SQL 池中执行 sql 查询的专用终结点,也针对用于访问 Azure Synapse Analytics Studio 工作区中其他所有内容的专用终结点。
- “YourWorkSpaceName-ondemand”是针对用于在内置池中执行 sql 查询的专用终结点。
- 对于“类型”,只能选择 DNS 记录类型“A” 。
- 对于“IP 地址”,请输入每个专用终结点对应的 IP 地址。 你可以通过专用终结点概述获取“网络接口”中的 IP 地址。
后续步骤
详细了解托管工作区虚拟网络。
详细了解托管专用终结点。