分享方式:


從您的 Synapse 工作區連線到安全的 Azure 儲存體帳戶

本文將告訴您,如何從 Azure Synapse 工作區連線到安全的 Azure 儲存體帳戶。 當您建立工作區時,可以將 Azure 儲存體帳戶連結至您的 Synapse 工作區。 您可以在建立工作區後連結更多的儲存體帳戶。

安全的 Azure 儲存體帳戶

Azure 儲存體提供多層式安全性模型,可讓您保護和控制對儲存體帳戶的存取。 您可以設定 IP 防火牆規則,授與來自選定的公共 IP 位址範圍的流量存取您儲存體帳戶的權限。 您也可以設定網路規則,授與來自選定的虛擬網路的流量存取您儲存體帳戶的權限。 您可以在相同的儲存體帳戶上結合 IP 防火牆規則 (允許來自選定的公共 IP 位址範圍的存取) 和網路規則 (允許來自選定的虛擬網路的存取)。 這些規則適用於儲存體帳戶的公用端點。 您不需要任何存取規則,即可允許從建立於工作區中的受控私人端點到儲存體帳戶的流量。 儲存體防火牆規則可以套用到現有的儲存體帳戶或新建立的儲存體帳戶。 您可以在這裡深入瞭解如何保護您的儲存體帳戶。

Synapse 工作區和虛擬網路

當您建立 Synapse 工作區時,可以選擇讓受控虛擬網路與其相關聯。 如果您在建立工作區時未啟用受控虛擬網路,那麼您的工作區會在共用的虛擬網路中,與其他也沒有相關聯受控虛擬網路的 Synapse 工作區在一起。 如果您在建立工作區時啟用受控虛擬網路,那麼您的工作區會與 Azure Synapse 管理的專用虛擬網路相關聯。 您的客戶訂閱中不會建立這些虛擬網路。 因此,您將無法使用上述網路規則,授與這些虛擬網路流量存取您的安全儲存體帳戶。

存取安全的儲存體帳戶

Synapse 執行於無法包含在您網路規則中的網路。 您必須完成下列動作,才能從工作區存取安全的儲存體帳戶。

  • 使用與其相關聯的受控虛擬網路建立 Azure Synapse 工作區,並從該工作區建立受控私人端點至安全的儲存體帳戶。

    如果您使用 Azure 入口網站來建立工作區,可以在 [網路] 索引標籤下啟用受控虛擬網路,如下所示。 如果您啟用受控虛擬網路或 Synapse,判斷主要儲存體帳戶是安全的儲存體帳戶,您可以選擇建立受控私人端點連線要求至安全的儲存體帳戶,如下所示。 儲存體帳戶擁有者需要核准連線要求,才能建立私人連結。 或者,如果在工作區中建立 Apache Spark 集區的使用者擁有足夠權限可核准連線要求,則 Synapse 會核准此連線要求。 Enable Managed VNet and Managed private endpoint

  • 授與您的 Azure Synapse 工作區存取安全儲存體帳戶的權限,作為受信任的 Azure 服務。 Azure Synapse 作為受信任的服務,接著會使用增強式驗證來安全地連線到您的儲存體帳戶。

建立具有受控虛擬網路的 Synapse 工作區,並為您的儲存體帳戶建立受控私人端點

您可以遵循這些步驟建立 Synapse 工作區,其具有與其相關聯的受控虛擬網路。 一旦建立了具有相關聯受控虛擬網路的工作區之後,您就可以依照此處所列的步驟,為您的安全儲存體帳戶建立受控私人端點。

授與您的 Azure Synapse 工作區存取安全儲存體帳戶的權限,作為受信任的 Azure 服務

專用 SQL 集區和無伺服器 SQL 集區等分析功能,使用未部署到受控虛擬網路中的多租用戶基礎結構。 為了讓來自這些功能的流量存取受保護的儲存體帳戶,您必須遵循下列步驟,根據工作區系統指派的受控識別來設定儲存體帳戶的存取權。

在 Azure 入口網站中,瀏覽至您的安全儲存體帳戶。 在左側導覽窗格中選取 [網路]。 在 [資源執行個體] 區段,選取 [Microsoft.Synapse/workspaces] 作為 [資源類型],然後輸入您的工作區名稱為 [執行個體名稱]。 選取 [儲存]。

Storage account network configuration.

您現在應該能夠從工作區存取受保護的儲存體帳戶。

下一步

深入了解受控工作區虛擬網路

深入了解受控私人端點