從受限制的網路連線至工作區資源
假設您是 IT 管理員,負責管理組織的受限網路。 您想要在 Azure Synapse Analytics Studio 和此受限網路內的工作站之間啟用網路連線。 本文會說明如何操作。
必要條件
- Azure 訂用帳戶:如果您沒有 Azure 訂用帳戶,請在開始前先建立免費 Azure 帳戶。
- Azure Synapse Analytics 工作區:您可以從 Azure Synapse Analytics 建立訂用帳戶。 您在步驟 4 需要工作區名稱。
- 受限制的網路:IT 管理員為組織維護受限制的網路,具有權限來設定網路原則。 您在步驟 3 需要虛擬網路名稱及其子網路。
步驟 1:將網路輸出安全性規則新增至受限制的網路
您需要新增四個網路輸出安全性規則及四個服務標籤。
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (這種規則為選用。只在想要與 Microsoft 共用資料時才新增。)
下列螢幕擷取畫面顯示 Azure Resource Manager 輸出規則的詳細資料。
當您建立其他三個規則時,請將 [目的地服務標記] 的值換成清單中的 AzureFrontDoor.Frontend、AzureActiveDirectory 或 AzureMonitor。
如需詳細資訊,請參閱服務標籤概觀。
步驟 2:建立私人連結中樞
接下來,從 Azure 入口網站建立私人連結中樞。 若要在入口網站中找到這一項,請搜尋「Azure Synapse Analytics (私人連結中樞)」,然後填寫必要資訊來建立。
步驟 3:建立 Synapse Studio 的私人端點
若要存取 Azure Synapse Analytics Studio,您必須從 Azure 入口網站建立私人端點。 若要在入口網站中找到這一項,請搜尋「Private Link」。 在 [Private Link 中心],選取 [建立私人端點],然後填寫必要資訊來建立。
注意
確定 [區域] 值與 Azure Synapse Analytics 工作區所在的區域相同。
在 [資源] 索引標籤上,選擇您在步驟 2 建立的私人連結中樞。
在 [組態] 索引標籤上:
- 在 [虛擬網路] 中,選取受限制的虛擬網路名稱。
- 在 [子網路] 中,選取受限虛擬網路的子網路。
- 在 [與私人 DNS 區域整合] 中,選取 [是]。
建立私人連結端點之後,您可以存取 Azure Synapse Analytics Studio 的 Web 工具登入頁面。 不過,您還無法存取工作區內的資源。 因此,您必須完成下一個步驟。
步驟 4:建立工作區資源的私人端點
若要存取 Azure Synapse Analytics Studio 工作區資源內的資源,您需要建立下列各項:
- 至少一個以 Dev 為目標子資源類型的私人連結端點。
- 類型為 Sql 或 SqlOnDemand 的另外兩個選用私人連結端點,視您要存取工作區的哪些資源而定。
建立這些端點類似於您在上一個步驟中建立端點。
在 [資源] 索引標籤上:
- 在 [資源類型] 中,選取 [Microsoft.Synapse/workspaces]。
- 在 [資源] 中,選取您先前建立的工作區名稱。
- 在 [目標子資源] 中,選取端點類型:
- Sql 代表 SQL 集區中的 SQL 查詢執行。
- SqlOnDemand 代表 SQL 內建查詢執行。
- Dev 代表在 Azure Synapse Analytics Studio 工作區內存取其他一切。 您必須建立至少一個這種私人連結端點。
步驟 5:建立工作區連結儲存體的私人端點
若要在 Azure Synapse Analytics Studio 工作區使用儲存體總管來存取連結的儲存體,您必須建立一個私人端點。 相關步驟類似於步驟 3。
在 [資源] 索引標籤上:
- 在 [資源類型] 中,選取 [Microsoft.Storage/storageAccounts]。
- 在 [資源] 中,選取您先前建立的儲存體帳戶名稱。
- 在 [目標子資源] 中,選取端點類型:
- blob 代表 Azure Blob 儲存體。
- dfs 代表 Azure Data Lake Storage Gen2。
現在,您可以存取連結的儲存體資源。 在虛擬網路中,您可以在 Azure Synapse Analytics Studio 工作區使用儲存體總管來存取連結的儲存體資源。
您可以為工作區啟用受控虛擬網路,如下列螢幕擷取畫面所示:
如果要讓筆記本存取特定儲存體帳戶下的連結儲存體資源,請在 Azure Synapse Analytics Studio 下新增受控私人端點。 儲存體帳戶名稱應該為筆記本需要存取的儲存體帳戶。 如需詳細資訊,請參閱建立資料來源的受控私人端點。
建立此端點之後,核准狀態會顯示擱置中狀態。 在 Azure 入口網站中,請在此儲存體帳戶的 [私人端點連線] 索引標籤中,向此儲存體帳戶的擁有者要求核准。 核准之後,您的筆記本就可以存取此儲存體帳戶下的連結儲存體資源。
現在一切就緒。 您可以存取 Azure Synapse Analytics Studio 工作區資源。
步驟 6: 允許 URL 穿過防火牆
啟用 Azure Synapse 私人連結中樞之後,必須從用戶端瀏覽器存取下列 URL。
驗證必須有:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com,但這可能會根據帳戶類型而有所不同。
工作區/集區管理的必須有:
management.azure.com{workspaceName}.[dev|sql].azuresynapse.net{workspaceName}-ondemand.sql.azuresynapse.net
Synapse 筆記本製作必須有:
aznb.azuresandbox.ms
存取控制和身分識別搜尋必須有:
graph.windows.net
附錄:私人端點的 DNS 註冊
如果在建立私人端點期間未啟用「與私人 DNS 區域整合」,如下列螢幕擷取畫面所示,您必須為每個私人端點建立「私人 DNS 區域」。
若要在入口網站中找到 [私人 DNS 區域],請搜尋「私人 DNS 區域」。 在 [私人 DNS 區域] 中,填寫下列必要資訊來建立。
- 在 [名稱] 中,輸入特定私人端點的私人 DNS 區域專用名稱,如下所示:
privatelink.azuresynapse.net代表用於存取 Azure Synapse Analytics Studio 閘道的私人端點。 請參閱步驟 3 如何建立這種私人端點。privatelink.sql.azuresynapse.net代表 SQL 集區和內建集區中 SQL 查詢執行的這種私人端點。 請參閱步驟 4 如何建立端點。privatelink.dev.azuresynapse.net代表用於 Azure Synapse Analytics Studio 工作區內存取其他一切的這種私人端點。 請參閱步驟 4 如何建立這種私人端點。privatelink.dfs.core.windows.net代表用於存取工作區連結 Azure Data Lake Storage Gen2 的私人端點。 請參閱步驟 5 如何建立這種私人端點。privatelink.blob.core.windows.net代表用於存取工作區連結 Azure Blob 儲存體的私人端點。 請參閱步驟 5 如何建立這種私人端點。
建立私人 DNS 區域之後,請進入已建立的私人 DNS 區域,然後選取 [虛擬網路連結],以新增虛擬網路的連結。
填寫必要欄位,如下所示:
- 在 [連結名稱] 中,輸入連結名稱。
- 在 [虛擬網路] 中,選取您的虛擬網路。
新增虛擬網路連結之後,必須在您先前建立的私人 DNS 區域中新增 DNS 記錄集。
- 在 [名稱] 中,輸入不同私人端點的專用名稱字串:
- web 代表用於存取 Azure Synapse Analytics Studio 的私人端點。
- 「YourWorkSpaceName」代表 SQL 集區中 SQL 查詢執行的私人端點,也代表用於 Azure Synapse Analytics Studio 工作區內存取其他一切的私人端點。
- 「YourWorkSpaceName-ondemand」代表內建集區中 SQL 查詢執行的私人端點。
- 在 [類型] 中,只選取 DNS 記錄類型 A。
- 在 [IP 位址] 中,輸入每個私人端點的對應 IP 位址。 您可以從私人端點概觀取得 [網路介面] 中的 IP 位址。
下一步
深入了解受控工作區虛擬網路。
深入了解受控私人端點。