Azure Synapse Analytics 受控虛擬網路
本文會說明 Azure Synapse Analytics 中的受控虛擬網路。
受控工作區虛擬網路
當您建立 Azure Synapse 工作區時,可以選擇將其與 Microsoft Azure 虛擬網路建立關聯。 與工作區相關聯的虛擬網路是由 Azure Synapse 管理。 此虛擬網路稱為受控工作區虛擬網路。
受控工作區虛擬網路可以四種方式提供價值:
- 透過受控工作區虛擬網路,您可以將管理虛擬網路的負擔轉至 Azure Synapse。
- 您不需要在自己的虛擬網路上設定輸入 NSG 規則,即可允許 Azure Synapse 管理流量進入虛擬網路。 這些 NSG 規則的設定錯誤會導致客戶的服務中斷。
- 您不需要根據尖峰負載建立 Spark 叢集的子網路。
- 受控工作區虛擬網路以及受控私人端點可防止資料外流。 您只能在受控工作區虛擬網路相關聯的工作區中建立受控私人端點。
使用與其相關聯的受控工作區虛擬網路來建立工作區,可確保您的工作區與其他工作區之間的網路隔離。 Azure Synapse 會在工作區中提供各種分析功能:資料整合、無伺服器 Apache Spark 集區、專用 SQL 集區和無伺服器 SQL 集區。
如果您的工作區有受控工作區虛擬網路,則會在其中部署資料整合和 Spark 資源。 受控工作區虛擬網路也提供 Spark 活動的使用者層級隔離,因為每個 Spark 叢集都位於各自的子網路中。
專用 SQL 集區和無伺服器 SQL 集區是多租用戶功能,因此位於受控工作區虛擬網路之外。 專用 SQL 集區和無伺服器 SQL 集區的工作區內部通訊使用 Azure 私人連結。 當您使用相關聯的受控工作區虛擬網路建立工作區時,系統會自動建立這些私人連結。
重要
建立工作區之後,您就無法變更此工作區組態。 例如,您無法重新設定沒有相關聯受控工作區虛擬網路的工作區,並將虛擬網路與其建立關聯。 同樣地,您無法重新設定具有相關聯受控工作區虛擬網路的工作區,並將虛擬網路與其取消關聯。
建立具有受控工作區虛擬網路的 Azure Synapse 工作區
如果您尚未這樣做,請註冊網路資源提供者。 註冊資源提供者可將您的訂用帳戶設定為可搭配資源提供者使用。 當您註冊 \(部分機器翻譯\) 時,請從資源提供者清單中選擇 [Microsoft.Network]。
若要建立具有相關聯受控工作區虛擬網路的 Azure Synapse 工作區,請選取 Azure 入口網站中的 [網路] 索引標籤,然後勾選 [啟用受控虛擬網路] 核取方塊。
如果未勾選此核取方塊,則您的工作區將不會有與其相關聯的虛擬網路。
重要
您只能在具有受控工作區虛擬網路的工作區中使用私人連結。
選擇將受控工作區虛擬網路與您的工作區產生關聯之後,您可以使用受控私人端點,僅允許從受控工作區虛擬網路到核准目標的輸出連線,以防止資料外流。 選取是,可透過受控私人端點,僅允許從受控工作區虛擬網路到目標的輸出流量。
選取否,會允許從工作區到任何目標的輸出流量。
您也可以控制要從 Azure Synapse 工作區建立受控私人端點的目標。 依預設會允許將管理私人端點放入您的訂用帳戶所屬之相同 AAD 租用戶中的資源。 如果您想要在不包含訂用帳戶的 AAD 租用戶中的資源建立受控私人端點,您可以選取 [+ 新增] 以新增該 AAD 租用戶。 您可以從下拉式清單中選取 AAD 租用戶,或手動輸入 AAD 租用戶識別碼。
工作區建立後,您可以從 Azure 入口網站選取 [概觀],以檢查您的 Azure Synapse 工作區是否與受控工作區虛擬網路相關聯。
下一步
深入了解受控私人端點