Připojení k prostředkům pracovního prostoru z omezené sítě

  • Článek

Předpokládejme, že jste správce IT, který spravuje síť s omezeným přístupem vaší organizace. Chcete povolit síťové připojení mezi Azure Synapse Analytics Studiem a pracovní stanicí v rámci této omezené sítě. V tomto článku se dozvíte, jak na to.

Požadavky

  • Předplatné Azure: Pokud nemáte předplatné Azure, vytvořte si bezplatný účet Azure , než začnete.
  • pracovní prostor Azure Synapse Analytics: Můžete ho vytvořit z Azure Synapse Analytics. Název pracovního prostoru potřebujete v kroku 4.
  • Síť s omezeným přístupem: Správce IT udržuje síť s omezeným přístupem pro organizaci a má oprávnění ke konfiguraci zásad sítě. Název virtuální sítě a její podsíť potřebujete v kroku 3.

Krok 1: Přidání pravidel zabezpečení odchozích síťových přenosů do sítě s omezeným přístupem

Budete muset přidat čtyři pravidla zabezpečení odchozích síťových přenosů se čtyřmi značkami služeb.

  • AzureResourceManager
  • AzureFrontDoor.Frontend
  • AzureActiveDirectory
  • AzureMonitor (Tento typ pravidla je volitelný. Přidejte ho jenom v případech, kdy chcete sdílet data s Microsoftem.)

Následující snímek obrazovky ukazuje podrobnosti o pravidle odchozích přenosů v Azure Resource Manager.

Snímek obrazovky s podrobnostmi o značce služby Azure Resource Manager

Při vytváření dalších tří pravidel nahraďte ze seznamu hodnotu Značka cílové služby hodnotami AzureFrontDoor.Frontend, AzureActiveDirectory nebo AzureMonitor .

Další informace najdete v tématu Přehled značek služeb.

Dále z Azure Portal vytvořte centra privátního propojení. Pokud ho chcete najít na portálu, vyhledejte Azure Synapse Analytics (centra privátních propojení) a vyplňte požadované informace k jeho vytvoření.

Snímek obrazovky s vytvořením centra Synapse private linku

Krok 3: Vytvoření privátního koncového bodu pro Synapse Studio

Pokud chcete získat přístup k Azure Synapse Analytics Studio, musíte z Azure Portal vytvořit privátní koncový bod. Pokud ji chcete najít na portálu, vyhledejte Private Link. V centru Private Link vyberte Vytvořit privátní koncový bod a vyplňte požadované informace k jeho vytvoření.

Poznámka

Ujistěte se, že hodnota Oblast je stejná jako hodnota, ve které je váš pracovní prostor Azure Synapse Analytics.

Snímek obrazovky s kartou Základy vytvoření privátního koncového bodu

Na kartě Prostředek zvolte centrum privátního propojení, které jste vytvořili v kroku 2.

Snímek obrazovky s kartou Vytvořit privátní koncový bod na kartě Prostředek

Na kartě Konfigurace :

  • V části Virtuální síť vyberte název virtuální sítě s omezeným přístupem.
  • V části Podsíť vyberte podsíť virtuální sítě s omezeným přístupem.
  • V části Integrace s privátní zónou DNS vyberte Ano.

Snímek obrazovky s vytvořením privátního koncového bodu na kartě Konfigurace

Po vytvoření koncového bodu privátního propojení máte přístup k přihlašovací stránce webového nástroje pro Azure Synapse Analytics Studio. Zatím ale nemáte přístup k prostředkům ve vašem pracovním prostoru. K tomu je potřeba dokončit další krok.

Krok 4: Vytvoření privátních koncových bodů pro prostředek pracovního prostoru

Pokud chcete získat přístup k prostředkům v rámci prostředku pracovního prostoru Azure Synapse Analytics Studio, musíte vytvořit následující:

  • Alespoň jeden koncový bod privátního propojení s cílovým dílčím prostředkemDev.
  • Dva další volitelné koncové body privátního propojení s typy Sql nebo SqlOnDemand v závislosti na tom, ke kterým prostředkům v pracovním prostoru chcete získat přístup.

Jejich vytvoření se podobá tomu, jak jste vytvořili koncový bod v předchozím kroku.

Na kartě Prostředek :

  • Jako Typ prostředku vyberte Microsoft.Synapse/workspaces.
  • V části Prostředek vyberte název pracovního prostoru, který jste vytvořili dříve.
  • Jako Cílový dílčí prostředek vyberte typ koncového bodu:
    • Sql slouží ke spouštění dotazů SQL ve fondu SQL.
    • SqlOnDemand je pro provádění předdefinovaných dotazů SQL.
    • Dev je pro přístup ke všemu ostatnímu v pracovních prostorech Azure Synapse Analytics Studio. Musíte vytvořit alespoň jeden koncový bod privátního propojení tohoto typu.

Snímek obrazovky s možností Vytvořit privátní koncový bod, karta Prostředek, pracovní prostor

Krok 5: Vytvoření privátních koncových bodů pro propojené úložiště pracovního prostoru

Pokud chcete získat přístup k propojenému úložišti pomocí Průzkumníka úložiště v pracovním prostoru Azure Synapse Analytics Studio, musíte vytvořit jeden privátní koncový bod. Postup je podobný jako v kroku 3.

Na kartě Prostředek :

  • Jako Typ prostředku vyberte Microsoft.Storage/storageAccounts.
  • V části Prostředek vyberte název účtu úložiště, který jste vytvořili dříve.
  • Jako Cílový dílčí prostředek vyberte typ koncového bodu:
    • objekt blob je určený pro Azure Blob Storage.
    • dfs je pro Azure Data Lake Storage Gen2.

Snímek obrazovky s možností Vytvoření privátního koncového bodu, karty Prostředek a úložiště

Teď máte přístup k propojenému prostředku úložiště. V rámci virtuální sítě můžete v pracovním prostoru Azure Synapse Analytics Studio použít Průzkumníka úložiště pro přístup k propojenému prostředku úložiště.

Pro svůj pracovní prostor můžete povolit spravovanou virtuální síť, jak je znázorněno na tomto snímku obrazovky:

Snímek obrazovky s možností Vytvořit pracovní prostor Synapse se zvýrazněnou možností Povolit spravovanou virtuální síť

Pokud chcete, aby poznámkový blok přistupoval k propojeným prostředkům úložiště v rámci určitého účtu úložiště, přidejte spravované privátní koncové body do Azure Synapse Analytics Studio. Název účtu úložiště by měl být ten, ke které váš poznámkový blok potřebuje přístup. Další informace najdete v tématu Vytvoření spravovaného privátního koncového bodu pro zdroj dat.

Po vytvoření tohoto koncového bodu se ve stavu schválení zobrazí Stav Čeká na vyřízení. Na kartě Připojení privátních koncových bodů tohoto účtu úložiště v Azure Portal požádejte vlastníka tohoto účtu úložiště o schválení. Po schválení bude mít váš poznámkový blok přístup k propojeným prostředkům úložiště v rámci tohoto účtu úložiště.

Teď je všechno nastavené. Máte přístup k prostředku pracovního prostoru Azure Synapse Analytics Studio.

Krok 6: Povolení adresy URL přes bránu firewall

Po povolení Azure Synapse centra služby Private Link musí být následující adresy URL přístupné z klientského prohlížeče.

Požadováno pro ověřování:

  • login.microsoftonline.com
  • aadcdn.msauth.net
  • msauth.net
  • msftauth.net
  • graph.microsoft.com
  • login.live.com, ale to se může lišit v závislosti na typu účtu.

Vyžaduje se pro správu pracovního prostoru nebo fondu:

  • management.azure.com
  • {workspaceName}.[dev|sql].azuresynapse.net
  • {workspaceName}-ondemand.sql.azuresynapse.net

Vyžaduje se pro vytváření poznámkových bloků Synapse:

  • aznb.azuresandbox.ms

Vyžaduje se pro řízení přístupu a vyhledávání identit:

  • graph.windows.net

Příloha: Registrace DNS pro privátní koncový bod

Pokud při vytváření privátního koncového bodu není povolená možnost Integrace se zónou privátního DNS, jak je znázorněno na následujícím snímku obrazovky, musíte pro každý z privátních koncových bodů vytvořit zónu Privátní DNS. Snímek obrazovky s vytvořením privátní zóny DNS Synapse 1

Pokud chcete najít Privátní DNS zónu na portálu, vyhledejte Privátní DNS zóna. V zóně Privátní DNS vyplňte níže požadované informace, abyste ji mohli vytvořit.

  • Jako Název zadejte vyhrazený název privátní zóny DNS pro konkrétní privátní koncový bod, jak je uvedeno níže:
    • privatelink.azuresynapse.netje určený pro privátní koncový bod pro přístup k bráně Azure Synapse Analytics Studio. Tento typ vytvoření privátního koncového bodu najdete v kroku 3.
    • privatelink.sql.azuresynapse.net je pro tento typ privátního koncového bodu spouštění dotazů SQL ve fondu SQL a integrovaném fondu. Viz vytvoření koncového bodu v kroku 4.
    • privatelink.dev.azuresynapse.netje určená pro tento typ privátního koncového bodu, který umožňuje přístup ke všemu ostatnímu v pracovních prostorech nástroje Azure Synapse Analytics Studio. Tento typ vytvoření privátního koncového bodu najdete v kroku 4.
    • privatelink.dfs.core.windows.netje pro privátní koncový bod přístupu k propojeným Azure Data Lake Storage Gen2 pracovního prostoru. Tento typ vytvoření privátního koncového bodu najdete v kroku 5.
    • privatelink.blob.core.windows.netje určená pro privátní koncový bod přístupu k propojeným Azure Blob Storage pracovního prostoru. Tento typ vytvoření privátního koncového bodu najdete v kroku 5.

Snímek obrazovky s vytvořením privátní zóny DNS Synapse 2

Po vytvoření Privátní DNS zóny zadejte vytvořenou privátní zónu DNS a výběrem možnosti Propojení virtuální sítě přidejte propojení na vaši virtuální síť.

Snímek obrazovky s vytvořením privátní zóny DNS Synapse 3

Vyplňte povinná pole následujícím způsobem:

  • Do pole Název odkazu zadejte název odkazu.
  • V části Virtuální síť vyberte virtuální síť.

Snímek obrazovky s vytvořením privátní zóny DNS Synapse 4

Po přidání propojení virtuální sítě musíte přidat sadu záznamů DNS do Privátní DNS zóny, kterou jste vytvořili dříve.

  • Jako Název zadejte vyhrazené řetězce názvů pro různé privátní koncové body:
    • web je určený pro privátní koncový bod pro přístup k Azure Synapse Analytics Studio.
    • YourWorkSpaceName je pro privátní koncový bod spouštění dotazů SQL ve fondu SQL a také pro privátní koncový bod pro přístup ke všemu ostatnímu v pracovních prostorech Azure Synapse Analytics Studio.
    • YourWorkSpaceName-ondemand je pro privátní koncový bod provádění dotazů SQL v integrovaném fondu.
  • V části Typ vyberte Záznam DNS typ Pouze A .
  • Jako IP adresa zadejte odpovídající IP adresu každého privátního koncového bodu. IP adresu můžete získat v síťovém rozhraní z přehledu privátního koncového bodu.

Snímek obrazovky s vytvořením privátní zóny DNS Synapse 5

Další kroky

Přečtěte si další informace o virtuální síti spravovaného pracovního prostoru.

Přečtěte si další informace o spravovaných privátních koncových bodech.