Red virtual administrada de Azure Synapse AnalyticsAzure Synapse Analytics Managed Virtual Network

En este artículo se explica la red virtual administrada en Azure Synapse Analytics.This article will explain Managed Virtual Network in Azure Synapse Analytics.

Red virtual del área de trabajo administradaManaged workspace Virtual Network

Al crear un área de trabajo de Azure Synapse, puede elegir asociarla a Microsoft Azure Virtual Network.When you create your Azure Synapse workspace, you can choose to associate it to a Microsoft Azure Virtual Network. La red virtual asociada al área de trabajo se administra mediante Azure Synapse.The Virtual Network associated with your workspace is managed by Azure Synapse. Esta red virtual se denomina red virtual de área de trabajo administrada.This Virtual Network is called a Managed workspace Virtual Network.

La red virtual de área de trabajo administrada aporta valor de cuatro formas:Managed workspace Virtual Network provides you value in four ways:

  • Con una red virtual de área de trabajo administrada puede dejar que Azure Synapse se ocupe de la pesada tarea de administrar la red virtual.With a Managed workspace Virtual Network you can offload the burden of managing the Virtual Network to Azure Synapse.
  • No es necesario configurar reglas de grupo de seguridad de red de entrada en sus propias redes virtuales para permitir que el tráfico de administración de Azure Synapse entre en la red virtual.You don't have to configure inbound NSG rules on your own Virtual Networks to allow Azure Synapse management traffic to enter your Virtual Network. La configuración incorrecta de estas reglas de grupo de seguridad de red provoca la interrupción del servicio para los clientes.Misconfiguration of these NSG rules causes service disruption for customers.
  • No es necesario crear una subred para los clústeres de Spark en función de la carga máxima.You don't need to create a subnet for your Spark clusters based on peak load.
  • La red virtual de área de trabajo administrada, junto con los puntos de conexión privados administrados, sirven de protección contra la filtración de datos.Managed workspace Virtual Network along with Managed private endpoints protects against data exfiltration. Solo se pueden crear puntos de conexión privados administrados en áreas de trabajo que tengan asociadas una red virtual de área de trabajo administrada.You can only create Managed private endpoints in a workspace that has a Managed workspace Virtual Network associated with it.

La creación de un área de trabajo con una red virtual de área de trabajo administrada asociada garantiza que el área de trabajo esté aislada por la red de otras áreas de trabajo.Creating a workspace with a Managed workspace Virtual Network associated with it ensures that your workspace is network isolated from other workspaces. Azure Synapse ofrece varias funcionalidades de análisis en un área de trabajo: Integración de datos, grupo de Apache Spark sin servidor, grupo de SQL dedicado y grupo de SQL sin servidor.Azure Synapse provides various analytic capabilities in a workspace: Data integration,serverless Apache Spark pool, dedicated SQL pool, and serverless SQL pool.

Si el área de trabajo tiene una red virtual de área de trabajo administrada, en ella se implementan la integración de datos y los recursos de Spark.If your workspace has a Managed workspace Virtual Network, Data integration and Spark resources are deployed in it. Una red virtual de área de trabajo administrada también proporciona aislamiento en el nivel de usuario para las actividades de Spark, ya que cada clúster de Spark está en su propia subred.A Managed workspace Virtual Network also provides user-level isolation for Spark activities because each Spark cluster is in its own subnet.

El grupo de SQL dedicado y el grupo de SQL sin servidor son funcionalidades de varios inquilinos y, por tanto, residen fuera de la red virtual de área de trabajo administrada.Dedicated SQL pool and serverless SQL pool are multi-tenant capabilities and therefore reside outside of the Managed workspace Virtual Network. En la comunicación dentro del área de trabajo con el grupo de SQL dedicado y el grupo de SQL sin servidor se usan vínculos privados de Azure.Intra-workspace communication to dedicated SQL pool and serverless SQL pool use Azure private links. Estos vínculos privados se crean automáticamente cuando se crea un área de trabajo con una red virtual de área de trabajo administrada asociada.These private links are automatically created for you when you create a workspace with a Managed workspace Virtual Network associated to it.

Importante

Esta configuración del área de trabajo no se puede cambiar una vez creada el área de trabajo.You cannot change this workspace configuration after the workspace is created. Por ejemplo, no puede volver a configurar un área de trabajo que no tenga una red virtual de área de trabajo administrada asociada y asociarle una red virtual.For example, you cannot reconfigure a workspace that does not have a Managed workspace Virtual Network associated with it and associate a Virtual Network to it. De igual modo, no puede volver a configurar un área de trabajo que no tenga una red virtual de área de trabajo administrada asociada y desasociarle la red virtual.Similarly, you cannot reconfigure a workspace with a Managed workspace Virtual Network associated to it and disassociate the Virtual Network from it.

Creación de un área de trabajo de Azure Synapse con una red virtual de área de trabajo administradaCreate an Azure Synapse workspace with a Managed workspace Virtual Network

Si aún no lo ha hecho, registre el proveedor de recursos de red.If you have not already done so, register the Network resource provider. Al registrar un proveedor de recursos se configura la suscripción para que funcione con este.Registering a resource provider configures your subscription to work with the resource provider. Elija Microsoft.Network en la lista de proveedores de recursos al registrarse.Choose Microsoft.Network from the list of resource providers when you register.

Para crear un área de trabajo de Azure Synapse que tenga una red virtual de área de trabajo administrada asociada, seleccione la pestaña Redes en Azure Portal y active la casilla Enable managed virtual network (Habilitar red virtual administrada).To create an Azure Synapse workspace that has a Managed workspace Virtual Network associated with it, select the Networking tab in Azure portal and check the Enable managed virtual network checkbox.

Si deja la casilla desactivada, el área de trabajo no tendrá asociada ninguna red virtual.If you leave the checkbox unchecked, then your workspace won't have a Virtual Network associated with it.

Importante

En un área de trabajo que tenga una red virtual de área de trabajo administrada solo se pueden usar vínculos privados.You can only use private links in a workspace that has a Managed workspace Virtual Network.

Habilitar una red virtual de área de trabajo administrada

Después de elegir asociar una red virtual de área de trabajo administrada con el área de trabajo, puede permitir la conectividad de salida desde dicha red solo a destinos aprobados mediante puntos de conexión privados administrados con el fin de protegerse contra la filtración de datos.After you choose to associate a Managed workspace Virtual Network with your workspace, you can protect against data exfiltration by allowing outbound connectivity from the Managed workspace Virtual Network only to approved targets using Managed private endpoints. Seleccione para limitar el tráfico saliente de la red virtual de área de trabajo administrada hacia los destinos mediante puntos de conexión privados administrados.Select Yes to limit outbound traffic from the Managed workspace Virtual Network to targets through Managed private endpoints.

Importante

Metastore está deshabilitada en las áreas de trabajo de Synapse que tienen una red virtual administrada con la protección contra la filtración de datos habilitada.Metastore is disabled in Synapse workspaces that have Managed Virtual Network with data exfiltration protection enabled. En estas áreas de trabajo, no podrá usar Spark SQL.You will not be able to use Spark SQL in these workspaces.

Tráfico saliente con puntos de conexión privados administrados

Seleccione No para permitir el tráfico saliente desde el área de trabajo a cualquier destino.Select No to allow outbound traffic from the workspace to any target.

También puede controlar los destinos en los que se crean puntos de conexión privados administrados desde el área de trabajo de Azure Synapse.You can also control the targets to which Managed private endpoints are created from your Azure Synapse workspace. De forma predeterminada, se permiten los puntos de conexión privados administrados a los recursos del mismo inquilino de AAD a los que pertenezca su suscripción.By default, Managed private endpoints to resources in the same AAD tenant that your subscription belongs to are allowed. Si quiere crear un punto de conexión privado administrado a un recurso de un inquilino de AAD diferente de aquel al que pertenece la suscripción, puede agregar ese inquilino de AAD mediante + Agregar.If you want to create a Managed private endpoint to a resource in an AAD tenant that is different from the one that your subscription belongs to, then you can add that AAD tenant by selecting + Add. Puede seleccionar el inquilino de AAD de la lista desplegable o escribir manualmente el identificador de inquilino de AAD.You can either select the AAD tenant from the dropdown or manually enter the AAD tenant ID.

Adición de inquilinos de AAD adicionales

Después de crear el área de trabajo, puede comprobar si el área de trabajo de Azure Synapse está asociada a una red virtual de área de trabajo administrada; para ello, seleccione Información general en Azure Portal.After the workspace is created, you can check whether your Azure Synapse workspace is associated to a Managed workspace Virtual Network by selecting Overview from Azure portal.

Introducción al área de trabajo en Azure Portal

Pasos siguientesNext steps

Creación de un área de trabajo de Azure SynapseCreate an Azure Synapse Workspace

Más información sobre los puntos de conexión privados administradosLearn more about Managed private endpoints

Creación de puntos de conexión privados administrados a los orígenes de datosCreate Managed private endpoints to your data sources