Az Azure Private Link konfigurálása Azure Cosmos DB elemzési tárolóhoz

A következőkre vonatkozik: SQL API Azure Cosmos db API a MongoDB

Ebből a cikkből megtudhatja, hogyan állíthat be felügyelt privát végpontokat az Azure Cosmos DB elemzési tárolóhoz. Ha a tranzakciós tárolót használja, tekintse meg a tranzakciós tároló privát végpontjaival kapcsolatos cikket. Felügyelt privát végpontok használatávalkorlátozhatja a Azure Cosmos DB elemzési tároló hálózati hozzáférését a Virtual Network munkaterületéhez társított felügyelt Azure Synapse számára. A felügyelt privát végpontok privát kapcsolatot hoznak létre az elemzési tárolóval.

Megjegyzés

Ha Cosmos DB-hoz saját DNS-zónákat használ, és synapse által felügyelt privát végpontot szeretne létrehozni az elemzésitár alerőforrásához, először létre kell hoznia egy DNS-zónát az Cosmos DB virtuális hálózatához kapcsolt elemzési tárolóhoz ( privatelink.analytics.cosmos.azure.com ).

Privát végpont engedélyezése az elemzési tárolóhoz

Munkaterület Azure Synapse Analytics virtuális hálózattal való beállítása

Munkaterület létrehozása a Azure Synapse Analytics engedélyezett adatkiszivárgással. Az adatkiszivárgáselleni védelemmel biztosíthatja, hogy a rosszindulatú felhasználók ne másolják vagy továbbítják az adatokat az Azure-erőforrásokból a szervezet hatókörén kívüli helyekre.

A következő hozzáférési korlátozások vonatkoznak arra az esetben, ha az adatkiszivárgás elleni védelem be van kapcsolva egy Azure Synapse Analytics munkaterületen:

  • Ha az Azure Sparkot használja a Azure Synapse Analytics, a hozzáférés csak a jóváhagyott felügyelt privát végpontok számára engedélyezett Azure Cosmos DB elemzési tárolóhoz.

  • Ha kiszolgáló nélküli Synapse-SQL használ, bármely Azure Cosmos DB a Link használatával Azure Synapse le. A külső táblákat select (CETAS) létrehozására vonatkozó írási kérések azonban csak a munkaterület virtuális hálózatának jóváhagyott privát végpontjai számára engedélyezettek.

Megjegyzés

A felügyelt virtuális hálózat és az adatkiszivárgás konfigurációja a munkaterület létrehozása után nem változtatható meg.

Felügyelt privát végpont hozzáadása Azure Cosmos DB elemzési tárolóhoz

  1. Jelentkezzen be az Azure Portalra.

  2. A Azure Portal nyissa meg a munkaterületet Synapse Analytics és nyissa meg az Áttekintés panelt.

  3. A Synapse Studio nyissa meg az Első lépések panelt, és válassza a Megnyitás lehetőséget a Megnyitás Synapse Studio.

  4. A Synapse Studio nyissa meg a Kezelés lapot.

  5. Lépjen a Felügyelt privát végpontok lapra, és válassza az Új lehetőséget

    Hozzon létre egy új privát végpontot az elemzési tárolóhoz.

  6. Válassza Azure Cosmos DB (SQL API) fióktípust a Folytatás > lehetőséget.

    Privát Azure Cosmos DB SQL létrehozásához válassza a Azure Cosmos DB SQL API lehetőséget.

  7. Töltse ki az Új felügyelt privát végpont űrlapot a következő adatokkal:

    • Név – A felügyelt privát végpont neve. Ez a név a létrehozása után nem frissíthető.
    • Leírás – Adjon meg egy rövid leírást a privát végpont azonosításához.
    • Azure-előfizetés – Válasszon Azure Cosmos DB egy új fiókot az Azure-előfizetésében elérhető fiókok listájából.
    • Azure Cosmos DB fiók neve – Válasszon ki egy meglévő Azure Cosmos DB, SQL Vagy MongoDB típusú fiókot.
    • Cél részösszeg – Válasszon egyet a következő lehetőségek közül: Elemzés: Ha hozzá szeretné adni a privát végpontot az Azure Cosmos DB tárolóhoz. Sql (vagy MongoDB): Ha OLTP- vagy tranzakciós fiókvégpontot szeretne hozzáadni.

    Megjegyzés

    A tranzakciós és az elemzésitár privát végpontokat is hozzáadhat ugyanakhoz a Azure Cosmos DB fiókhoz egy Azure Synapse Analytics munkaterületen. Ha csak elemzési lekérdezéseket szeretne futtatni, akkor csak az elemzési privát végpontot szeretné leképezni.

    Válassza az elemzési lehetőséget a cél-alforráshoz.

  8. A létrehozás után kattintson a privát végpont nevére, és válassza a Jóváhagyások kezelése a Azure Portal.

  9. Lépjen a saját Azure Cosmos DB, válassza ki a privát végpontot, majd válassza a Jóváhagyás lehetőséget.

  10. Lépjen vissza az Synapse Analytics munkaterületre, és kattintson a Frissítés elemre a Felügyelt privát végpontok panelen. Ellenőrizze, hogy a privát végpont Jóváhagyott állapotban van-e.

    Ellenőrizze, hogy a privát végpont jóvá van-e hagyva.

A Apache Spark használata Azure Synapse Analytics

Ha olyan Azure Synapse-munkaterületet hozott létre, amely be van kapcsolva az adatkiszivárgás elleni védelemmel, a Synapse Sparkból az Azure Cosmos DB-fiókok felé irányuló kimenő hozzáférés alapértelmezés szerint le lesz tiltva. Emellett ha a Azure Cosmos DB már rendelkezik egy meglévő privát végponttal, a Synapse Spark nem fér hozzá.

A hozzáférés engedélyezése Azure Cosmos DB adatokhoz:

  • Ha az Azure Synapse Linket használja a Azure Cosmos DB adatok lekérdezéséhez, adjon hozzá egy felügyelt analitikai privát végpontot a Azure Cosmos DB fiókhoz.

  • Ha kötegelt írásokat/olvasásokat és/vagy streamelési írásokat/olvasásokat használ a tranzakciós tárolóhoz, adjon hozzá egy felügyelt SQL- vagy MongoDB-privát végpontot a Azure Cosmos DB-fiókhoz. Emellett a connectionMode (kapcsolatmód) beállításnál is az Átjárót kell beállítania az alábbi kódrészletben látható módon:

    # Write a Spark DataFrame into an Azure Cosmos DB container
    # To select a preferred lis of regions in a multi-region account, add .option("spark.cosmos.preferredRegions", "<Region1>, <Region2>")
    
    YOURDATAFRAME.write\
      .format("cosmos.oltp")\
      .option("spark.synapse.linkedService", "<your-Cosmos-DB-linked-service-name>")\
      .option("spark.cosmos.container","<your-Cosmos-DB-container-name>")\
      .option("spark.cosmos.write.upsertEnabled", "true")\
      .option("spark.cosmos.connection.mode", "Gateway")\
      .mode('append')\
      .save()
    
    

Kiszolgáló nélküli Synapse-SQL használata

A kiszolgáló nélküli Synapse SQL készletek több-bérlős képességeket használnak, amelyek nem felügyelt virtuális hálózatban vannak telepítve. Ha a Azure Cosmos DB-fiók már rendelkezik egy meglévő privát végponttal, a kiszolgáló nélküli Synapse SQL-készlet hozzáférése a fiókhoz az Azure Cosmos DB-fiók hálózatelszigetelési ellenőrzései miatt le lesz tiltva.

A fiók hálózatelszigetelésének konfigurálása Synapse-munkaterületről:

  1. Engedélyezze, hogy a Synapse-munkaterület hozzáférjen Azure Cosmos DB fiókhoz a fiók NetworkAclBypassResourceId beállításának megadásával.

    A PowerShell használata

    Update-AzCosmosDBAccount -Name MyCosmosDBDatabaseAccount -ResourceGroupName MyResourceGroup -NetworkAclBypass AzureServices -NetworkAclBypassResourceId "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
    

    Az Azure parancssori felület használata

    az cosmosdb update --name MyCosmosDBDatabaseAccount --resource-group MyResourceGroup --network-acl-bypass AzureServices --network-acl-bypass-resource-ids "/subscriptions/subId/resourceGroups/rgName/providers/Microsoft.Synapse/workspaces/wsName"
    

    Megjegyzés

    Azure Cosmos DB fióknak és Azure Synapse Analytics munkaterületnek ugyanabban a Azure Active Directory -bérlőben kell lennie.

  2. Most már elérheti a fiókot a kiszolgáló nélküli SQL-készletekből, T-SQL a Link Azure Synapse használatával. Az elemzési tárolóban lévő adatok hálózati elkülönítésének biztosításához azonban hozzá kell adni egy elemzési felügyelt privát végpontot ehhez a fiókhoz. Ellenkező esetben az elemzési tárolóban található adatok nem lesznek letiltva a nyilvános hozzáférésben.

Fontos

Ha a Azure Synapse Linket használja, és az elemzési tárolóban lévő adatokhoz hálózati elkülönítésre van szüksége, az elemzési felügyelt privát végponttal leképeznie kell az Azure Cosmos DB-fiókot a Synapse-munkaterületre.

Következő lépések