Verbinding maken met werkruimteresources vanuit een beperkt netwerk

  • Artikel

Stel dat u een IT-beheerder bent die het beperkte netwerk van uw organisatie beheert. U wilt de netwerkverbinding tussen Azure Synapse Analytics Studio en een werkstation in dit beperkte netwerk inschakelen. In dit artikel wordt uitgelegd hoe u dit doet.

Vereisten

  • Azure-abonnement: als u geen Azure-abonnement hebt, maakt u een gratis Azure-account voordat u begint.
  • Azure Synapse Analytics-werkruimte: u kunt er een maken vanuit Azure Synapse Analytics. U hebt de naam van de werkruimte nodig in stap 4.
  • Een beperkt netwerk: de IT-beheerder onderhoudt het beperkte netwerk voor de organisatie en is gemachtigd om het netwerkbeleid te configureren. In stap 3 hebt u de naam van het virtuele netwerk en het bijbehorende subnet nodig.

Stap 1: Uitgaande netwerkbeveiligingsregels toevoegen aan het beperkte netwerk

U moet vier uitgaande netwerkbeveiligingsregels met vier servicetags toevoegen.

  • AzureResourceManager
  • AzureFrontDoor.Frontend
  • AzureActiveDirectory
  • AzureMonitor (dit type regel is optioneel. Voeg deze alleen toe als u de gegevens wilt delen met Microsoft.)

In de volgende schermopname ziet u details voor de uitgaande regel voor Azure Resource Manager.

Schermopname van azure Resource Manager servicetagdetails.

Wanneer u de andere drie regels maakt, vervangt u de waarde van doelservicetag door AzureFrontDoor.Frontend, AzureActiveDirectory of AzureMonitor uit de lijst.

Zie Overzicht van servicetags voor meer informatie.

Maak vervolgens private link-hubs op basis van de Azure Portal. Als u dit wilt vinden in de portal, zoekt u naar Azure Synapse Analytics (private link-hubs) en vult u vervolgens de vereiste gegevens in om deze te maken.

Schermopname van Create Synapse Private Link Hub.

Stap 3: Een privé-eindpunt maken voor uw Synapse Studio

Voor toegang tot de Azure Synapse Analytics Studio moet u een privé-eindpunt maken op basis van de Azure Portal. Als u dit wilt vinden in de portal, zoekt u naar Private Link. Selecteer privé-eindpunt maken in het Private Link Center en vul vervolgens de vereiste gegevens in om het te maken.

Notitie

Zorg ervoor dat de waarde regio gelijk is aan de waarde waarin uw Azure Synapse Analytics-werkruimte zich bevindt.

Schermopname van Een privé-eindpunt maken, tabblad Basisinformatie.

Kies op het tabblad Resource de private link-hub die u in stap 2 hebt gemaakt.

Schermopname van Een privé-eindpunt maken, tabblad Resource.

Op het tabblad Configuratie :

  • Selecteer bij Virtueel netwerk de naam van het beperkte virtuele netwerk.
  • Selecteer bij Subnet het subnet van het beperkte virtuele netwerk.
  • Selecteer Ja voor Integreren met privé-DNS-zone.

Schermopname van Een privé-eindpunt maken, tabblad Configuratie.

Nadat het eindpunt voor de privékoppeling is gemaakt, hebt u toegang tot de aanmeldingspagina van het webhulpprogramma voor Azure Synapse Analytics Studio. U hebt echter nog geen toegang tot de resources in uw werkruimte. Hiervoor moet u de volgende stap voltooien.

Stap 4: Privé-eindpunten maken voor uw werkruimteresource

Als u toegang wilt krijgen tot de resources in uw Azure Synapse Analytics Studio-werkruimteresource, moet u het volgende maken:

  • Ten minste één privékoppelingseindpunt met het doelsubresourcetypeDev.
  • Twee andere optionele privékoppelingseindpunten met het type Sql of SqlOnDemand, afhankelijk van de resources in de werkruimte waartoe u toegang wilt krijgen.

Het maken van deze is vergelijkbaar met hoe u het eindpunt in de vorige stap maakt.

Op het tabblad Resource :

  • Bij Resourcetype selecteert u Microsoft.Synapse/workspaces.
  • Selecteer bij Resource de naam van de werkruimte die u eerder hebt gemaakt.
  • Selecteer voor Doelsubresource het eindpunttype:
    • Sql is voor het uitvoeren van SQL-query's in SQL-pool.
    • SqlOnDemand is voor het uitvoeren van ingebouwde SQL-query's.
    • Dev is voor toegang tot al het andere in Azure Synapse Analytics Studio-werkruimten. U moet ten minste één privékoppelingseindpunt van dit type maken.

Schermopname van Een privé-eindpunt maken, tabblad Resource, werkruimte.

Stap 5: Privé-eindpunten maken voor gekoppelde werkruimteopslag

Als u toegang wilt krijgen tot de gekoppelde opslag met de Storage Explorer in Azure Synapse Analytics Studio-werkruimte, moet u één privé-eindpunt maken. De stappen hiervoor zijn vergelijkbaar met die van stap 3.

Op het tabblad Resource :

  • Bij Resourcetype selecteert u Microsoft.Storage/storageAccounts.
  • Selecteer bij Resource de naam van het opslagaccount dat u eerder hebt gemaakt.
  • Selecteer voor Doelsubresource het eindpunttype:
    • blob is voor Azure Blob Storage.
    • dfs is voor Azure Data Lake Storage Gen2.

Schermopname van Een privé-eindpunt maken, tabblad Resource, opslag.

Nu hebt u toegang tot de gekoppelde opslagresource. In uw virtuele netwerk kunt u in uw Azure Synapse Analytics Studio-werkruimte de Storage Explorer gebruiken om toegang te krijgen tot de gekoppelde opslagresource.

U kunt een beheerd virtueel netwerk inschakelen voor uw werkruimte, zoals wordt weergegeven in deze schermopname:

Schermopname van Synapse-werkruimte maken, met de optie Beheerd virtueel netwerk inschakelen gemarkeerd.

Als u wilt dat uw notebook toegang krijgt tot de gekoppelde opslagresources onder een bepaald opslagaccount, voegt u beheerde privé-eindpunten toe onder uw Azure Synapse Analytics Studio. De naam van het opslagaccount moet de naam zijn die uw notitieblok moet openen. Zie Een beheerd privé-eindpunt maken voor uw gegevensbron voor meer informatie.

Nadat u dit eindpunt hebt gemaakt, wordt in de goedkeuringsstatus de status In behandeling weergegeven. Vraag goedkeuring aan bij de eigenaar van dit opslagaccount op het tabblad Privé-eindpuntverbindingen van dit opslagaccount in de Azure Portal. Nadat het is goedgekeurd, heeft uw notebook toegang tot de gekoppelde opslagresources onder dit opslagaccount.

Nu, klaar. U hebt toegang tot uw Azure Synapse Analytics Studio-werkruimteresource.

Stap 6: URL via firewall toestaan

De volgende URL's moeten toegankelijk zijn vanuit de clientbrowser nadat Azure Synapse Private Link-hub is ingeschakeld.

Vereist voor verificatie:

  • login.microsoftonline.com
  • aadcdn.msauth.net
  • msauth.net
  • msftauth.net
  • graph.microsoft.com
  • login.live.com, hoewel dit kan verschillen op basis van het accounttype.

Vereist voor werkruimte-/poolbeheer:

  • management.azure.com
  • {workspaceName}.[dev|sql].azuresynapse.net
  • {workspaceName}-ondemand.sql.azuresynapse.net

Vereist voor het ontwerpen van Synapse-notebooks:

  • aznb.azuresandbox.ms

Vereist voor toegangsbeheer en identiteitszoeken:

  • graph.windows.net

Bijlage: DNS-registratie voor privé-eindpunt

Als de 'Integreren met privé-DNS-zone' niet is ingeschakeld tijdens het maken van het privé-eindpunt zoals hieronder, moet u de 'Privé-DNS zone' maken voor elk van uw privé-eindpunten. Schermopname van Privé-DNS-zone voor Synapse maken 1.

Als u de Privé-DNS zone in de portal wilt vinden, zoekt u naar Privé-DNS zone. Vul in de Privé-DNS zone de vereiste gegevens hieronder in om deze te maken.

  • Voer bij Naam de toegewezen naam van de privé-DNS-zone in voor een specifiek privé-eindpunt, zoals hieronder:
    • privatelink.azuresynapse.netis voor het privé-eindpunt voor toegang tot Azure Synapse Analytics Studio-gateway. Zie dit type privé-eindpunt maken in stap 3.
    • privatelink.sql.azuresynapse.net is voor dit type privé-eindpunt van het uitvoeren van SQL-query's in SQL-pool en ingebouwde pool. Zie het maken van het eindpunt in stap 4.
    • privatelink.dev.azuresynapse.netis bedoeld voor dit type privé-eindpunt voor toegang tot alles in Azure Synapse Analytics Studio-werkruimten. Zie dit type privé-eindpunt maken in stap 4.
    • privatelink.dfs.core.windows.netis voor het privé-eindpunt voor toegang tot gekoppelde werkruimten Azure Data Lake Storage Gen2. Zie dit type privé-eindpunt maken in stap 5.
    • privatelink.blob.core.windows.netis voor het privé-eindpunt voor toegang tot gekoppelde werkruimten Azure Blob Storage. Zie dit type privé-eindpunt maken in stap 5.

Schermopname van Create Synapse private DNS zone 2.

Nadat de Privé-DNS zone is gemaakt, voert u de gemaakte privé-DNS-zone in en selecteert u de koppelingen naar het virtuele netwerk om de koppeling toe te voegen aan uw virtuele netwerk.

Schermopname van Create Synapse private DNS zone 3.

Vul de verplichte velden in zoals hieronder:

  • Voer bij Koppelingsnaam de naam van de koppeling in.
  • Selecteer bij Virtueel netwerk uw virtuele netwerk.

Schermopname van Create Synapse private DNS zone 4.

Nadat de koppeling naar het virtuele netwerk is toegevoegd, moet u de DNS-recordset toevoegen aan de Privé-DNS zone die u eerder hebt gemaakt.

  • Voer bij Naam de toegewezen naamtekenreeksen voor verschillende privé-eindpunten in:
    • web is voor het privé-eindpunt voor toegang tot Azure Synapse Analytics Studio.
    • 'YourWorkSpaceName' is voor het privé-eindpunt van het uitvoeren van SQL-query's in sql-pool en ook voor het privé-eindpunt voor toegang tot alles binnen Azure Synapse Analytics Studio-werkruimten.
    • 'YourWorkSpaceName-ondemand' is voor het privé-eindpunt van de uitvoering van SQL-query's in de ingebouwde pool.
  • Bij Type selecteert u alleen DNS-recordtype A .
  • Voer voor IP-adres het bijbehorende IP-adres van elk privé-eindpunt in. U kunt het IP-adres in Netwerkinterface ophalen vanuit het overzicht van uw privé-eindpunt.

Schermopname van Create Synapse private DNS zone 5.

Volgende stappen

Meer informatie over beheerd werkruimte virtueel netwerk.

Meer informatie over beheerde privé-eindpunten.