Conectar-se a recursos de workspace de uma rede restrita
Suponha que você seja um administrador de TI que gerencia a rede restrita de sua organização. Você deseja habilitar a conexão de rede entre o Estúdio do Azure Synapse Analytics e uma estação de trabalho dentro dessa rede restrita. Este artigo mostra como fazer isso.
Pré-requisitos
- Assinatura do Azure: Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
- Workspace do Azure Synapse Analytics: é possível criar um do Azure Synapse Analytics. Será necessário o nome do espaço de trabalho na etapa 4.
- Uma rede restrita: o administrador de TI mantém a rede restrita para a organização e tem permissão para configurar a política de rede. Será necessário o nome da rede virtual e sua sub-rede na etapa 3.
Etapa 1: adicionar regras de segurança de saída de rede à rede restrita
Será necessário adicionar quatro regras de segurança de saída de rede com quatro marcas de serviço.
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (Esse tipo de regra é opcional. Adicione-o somente quando desejar compartilhar os dados com a Microsoft.)
A captura de tela a seguir mostra detalhes para a regra de saída do Azure Resource Manager.
Quando for criar as outras três regras, substitua o valor da Marca de serviço de destino da lista por AzureFrontDoor.Frontend, AzureActiveDirectoryou AzureMonitor.
Para obter mais informações, consulte Visão geral das marcas de serviço.
Etapa 2: criar hubs de link privado
A seguir, crie hubs de link privados no portal do Azure. Para encontrá-los no portal, pesquise por Azure Synapse Analytics (hubs de link privado) e preencha as informações necessárias para criá-lo.
Etapa 3: criar um ponto de extremidade privado para o Synapse Studio
Para acessar o Estúdio do Azure Synapse Analytics, é necessário criar um ponto de extremidade privado do portal do Azure. Para encontrá-lo no portal, procure por Link privado. Em Centro de Link Privado, selecione Criar ponto de extremidade privadoe preencha as informações necessárias para criá-lo.
Observação
Verifique se o valor da Região é o mesmo em que está o workspace do Azure Synapse Analytics.
Na guia Recurso, escolha o hub de link privado criado na etapa 2.
Na guia Configuração:
- Para a Rede virtual, selecione o nome da rede virtual restrita.
- Para a sub-rede, selecione a sub-rede da rede virtual restrita.
- Para Integrar com a zona de DNS privado, selecione Sim.
Depois que o ponto de extremidade do link privado for criado, será possível acessar a página de entrada da ferramenta da Web para o Estúdio do Azure Synapse Analytics. No entanto, ainda não é possível acessar os recursos dentro do workspace. Para isso, será necessário concluir a próxima etapa.
Etapa 4: criar pontos de extremidade privados para o recurso do workspace
Para acessar os recursos dentro do recurso de workspace do Estúdio do Azure Synapse Analytics, é necessário criar o seguinte:
- Pelo menos um ponto de extremidade de link privado com um Subrecurso de destino do tipo Dev.
- Dois outros pontos de extremidade de link privado opcionais com tipos de Sql ou SqlOnDemand, dependendo de quais recursos se deseja acessar no workspace.
Criá-los é semelhante a criar o ponto de extremidade na etapa anterior.
Na guia Recurso:
- Para Tipo de recurso, selecione Microsoft.Synapse/workspaces.
- Para Recurso, selecione o nome do workspace criado anteriormente.
- Para o Subrecurso de destino, selecione o tipo de ponto de extremidade:
- Sql para a execução da consulta SQL no pool de SQL.
- OnDemand para a execução de consulta interna do SQL.
- Dev para acessar tudo o mais nos workspaces do Estúdio do Azure Synapse Analytics. É necessário criar pelo menos um ponto de extremidade de link privado deste tipo.
Etapa 5: criar pontos de extremidade privados para o armazenamento vinculado do espaço de trabalho
Para acessar o armazenamento vinculado com o Gerenciador de armazenamento no espaço de trabalho do Estúdio do Azure Synapse Analytics, deve ser criado um ponto de extremidade privado. As etapas para isso são semelhantes às da etapa 3.
Na guia Recurso:
- Para o Tipo de recurso, selecione Microsoft.Storage/storageAccounts.
- Para Recurso, selecione o nome da conta de armazenamento criada anteriormente.
- Para o Subrecurso de destino, selecione o tipo de ponto de extremidade:
- blob para o Armazenamento de Blobs do Azure.
- dfs para o Azure Data Lake Storage Gen2.
Agora, é possível acessar o recurso de armazenamento vinculado. Na rede virtual, no espaço de trabalho do Estúdio do Azure Synapse Analytics, é possível usar o Gerenciador de armazenamento para acessar o recurso de armazenamento vinculado.
É possível habilitar uma rede virtual gerenciada para o workspace, conforme mostrado na captura de tela:
Caso deseje que o notebook acesse os recursos de armazenamento vinculados em uma determinada conta de armazenamento, adicione pontos de extremidade privados gerenciados no Estúdio do Azure Synapse Analytics. O nome da conta de armazenamento deve ser aquele que o notebook precisa acessar. Para obter mais informações, consulte Criar um ponto de extremidade privado gerenciado para a fonte de dados.
Depois de criar o ponto de extremidade, o estado de aprovação mostrará o status Pendente. Solicite a aprovação do proprietário desta conta de armazenamento, na guia Conexões do ponto de extremidade privado da conta de armazenamento no portal do Azure. Depois de aprovado, o notebook poderá acessar os recursos de armazenamento vinculados a essa conta de armazenamento.
Agora, tudo pronto. É possível acessar o recurso do workspace do Estúdio do Azure Synapse Analytics.
Etapa 6: Permitir URL pelo firewall
As URLs a seguir precisam estar acessíveis no navegador do cliente depois da habilitação do hub de link privado do Azure Synapse.
Necessário para autenticação:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com, embora isso possa ser diferente com base no tipo de conta.
Necessário para o gerenciamento de pool/workspace:
management.azure.com{workspaceName}.[dev|sql].azuresynapse.net{workspaceName}-ondemand.sql.azuresynapse.net
Necessário para a criação do notebook do Synapse:
aznb.azuresandbox.ms
Necessário para o controle de acesso e a pesquisa de identidade:
graph.windows.net
Apêndice: registro de DNS para o ponto de extremidade privado
Se a "integração com a zona DNS privado" não estiver habilitada durante a criação do ponto de extremidade privado como captura de tela abaixo, será necessário criar a "zona de DNS privado" para cada um dos pontos de extremidade privados.
Para localizar a zona de DNS privado no portal, pesquise zona de DNS privado. Em zona de DNS privado, preencha as informações necessárias abaixo para criá-la.
- Para Nome, insira o nome dedicado da zona DNS privado para um ponto de extremidade privado específico, como abaixo:
privatelink.azuresynapse.neté para o ponto de extremidade privado de acesso ao gateway do Estúdio do Azure Synapse Analytics. Consulte esse tipo de criação de ponto de extremidade privado na etapa 3.privatelink.sql.azuresynapse.neté para o tipo de ponto de extremidade privado da execução da consulta SQL no pool de SQL e no pool interno. Consulte a criação do ponto de extremidade na etapa 4.privatelink.dev.azuresynapse.neté para o tipo de ponto de extremidade privado de acesso a todo o resto nos workspaces do Estúdio do Azure Synapse Analytics. Consulte esse tipo de criação de ponto de extremidade privado na etapa 4.privatelink.dfs.core.windows.neté para o ponto de extremidade privado do acesso ao workspace vinculado ao Azure Data Lake Storage Gen2. Consulte esse tipo de criação de ponto de extremidade privado na etapa 5.privatelink.blob.core.windows.neté para o ponto de extremidade privado do acesso ao workspace vinculado ao Armazenamento de Blobs do Azure. Consulte esse tipo de criação de ponto de extremidade privado na etapa 5.
Depois de criar a zona de DNS privado, insira a zona DNS privada criada e selecione os links de Rede virtual para adicionar o link à sua rede virtual.
Preencha os campos obrigatórios como abaixo:
- Para Nome do link, insira o nome do link.
- Para Rede virtual, selecione a sua rede virtual.
Depois que o link de rede virtual for adicionado, será necessário adicionar o conjunto de registros DNS na zona de DNS privado criada anteriormente.
- Para Nome, insira as cadeias de caracteres de nome dedicado para um ponto de extremidade privado diferente:
- web é para o ponto de extremidade privado de acesso ao Estúdio do Azure Synapse Analytics.
- "YourWorkSpaceName" é para o ponto de extremidade privado da execução da consulta SQL no pool de SQL e também para o ponto de extremidade privado de acesso a todo o resto nos workspaces do Estúdio do Azure Synapse Analytics.
- "YourWorkSpaceName-onDemand" é para o ponto de extremidade privado da execução da consulta SQL no pool interno.
- Para Tipo, selecione registro DNS somente tipoA.
- Para Endereço IP, insira o endereço IP correspondente de cada ponto de extremidade privado. É possível obter o endereço IP na Interface de rede da visão geral do ponto de extremidade privado.
Próximas etapas
Saiba mais sobre a Rede virtual do workspace gerenciado.
Saiba mais sobre Pontos de extremidade privados gerenciados.