Spravované Virtual Network Azure Synapse Analytics

Tento článek vysvětluje spravované Virtual Network v Azure Synapse Analytics.

Virtual Network spravovaného pracovního prostoru

Když vytváříte pracovní prostor Azure Synapse, můžete ho přidružit k Virtual Network Microsoft Azure. Virtual Network přidružené k vašemu pracovnímu prostoru spravuje Azure Synapse. Tato Virtual Network se nazývá Virtual Network spravovaného pracovního prostoru.

Virtual Network spravovaného pracovního prostoru poskytuje hodnotu čtyřmi způsoby:

  • Se spravovaným pracovním prostorem Virtual Network můžete zátěž spojenou se správou Virtual Network přesunout na Azure Synapse.
  • Nemusíte konfigurovat příchozí pravidla skupiny zabezpečení sítě ve vlastních virtuálních sítích, aby Azure Synapse provoz správy umožňoval vstup do Virtual Network. Nesprávná konfigurace těchto pravidel NSG způsobí zákazníkům přerušení služeb.
  • Pro clustery Spark nemusíte vytvářet podsíť na základě zatížení ve špičce.
  • Spravovaný pracovní prostor Virtual Network společně se spravovanými privátními koncovými body chrání před exfiltrací dat. Spravované privátní koncové body můžete vytvářet jenom v pracovním prostoru, ke kterému je přidružený spravovaný pracovní prostor Virtual Network.

Vytvoření pracovního prostoru se spravovaným pracovním prostorem Virtual Network k němu přidružené zajistí, že bude pracovní prostor v síti izolovaný od jiných pracovních prostorů. Azure Synapse poskytuje v pracovním prostoru různé analytické funkce: integraci dat, bezserverový fond Apache Sparku, vyhrazený fond SQL a bezserverový fond SQL.

Pokud má váš pracovní prostor spravovaný pracovní prostor Virtual Network, nasadí se v něm integrace dat a prostředky Sparku. Spravovaný pracovní prostor Virtual Network také poskytuje izolaci na úrovni uživatele pro aktivity Sparku, protože každý cluster Spark je ve své vlastní podsíti.

Vyhrazený fond SQL a bezserverový fond SQL jsou funkce pro více tenantů, a proto se nacházejí mimo Virtual Network spravovaného pracovního prostoru. Komunikace uvnitř pracovního prostoru s vyhrazeným fondem SQL a bezserverovým fondem SQL používá privátní propojení Azure. Tato privátní propojení se automaticky vytvoří, když vytvoříte pracovní prostor se spravovaným pracovním prostorem, Virtual Network k němu přidružený.

Důležité

Po vytvoření pracovního prostoru nelze tuto konfiguraci pracovního prostoru změnit. Nemůžete například překonfigurovat pracovní prostor, který nemá přidružený spravovaný pracovní prostor Virtual Network, a přidružit k němu Virtual Network. Podobně nemůžete překonfigurovat pracovní prostor se spravovaným pracovním prostorem, Virtual Network k němu přidružený, a zrušit přidružení Virtual Network k němu.

Vytvoření pracovního prostoru Azure Synapse pomocí spravovaného pracovního prostoru Virtual Network

Pokud jste to ještě neudělali, zaregistrujte poskytovatele síťových prostředků. Registrace poskytovatele prostředků nakonfiguruje vaše předplatné tak, aby fungovalo s poskytovatelem prostředků. V seznamu poskytovatelů prostředků při registraci zvolte Microsoft.Network.

Pokud chcete vytvořit Azure Synapse pracovní prostor, ke kterému je přidružený spravovaný pracovní prostor Virtual Network, vyberte kartu Sítě v Azure Portal a zaškrtněte políčko Povolit spravovanou virtuální síť.

Pokud necháte políčko nezaškrtnuté, pracovní prostor k němu nebude mít přidruženou Virtual Network.

Důležité

Privátní propojení můžete použít jenom v pracovním prostoru, který má spravovaný pracovní prostor Virtual Network.

Snímek obrazovky se stránkou Vytvořit síť pracovního prostoru Synapse s možností Spravovaná virtuální síť povoleno a možností Povolit odchozí přenos dat pouze do schválených cílů na Ano

Jakmile se rozhodnete přidružit spravovaný pracovní prostor Virtual Network k pracovnímu prostoru, můžete chránit před exfiltrací dat tím, že povolíte odchozí připojení ze spravovaného pracovního prostoru Virtual Network jenom ke schváleným cílům pomocí spravovaných privátních koncových bodů. Vyberte Ano, pokud chcete omezit odchozí provoz ze spravovaného pracovního prostoru Virtual Network na cíle prostřednictvím spravovaných privátních koncových bodů.

Snímek obrazovky se stránkou Spravovaná virtuální síť s možností Povolit odchozí přenosy dat pouze do schválených cílů na Ano

Pokud chcete povolit odchozí provoz z pracovního prostoru do libovolného cíle, vyberte Ne .

Můžete také řídit cíle, pro které se spravované privátní koncové body vytvářejí z pracovního prostoru Azure Synapse. Ve výchozím nastavení jsou spravované privátní koncové body pro prostředky ve stejném tenantovi AAD, do kterého patří vaše předplatné, povolené. Pokud chcete vytvořit spravovaný privátní koncový bod pro prostředek v tenantovi AAD, který se liší od toho, do kterého patří vaše předplatné, můžete přidat tenanta AAD výběrem + Přidat. Můžete vybrat tenanta AAD z rozevíracího seznamu nebo ručně zadat ID tenanta AAD.

Snímek obrazovky se stránkou Spravovaná virtuální síť se zvýrazněným tlačítkem Přidat pro tenanty azure

Po vytvoření pracovního prostoru můžete zkontrolovat, jestli je váš pracovní prostor Azure Synapse přidružený ke spravovanému pracovnímu prostoru Virtual Network výběrem možnosti Přehled z Azure Portal.

Snímek obrazovky se stránkou přehledu pracovního prostoru Azure Synapse, která ukazuje, že je povolená spravovaná virtuální síť

Další kroky

Vytvoření pracovního prostoru Azure Synapse

Další informace o spravovaných privátních koncových bodech

Vytváření spravovaných privátních koncových bodů pro zdroje dat