假设你是一名 IT 管理员,负责管理组织的受限网络。 您想要在此受限网络中启用 Azure Synapse Analytics Studio 与您的工作站之间的网络连接。 本文介绍如何进行此操作。
先决条件
- Azure 订阅:如果没有 Azure 订阅,请在开始前创建一个试用版 Azure 帐户。
- Azure Synapse Analytics 工作区:可以从 Azure Synapse Analytics 创建一个。 步骤 4 中需要此工作区名称。
- 受限网络:IT 管理员维护组织的受限网络,并有权配置网络策略。 在步骤 3 中,需要虚拟网络名称和子网。
步骤 1:将网络出站安全规则添加到受限制的网络
您需要添加四条使用四个服务标记的网络出站安全规则。
- AzureResourceManager
- AzureFrontDoor.Frontend
- AzureActiveDirectory
- AzureMonitor (此类型的规则是可选的。仅当想要与 Microsoft 共享数据时才添加它。
以下屏幕截图显示了 Azure 资源管理器出站规则的详细信息。
创建其他三个规则时,请将 目标服务标记 的值替换为列表中的 AzureFrontDoor.Frontend、 AzureActiveDirectory 或 AzureMonitor 。
有关详细信息,请参阅 服务标记概述。
步骤 2:创建专用链接中心
接下来,从 Azure 门户创建专用链接中心。 若要在门户中找到此信息,请搜索 Azure Synapse Analytics(专用链接中心),然后填写所需的信息以创建它。
步骤 3:为 Synapse Studio 创建专用终结点
若要访问 Azure Synapse Analytics Studio,必须从 Azure 门户创建专用终结点。 若要在门户中找到此项,请搜索 专用链接。 在 专用链接中心,选择 “创建专用终结点”,然后填写创建所需的信息。
注释
确保区域值与 Azure Synapse Analytics 工作区所在的 区域 值相同。
在 “资源 ”选项卡上,选择在步骤 2 中创建的专用链接中心。
在“配置”选项卡上:
- 对于 虚拟网络,请选择受限制的虚拟网络名称。
- 对于 “子网”,请选择受限制虚拟网络的子网。
- 对于“与专用 DNS 区域集成”,请选择“是”。
创建专用链接终结点后,可以访问 Azure Synapse Analytics Studio 的 Web 工具的登录页。 但是,你尚无法访问工作区中的资源。 为此,需要完成下一步。
步骤 4:为工作区资源创建专用终结点
若要访问 Azure Synapse Analytics 工作区资源中的资源,需要创建以下内容:
- 至少有一个专用链接终结点,其目标子资源类型为 Dev。
- 另外两个可选的专用链接终结点,其类型为 Sql 或 SqlOnDemand,具体取决于要访问的工作区中的资源。
创建这些与在上一步中创建端点的方式类似。
在 “资源 ”选项卡上:
- 对于 资源类型,请选择 Microsoft.Synapse/workspaces。
- 对于 “资源”,请选择之前创建的工作区名称。
- 对于 “目标”子资源,请选择终结点类型:
- Sql 适用于 SQL 池中的 SQL 查询执行。
- SqlOnDemand 适用于 SQL 内置查询执行。
- Dev 用于访问 Azure Synapse Analytics 工作区中的其他所有内容。 需要创建此类型的至少一个专用链接终结点。
步骤 5:为工作区链接存储创建专用终结点
若要使用 Azure Synapse Analytics 工作区中的存储资源管理器访问链接存储,必须创建一个专用终结点。 此步骤的步骤类似于步骤 3 中的步骤。
在 “资源 ”选项卡上:
- 对于 资源类型,请选择 Microsoft.Storage/storageAccounts。
- 对于 “资源”,请选择之前创建的存储帐户名称。
- 对于 “目标”子资源,请选择终结点类型:
- blob 适用于 Azure Blob 存储。
- dfs 适用于 Azure Data Lake Storage Gen2。
现在,可以访问链接的存储资源。 在虚拟网络中的 Azure Synapse Analytics 工作区中,可以使用存储资源管理器访问链接的存储资源。
可以为工作区启用托管虚拟网络,如以下屏幕截图所示:
如果希望笔记本在特定存储帐户下访问关联的存储资源,请在 Azure Synapse Analytics Studio 下添加托管专用终结点。 存储帐户名称应该是笔记本需要访问的名称。 有关详细信息,请参阅 创建数据源的托管专用终结点。
创建此终结点后,审批状态会显示为 “待处理”。 在 Azure 门户中此存储帐户的 “专用终结点连接 ”选项卡中,请求此存储帐户的所有者批准。 批准后,笔记本可以访问此存储帐户下的链接存储资源。
现在,一切就绪。 可以访问 Azure Synapse Analytics 工作区资源。
步骤 6:在防火墙中允许该 URL 通过
启用 Azure Synapse 专用链接中心后,必须从客户端浏览器访问以下 URL。
身份验证所需:
login.partner.microsoftonline.cnaadcdn.msauth.netmsauth.netmsftauth.netmicrosoftgraph.chinacloudapi.cnlogin.live.com,但这可能因帐户类型而异。
工作区/池管理所需:
management.chinacloudapi.cn{workspaceName}.[dev|sql].azuresynapse.azure.cn{workspaceName}-ondemand.sql.azuresynapse.azure.cn
Synapse 笔记本创作所需:
aznb.azuresandbox.ms
访问控制和标识搜索所需:
graph.chinacloudapi.cn
附录:专用终结点的 DNS 注册
如果在专用终结点创建期间未启用“与专用 DNS 区域集成”,如下面的屏幕截图所示,则必须为每个专用终结点创建“专用 DNS 区域”。
若要在门户中查找 专用 DNS 区域 ,请搜索 专用 DNS 区域。 在 专用 DNS 区域中,填写下面的所需信息来创建它。
- 对于 Name,输入特定专用终结点的专用 DNS 区域专用名称,如下所示:
privatelink.azuresynapse.azure.cn是针对用于访问 Azure Synapse Analytics Studio 网关的专用终结点。 请在步骤 3 中查看如何创建这种类型的专用终结点。privatelink.sql.azuresynapse.azure.cn适用于 SQL 池和内置池中 SQL 查询执行的此类专用终结点。 请参阅步骤 4 中的终结点创建。privatelink.dev.azuresynapse.azure.cn适用于此类专用终结点,用于访问 Azure Synapse Analytics 工作区中的其他所有内容。 请查看步骤 4 中此类专用终结点的创建。privatelink.dfs.core.chinacloudapi.cn是针对用于访问与工作区关联的 Azure Data Lake Storage Gen2 的专用终结点。 请在步骤 5 中查看此类型的私有终结点的创建。privatelink.blob.core.chinacloudapi.cn是针对用于访问与工作区关联的 Azure Blob 存储的专用终结点。 请参阅步骤 5,了解如何创建这类专用终结点。
创建 专用 DNS 区域 后,输入创建的专用 DNS 区域,然后选择 虚拟网络链接 以将链接添加到虚拟网络。
填写必填字段,如下所示:
- 对于 链接名称,输入链接名称。
- 对于“虚拟网络”,请选择你的虚拟网络。
添加虚拟网络链接后,需要在之前创建的 专用 DNS 区域中添加 DNS 记录集。
- 对于 Name,输入不同专用终结点的专用名称字符串:
- Web 用于访问 Azure Synapse Analytics Studio 的专用终结点。
- “YourWorkSpaceName”适用于 SQL 池中 SQL 查询执行的专用终结点,以及用于访问 Azure Synapse Analytics 工作区中其他所有内容的专用终结点。
- “YourWorkSpaceName-ondemand”适用于内置池中 sql 查询执行的专用终结点。
- 对于“类型”,只能选择 DNS 记录类型“A”。
- 对于 IP 地址,输入每个专用终结点的相应 IP 地址。 可以从专用终结点概述中获取 网络接口 中的 IP 地址。
后续步骤
详细了解 管理的工作区虚拟网络。
详细了解托管专用终结点。