從受限制的網路連線到工作區資源

假設您是管理組織受限網路的 IT 管理員。 您想要啟用 Azure Synapse Analytics Studio 與此受限制網路內工作站之間的網路連線。 本文向您展示如何操作。

先決條件

• Azure 訂用帳戶：如果您沒有 Azure 訂用帳戶，請先建立 免費的 Azure 帳戶 ，再開始。
• Azure Synapse Analytics 工作區：您可以從 Azure Synapse Analytics 建立一個工作區。 您需要步驟 4 中的工作區名稱。
• 受限制的網路：IT 系統管理員會維護組織的受限制網路，並有權設定網路原則。 您需要步驟 3 中的虛擬網路名稱及其子網路。

步驟 1：將網路輸出安全性規則新增至受限制的網路

您必須新增四個具有四個服務標籤的網路輸出安全性規則。

• AzureResourceManager
• AzureFrontDoor.Frontend
• AzureActiveDirectory
• AzureMonitor （此類型的規則是選擇性的。只有在您想要與 Microsoft 共用資料時才新增它。

下列螢幕擷取畫面顯示 Azure Resource Manager 輸出規則的詳細數據。

當您建立其他三個規則時，請將 目的地服務標籤 的值取代為清單中的 AzureFrontDoor.Frontend、 AzureActiveDirectory 或 AzureMonitor 。

如需詳細資訊，請參閱 服務標籤概觀。

步驟 2：建立私人連結中樞

接下來，從 Azure 入口網站建立私人連結中樞。 若要在入口網站中找到此專案，請搜尋 Azure Synapse Analytics （私人連結中樞），然後填寫必要的資訊來建立它。

步驟 3：建立 Synapse Studio 的私人端點

若要存取 Azure Synapse Analytics Studio，您必須從 Azure 入口網站建立私人端點。 若要在入口網站中找到此功能，請搜尋 私人連結。 在 Private Link 中心中，選取 [ 建立私人端點]，然後填入必要的資訊來建立它。

在 [資源] 索引標籤上，選擇您在步驟 2 中建立的私人連結中樞。

在 [組態 ] 索引標籤上：

• 針對 [虛擬網路]，選取受限制的虛擬網路名稱。
• 針對 [子網路]，選取受限制虛擬網路的子網路。
• 針對 整合至私有 DNS 區域，選擇 是。

建立私人連結端點之後，您可以存取 Azure Synapse Analytics Studio Web 工具的登入頁面。 不過，您還無法存取工作區內的資源。 為此，您需要完成下一步。

步驟 4：為您的工作區資源建立私人端點

若要存取 Azure Synapse Analytics 工作區資源內的資源，您必須建立下列專案：

• 至少有一個私人連結端點，其 目標子資源 類型為 Dev。
• 另外兩個選擇性專用連結端點，類型為 Sql 或 SqlOnDemand，視您要存取的工作區中的資源而定。

建立這些與上一個步驟中建立端點的方式類似。

在 資源 索引標籤上：

• 針對 [資源類型]，選取 [Microsoft.Synapse/workspaces]。
• 針對 [資源]，選取您先前建立的工作區名稱。
• 針對 Target sub-resource （目標子資源），選取端點類型：
  • Sql 用於在 SQL 集區中執行 SQL 查詢。
  • SqlOnDemand 用於 SQL 內建查詢執行。
  • Dev 用於存取 Azure Synapse Analytics 工作區內的其他所有專案。 您必須建立至少一個此類型的私人連結端點。

步驟 5：建立工作區連結儲存體的私人端點

若要使用 Azure Synapse Analytics 工作區中的儲存體總管存取連結的儲存體，您必須建立一個私人端點。 此步驟與步驟 3 類似。

在 資源 索引標籤上：

• 針對 [資源類型]，選取 [Microsoft.Storage/storageAccounts]。
• 針對 [資源]，選取您先前建立的儲存體帳戶名稱。
• 針對 Target sub-resource （目標子資源），選取端點類型：
  • blob 適用於 Azure Blob 儲存體。
  • dfs 適用於 Azure Data Lake Storage Gen2。

現在，您可以存取連結的儲存資源。 在虛擬網路內，在 Azure Synapse Analytics 工作區中，您可以使用儲存體總管來存取連結的儲存體資源。

您可以為工作區啟用受控虛擬網路，如下列螢幕擷取畫面所示：

如果您想要筆記本存取特定儲存體帳戶下的連結儲存體資源，請在 Azure Synapse Analytics Studio 下新增受控私人端點。 儲存體帳戶名稱應該為筆記本需要存取的儲存體帳戶。 如需詳細資訊，請參閱 建立資料來源的受控私人端點。

建立此端點之後，核准狀態會顯示 [ 擱置中] 狀態。 在 Azure 入口網站中此儲存體帳戶的 [ 私人端點連線 ] 索引標籤中，向此儲存體帳戶的擁有者要求核准。 獲得核准後，您的筆記型電腦可以存取在此儲存體帳戶下的已連結儲存資源。

現在，一切就緒。 您可以存取 Azure Synapse Analytics 工作區資源。

步驟 6：允許 URL 通過防火牆

啟用 Azure Synapse 私人連結中樞之後，必須從用戶端瀏覽器存取下列 URL。

驗證必須有:

• login.microsoftonline.com
• aadcdn.msauth.net
• msauth.net
• msftauth.net
• graph.microsoft.com
• login.live.com，但這可能會因帳戶類型而異。

工作區/集區管理所需：

• management.azure.com
• {workspaceName}.[dev|sql].azuresynapse.net
• {workspaceName}-ondemand.sql.azuresynapse.net

Synapse 筆記本撰寫的必要條件：

• aznb.azuresandbox.ms

存取控制和身分搜尋所需：

• graph.windows.net

附錄：私人端點的 DNS 註冊

如果在私人端點建立期間未啟用「與私人 DNS 區域整合」，如下列螢幕擷取畫面所示，您必須為每個私人端點建立「私人 DNS 區域」。

若要在入口網站中尋找 私人 DNS 區域 ，請搜尋 [私人 DNS 區域]。 在 私有 DNS 區域中，填寫以下所需資訊以建立它。

• 針對 [名稱]，輸入特定私人端點的私人 DNS 區域專用名稱，如下所示：
  • privatelink.azuresynapse.net 適用於存取 Azure Synapse Analytics Studio 閘道的私人端點。 請參閱步驟 3 中的這種私人端點建立類型。
  • privatelink.sql.azuresynapse.net 適用於在 SQL 集區和內建集區中執行 SQL 查詢的這種私人端點。 請參閱步驟 4 中的端點建立。
  • privatelink.dev.azuresynapse.net 適用於這種類型的私有端點，可存取 Azure Synapse Analytics 工作區內的其他所有內容。 請參閱步驟 4 中的這種私人端點建立類型。
  • privatelink.dfs.core.windows.net 代表用於存取工作區連結 Azure Data Lake Storage Gen2 的私人端點。 請參閱步驟 5 中的這種私人端點建立類型。
  • privatelink.blob.core.windows.net 適用於存取工作區連結 Azure Blob 儲存體的私人端點。 請參閱步驟 5 中的這種私人端點建立類型。

建立 私人 DNS 區域 之後，請輸入建立的私人 DNS 區域，然後選取 [ 虛擬網路連結 ] 以將連結新增至虛擬網路。

填寫以下必填欄位：

• 針對Link name，輸入連結名稱。
• 在 [虛擬網路] 中，選取您的虛擬網路。

新增虛擬網路連結之後，您必須在先前建立的 私人 DNS 區域 中新增 DNS 記錄集。

• 針對 [名稱]，輸入不同私人端點的專用名稱字串：
  • web 適用於存取 Azure Synapse Analytics Studio 的私人端點。
  • 「YourWorkSpaceName」 適用於 SQL 集區中 SQL 查詢執行的私人端點，也適用於存取 Azure Synapse Analytics 工作區內其他所有專案的私人端點。
  • 「YourWorkSpaceName-ondemand」適用於內建集區中 sql 查詢執行的專用端點。
• 針對 [類型]，選取 [僅 DNS 記錄類型 A ]。
• 針對 IP 位址，輸入每個私人端點的對應 IP 位址。 您可以從私人端點概觀取得 網路介面 中的 IP 位址。

後續步驟

深入瞭解 受控工作區虛擬網路。

深入瞭解 受控私人端點。