本文将介绍 Azure Synapse Analytics 中的托管虚拟网络。
管理型工作区虚拟网络
创建 Azure Synapse 工作区时,可以选择将其关联到 Azure 虚拟网络。 与工作区关联的虚拟网络由 Azure Synapse 管理。 此虚拟网络称为“托管工作区虚拟网络”。
托管工作区虚拟网络以四种方式提供值:
- 使用托管工作区虚拟网络,可以将管理虚拟网络的负担转移给 Azure Synapse。
- 你无需在自己的虚拟网络上配置入站 NSG 规则,即可让 Azure Synapse 管理流量进入虚拟网络。 这些 NSG 规则的配置错误会导致客户的服务中断。
- 不需要基于峰值负载为 Spark 群集创建子网。
- 托管的工作区虚拟网络与已管理的专用终结点一起防止数据外泄。 只能在具有关联的托管工作区虚拟网络的工作区中创建托管专用终结点。
创建一个具有托管工作区虚拟网络的工作区,可确保这个工作区的网络与其他工作区隔离。 Azure Synapse 在工作区中提供各种分析功能:数据集成、无服务器 Apache Spark 池、专用 SQL 池和无服务器 SQL 池。
如果工作区具有托管工作区虚拟网络,则会在其中部署数据集成和 Spark 资源。 托管工作区虚拟网络还为 Spark 活动提供用户级隔离,因为每个 Spark 群集都在其自己的子网中。
专用 SQL 池和无服务器 SQL 池是多租户功能,因此位于托管工作区虚拟网络外部。 与专用 SQL 池和无服务器 SQL 池进行的工作区内通信使用 Azure 专用链接。 当你创建与托管工作区虚拟网络关联的工作区时,系统会自动为你创建这些专用链接。
重要
创建工作区后,无法更改此工作区配置。 例如,如果某个工作区没有关联托管的工作区虚拟网络,你无法重新配置该工作区,也无法将虚拟网络与之关联。 同样,对于已关联托管工作区虚拟网络的工作区,你无法重新配置它,也无法将虚拟网络与之解除关联。
创建包含托管工作区虚拟网络的 Azure Synapse 工作区
如果尚未注册网络资源提供者,请进行注册。 通过注册资源提供程序来配置订阅,以供资源提供程序使用。 注册时,从资源提供程序列表中选择“Microsoft.Network”。
若要创建具有关联的托管工作区虚拟网络的 Azure Synapse 工作区,请在 Azure 门户中选择“网络”选项卡,然后选中“启用托管虚拟网络”复选框 。
如果将此复选框保留为未选中状态,则工作区不会有与之关联的虚拟网络。
重要
只能在具有托管工作区虚拟网络的工作区中使用专用链接。
选择将托管工作区虚拟网络与你的工作区关联后,可通过允许托管工作区虚拟网络仅向已批准的目标进行出站连接,并使用托管专用终结点,从而防止数据外泄。 选择“是”,通过托管专用终结点限制从托管工作区虚拟网络到目标的出站流量。
选择“否”以允许从工作区到任何目标的出站流量。
还可控制从 Azure Synapse 工作区中创建的托管专用终结点的目标。 默认情况下,允许为订阅所属的同一 Microsoft Entra ID 租户中的资源创建托管专用终结点。 如果要为并非你的订阅所属的 Microsoft Entra ID 租户中的资源创建托管专用终结点,则可选择“+ 添加”来添加该 Microsoft Entra ID 租户。 可从下拉列表中选择 Microsoft Entra ID 租户,也可手动输入 Microsoft Entra ID 租户 ID。
在创建工作区后,可以通过在 Azure 门户中选择“概览”来检查 Azure Synapse 工作区是否关联到某个托管工作区虚拟网络。
