Как можно использовать частные ссылки для SQL On-Demand рабочей области Synapse?

В моей рабочей области включена управляемая виртуальная сеть. Мне удалось настроить частную ссылку на ADLS Gen 2 по умолчанию, следуя руководству:

https://docs.microsoft.com/en-us/azure/synapse-analytics/security/how-to-create-managed-private-endpoints

Подключение по частной ссылке работает в действии копирования (конвейер в рабочей области). Однако доступ к учетной записи хранения из бессерверного пула не работает. Есть ли еще какое-нибудь руководство по этому поводу? Существуют ли какие-либо требования в отношении использования сквозной передачи AAD, токенов SAS или управляемых удостоверений? Поддерживается ли это вообще в настоящее время?

Ошибка: файл не открывается, потому что он не существует или используется другим процессом.

Эта ошибка возникает как из-за сквозной передачи AD, так и из-за источника данных со сценариями управляемой идентификации. Я могу заставить соединение работать через управляемую идентификацию, установив флажок Доступ к доверенным службам Microsoft (в ADLS), поэтому они должны быть правильно настроены. Однако при блокировке доступа к ADLS соединение перестает работать.

РЕДАКТИРОВАТЬ: Согласно этой ссылке: https://docs.microsoft.com/en-us/azure/synapse-analytics/sql/develop-storage-files-storage-access-control?tabs=user-identity, доступ к учетной записи хранения, защищенной брандмауэром, работает только с управляемым удостоверением и включенным параметром Разрешить доверенный Microsoft ... Применимо ли это также к частным ссылкам, что означает, что единственный способ получить доступ к учетной записи хранения за брандмауэром - разрешить доступ к службам Microsoft, а частные ссылки нельзя использовать для бессерверного пула?


azure azure-synapse azure-private-link
person valdur    schedule 10.11.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Да, это относится и к частным ссылкам.

Как вы видели в этом article, в настоящее время вы можете запускать запросы через защищенную брандмауэром учетную запись хранения, используя только управляемую идентификацию.

В предстоящий период у вас будет возможность запускать эти запросы, используя User Identity (сквозной AAD), что более удобно.

Обновление 1

Теперь вы можете настроить исключение для рабочей области Azure Synapse в настройках брандмауэра учетной записи хранения. Полное объяснение см. На странице официальная документация

Краткое содержание:

1. Откройте PowerShell или установите PowerShell.

2. Установите обновленный Az. Модуль хранения:

Install-Module -Name Az.Storage -RequiredVersion 3.0.1-preview -AllowPrerelease

Убедитесь, что вы используете версию 3.0.1 или новее. Чтобы проверить версию Az.Storage, выполните следующую команду:

Get-Module -ListAvailable -Name  Az.Storage | select Version

3. Подключитесь к своему клиенту Azure:

Connect-AzAccount

4. Определите переменные в PowerShell:

  • Имя группы ресурсов - вы можете найти это на портале Azure в обзоре рабочей области Synapse.
  • Имя учетной записи - имя учетной записи хранения, защищенной правилами брандмауэра.
  • Идентификатор клиента - его можно найти на портале Azure в Azure Active Directory в информации о клиенте.
  • Идентификатор ресурса - вы можете найти его на портале Azure в обзоре рабочей области Synapse.
$resourceGroupName = "<resource group name>"
$accountName = "<storage account name>"
$tenantId = "<tenant id>"
$resourceId = "<Synapse workspace resource id>"

Убедитесь, что идентификатор ресурса соответствует этому шаблону.

Важно писать группы ресурсов в нижнем регистре. Пример одного идентификатора ресурса:

/subscriptions/{subscription-id}/resourcegroups/{resource-group}/providers/Microsoft.Synapse/workspaces/{name-of-workspace}

5. Добавить правило сети хранения:

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId

6. Убедитесь, что правило было применено к вашей учетной записи хранения:

$rule = Get-AzStorageAccountNetworkRuleSet -ResourceGroupName $resourceGroupName -Name $accountName
$rule.ResourceAccessRules

В ближайшее время появится возможность настроить брандмауэр учетной записи хранения из пользовательского интерфейса портала Azure.

Обновление 2

Настройка через пользовательский интерфейс портала Azure: здесь!

  1. Найдите свою учетную запись хранения на портале Azure.
  2. Перейдите в раздел «Сеть» в разделе «Настройки».
  3. В экземплярах раздела ресурсов добавьте исключение для рабочего пространства Synapse.
  4. Выберите Microsoft.Synapse / workspaces в качестве типа ресурса.
  5. Выберите имя вашей рабочей области в качестве имени экземпляра.
  6. Щелкните Сохранить.
person Stefan Azarić - Microsoft    schedule 25.11.2020