我正在尝试设置 Synapse 来访问 Cosmos Db,该 Db 的防火墙规则设置为仅允许列入白名单的 IP。
经过一番研究,我发现了这篇文章:
保护 Azure Synapse 工作区的安全?谨防一种不可避免的网络拦截器 |作者:Moussa Taifi 博士 |迈向开发
根据该帖子,唯一的选择是将池可能使用的整个 IP 范围列入白名单。有人可以告诉我情况是否属实吗?我开始考虑私有端点,因为这似乎是一个完美的解决方案,但我无法让它工作。我多次尝试以下方法:
创建新的 CosmosDb 并启用 Azure Synapse Link
限制到选定的网络
创建新的数据库和容器
确认我无法添加新项目
添加我的IP
添加新项目
创建新的 Synapse 工作区,选择托管 VNet
创建后,验证集成运行时是否位于托管 VNet 中。
为我的 Cosmos 数据库创建两个新的专用端点。一种用于 Sql 类型,一种用于分析(我还不确定我需要哪一种)
前往私人链接中心并批准两个端点
数据 > 连接到外部数据
确保我的运行时位于管理 VNet 中
选择我的数据库
我等了 10 分钟,但托管端点列表停留在“正在刷新”。无论如何,我继续保存,但是当我尝试进行 SQL 调用(创建凭据后)时,我得到:
解析 CosmosDB 路径失败,并出现错误“禁止访问数据库帐户 '********'。”。
端点在连接属性和管理专用端点中都永久“刷新”。端点链接已“批准”并在 Cosmos DB 中显示。
谁可以告诉我:
私有端点是我可以用来将 Synapse 工作区连接到锁定的 Cosmos DB 的方法吗?
如果是这样,我可能做错了什么?
谢谢!
您所说的所有步骤都是正确的。在 Synapse Studio 中配置专用端点后,您需要转到 Cosmos DB 帐户资源“网络”->“专用访问”选项卡并批准该端点(任何时候您将其他资源中的专用端点添加到您需要的数据库时)在这里批准)。
完成此操作后,您可以从 Synapse 进行连接,但如果您想使用 Serverless SQL,则需要按照“使用 Synapse serverless SQL 池”标题下的本文将这些资源列入白名单。注意:您的数据仍然受到其他 Synapse 工作区的保护,因为它们没有专用端点,即您需要 Synapse 的专用端点和无服务器 SQL 的白名单相结合才能使其工作。
您能解决这个问题吗?
如果您的设置配置错误,您应该考虑打开支持案例。
应该有一个选项允许访问 Azure IP。这包含在此处的文档中:
为 Azure Cosmos DB 分析存储添加托管专用终结点
登录 Azure 门户。
从 Azure 门户导航到 Synapse Analytics 工作区并打开“概述”窗格。
导航到“入门”窗格并选择“打开 Synapse Studio”下的“打开”来启动 Synapse Studio。
在 Synapse Studio 中,打开“管理”选项卡。
导航到托管专用端点并选择新建
为分析存储创建新的专用端点。
选择 Azure Cosmos DB(SQL API) 帐户类型 > 继续。
选择 Azure Cosmos DB SQL API 以创建专用终结点。
使用以下详细信息填写新托管专用端点表单:
名称 - 您的托管专用端点的名称。该名称创建后无法更新。 描述 - 提供友好的描述来识别您的专用端点。 Azure 订阅 - 从 Azure 订阅中的可用帐户列表中选择 Azure Cosmos DB 帐户。 Azure Cosmos DB 帐户名称 - 选择 SQL 或 MongoDB 类型的现有 Azure Cosmos DB 帐户。 目标子资源 - 选择以下选项之一: 分析:如果要添加 Azure Cosmos DB 分析存储的专用终结点。 Sql(或 MongoDB):如果您想添加 OLTP 或事务帐户端点。 注意
您可以将事务存储和分析存储专用终结点添加到 Azure Synapse Analytics 工作区中的同一 Azure Cosmos DB 帐户。如果您只想运行分析查询,您可能只想映射分析专用端点。
选择目标子资源的分析。
创建后,转到专用终结点名称并选择“在 Azure 门户中管理批准”。
导航到您的 Azure Cosmos DB 帐户,选择专用终结点,然后选择“批准”。
导航回 Synapse Analytics 工作区,然后单击托管专用端点窗格上的刷新。验证专用端点是否处于“已批准”状态。