Synapse Analytics のファイアウォール設定(Data Factory & Power BI)
インフラ側の同僚が中の人に聞いていた内容。
この辺苦手やからメモメモ。
Azure Data Factory から Synapse Analytics へのアクセスは、「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」をオンにするか、マネージド仮想ネットワーク(プライベートリンク)を使用することで可能。
マネージド仮想ネットワーク(プライベートリンク)を張っても、Synapse Analytics のファイアウォールで該当の IP アドレスが許可されていた場合、他のサービスまたは端末から Synapse Analytics へのパブリックアクセスは可能、ってことは理解した・・・はず。
以下、質問と回答。
<質問内容>
Azure Synapse Workspase にて、セキュリティ確保のため Firewall の設定を行いたいと考えています。
IP アドレスによる Firewall の設定を行う場合、下記の接続元からのアクセスを許可できるでしょうか。
可能な場合、設定方法をご教示ください。
- Azure Data Factory
- Power BI Service
<回答>
● Azure Data Factory
Azure Data Factory は PaaS 製品であるため、IP アドレスによる Firewall が設定された場合、下記の方法で Azure Synapse Workspace へアクセスすることが可能となる。
「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」設定
Azure Synapse Workspace のファイアウォール設定にある「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」をオンにした上で、Azure サービスである Azure Data Factory から Synapse Workspase にアクセスすることが可能である。
この方法だと、Power BI からのアクセスも同時に許可される(AzureCloud.* となるため)。マネージド仮想ネットワーク
Azure Data Factory では、プライベートリンクがサポートされる。プライベートリンクを使用すると、Azure(PaaS)サービスにアクセスすることが可能である。
この方法だと、Synapse 側にプライベートエンドポイントが必要となる。
【参考: Azure Data Factory のマネージド仮想ネットワーク 】
● Power BI Service
Azure Synapse Workspace のファイアウォール設定にて、利用している Power BI テナント環境のリージョンに振られている IP アドレスを登録することで、Power BI から接続することが可能である。
~Power BI に割り当てる IP アドレスの確認方法~
- 対象リージョン IP アドレスのレンジ
Power BI サービスの通信に使用される IP アドレスについては、リージョンごとに振られた IP アドレスの範囲内の IP アドレスが動的に割り当てられる。
下記 URL より IP アドレス一覧をダウンロードし、貴社環境のリージョンに振られている IP アドレスの範囲をファイアウォールに登録すれば、アクセス可能となる。
【参考:Azure IP Ranges and Service Tags – Public Cloud】
上記 URL より .json ファイルをダウンロードし、”AzureCloud.XXXX” の配下にある IP アドレスの範囲を確認する。
例)東日本リージョンの場合、”AzureCloud.japaneast” の配下にある IP アドレスの範囲を確認する。
【参考:組織の既定のリージョンを確認する】
<特記事項>
Synapse Analytics にプライベートエンドポイントを設定した時点で、インターネット経由のアクセスができなくなるということは無い。
当該設定を行った場合、Azure Data Factory から Azure Synapse Analytics へのアクセスはプライベートリンク経由だが、Azure Synapse Analytics のファイアウォールにて該当の IP アドレスが許可されれば、他のサービスまたは端末から Azure Synapse Analytics へのパブリックアクセスは可能である。
そのため、Azure Synapse Analytics のファイアウォールにて Power BI における IP アドレスがブロックされない限り、Power BI から Azure Synapse Analytics へのパブリックアクセスは可能である。 なお、プライベートリンク以外で、通信許可の設定を何も登録していない場合は、実質パブリックネットワーク経由のアクセスは無い状態となる。
Power BI にはマネージド仮想ネットワーク機能のようなプライベート通信できる機能は無い。
しかし、オンプレミスゲートウェイというサービスを VNET 内の環境にインストールすることで、Power BI → Azure Service Bus → オンプレミスデータゲートウェイ → Azure Synapse Workspase の経路でアクセス可能である。
※イメージとしては、仮想ネットワークと仮想マシンを作成し、その仮想マシンの上にオンプレミスゲートウェイをインストールして Azure Synapse Workspase に接続を実施することになる。
【参考:オンプレミス データ ゲートウェイとは?】
【参考:オンプレミス データ ゲートウェイのアーキテクチャ】
【参考:オンプレミス データ ゲートウェイのコミュニケーション設定を調整】
【参考:Secure Access to Azure SQL Servers for Power BI】
うん、この辺はさっぱり。
実際、手ぇ動かさんと分からんかも;
それか、前みたくインフラ得意な人と組めれば。。。