たれみみの備忘録

たれみみの備忘録です。仕事と酒がメインになりそう。

Synapse Analytics のファイアウォール設定(Data Factory & Power BI)

インフラ側の同僚が中の人に聞いていた内容。
この辺苦手やからメモメモ。

Azure Data Factory から Synapse Analytics へのアクセスは、「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」をオンにするか、マネージド仮想ネットワーク(プライベートリンク)を使用することで可能。
マネージド仮想ネットワーク(プライベートリンク)を張っても、Synapse Analytics のファイアウォールで該当の IP アドレスが許可されていた場合、他のサービスまたは端末から Synapse Analytics へのパブリックアクセスは可能、ってことは理解した・・・はず。


以下、質問と回答。


<質問内容>

Azure Synapse Workspase にて、セキュリティ確保のため Firewall の設定を行いたいと考えています。
IP アドレスによる Firewall の設定を行う場合、下記の接続元からのアクセスを許可できるでしょうか。
可能な場合、設定方法をご教示ください。

  • Azure Data Factory
  • Power BI Service

<回答>

● Azure Data Factory

Azure Data Factory は PaaS 製品であるため、IP アドレスによる Firewall が設定された場合、下記の方法で Azure Synapse Workspace へアクセスすることが可能となる。

  1. 「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」設定
    Azure Synapse Workspace のファイアウォール設定にある「Azure サービス及びリソースにこのサーバーへのアクセスを許可する」をオンにした上で、Azure サービスである Azure Data Factory から Synapse Workspase にアクセスすることが可能である。
    この方法だと、Power BI からのアクセスも同時に許可される(AzureCloud.* となるため)。

  2. マネージド仮想ネットワーク
    Azure Data Factory では、プライベートリンクがサポートされる。プライベートリンクを使用すると、Azure(PaaS)サービスにアクセスすることが可能である。
    この方法だと、Synapse 側にプライベートエンドポイントが必要となる。
    【参考: Azure Data Factory のマネージド仮想ネットワーク

● Power BI Service

Azure Synapse Workspace のファイアウォール設定にて、利用している Power BI テナント環境のリージョンに振られている IP アドレスを登録することで、Power BI から接続することが可能である。

~Power BI に割り当てる IP アドレスの確認方法~

  • 対象リージョン IP アドレスのレンジ

Power BI サービスの通信に使用される IP アドレスについては、リージョンごとに振られた IP アドレスの範囲内の IP アドレスが動的に割り当てられる。
下記 URL より IP アドレス一覧をダウンロードし、貴社環境のリージョンに振られている IP アドレスの範囲をファイアウォールに登録すれば、アクセス可能となる。
【参考:Azure IP Ranges and Service Tags – Public Cloud

上記 URL より .json ファイルをダウンロードし、”AzureCloud.XXXX” の配下にある IP アドレスの範囲を確認する。
例)東日本リージョンの場合、”AzureCloud.japaneast” の配下にある IP アドレスの範囲を確認する。
【参考:組織の既定のリージョンを確認する

<特記事項>



うん、この辺はさっぱり。
実際、手ぇ動かさんと分からんかも;
それか、前みたくインフラ得意な人と組めれば。。。