Methodik zum Erfolg der Synapse-Implementierung: Bewertung des Arbeitsbereichsdesigns

Synapse-Arbeitsbereich ist eine integrierte grafische Benutzeroberfläche, die Ihre Analyse- und Datenverarbeitungsmodule, Datenseen, Datenbanken, Tabellen, Datensätze und Berichtsartefakte nahtlos mit Code- und Prozessorchestrierung integriert. Stellen Sie unter Berücksichtigung der Anzahl der Technologien und Dienste, die in den Synapse-Arbeitsbereich integriert sind, sicher, dass die wichtigsten Komponenten in Ihrem Design enthalten sind.

Entwurfsüberprüfung des Synapse-Arbeitsbereichs

Ermitteln Sie, ob ihr Lösungsentwurf einen Synapse-Arbeitsbereich oder mehrere Arbeitsbereiche umfasst. Bestimmen Sie die Treiber dieses Designs. Obwohl es unterschiedliche Gründe gibt, ist in den meisten Fällen der Grund für mehrere Arbeitsbereiche entweder die Sicherheitstrennung oder die Abrechnungstrennung. Beachten Sie beim Ermitteln der Anzahl der Arbeitsbereiche und Datenbankgrenzen, dass pro Abonnement ein Grenzwert von 20 Arbeitsbereichen liegt.

Ermitteln Sie, welche Elemente oder Dienste innerhalb der einzelnen Arbeitsbereiche freigegeben werden müssen und mit welchen Ressourcen. Ressourcen können Datenseen, Integrationslaufzeiten (IRs), Metadaten oder Konfigurationen und Code enthalten. Bestimmen Sie, warum diese spezielle Gestaltung in Bezug auf potenzielle Synergien ausgewählt wurde. Fragen Sie sich, ob diese Synergien den zusätzlichen Kosten- und Verwaltungsaufwand rechtfertigen.

Überprüfung des Data-Lake-Designs

Es wird empfohlen, dass der Data Lake (falls Teil Ihrer Lösung) ordnungsgemäß gestuft wird. Sie sollten Ihren Datensee in drei Hauptbereiche unterteilen, die sich auf Bronze-, Silber- und Gold-Datasets beziehen. Bronze – oder der Roh-Layer – kann sich auf einem separaten Speicherkonto befinden, da es aufgrund unmaskierter vertraulicher Daten, die es möglicherweise speichert, strengere Zugriffskontrollen benötigt.

Überprüfung des Sicherheitsdesigns

Überprüfen Sie den Sicherheitsentwurf für den Arbeitsbereich, und vergleichen Sie ihn mit den Informationen, die Sie während der Bewertung gesammelt haben. Stellen Sie sicher, dass alle Anforderungen erfüllt sind und alle Einschränkungen berücksichtigt wurden. Zur Vereinfachung der Verwaltung wird empfohlen, dass Benutzer in Gruppen mit geeigneten Berechtigungsprofilen organisiert werden: Sie können die Zugriffssteuerung vereinfachen, indem Sie Sicherheitsgruppen verwenden, die mit Rollen übereinstimmen. Auf diese Weise können Netzwerkadministratoren Benutzer aus entsprechenden Sicherheitsgruppen hinzufügen oder entfernen, um den Zugriff zu verwalten.

Serverlose SQL-Pools und Apache Spark-Tabellen speichern ihre Daten in einem Azure Data Lake Gen2 (ADLS Gen2)-Container, der dem Arbeitsbereich zugeordnet ist. Vom Benutzer installierte Apache Spark-Bibliotheken werden auch in diesem Speicherkonto verwaltet. Um diese Anwendungsfälle zu aktivieren, müssen sowohl Benutzer als auch die arbeitsbereichsverwaltete Dienstidentität (MSI) der Rolle " Mitwirkender von Speicher-BLOB-Daten" des ADLS Gen2-Speichercontainers hinzugefügt werden. Überprüfen Sie diese Anforderung anhand Ihrer Sicherheitsanforderungen.

Dedizierte SQL-Pools bieten eine vielzahl von Sicherheitsfeatures zum Verschlüsseln und Maskieren vertraulicher Daten. Sowohl dedizierte als auch serverlose SQL-Pools ermöglichen den vollständigen Oberflächenbereich von SQL Server-Berechtigungen, einschließlich integrierter Rollen, benutzerdefinierter Rollen, SQL-Authentifizierung und Microsoft Entra-Authentifizierung. Überprüfen Sie den Sicherheitsentwurf für den dedizierten SQL-Pool und serverlosen SQL-Poolzugriff und -daten Ihrer Lösung.

Überprüfen Sie den Sicherheitsplan für Ihren Data Lake und alle ADLS Gen2-Speicherkonten (und andere), die Teil Ihrer Azure Synapse Analytics-Lösung sind. ADLS Gen2-Speicher ist nicht selbst ein Computemodul und verfügt daher nicht über eine integrierte Möglichkeit, Datenattribute selektiv zu maskieren. Sie können ADLS Gen2-Berechtigungen auf Speicherkonto- oder Containerebene anwenden, indem Sie rollenbasierte Zugriffssteuerung (RBAC) und/oder auf Ordner- oder Dateiebene mithilfe von Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) verwenden. Überprüfen Sie das Design sorgfältig, und versuchen Sie, unnötige Komplexität zu vermeiden.

Hier sind einige Punkte, die sie für das Sicherheitsdesign berücksichtigen sollten.

• Stellen Sie sicher, dass die Anforderungen an die Microsoft Entra-ID im Design enthalten sind.
• Suchen Sie nach mandantenübergreifenden Szenarien. Solche Probleme können auftreten, da sich einige Daten in einem anderen Azure-Mandanten befinden oder zu einem anderen Mandanten wechseln müssen oder von Benutzern aus einem anderen Mandanten darauf zugegriffen werden muss. Stellen Sie sicher, dass diese Szenarien in Ihrem Design berücksichtigt werden.
• Welche Rollen gelten für jeden Arbeitsbereich? Wie wird der Arbeitsbereich verwendet?
• Wie ist die Sicherheit innerhalb des Arbeitsbereichs konzipiert?
  • Wer kann alle Skripts, Notizbücher und Pipelines anzeigen?
  • Wer kann Skripts und Pipelines ausführen?
  • Wer kann SQL- und Spark-Pools erstellen/anhalten/fortsetzen?
  • Wer kann Änderungen am Arbeitsbereich veröffentlichen?
  • Wer kann Änderungen an der Quellcodeverwaltung übernehmen?
• Greifen Pipelines mithilfe gespeicherter Anmeldeinformationen oder der verwalteten Identität des Arbeitsbereichs auf Daten zu?
• Haben Benutzer den entsprechenden Zugriff auf den Datensee, um die Daten in Synapse Studio zu durchsuchen?
• Ist der Data Lake ordnungsgemäß gesichert, indem die entsprechende Kombination aus RBAC und ACLs verwendet wird?
• Wurden die Benutzerberechtigungen des SQL-Pools für jede Rolle richtig festgelegt (Data Scientist, Entwickler, Administrator, Geschäftsbenutzer und andere)?

Überprüfung des Netzwerkdesigns

Hier sind einige Punkte, die sie für das Netzwerkdesign berücksichtigen sollten.

• Ist die Konnektivität zwischen allen Ressourcen konzipiert?
• Was ist der zu verwendende Netzwerkmechanismus (Azure ExpressRoute, öffentliches Internet oder private Endpunkte)?
• Müssen Sie eine sichere Verbindung mit Synapse Studio herstellen können?
• Wurde die Datenexfiltration berücksichtigt?
• Müssen Sie eine Verbindung mit lokalen Datenquellen herstellen?
• Müssen Sie eine Verbindung mit anderen Clouddatenquellen oder Computemodulen herstellen, z. B. Azure Machine Learning?
• Wurden Azure-Netzwerkkomponenten wie Netzwerksicherheitsgruppen (NSGs) auf eine ordnungsgemäße Konnektivität und Datenverschiebung überprüft?
• Wurde die Integration in die privaten DNS-Zonen berücksichtigt?
• Müssen Sie in der Lage sein, den Datensee aus Synapse Studio zu durchsuchen oder einfach Daten im Data Lake mit Serverless SQL oder PolyBase abfragen?

Identifizieren Sie schließlich alle Ihre Datenkunden, und stellen Sie sicher, dass ihre Konnektivität im Design berücksichtigt wird. Überprüfen Sie, ob Netzwerk- und Sicherheitsausgangsposten Ihrem Dienst den Zugriff auf erforderliche lokale Quellen ermöglichen und dass seine Authentifizierungsprotokolle und -mechanismen unterstützt werden. In einigen Szenarien müssen Sie möglicherweise mehrere selbst gehostete IR- oder Datengateway für SaaS-Lösungen wie Microsoft Power BI verwenden.

Überwachung der Entwurfsüberprüfung

Überprüfen Sie den Entwurf der Überwachung der Azure Synapse-Komponenten, um sicherzustellen, dass sie die anforderungen und Erwartungen erfüllen, die während der Bewertung identifiziert wurden. Überprüfen Sie, ob die Überwachung der Ressourcen und des Datenzugriffs entworfen wurde und dass sie jede Überwachungsanforderung identifiziert. Eine robuste Überwachungslösung sollte als Teil der ersten Bereitstellung für die Produktion eingerichtet werden. Auf diese Weise können Fehler identifiziert, diagnostiziert und zeitnah behoben werden. Neben der Basisinfrastruktur und Pipeline-Ausführungen sollten auch Daten überwacht werden. Ermitteln Sie abhängig von den verwendeten Azure Synapse-Komponenten die Überwachungsanforderungen für jede Komponente. Wenn Spark-Pools beispielsweise Teil der Lösung sind, sollten Sie den fehlerhaften Datenspeicher überwachen. 

Im Folgenden sind einige Punkte aufgeführt, die sie für das Überwachungsdesign berücksichtigen sollten.

• Wer kann jeden Ressourcentyp (Pipelines, Pools und andere) überwachen?
• Wie lange müssen Datenbankaktivitätsprotokolle aufbewahrt werden?
• Wird die Aufbewahrung von Arbeitsbereichs- und Datenbankprotokollen Log Analytics oder Azure Storage verwenden?
• Werden Warnungen im Falle eines Pipelinefehlers ausgelöst? Wenn ja, wer sollte benachrichtigt werden?
• Welche Schwellenwertebene eines SQL-Pools sollte eine Warnung auslösen? Wer sollte benachrichtigt werden?

Entwurfsüberprüfung der Quellcodeverwaltung

Standardmäßig wendet ein Synapse-Arbeitsbereich Änderungen direkt auf den Synapse-Dienst an, indem die integrierte Veröffentlichungsfunktionalität verwendet wird. Sie können die Integration der Quellcodeverwaltung aktivieren, was viele Vorteile bietet. Zu den Vorteilen gehören bessere Zusammenarbeit, Versionsverwaltung, Genehmigungen und Freigabepipelinen, um Änderungen durch Entwicklungs-, Test- und Produktionsumgebungen zu fördern. Azure Synapse ermöglicht ein einzelnes Quellcodeverwaltungs-Repository pro Arbeitsbereich, das entweder Azure DevOps Git oder GitHub sein kann.

Hier sind einige Punkte, die sie für das Quellcodeverwaltungsdesign berücksichtigen sollten.

• Wenn Sie "Azure DevOps Git" verwenden, befindet sich der Synapse-Arbeitsbereich und das zugehörige Repository im selben Mandanten?
• Wer kann auf die Quellcodeverwaltung zugreifen?
• Welche Berechtigungen werden jedem Benutzer in der Quellcodeverwaltung erteilt?
• Wurde eine Verzweigungs- und Fusionsstrategie entwickelt?
• Werden Releasepipelines für die Bereitstellung in verschiedenen Umgebungen entwickelt?
• Wird ein Genehmigungsprozess für die Zusammenführung und für Freigabepipelines verwendet?

Nächste Schritte

Im nächsten Artikel der Azure Synapse-Erfolgsserie erfahren Sie, wie Sie den Entwurf der Datenintegration bewerten und überprüfen, ob sie Richtlinien und Anforderungen erfüllt.