Sdílet prostřednictvím

Privátní odkazy pro zabezpečený přístup k Fabric

  • Článek

Privátní propojení můžete použít k zajištění zabezpečeného přístupu k datovému provozu v prostředcích Fabric. Privátní koncové body Služby Azure Private Link a sítě Azure se používají k privátnímu odesílání datového provozu pomocí páteřní síťové infrastruktury Microsoftu, a ne přes internet.

Když se použijí připojení privátního propojení, tato připojení procházejí páteřní sítí Microsoftu, když uživatelé Fabric přistupují k prostředkům v Fabric.

Další informace o službě Azure Private Link najdete v tématu Co je Azure Private Link.

Povolení privátních koncových bodů má vliv na mnoho položek, takže před povolením privátních koncových bodů byste si měli projít celý článek.

Co je privátní koncový bod?

Privátní koncový bod zaručuje, že provoz procházející do položek infrastruktury vaší organizace (například nahrání souboru do OneLake) vždy sleduje nakonfigurovanou síťovou cestu privátního propojení vaší organizace. Můžete nakonfigurovat Fabric tak, aby zamítal všechny požadavky, které nepocházejí z nakonfigurované síťové cesty.

Privátní koncové body nezaručují, že provoz z platformy Fabric do externích zdrojů dat, ať už v cloudu či on-premises, je zabezpečený. Nakonfigurujte pravidla brány firewall a virtuální sítě pro další zabezpečení zdrojů dat.

Privátní koncový bod je jednosměrná technologie, která umožňuje klientům inicializovat připojení k dané službě, ale neumožňuje službě inicializovat připojení k síti zákazníka. Tento model integrace privátního koncového bodu poskytuje izolaci správy, protože služba může fungovat nezávisle na konfiguraci zásad sítě zákazníka. U víceklientských služeb poskytuje tento model privátního koncového bodu identifikátory propojení, které brání přístupu k prostředkům jiných zákazníků hostovaným ve stejné službě.

Služba Fabric implementuje privátní koncové body, nikoli koncové body služby.

Použití privátních koncových bodů s Fabric poskytuje následující výhody:

  • Omezte provoz z internetu do Fabric a směrujte ho přes páteřní síť Microsoftu.
  • Ujistěte se, že k Fabric mají přístup jenom autorizované klientské počítače.
  • Dodržování zákonných požadavků a požadavků na dodržování předpisů, které vyžadují soukromý přístup k vašim datům a analytickým službám.

Principy konfigurace privátního koncového bodu

Na administračním portálu Fabric jsou součástí konfigurace Private Link dvě nastavení tenanta: Azure Private Links a Blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:

  • Podporované položky Fabric jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
  • Přenosy z virtuální sítě směřující na koncové body a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Provoz z virtuální sítě cílený na koncové body a scénáře, které nepodporují privátní propojení, bude službou blokován a nebude fungovat.
  • Můžou existovat scénáře, které nepodporují privátní propojení, které proto budou ve službě blokované, když je povolený blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:

  • Služby Fabric povolí provoz z veřejného internetu.
  • Přenosy z virtuální sítě cílené na koncové body a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Provoz z virtuální sítě, zaměřený na koncové body a scénáře, které nepodporují privátní propojení, je přenášen přes veřejný internet a bude povolen službami Fabric.
  • Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, budou scénáře, které nepodporují privátní propojení, blokovány virtuální sítí a nebudou fungovat.

OneLake

OneLake podporuje Private Link. OneLake můžete prozkoumat na portálu Fabric nebo z libovolného počítače v rámci vytvořené virtuální sítě pomocí Průzkumníka souborů OneLake, Průzkumník služby Azure Storage, PowerShellu a dalších.

Přímé hovory využívající regionální koncové body OneLake nefungují prostřednictvím privátního propojení k Fabric. Další informace o připojení k OneLake a regionálním koncovým bodům najdete v části Jak se připojit k OneLake?.

Koncový bod pro SQL analýzu ve Warehouse a Lakehouse

Přístup ke skladu nebo koncovému bodu analýzy SQL na portálu Fabric je chráněn privátním propojením. Zákazníci můžou také používat koncové body tabulkového datového streamu (TDS) (například SQL Server Management Studio, Azure Data Studio) pro připojení ke službě Warehouse přes privátní propojení.

Vizuální dotaz ve službě Warehouse nefunguje, pokud je povolené nastavení Blokovat veřejný přístup k internetu.

Databáze SQL

Přístup k databázi SQL nebo koncovému bodu analýzy SQL na portálu Fabric je chráněný privátním propojením. Zákazníci můžou také používat koncové body TDS (Tabular Data Stream) (například SQL Server Management Studio nebo Visual Studio Code) k připojení k databázi SQL prostřednictvím privátního propojení. Další informace o připojení k databázi SQL naleznete v tématu Ověřování v databázi SQL v Microsoft Fabric.

Lakehouse, Notebook, Definice úlohy Spark, Prostředí

Jakmile povolíte nastavení tenanta Azure Private Link , spustíte první úlohu Sparku (poznámkový blok nebo definici úlohy Sparku) nebo provedete operaci Lakehouse (načtení do tabulky, operace údržby tabulek, jako je optimalizace nebo úklid), způsobí vytvoření spravované virtuální sítě pro pracovní prostor.

Po zřízení spravované virtuální sítě jsou počáteční fondy (výchozí možnost výpočtu) pro Spark deaktivovány, protože se jedná o předem připravené clustery hostované ve sdílené virtuální síti. Úlohy Sparku běží na vlastních fondech vytvořených na vyžádání v době odeslání úlohy ve vyhrazené spravované virtuální síti pracovního prostoru. Migrace pracovních prostorů mezi kapacitami v různých regionech není podporována, pokud je vašemu pracovnímu prostoru přidělena spravovaná virtuální síť.

Pokud je povoleno nastavení privátního propojení, úlohy Sparku nebudou fungovat pro tenanty, jejichž domovská oblast nepodporuje Fabric Data Engineering, i když využívají kapacity Fabric z jiných oblastí, které tento systém podporují.

Další informace najdete v tématu Spravovaná VNet pro Fabric.

Tok dat Gen2

Tok dat Gen2 můžete použít k získání dat, transformaci dat a publikování toku dat prostřednictvím privátního propojení. Pokud je zdroj dat za bránou firewall, můžete se pomocí datové brány VNet připojit ke zdrojům dat. Datová brána VNet umožňuje integraci brány (výpočetních prostředků) do vaší stávající virtuální sítě, čímž poskytuje zkušenost se spravovanou bránou. Můžete použít připojení brány virtuální sítě k připojení ke službě Lakehouse nebo Warehouse ve vašem tenantovi, pokud vyžaduje privátní propojení, nebo k připojení k jiným zdrojům dat prostřednictvím vaší virtuální sítě.

Kanál

Když se připojíte ke kanálu přes privátní propojení, můžete pomocí datového kanálu načíst data z libovolného zdroje dat s veřejnými koncovými body do služby Microsoft Fabric Lakehouse s podporou privátního propojení. Zákazníci můžou také vytvářet a zprovozňovat datové kanály s aktivitami, včetně aktivit poznámkového bloku a toku dat, pomocí privátního propojení. Kopírování dat z datového skladu a do datového skladu ale v současné době není možné, pokud je povolené privátní propojení Fabric.

Dovednosti modelu ML, experimentu a umělé inteligence

Model strojového učení, experiment a schopnosti AI podporují soukromé propojení.

Power BI

  • Pokud je přístup k internetu zakázán a pokud se sémantický model Power BI, Datamart nebo Dataflow Gen1 připojí k sémantickému modelu Power BI nebo k toku dat jako ke zdroji dat, připojení se nezdaří.

  • Publikování na webu není podporováno, pokud je povoleno nastavení klienta Azure Private Link ve službě Fabric.

  • E-mailová předplatná nejsou podporována, pokud je v prostředcích infrastruktury povoleno nastavení Blokovat veřejný přístup k internetu.

  • Export sestavy Power BI jako PDF nebo PowerPoint není podporován, pokud je v rámci Fabric povoleno nastavení tenanta Azure Private Link.

  • Pokud vaše organizace používá Azure Private Link v rámci Fabric, budou moderní sestavy metrik využití obsahovat částečná data (pouze události Otevření sestavy). Aktuální omezení při přenosu informací o klientovi přes privátní odkazy brání Fabric v zachycení zobrazení stránek sestav a výkonových dat prostřednictvím těchto odkazů. Pokud vaše organizace povolila nastavení nájemce Azure Private Link a Blokovat veřejný internetový přístup ve službě Fabric, aktualizace datové sady selže a sestava metrik využití nezobrazuje žádná data.

  • Copilot se v současné době nepodporuje pro privátní propojení ani uzavřená síťová prostředí.

Eventhouse

Eventhouse podporuje Službu Private Link, která umožňuje zabezpečený příjem dat a dotazování z vaší virtuální sítě Azure prostřednictvím privátního propojení. Můžete načítat data z různých zdrojů, včetně účtů Azure Storage, místních souborů a Dataflow Gen2. Streamovaný příjem dat zajišťuje okamžitou dostupnost. Kromě toho můžete využít dotazy KQL nebo Spark pro přístup k datům v eventhouse.

Omezení:

  • Ingestování dat z OneLake se nepodporuje.
  • Vytvoření zástupce eventhouse není možné.
  • Připojení k Eventhouse v datovém kanálu není možné.
  • Ingestování dat pomocí frontového zpracování dat není podporováno.
  • Datové konektory, které se spoléhají na příjem dat ve frontě, se nepodporují.
  • Dotazování na eventhouse pomocí T-SQL není možné.

Řešení pro zdravotní data (náhled)

Zákazníci můžou zřizovat a využívat řešení pro zdravotní data v Microsoft Fabric prostřednictvím privátního propojení. V rámci tenanta, který je povolený pomocí privátního propojení, můžou zákazníci nasadit možnosti řešení pro zdravotnictví a provádět komplexní scénáře příjmu a transformace dat pro jejich klinická data. To zahrnuje schopnost ingestovat zdravotnická data z různých zdrojů, jako jsou účty Azure Storage a další.

Události Azure a Fabric

Události Azure a Fabric podporují privátní propojení, což znamená, že když je povoleno nastavení tenanta Blokovat veřejný přístup k internetu:

  • Všechny nové konfigurace pro využívání událostí Azure, jako jsou události Azure Blob Storage, by se zablokovaly.
  • Stávající konfigurace, které využívají události Azure, začnou ztrácet nové události.

Další látkové položky

Ostatní položky infrastruktury, jako je Eventstream, aktuálně nepodporují službu Private Link a jsou automaticky zakázány, když zapnete nastavení Blokovat veřejný přístup k internetu, aby bylo možné chránit stav dodržování předpisů.

Microsoft Purview – ochrana informací

Microsoft Purview Information Protection v současné době nepodporuje službu Private Link. To znamená, že v Power BI Desktopu spuštěném v izolované síti je tlačítko Citlivost neaktivní, informace o popisku se nezobrazí a dešifrování souborů .pbix selže.

Správci můžou tyto funkce povolit v Desktopu tak, že nakonfigurují značky služeb pro podkladové služby, které podporují Microsoft Purview Information Protection, Exchange Online Protection (EOP) a Azure Information Protection (AIP). Ujistěte se, že rozumíte důsledkům používání značek služeb v izolované síti privátních propojení.

Další důležité informace a omezení

Při práci s privátními koncovými body ve Fabricu je potřeba mít na paměti několik ohledů:

  • Síťová struktura podporuje až 450 kapacit v tenantovi, kde je povolen Private Link.

  • Když je kapacita nově vytvořená, nebude podporovat privátní propojení, dokud se jeho koncový bod neprojeví v zóně privátního DNS. To může trvat až 24 hodin.

  • Migrace tenanta se zablokuje, když je v portálu pro správu Fabric zapnutý Private Link.

  • Zákazníci se nemůžou připojit k prostředkům Fabric ve více tenantech z jedné virtuální sítě, ale jen k poslednímu tenantovi, který nastavil Private Link.

  • Private Link nepodporuje zkušební kapacitu. Při přístupu k Fabric přes provoz Private Link nebude zkušební kapacita fungovat.

  • Při použití prostředí privátního propojení nejsou k dispozici žádné použití externích obrázků nebo motivů.

  • Každý privátní koncový bod je možné připojit pouze k jednomu tenantovi. Nemůžete nastavit privátní propojení, které bude používat více než jeden tenant.

  • Pro uživatele služby Fabric: Místní datové brány nejsou podporovány a nezaregistrují se, když je povolena služba Private Link. Pokud chcete úspěšně spustit konfigurátor brány, musí být private Link zakázaný. Přečtěte si další informace o tomto scénáři. Brány dat VNet budou fungovat. Další informace najdete v těchto aspektech.

  • pro uživatele brány mimo PowerBI (PowerApps nebo LogicApps): Místní brána dat se nepodporuje, pokud je povolená služba Private Link. Doporučujeme prozkoumat použití brány dat virtuální sítě, kterou je možné použít s privátními propojeními.

  • Privátní propojení nebudou fungovat s diagnostikou stahování datové brány virtuální sítě.

  • Rozhraní REST API prostředků privátních přípojek nepodporují tagy.

  • Následující adresy URL musí být přístupné z klientského prohlížeče:

    • Požadováno pro ověřování:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, i když se může lišit v závislosti na typu účtu.

    • Vyžaduje se pro oblasti datového inženýrství a datové vědy:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (například https://pypi.org/pypi/azure-storage-blob/json)
      • místní statické koncové body pro balíčky CondaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Související obsah