Sdílet prostřednictvím


Privátní propojení pro zabezpečený přístup k prostředkům infrastruktury

Privátní propojení můžete použít k zajištění zabezpečeného přístupu k datovému provozu v prostředcích Fabric. Privátní koncové body Služby Azure Private Link a sítě Azure se používají k privátnímu odesílání datového provozu pomocí páteřní síťové infrastruktury Microsoftu, a ne přes internet.

Když se použijí připojení privátního propojení, tato připojení procházejí páteřní sítí Microsoftu, když uživatelé infrastruktury přistupují k prostředkům v Prostředcích infrastruktury.

Další informace o službě Azure Private Link najdete v tématu Co je Azure Private Link.

Povolení privátních koncových bodů má vliv na mnoho položek, takže před povolením privátních koncových bodů byste si měli projít celý článek.

Co je privátní koncový bod?

Privátní koncový bod zaručuje, že provoz procházející do položek infrastruktury vaší organizace (například nahrání souboru do OneLake) vždy sleduje nakonfigurovanou síťovou cestu privátního propojení vaší organizace. Prostředky infrastruktury můžete nakonfigurovat tak, aby odepřely všechny požadavky, které nepocházejí z nakonfigurované síťové cesty.

Privátní koncové body nezaručují , že provoz z prostředků infrastruktury do externích zdrojů dat, ať už v cloudu nebo v místním prostředí, je zabezpečený. Nakonfigurujte pravidla brány firewall a virtuální sítě pro další zabezpečení zdrojů dat.

Privátní koncový bod je jednosměrná technologie, která umožňuje klientům inicializovat připojení k dané službě, ale neumožňuje službě inicializovat připojení k síti zákazníka. Tento model integrace privátního koncového bodu poskytuje izolaci správy, protože služba může fungovat nezávisle na konfiguraci zásad sítě zákazníka. U víceklientských služeb poskytuje tento model privátního koncového bodu identifikátory propojení, které brání přístupu k prostředkům jiných zákazníků hostovaným ve stejné službě.

Služba Fabric implementuje privátní koncové body, nikoli koncové body služby.

Použití privátních koncových bodů s prostředky infrastruktury poskytuje následující výhody:

  • Omezte provoz z internetu do Fabric a směrujte ho přes páteřní síť Microsoftu.
  • Ujistěte se, že k prostředkům Infrastruktury mají přístup jenom autorizované klientské počítače.
  • Dodržování zákonných požadavků a požadavků na dodržování předpisů, které vyžadují soukromý přístup k vašim datům a analytickým službám.

Principy konfigurace privátního koncového bodu

Na portálu pro správu Prostředků infrastruktury jsou součástí konfigurace Private Linku dvě nastavení tenanta: Azure Private Links a Blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:

  • Podporované položky prostředků infrastruktury jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Provoz z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, budou službou blokovány a nebudou fungovat.
  • Můžou existovat scénáře, které nepodporují privátní propojení, které proto budou ve službě blokované, když je povolený blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:

  • Provoz z veřejného internetu povolí služby Fabric.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, se přenášejí přes veřejný internet a budou povoleny službami Fabric.
  • Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, budou scénáře, které nepodporují privátní propojení, blokovány virtuální sítí a nebudou fungovat.

OneLake

OneLake podporuje Private Link. OneLake můžete prozkoumat na portálu Fabric nebo z libovolného počítače v rámci vytvořené virtuální sítě pomocí Průzkumníka souborů OneLake, Průzkumník služby Azure Storage, PowerShellu a dalších.

Přímé hovory využívající regionální koncové body OneLake nefungují prostřednictvím privátního propojení s prostředky infrastruktury. Další informace o připojení ke koncovým bodům OneLake a oblastí najdete v tématu Návody připojení k OneLake?.

Koncový bod analýzy SQL warehouse a Lakehouse

Přístup ke skladu nebo koncovému bodu analýzy SQL na portálu Fabric na portálu Fabric je chráněný privátním propojením. Zákazníci můžou také používat koncové body tabulkového datového streamu (TDS) (například SQL Server Management Studio, Azure Data Studio) pro připojení ke službě Warehouse přes privátní propojení.

Vizuální dotaz ve službě Warehouse nefunguje, pokud je povolené nastavení Blokovat veřejný přístup k internetu.

Lakehouse, Notebook, Definice úlohy Spark, Prostředí

Jakmile povolíte nastavení tenanta Azure Private Link , spustíte první úlohu Sparku (poznámkový blok nebo definici úlohy Sparku) nebo provedete operaci Lakehouse (načtení do tabulky, operace údržby tabulek, jako je optimalizace nebo úklid), způsobí vytvoření spravované virtuální sítě pro pracovní prostor.

Po zřízení spravované virtuální sítě jsou počáteční fondy (výchozí možnost Compute) pro Spark zakázané, protože se jedná o předem připravené clustery hostované ve sdílené virtuální síti. Úlohy Sparku běží na vlastních fondech vytvořených na vyžádání v době odeslání úlohy ve vyhrazené spravované virtuální síti pracovního prostoru. Migrace pracovních prostorů mezi kapacitami v různých oblastech se nepodporuje, pokud je spravovaný virtuální síť přidělená vašemu pracovnímu prostoru.

Pokud je povolené nastavení privátního propojení, úlohy Sparku nebudou fungovat pro tenanty, jejichž domovská oblast nepodporuje prostředky infrastruktury Datoví technici, i když používají kapacity Fabric z jiných oblastí, které to dělají.

Další informace najdete v tématu Spravovaná virtuální síť pro Prostředky infrastruktury.

Tok dat Gen2

Tok dat Gen2 můžete použít k získání dat, transformaci dat a publikování toku dat prostřednictvím privátního propojení. Pokud je zdroj dat za bránou firewall, můžete se pomocí brány dat virtuální sítě připojit ke zdrojům dat. Brána dat virtuální sítě umožňuje injektáž brány (výpočetních prostředků) do vaší stávající virtuální sítě, čímž poskytuje prostředí spravované brány. Připojení brány virtuální sítě můžete použít k připojení ke službě Lakehouse nebo Warehouse v tenantovi, který vyžaduje privátní propojení nebo připojení k jiným zdrojům dat s vaší virtuální sítí.

Kanál

Když se připojíte ke kanálu přes privátní propojení, můžete pomocí datového kanálu načíst data z libovolného zdroje dat s veřejnými koncovými body do služby Microsoft Fabric Lakehouse s podporou privátního propojení. Zákazníci můžou také vytvářet a zprovozňovat datové kanály s aktivitami, včetně aktivit poznámkového bloku a toku dat, pomocí privátního propojení. Kopírování dat z datového skladu a do datového skladu ale v současné době není možné, pokud je povolené privátní propojení Fabric.

Dovednosti modelu ML, experimentu a umělé inteligence

Model STROJOVÉho učení, experimentování a dovednosti AI podporují privátní propojení.

Power BI

  • Pokud je přístup k internetu zakázaný a pokud se sémantický model Power BI, Datamart nebo Dataflow Gen1 připojí k sémantickému modelu Power BI nebo toku dat jako zdroj dat, připojení se nezdaří.

  • Režim Direct Lake se v současné době nepodporuje pomocí služby Private Link.

  • Publikování na webu se nepodporuje, pokud je v prostředcích infrastruktury povolené nastavení služby Azure Private Link .

  • E-mailová předplatná nejsou podporována, pokud je v prostředcích infrastruktury povoleno nastavení Blokovat veřejný přístup k internetu.

  • Export sestavy Power BI jako PDF nebo PowerPointu se nepodporuje, pokud je v prostředcích infrastruktury povolené nastavení tenanta Azure Private Link .

  • Pokud vaše organizace používá Azure Private Link v prostředcích infrastruktury, budou moderní sestavy metrik využití obsahovat částečná data (pouze události Otevření sestavy). Aktuální omezení při přenosu informací o klientovi přes privátní odkazy brání v zachytávání zobrazení stránek sestavy a dat o výkonu prostřednictvím privátních propojení. Pokud vaše organizace povolila nastavení tenanta Azure Private Link a Blokovat nastavení tenanta veřejného internetového přístupu v prostředcích infrastruktury, aktualizace datové sady selže a sestava metrik využití nezobrazuje žádná data.

Eventhouse

Eventhouse podporuje Službu Private Link, která umožňuje zabezpečený příjem dat a dotazování z vaší virtuální sítě Azure prostřednictvím privátního propojení. Můžete ingestovat data z různých zdrojů, včetně účtů Azure Storage, místních souborů a Toku dat Gen2. Příjem dat streamování zajišťuje okamžitou dostupnost dat. Kromě toho můžete využít dotazy KQL nebo Spark pro přístup k datům v eventhouse.

Omezení:

  • Ingestování dat z OneLake se nepodporuje.
  • Vytvoření zástupce eventhouse není možné.
  • Připojení k eventhouse v datovém kanálu není možné.
  • Ingestování dat pomocí příjmu dat ve frontě se nepodporuje.
  • Datové konektory, které se spoléhají na příjem dat ve frontě, se nepodporují.
  • Dotazování na eventhouse pomocí T-SQL není možné.

Řešení pro zdravotní data (Preview)

Zákazníci můžou zřizovat a využívat řešení pro zdravotní data v Microsoft Fabric prostřednictvím privátního propojení. V rámci tenanta, který je povolený pomocí privátního propojení, můžou zákazníci nasadit možnosti řešení pro zdravotnictví a provádět komplexní scénáře příjmu a transformace dat pro jejich klinická data. To zahrnuje schopnost ingestovat zdravotnická data z různých zdrojů, jako jsou účty Azure Storage a další.

Další položky infrastruktury

Ostatní položky infrastruktury, jako je Eventstream, aktuálně nepodporují službu Private Link a jsou automaticky zakázány, když zapnete nastavení Blokovat veřejný přístup k internetu, aby bylo možné chránit stav dodržování předpisů.

Microsoft Purview – ochrana informací

Microsoft Purview Information Protection v současné době nepodporuje službu Private Link. To znamená, že v Power BI Desktopu spuštěném v izolované síti je tlačítko Citlivost neaktivní, informace o popisku se nezobrazí a dešifrování souborů .pbix selže.

Správci můžou tyto funkce povolit v Desktopu tak, že nakonfigurují značky služeb pro podkladové služby, které podporují Microsoft Purview Information Protection, Exchange Online Protection (EOP) a Azure Information Protection (AIP). Ujistěte se, že rozumíte důsledkům používání značek služeb v izolované síti privátních propojení.

Další důležité informace a omezení

Při práci s privátními koncovými body v prostředcích infrastruktury je potřeba mít na paměti několik aspektů:

  • Prostředky infrastruktury podporují až 450 kapacit v tenantovi, kde je povolená služba Private Link.

  • Když je kapacita nově vytvořená, nebude podporovat privátní propojení, dokud se jeho koncový bod neprojeví v zóně privátního DNS. To může trvat až 24 hodin.

  • Migrace tenanta se zablokuje, když je na portálu pro správu Prostředků infrastruktury zapnutá služba Private Link.

  • Zákazníci se nemůžou připojit k prostředkům Infrastruktury ve více tenantech z jedné virtuální sítě, ale jenom k poslednímu tenantovi pro nastavení služby Private Link.

  • Private Link nepodporuje zkušební kapacitu. Při přístupu k prostředkům infrastruktury prostřednictvím provozu Private Link nebude zkušební kapacita fungovat.

  • Při použití prostředí privátního propojení nejsou k dispozici žádné použití externích obrázků nebo motivů.

  • Každý privátní koncový bod je možné připojit pouze k jednomu tenantovi. Nemůžete nastavit privátní propojení, které bude používat více než jeden tenant.

  • Uživatelé prostředků infrastruktury: Místní brány dat se nepodporují a po povolení služby Private Link se neregistrují. Pokud chcete úspěšně spustit konfigurátor brány, musí být private Link zakázaný. Přečtěte si další informace o tomto scénáři. Brány dat virtuální sítě budou fungovat. Další informace najdete v těchto aspektech.

  • Pro uživatele brány mimo PowerBI (PowerApps nebo LogicApps): Místní brána dat se nepodporuje, pokud je povolená služba Private Link. Doporučujeme prozkoumat použití brány dat virtuální sítě, kterou je možné použít s privátními propojeními.

  • Privátní propojení nebudou fungovat s diagnostikou stahování brány dat virtuální sítě.

  • Rozhraní REST API prostředků privátních propojení nepodporují značky.

  • Následující adresy URL musí být přístupné z klientského prohlížeče:

    • Požadováno pro ověřování:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, i když se může lišit v závislosti na typu účtu.
    • Vyžaduje se pro prostředí Datoví technici a Datová Věda:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (například https://pypi.org/pypi/azure-storage-blob/json)
      • místní statické koncové body pro balíčky CondaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*