Private Verbindungen für den sicheren Zugriff auf Fabric
Sie können private Verbindungen verwenden, um sicheren Zugriff auf den Datenverkehr in Fabric zu ermöglichen. Dazu werden private Azure Private Link- und Azure-Netzwerkendpunkte verwendet, um Datenverkehr mithilfe der Backbone-Netzwerk-Infrastruktur von Microsoft privat und nicht über das Internet zu senden.
Wenn private Link-Verbindungen verwendet werden, gehen diese Verbindungen durch das Microsoft Private Network Backbone, wenn Fabric-Benutzer auf Ressourcen in Fabric zugreifen.
Weitere Informationen zu Azure Private Link finden Sie unter Was ist Azure Private Link?.
Das Aktivieren privater Endpunkte hat Auswirkungen auf viele Elemente. Lesen Sie daher diesen Artikel vollständig durch, bevor Sie private Endpunkte aktivieren.
Was ist ein privater Endpunkt?
Der private Endpunkt garantiert, dass der Datenverkehr, der in die Fabric-Elemente Ihrer Organisation einfließt (z. B. beim Hochladen einer Datei in OneLake), immer dem von Ihrer Organisation konfigurierten privaten Netzwerkpfad folgt. Sie können Fabric so konfigurieren, dass alle Anforderungen, die nicht vom konfigurierten Netzwerkpfad stammen, abgelehnt werden.
Private Endpunkte garantieren nicht, dass der Datenverkehr von Fabric an Ihre externen Datenquellen, ob in der Cloud oder lokal, geschützt ist. Konfigurieren Sie die Firewall-Regeln und virtuelle Netzwerke, um Ihre Datenquellen weiter zu schützen.
Ein privater Endpunkt ist eine unidirektionale Technologie, die es zwar Clients ermöglicht, Verbindungen mit einem bestimmten Dienst zu initiieren, aber dem Dienst keine Möglichkeit bietet, eine Verbindung mit dem Kundennetzwerk zu initiieren. Dieses Muster für die Integration von privaten Endpunkten ermöglicht eine Isolation der Verwaltung, da der Dienst unabhängig von der Kundennetzwerk-Richtlinienkonfiguration arbeiten kann. Für Dienste mit mehreren Mandanten bietet dieses Modell für private Endpunkte Verbindungsbezeichner, um den Zugriff auf die Ressourcen anderer Kunden zu verhindern, die im selben Dienst gehostet werden.
Der Fabric-Dienst implementiert private Endpunkte und keine Dienstendpunkte.
Die Verwendung privater Endpunkte mit Fabric bietet die folgenden Vorteile:
- Beschränken Sie den Datenverkehr aus dem Internet auf Fabric, und leiten Sie ihn über das Microsoft-Backbone-Netzwerk weiter.
- Stellen Sie sicher, dass nur autorisierte Client-Computer auf Fabric zugreifen können.
- Erfüllen Sie die gesetzlichen und Compliance-Anforderungen, die einen privaten Zugriff auf Ihre Daten und Analysedienste vorschreiben.
Verständnis der Konfiguration des privaten Endpunkts
Es gibt zwei Mandanteneinstellungen im Fabric-Verwaltungsportal, die an der Konfiguration für private Links Verbindungen sind: Azure Private Links und Blockieren des öffentlichen Internetzugriffs.
Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierenaktiviert ist:
- Unterstützte Fabric-Elemente sind für Ihre Organisationen nur über private Endpunkte und nicht über das öffentliche Internet zugänglich.
- Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
- Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die keine privaten Verbindungen unterstützen, wird vom Dienst blockiert und funktioniert nicht.
- Es kann Szenarien geben, die keine privaten Verbindungen unterstützen und daher vom Dienst blockiert werden, wenn Öffentlichen Internetzugriff blockieren aktiviert ist.
Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierendeaktiviert ist:
- Der Datenverkehr aus dem öffentlichen Internet wird von Fabric-Diensten zugelassen.
- Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
- Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die keine privaten Verbindungen unterstützen, wird über das öffentliche Internet transportiert und von den Fabric-Diensten zugelassen.
- Wenn das virtuelle Netzwerk so konfiguriert ist, dass der öffentliche Internetzugang gesperrt ist, werden Szenarien, die keine privaten Verbindungen unterstützen, vom virtuellen Netzwerk blockiert und funktionieren nicht.
Private Verbindungen in Fabric-Umgebungen
OneLake
OneLake unterstützt private Verbindungen. Sie können OneLake im Fabric-Portal oder von jedem Computer in Ihrem etablierten virtuellen Netzwerk über den OneLake-Dateiexplorer, Azure Storage Explorer, PowerShell und andere erkunden.
Direkte Anrufe mit regionalen OneLake-Endpunkten funktionieren nicht über eine private Verbindung zu Fabric. Weitere Informationen zum Herstellen einer Verbindung mit OneLake und regionalen Endpunkten finden Sie unter Wie stellt man eine Verbindung mit OneLake her?.
Warehouse- und Lakehouse-SQL-Analyseendpunkt
Der Zugriff auf ein Warehouse oder den SQL-Analyseendpunkt eines Lakehouse im Fabric-Portal ist durch Private Link geschützt. Kunden können auch Tabular Data Stream (TDS)-Endpunkte (z. B. SQL Server Management Studio, Azure Data Studio) verwenden, um eine Verbindung zum Warehouse über Private Link herzustellen.
Die visuelle Abfrage in Warehouse funktioniert nicht, wenn die Einstellung Öffentlichen Internetzugriff blockieren aktiviert ist.
SQL-Datenbank
Der Zugriff auf eine SQL-Datenbank oder den SQL-Analyseendpunkt im Fabric-Portal ist durch Private Link geschützt. Kunden können auch TDS-Endpunkte (Tabular Data Stream) (z. B. SQL Server Management Studio oder Visual Studio Code) verwenden, um über Private Link eine Verbindung mit der SQL-Datenbank herzustellen. Weitere Informationen zum Herstellen einer Verbindung mit einer SQL-Datenbank finden Sie unter Authentifizierung in SQL-Datenbank in Microsoft Fabric.
Lakehouse, Notebook, Spark-Auftragsdefinition, Umgebung
Sobald Sie die Azure Private Link-Mandanteneinstellung aktiviert haben, führt die Ausführung des ersten Spark-Jobs (Notebook oder Spark-Job-Definition) oder die Durchführung einer Lakehouse-Operation (Load to Table, Tabellenwartungsoperationen wie Optimize oder Vacuum) zur Erstellung eines verwalteten virtuellen Netzwerks für den Arbeitsbereich.
Sobald das verwaltete virtuelle Netzwerk eingerichtet ist, werden die Starterpools (Standardoption Compute) für Spark deaktiviert, da es sich dabei um vorgefertigte Cluster handelt, die in einem gemeinsamen virtuellen Netzwerk gehostet werden. Spark-Aufträge werden in benutzerdefinierten Pools ausgeführt, die zum Zeitpunkt der Auftragsübermittlung im dedizierten verwalteten virtuellen Netzwerk des Arbeitsbereichs erstellt werden. Die Migration von Arbeitsbereichen zwischen Kapazitäten in verschiedenen Regionen wird nicht unterstützt, wenn Ihrem Arbeitsbereich ein verwaltetes virtuelles Netzwerk zugewiesen ist.
Wenn die Einstellung " Private Verbindung" aktiviert ist, funktionieren Spark-Aufträge nicht für Mandanten, deren Heimatregion keine Unterstützung für Fabric Data Engineering bietet, selbst wenn sie Fabric-Kapazitäten aus anderen Regionen nutzen, die dies tun.
Weitere Informationen finden Sie unter Managed VNet for Fabric.
Dataflow Gen2
Sie können Dataflow gen2 verwenden, um Daten abzurufen, Daten zu umzuwandeln und Datenfluss über eine private Verbindung zu veröffentlichen. Wenn sich Ihre Datenquelle hinter der Firewall befindet, können Sie das VNet-Datengateway verwenden, um eine Verbindung mit Ihren Datenquellen herzustellen. Das VNet-Datengateway ermöglicht die Einfügung des Gateways (Compute) in Ihr vorhandenes virtuelles Netzwerk, wodurch eine verwaltete Gatewayumgebung bereitgestellt wird. Sie können VNet-Gatewayverbindungen verwenden, um eine Verbindung mit einem Lakehouse oder Warehouse im Mandanten herzustellen, der eine private Verbindung erfordert oder eine Verbindung mit anderen Datenquellen mit Ihrem virtuellen Netzwerk herstellt.
Pipeline
Wenn Sie eine Verbindung mit Pipeline über eine private Verbindung herstellen, können Sie die Daten-Pipeline verwenden, um Daten aus einer beliebigen Datenquelle mit öffentlichen Endpunkten in ein privates, verbindungsfähiges Microsoft Fabric Lakehouse zu laden. Kunden können auch Daten-Pipelines mit Aktivitäten, einschließlich Notebook- und Dataflow-Aktivitäten, erstellen und betreiben, indem sie die private Verbindung nutzen. Das Kopieren von Daten aus und in ein Data Warehouse ist derzeit jedoch nicht möglich, wenn die private Verbindung von Fabric aktiviert ist.
ML-Modell, -Experiment und KI-Fertigkeit
ML-Modell, -Experiment und KI-Fertigkeit unterstützen private Verbindungen.
Power BI
Wenn der Internetzugriff deaktiviert ist und das Power BI-Semantikmodell, Datamart oder der Dataflow Gen1 eine Verbindung mit einem Power BI-Semantikmodell oder -Dataflow als Datenquelle herstellt, wird ein Verbindungsfehler auftreten.
Der Direct Lake-Modus wird derzeit nicht mit Private Link unterstützt.
Die Veröffentlichung im Web wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.
E-Mail-Abonnements werden nicht unterstützt, wenn die Mandanteneinstellung Öffentlichen Internetzugriff blockieren in Fabric aktiviert ist.
Das Exportieren eines Power BI-Berichts als PDF oder PowerPoint wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.
Wenn Ihre Organisation Azure Private Link in Fabric verwendet, enthalten Berichte für moderne Nutzungsmetriken partielle Daten (nur Berichtsöffnungsereignisse). Eine aktuelle Einschränkung beim Übertragen von Clientinformationen über private Verbindungen verhindert, dass Fabric Berichtsseitenaufrufe und Leistungsdaten über Private Link erfassen kann. Wenn Ihr Unternehmen die Mandanteneinstellungen Azure Private Link und Öffentlichen Internetzugriff blockieren in Fabric aktiviert hat, schlägt die Aktualisierung des Datensatzes fehl und der Bericht zu den Verwendungskennzahlen zeigt keine Daten an.
Eventhouse
Eventhouse unterstützt die private Verbindung und ermöglicht so die sichere Aufnahme und Abfrage von Daten aus Ihrem Azure Virtual Network über eine private Verbindung. Sie können Daten aus verschiedenen Quellen einlesen, darunter Azure Storage-Konten, lokale Dateien und Dataflow Gen2. Die Streaming-Ingestion gewährleistet die sofortige Verfügbarkeit der Daten. Außerdem können Sie KQL-Abfragen oder Spark verwenden, um auf Daten in einem Eventhouse zuzugreifen.
Einschränkungen:
- Das Einlesen von Daten aus OneLake wird nicht unterstützt.
- Das Erstellen einer Verknüpfung mit einem Eventhouse ist nicht möglich.
- Eine Verbindung mit einem Eventhouse in einer Datenpipeline ist nicht möglich.
- Das Einlesen von Daten über das Queuing wird nicht unterstützt.
- Datenkonnektoren, die auf Queuing-Ingestion angewiesen sind, werden nicht unterstützt.
- Das Abfragen eines Eventhouse mit T-SQL ist nicht möglich.
Lösungen für Gesundheitsdaten (Vorschau)
Kunden können Datenlösungen im Gesundheitswesen in Microsoft Fabric über einen privaten Link bereitstellen und nutzen. Innerhalb eines Mandanten, der mit einem privaten Link aktiviert wurde, können Kunden Funktionalitäten zur Lösung von Gesundheitsdaten bereitstellen, um umfassende Datenaufnahme- und Transformationsszenarien für ihre klinischen Daten auszuführen. Dies umfasst die Möglichkeit, Gesundheitsdaten aus verschiedenen Quellen aufzunehmen, z. B. Azure Storage-Konten und vieles mehr.
Andere Fabric-Elemente
Andere Fabric-Elemente, wie z. B. Eventstream, unterstützen derzeit private Verbindung und werden automatisch deaktiviert, wenn Sie die Einstellung Öffentlichen Internetzugriff blockieren aktivieren, um den Compliance-Status zu schützen.
Microsoft Purview Information Protection
Microsoft Purview Information Protection bietet derzeit keine Unterstützung für Private Link. Das bedeutet, dass in Power BI Desktop, das in einem isolierten Netzwerk ausgeführt wird, die Schaltfläche Sensitivity grau dargestellt wird, die Etiketteninformationen nicht angezeigt werden und die Entschlüsselung von .pbix-Dateien fehlschlägt.
Um diese Funktionen in Desktop zu aktivieren, können Administratoren Dienst-Tags für die zugrunde liegenden Dienste konfigurieren, die Microsoft Purview Information Protection, Exchange Online Protection (EOP) und Azure Information Protection (AIP) unterstützen. Stellen Sie sicher, dass Sie die Auswirkungen der Verwendung von Diensttags in einem isolierten Netzwerk für private Verbindungen verstehen.
Weitere Überlegungen und Einschränkungen
Bei der Arbeit mit privaten Endpunkten in Fabric sind mehrere Aspekte zu beachten:
Fabric unterstützt bis zu 450 Kapazitäten in einem Mandanten, wenn die private Verbindung aktiviert ist.
Wenn eine Kapazität neu erstellt wird, unterstützt sie keine private Verbindung, bis ihr Endpunkt in der privaten DNS-Zone reflektiert wird. Dies kann bis zu 24 Stunden dauern.
Wenn die private Verbindung im Verwaltungsportal aktiviert ist, wird die Mandantenmigration blockiert.
Kund*innen können sich nicht mit Fabric-Ressourcen in mehreren Mandanten von einem einzelnen Virtual Network aus verbinden, sondern nur mit dem letzten Mandanten, der die private Verbindung eingerichtet hat.
Private Verbindungen werden in der Testkapazität nicht unterstützt. Beim Zugriff auf Fabric über Private Link-Verkehr funktioniert die Testkapazität nicht.
Jegliche Verwendung externer Bilder oder Designs ist nicht möglich, wenn eine Umgebung mit einer privaten Verbindung verwendet wird.
Jeder private Endpunkt kann nur mit einem Mandanten verbunden werden. Sie können keine private Verbindung einrichten, die von mehr als einem Mandanten verwendet werden kann.
Für Fabric-Benutzer: Lokale Daten-Gateways werden nicht unterstützt und können nicht registriert werden, wenn private Verbindungen aktiviert sind. Um den Gateway-Konfigurator erfolgreich auszuführen, müssen sie die private Verbindung deaktivieren. Weitere Informationen zu diesem Szenario. VNet-Datengateways funktionieren. Weitere Informationen finden Sie unter diesen Überlegungen.
Bei Nicht-PowerBI-Gatewaybenutzern (PowerApps oder LogicApps) wird das lokale Datengateway nicht unterstützt, wenn Private Link aktiviert ist. Es wird empfohlen, die Verwendung des VNET-Datengateways zu untersuchen, das mit privaten Links verwendet werden kann.
Private Links funktionieren nicht mit der Downloaddiagnose des VNet-Datengateways.
Die REST-APIs für private Verbindungsressourcen unterstützen keine Tags.
Auf die folgenden URLs muss über den Clientbrowser zugegriffen werden:
Erforderlich für die Authentifizierung:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
login.live.com
, obwohl dies je nach Kontotyp unterschiedlich sein kann.
Erforderlich für die Data Engineering und Data Science Erfahrungen:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
https://pypi.org/*
(z. B.https://pypi.org/pypi/azure-storage-blob/json
)- Lokale statische Endpunkte für condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*