Condividi tramite


Collegamenti privati per l'accesso sicuro a Fabric

È possibile usare collegamenti privati per fornire l'accesso sicuro per il traffico di dati in Fabric. In questa configurazione, i collegamenti privati di Azure e gli endpoint privati di Rete di Azure vengono usati per inviare il traffico dati privatamente usando l'infrastruttura di rete backbone di Microsoft anziché passare attraverso Internet.

Quando si usano connessioni di collegamento privato, queste connessioni passano attraverso il backbone della rete privata Microsoft quando gli utenti di Fabric accedono alle risorse nel servizio Fabric.

Per altre informazioni sul collegamento privato di Azure, vedere Informazioni sul collegamento privato di Azure.

L'abilitazione degli endpoint privati ha un impatto su molti elementi, per cui si consiglia di leggere l'intero articolo prima di abilitare gli endpoint privati.

Che cos'è un endpoint privato?

L'endpoint privato garantisce che il traffico diretto agli elementi Fabric dell'organizzazione (ad esempio, il caricamento di un file in OneLake) segua sempre il percorso della rete di collegamento privato configurato dall'organizzazione. È possibile configurare Fabric per negare tutte le richieste che non provengono dal percorso di rete configurato.

Gli endpoint privati non garantiscono che il traffico da Fabric alle origini dati esterne, sia nel cloud che in locale, sia protetto. Configurare regole del firewall e reti virtuali per proteggere ulteriormente le origini dati.

Un endpoint privato è una tecnologia unidirezionale che consente ai client di avviare connessioni a un determinato servizio, ma non consente al servizio di avviare una connessione nella rete del cliente. Questo modello di integrazione degli endpoint privati consente di ottenere l'isolamento della gestione, perché il servizio può funzionare indipendentemente dalla configurazione dei criteri di rete del cliente. Per i servizi multi-tenant, questo modello di endpoint privato fornisce gli identificatori di collegamento per impedire l'accesso alle risorse di altri clienti ospitate all'interno dello stesso servizio.

Il servizio Fabric implementa gli endpoint privati e gli endpoint non di servizio.

L'uso di endpoint privati con Fabric offre i vantaggi seguenti:

  • Limitare il traffico da Internet a Fabric e instradarlo attraverso la rete backbone Microsoft.
  • Assicurarsi che solo i computer client autorizzati possano accedere a Fabric.
  • Rispettare i requisiti normativi e di conformità che impongono l'accesso privato ai servizi di analisi e dati.

Comprendere la configurazione dell'endpoint privato

Esistono due impostazioni del tenant nel portale di amministrazione Fabric coinvolte nella configurazione del collegamento privato Collegamenti privati di Azure e Blocca accesso Internet pubblico.

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:

  • Gli elementi Fabric supportati sono accessibili solo per l'organizzazione da endpoint privati e non sono accessibile dalla rete Internet pubblica.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
  • Potrebbero essere presenti scenari che non supportano collegamenti privati, che verranno pertanto bloccati nel servizio quando è abilitato Blocca l'accesso a Internet pubblico.

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

  • Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi Fabric.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi Fabric.
  • Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.

OneLake

OneLake supporta il collegamento privato. È possibile esplorare OneLake nel portale di Infrastruttura o da qualsiasi computer all'interno della rete virtuale stabilita usando Esplora file OneLake, esplora Archiviazione di Azure, PowerShell e altro ancora.

Le chiamate dirette che usano endpoint a livello di area di OneLake non funzionano tramite collegamento privato a Fabric. Per altre informazioni sulla connessione a OneLake e agli endpoint a livello di area, vedere Come ci si collega a OneLake?.

Warehouse ed endpoint di analisi SQL di Lakehouse

L'accesso a un warehouse o all'endpoint di analisi SQL di un Lakehouse nel portale di Fabric è protetto da un collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio SQL Server Management Studio, Azure Data Studio) per connettersi a Warehouse tramite collegamento privato.

La query visiva in Warehouse non funziona quando l'impostazione del tenant Blocca accesso a Internet pubblico è abilitata.

Database SQL

L'accesso a un database SQL o all'endpoint di analisi SQL nel portale di Infrastruttura è protetto da un collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio SQL Server Management Studio o Visual Studio Code) per connettersi al database SQL tramite collegamento privato. Per altre informazioni sulla connessione a un database SQL, vedere Autenticazione nel database SQL in Microsoft Fabric.

Lakehouse, Notebook, definizione del processo Spark, Ambiente

Dopo aver abilitato l'impostazione del tenant Collegamento privato di Azure, l'esecuzione del primo processo Spark (definizione del processo Notebook o Spark) o l'esecuzione di un'operazione Lakehouse (Caricare in tabella, operazioni di manutenzione tabelle come Ottimizza o Svuota) comporterà la creazione di una rete virtuale gestita per l'area di lavoro.

Dopo il provisioning della rete virtuale gestita, i pool di avviamento (l'opzione predefinita è Calcolo) per Spark sono disattivati, poiché si tratta di cluster preriscaldati ospitati in una rete virtuale condivisa. I processi Spark vengono eseguiti in pool personalizzati creati su richiesta al momento dell'invio di processi all'interno della rete virtuale gestita dedicata dell'area di lavoro. La migrazione dell'area di lavoro tra capacità in aree diverse non è supportata quando una rete virtuale gestita viene allocata all'area di lavoro.

Quando l'impostazione del collegamento privato è abilitata, i processi Spark non funzioneranno per i tenant la cui area principale non supporta Fabric Data Engineering, anche se usano capacità Fabric di altre aree.

Per altre informazioni, vedere Rete virtuale gestita per Fabric.

Dataflow Gen2

È possibile usare Dataflow Gen2 per ottenere dati, trasformare i dati e pubblicare il flusso di dati tramite collegamento privato. Quando l'origine dati si trova dietro il firewall, è possibile usare il gateway dati della rete virtuale per connettersi alle origini dati. Il gateway dati della rete virtuale consente l'inserimento del gateway (calcolo) nella rete virtuale esistente, offrendo così un'esperienza gateway gestita. È possibile usare le connessioni gateway di rete virtuale per connettersi a un Lakehouse o Warehouse nel tenant che richiede un collegamento privato o connettersi ad altre origini dati con la rete virtuale.

Pipeline

Quando ci si connette alla pipeline tramite collegamento privato, è possibile usare la pipeline di dati per caricare i dati da qualsiasi origine dati con endpoint pubblici in un Lakehouse di Microsoft Fabric abilitato per il collegamento privato. I clienti possono anche creare e rendere operative le pipeline di dati con attività, incluse le attività notebook e flusso di dati, usando il collegamento privato. Tuttavia, la copia di dati da e in un data warehouse non è attualmente possibile quando il collegamento privato di Fabric è abilitato.

Competenze in modelli ML, esperimento e IA

La competenza in modelli ML, Experiment e IA supporta il collegamento privato.

Power BI

  • Se l'accesso a Internet è disabilitato e se il modello semantico di Power BI, Datamart o Dataflow Gen1 si connette a un modello semantico di Power BI o a Dataflow come origine dati, la connessione non riesce.

  • La modalità Direct Lake non è attualmente supportata tramite collegamento privato.

  • La pubblicazione sul Web non è supportata quando l'impostazione del tenant collegamento privato di Azure è abilitata in Fabric.

  • Le sottoscrizioni e-mail non sono supportate quando l'impostazione del tenant Blocca accesso pubblico a Internet è abilitata in Fabric.

  • L'esportazione di un report Power BI in formato PDF o PowerPoint non è supportata quando l'impostazione del tenant Azure Private Link è abilitata in Fabric.

  • Se l'organizzazione usa il collegamento privato di Azure in Fabric, i report sulle metriche di utilizzo moderni conterranno dati parziali (solo eventi di apertura report). Una limitazione attuale per il trasferimento di informazioni client su collegamenti privati impedisce l'acquisizione da parte di Fabric di visualizzazioni di pagine del report e dati sulle prestazioni tramite collegamenti privati. Se l'organizzazione ha attivato le impostazioni del tenant Azure Private Link e Block Public Internet Access in Fabric, l'aggiornamento del dataset non riesce e il report delle metriche di utilizzo non mostra alcun dato.

Eventhouse

Eventhouse supporta collegamento privato, consentendo l'inserimento e l'esecuzione di query sicure dai Rete virtuale di Azure tramite un collegamento privato. È possibile inserire dati da varie origini, tra cui account Archiviazione di Azure, file locali e Dataflow Gen2. L'inserimento in streaming garantisce la disponibilità immediata dei dati. Inoltre, è possibile usare query KQL o Spark per accedere ai dati all'interno di un'istanza di Eventhouse.

Limitazioni:

  • L'inserimento di dati da OneLake non è supportato.
  • La creazione di un collegamento a una eventhouse non è possibile.
  • La connessione a una eventhouse in una pipeline di dati non è possibile.
  • L'inserimento di dati tramite l'inserimento in coda non è supportato.
  • I connettori dati basati sull'inserimento in coda non sono supportati.
  • L'esecuzione di query su una eventhouse con T-SQL non è possibile.

Soluzioni per i dati sanitari (anteprima)

I clienti possono effettuare il provisioning e usare soluzioni dati per il settore sanitario in Microsoft Fabric tramite un collegamento privato. All'interno di un tenant abilitato con un collegamento privato, i clienti possono distribuire funzionalità della soluzione dati per il settore sanitario per eseguire scenari completi di inserimento e trasformazione dei dati per i dati clinici. Ciò include la possibilità di inserire dati sanitari in varie origini, ad esempio account Archiviazione di Azure e altro ancora.

Altri elementi Fabric

Altri elementi Fabric, ad esempio Eventstream, non supportano attualmente il collegamento privato e vengono disabilitati automaticamente quando si attiva l'impostazione del tenant Blocca accesso Internet pubblico per proteggere lo stato di conformità.

Microsoft Purview Information Protection

Microsoft Purview Information Protection attualmente non supporta i collegamenti privati. Ciò significa che in Power BI Desktop in esecuzione in una rete isolata, il pulsante Riservatezza verrà disattivato, le informazioni sull'etichetta non verranno visualizzate e la decrittografia dei file con estensione pbix avrà esito negativo.

Per abilitare queste funzionalità in Desktop, gli amministratori possono configurare i tag di servizio per i servizi sottostanti che supportano Microsoft Purview Information Protection, Exchange Online Protection (EOP) e Azure Information Protection (AIP). Assicurarsi di comprendere le implicazioni dell'uso dei tag di servizio in una rete isolata di collegamenti privati.

Vedere Considerazioni e limitazioni

Ci sono diverse considerazioni da tenere a mente quando si lavora con gli endpoint privati in Fabric:

  • Fabric supporta fino a 450 capacità in un tenant in cui il collegamento privato è abilitato.

  • Quando la capacità è stata creata di recente, non supporterà il collegamento privato finché il suo endpoint non sarà riflesso nella zona DNS privata. Può richiedere fino a 24 ore.

  • La migrazione del tenant è bloccata quando il collegamento privato è attivato nel portale di amministrazione Fabric.

  • I clienti non possono collegarsi alle risorse Fabric di più tenant da un'unica rete virtuale, ma solo all'ultimo tenant che ha configurato il collegamento privato.

  • Il collegamento privato non supporta la capacità di valutazione. Quando si accede a Fabric tramite traffico di collegamento privato, la capacità di valutazione non funzionerà.

  • Eventuali immagini o temi esterni non sono disponibili quando si usa un ambiente con collegamenti privati.

  • Ogni endpoint privato può essere connesso a un solo tenant. Non è possibile configurare un collegamento privato da usare da più tenant.

  • Per gli utenti Fabric, il gateway dati locale non è supportato e non riesce a eseguire la registrazione quando sono abilitati i collegamenti privati. Per eseguire correttamente il configuratore gateway, è necessario disabilitare i collegamenti privati. Ulteriori informazioni su questo scenario. I gateway dati della rete virtuale funzioneranno. Per maggiori informazioni, leggere queste considerazioni.

  • Per gli utenti del gateway non PowerBI (PowerApps o LogicApps): il gateway dati locale non è supportato quando collegamento privato è abilitato. È consigliabile esplorare l'uso del gateway dati della rete virtuale, che può essere usato con collegamenti privati.

  • collegamento privato non funzioneranno con la diagnostica di download del gateway dati della rete virtuale.

  • Le API REST delle risorse dei collegamenti privati non supportano i tag.

  • Gli URL seguenti devono essere accessibili dal browser client:

    • Necessario per l'autenticazione:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, sebbene possa essere diverso in base al tipo di account.
    • Obbligatorio per le esperienze di Data Engineering e Data Science:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (ad esempio, https://pypi.org/pypi/azure-storage-blob/json)
      • endpoint statici locali per condaPackage
      • https://cdn.jsdelivr.net/npm/monaco-editor*