Łącza prywatne umożliwiające bezpieczny dostęp do sieci szkieletowej
Możesz użyć linków prywatnych, aby zapewnić bezpieczny dostęp do ruchu danych w sieci szkieletowej. Prywatne punkty końcowe usługi Azure Private Link i Azure Networking służą do wysyłania ruchu danych prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft zamiast przechodzenia przez Internet.
Gdy są używane połączenia łącza prywatnego, te połączenia przechodzą przez sieć szkieletową sieci prywatnej firmy Microsoft, gdy użytkownicy sieci szkieletowej uzyskują dostęp do zasobów w sieci szkieletowej.
Aby dowiedzieć się więcej na temat usługi Azure Private Link, zobacz Co to jest usługa Azure Private Link.
Włączenie prywatnych punktów końcowych ma wpływ na wiele elementów, dlatego przed włączeniem prywatnych punktów końcowych należy przejrzeć cały artykuł.
Co to jest prywatny punkt końcowy?
Prywatny punkt końcowy gwarantuje, że ruch przechodzący do elementów sieci szkieletowej organizacji (na przykład przekazywania pliku do usługi OneLake) zawsze jest zgodny ze skonfigurowaną ścieżką sieciową łącza prywatnego w organizacji. Sieć szkieletowa można skonfigurować tak, aby odrzucała wszystkie żądania, które nie pochodzą ze skonfigurowanej ścieżki sieciowej.
Prywatne punkty końcowe nie gwarantują, że ruch z sieci szkieletowej do zewnętrznych źródeł danych ( zarówno w chmurze, jak i lokalnie) jest zabezpieczony. Skonfiguruj reguły zapory i sieci wirtualne, aby dodatkowo zabezpieczyć źródła danych.
Prywatny punkt końcowy to pojedyncza technologia kierunkowa, która umożliwia klientom inicjowanie połączeń z daną usługą, ale nie zezwala usłudze na inicjowanie połączenia z siecią klienta. Ten wzorzec integracji prywatnego punktu końcowego zapewnia izolację zarządzania, ponieważ usługa może działać niezależnie od konfiguracji zasad sieci klienta. W przypadku usług wielodostępnych ten prywatny model punktu końcowego udostępnia identyfikatory linków, aby uniemożliwić dostęp do zasobów innych klientów hostowanych w ramach tej samej usługi.
Usługa Fabric implementuje prywatne punkty końcowe, a nie punkty końcowe usługi.
Korzystanie z prywatnych punktów końcowych z usługą Fabric zapewnia następujące korzyści:
- Ogranicz ruch z Internetu do sieci szkieletowej i kieruje go przez sieć szkieletową firmy Microsoft.
- Upewnij się, że tylko autoryzowane maszyny klienckie mogą uzyskiwać dostęp do sieci szkieletowej.
- Zgodność z wymaganiami dotyczącymi przepisów i zgodności, które nakazują prywatny dostęp do Twoich usług danych i analiz.
Omówienie konfiguracji prywatnego punktu końcowego
Istnieją dwa ustawienia dzierżawy w portalu administracyjnym sieci szkieletowej związane z konfiguracją usługi Private Link: Łącza prywatne platformy Azure i Blokuj publiczny dostęp do Internetu.
Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i włączono opcję Blokuj publiczny dostęp doInternetu:
- Obsługiwane elementy sieci szkieletowej są dostępne tylko dla organizacji z prywatnych punktów końcowych i nie są dostępne z publicznego Internetu.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne są transportowane za pośrednictwem łącza prywatnego.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, zostanie zablokowany przez usługę i nie będzie działać.
- Mogą istnieć scenariusze, które nie obsługują linków prywatnych, co w związku z tym zostanie zablokowane w usłudze po włączeniu opcji Blokuj publiczny dostęp do Internetu.
Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i opcja Blokuj publiczny dostęp do Internetu jest wyłączona:
- Ruch z publicznego Internetu będzie dozwolony przez usługi Sieci szkieletowej.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne są transportowane za pośrednictwem łącza prywatnego.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, są transportowane za pośrednictwem publicznego Internetu i będą dozwolone przez usługi Sieci szkieletowej.
- Jeśli sieć wirtualna jest skonfigurowana do blokowania publicznego dostępu do Internetu, scenariusze, które nie obsługują łączy prywatnych, zostaną zablokowane przez sieć wirtualną i nie będą działać.
Środowisko usługi Private Link w sieci szkieletowej
OneLake
Usługa OneLake obsługuje usługę Private Link. Możesz eksplorować usługę OneLake w portalu sieci szkieletowej lub z dowolnej maszyny w utworzonej sieci wirtualnej przy użyciu Eksploratora plików OneLake, Eksplorator usługi Azure Storage, programu PowerShell i innych.
Bezpośrednie wywołania przy użyciu regionalnych punktów końcowych usługi OneLake nie działają za pośrednictwem łącza prywatnego do sieci Szkieletowej. Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą OneLake i regionalnymi punktami końcowymi, zobacz Jak mogę connect to OneLake?.
Punkt końcowy analizy SQL magazynu i usługi Lakehouse
Uzyskiwanie dostępu do magazynu lub punktu końcowego analizy SQL usługi Lakehouse w portalu sieci szkieletowej jest chronione za pomocą łącza prywatnego. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (np. SQL Server Management Studio, Azure Data Studio) do nawiązywania połączenia z usługą Warehouse za pośrednictwem łącza prywatnego.
Zapytanie wizualne w magazynie nie działa, gdy ustawienie Blokuj publiczny dostęp do Internetu jest włączone.
Lakehouse, Notebook, Definicja zadania platformy Spark, Środowisko
Po włączeniu ustawienia dzierżawy usługi Azure Private Link uruchomienie pierwszego zadania Platformy Spark (definicja zadania notesu lub platformy Spark) lub wykonanie operacji lakehouse (ładowanie do tabeli, operacje konserwacji tabeli, takie jak Optymalizacja lub opróżnienie), spowodują utworzenie zarządzanej sieci wirtualnej dla obszaru roboczego.
Po aprowizacji zarządzanej sieci wirtualnej pule początkowe (domyślna opcja obliczeniowa) dla platformy Spark są wyłączone, ponieważ są to klastry wstępnie obsługiwane w udostępnionej sieci wirtualnej. Zadania platformy Spark są uruchamiane w pulach niestandardowych utworzonych na żądanie w momencie przesłania zadania w dedykowanej zarządzanej sieci wirtualnej obszaru roboczego. Migracja obszaru roboczego między pojemnościami w różnych regionach nie jest obsługiwana, gdy zarządzana sieć wirtualna jest przydzielana do obszaru roboczego.
Po włączeniu ustawienia łącza prywatnego zadania platformy Spark nie będą działać w przypadku dzierżaw, których region macierzysny nie obsługuje inżynierowie danych sieci szkieletowej, nawet jeśli korzystają z pojemności sieci szkieletowej z innych regionów, które to robią.
Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna dla sieci szkieletowej.
Przepływ danych Gen2
Możesz użyć usługi Dataflow Gen2, aby pobrać dane, przekształcić dane i opublikować przepływ danych za pośrednictwem łącza prywatnego. Gdy źródło danych znajduje się za zaporą, możesz użyć bramy danych sieci wirtualnej, aby nawiązać połączenie ze źródłami danych. Brama danych sieci wirtualnej umożliwia wstrzyknięcie bramy (obliczeń) do istniejącej sieci wirtualnej, co zapewnia środowisko bramy zarządzanej. Za pomocą połączeń bramy sieci wirtualnej można nawiązać połączenie z usługą Lakehouse lub Warehouse w dzierżawie, która wymaga łącza prywatnego lub połączyć się z innymi źródłami danych z siecią wirtualną.
Potok
Po nawiązaniu połączenia z potokiem za pośrednictwem łącza prywatnego możesz użyć potoku danych, aby załadować dane z dowolnego źródła danych z publicznymi punktami końcowymi do usługi Microsoft Fabric typu lakehouse z obsługą łącza prywatnego. Klienci mogą również tworzyć i operacjonalizować potoki danych za pomocą działań, w tym działań notesu i przepływu danych, przy użyciu łącza prywatnego. Jednak kopiowanie danych z i do magazynu danych nie jest obecnie możliwe, gdy łącze prywatne sieci szkieletowej jest włączone.
Umiejętności dotyczące modelu uczenia maszynowego, eksperymentu i sztucznej inteligencji
Umiejętności modelu uczenia maszynowego, eksperymentu i sztucznej inteligencji obsługują link prywatny.
Power BI
Jeśli dostęp do Internetu jest wyłączony, a semantyczny model usługi Power BI, datamart lub przepływ danych Gen1 łączy się z semantycznym modelem usługi Power BI lub przepływem danych jako źródłem danych, połączenie zakończy się niepowodzeniem.
Tryb Direct Lake nie jest obecnie obsługiwany przy użyciu usługi Private Link.
Publikowanie w sieci Web nie jest obsługiwane, gdy ustawienie dzierżawy usługi Azure Private Link jest włączone w sieci szkieletowej.
Subskrypcje poczty e-mail nie są obsługiwane, gdy ustawienie dzierżawy Blokuj publiczny dostęp do Internetu jest włączone w sieci szkieletowej.
Eksportowanie raportu usługi Power BI jako pliku PDF lub programu PowerPoint nie jest obsługiwane, gdy ustawienie dzierżawy usługi Azure Private Link jest włączone w sieci szkieletowej.
Jeśli Twoja organizacja korzysta z usługi Azure Private Link w sieci szkieletowej, nowoczesne raporty metryk użycia będą zawierać dane częściowe (tylko raporty dotyczące otwartych zdarzeń). Bieżące ograniczenie podczas przesyłania informacji klienta za pośrednictwem łączy prywatnych uniemożliwia sieci szkieletowej przechwytywanie widoków stron raportu i danych wydajności za pośrednictwem linków prywatnych. Jeśli Twoja organizacja włączyła ustawienia dzierżawy usługi Azure Private Link i Blokuj publiczny dostęp do Internetu w sieci szkieletowej, odświeżanie zestawu danych zakończy się niepowodzeniem, a raport metryk użycia nie zawiera żadnych danych.
Eventhouse
Usługa Eventhouse obsługuje usługę Private Link, umożliwiając bezpieczne pozyskiwanie danych i wykonywanie zapytań z sieci wirtualnej platformy Azure za pośrednictwem łącza prywatnego. Dane można pozyskiwać z różnych źródeł, w tym kont usługi Azure Storage, plików lokalnych i usługi Dataflow Gen2. Pozyskiwanie danych przesyłanych strumieniowo zapewnia natychmiastową dostępność danych. Ponadto możesz użyć zapytań KQL lub platformy Spark, aby uzyskać dostęp do danych w magazynie zdarzeń.
Ograniczenia:
- Pozyskiwanie danych z usługi OneLake nie jest obsługiwane.
- Tworzenie skrótu do magazynu zdarzeń nie jest możliwe.
- Nawiązywanie połączenia z usługą Eventhouse w potoku danych nie jest możliwe.
- Pozyskiwanie danych przy użyciu pozyskiwania w kolejce nie jest obsługiwane.
- Łączniki danych oparte na pozyskiwaniu w kolejce nie są obsługiwane.
- Wykonywanie zapytań dotyczących magazynu zdarzeń przy użyciu języka T-SQL nie jest możliwe.
Rozwiązania do danych opieki zdrowotnej (wersja zapoznawcza)
Klienci mogą aprowizować i korzystać z rozwiązań danych opieki zdrowotnej w usłudze Microsoft Fabric za pośrednictwem łącza prywatnego. W ramach dzierżawy, która została włączona za pomocą łącza prywatnego, klienci mogą wdrażać możliwości rozwiązania danych opieki zdrowotnej, aby wykonywać kompleksowe scenariusze pozyskiwania i przekształcania danych dla swoich danych klinicznych. Obejmuje to możliwość pozyskiwania danych opieki zdrowotnej w różnych źródłach, takich jak konta usługi Azure Storage i nie tylko.
Inne elementy sieci szkieletowej
Inne elementy sieci szkieletowej, takie jak Eventstream, nie obsługują obecnie usługi Private Link i są automatycznie wyłączone po włączeniu ustawienia Blokuj publiczny dostęp do Internetu w celu ochrony stanu zgodności.
Microsoft Purview Information Protection
Usługa Microsoft Purview Information Protection nie obsługuje obecnie usługi Private Link. Oznacza to, że w programie Power BI Desktop uruchomionym w izolowanej sieci przycisk Ważność jest wyszaryzowany, informacje o etykiecie nie będą wyświetlane, a odszyfrowywanie plików pbix zakończy się niepowodzeniem.
Aby włączyć te możliwości w programie Desktop, administratorzy mogą konfigurować tagi usług dla podstawowych usług, które obsługują usługę Microsoft Purview Information Protection, Exchange Online Protection (EOP) i Azure Information Protection (AIP). Upewnij się, że rozumiesz konsekwencje używania tagów usługi w sieci izolowanej przez łącza prywatne.
Inne zagadnienia i ograniczenia
Podczas pracy z prywatnymi punktami końcowymi w sieci szkieletowej należy wziąć pod uwagę kilka zagadnień:
Sieć szkieletowa obsługuje maksymalnie 450 pojemności w dzierżawie, w której włączono usługę Private Link.
Po utworzeniu pojemności nie będzie ona obsługiwać łącza prywatnego, dopóki punkt końcowy nie zostanie odzwierciedlony w prywatnej strefie DNS. Może to potrwać do 24 godzin.
Migracja dzierżawy jest blokowana po włączeniu usługi Private Link w portalu administracyjnym sieci szkieletowej.
Klienci nie mogą łączyć się z zasobami sieci szkieletowej w wielu dzierżawach z jednej sieci wirtualnej, ale tylko ostatniej dzierżawy do skonfigurowania usługi Private Link.
Usługa Private Link nie obsługuje pojemności wersji próbnej. Podczas uzyskiwania dostępu do sieci szkieletowej za pośrednictwem ruchu usługi Private Link pojemność próbna nie będzie działać.
W przypadku korzystania ze środowiska łącza prywatnego nie są dostępne żadne zastosowania obrazów zewnętrznych lub motywów.
Każdy prywatny punkt końcowy może być połączony tylko z jedną dzierżawą. Nie można skonfigurować łącza prywatnego do użycia przez więcej niż jedną dzierżawę.
W przypadku użytkowników sieci szkieletowej: lokalne bramy danych nie są obsługiwane i nie można zarejestrować się, gdy usługa Private Link jest włączona. Aby pomyślnie uruchomić konfigurator bramy, należy wyłączyć usługę Private Link. Dowiedz się więcej o tym scenariuszu. Bramy danych sieci wirtualnej będą działać. Aby uzyskać więcej informacji, zobacz te zagadnienia.
W przypadku użytkowników bramy spoza usługi Power BI (PowerApps lub LogicApps): lokalna brama danych nie jest obsługiwana po włączeniu usługi Private Link. Zalecamy zapoznanie się z użyciem bramy danych sieci wirtualnej, która może być używana z linkami prywatnymi.
Łącza prywatne nie będą działać z diagnostyką pobierania bramy danych sieci wirtualnej.
Interfejsy API REST zasobów łączy prywatnych nie obsługują tagów.
Następujące adresy URL muszą być dostępne w przeglądarce klienta:
Wymagane do uwierzytelniania:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
-
login.live.com
, chociaż może to być inne w zależności od typu konta.
Wymagane w przypadku środowisk inżynierowie danych i Nauka o danych:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
-
https://pypi.org/*
(na przykładhttps://pypi.org/pypi/azure-storage-blob/json
) - lokalne statyczne punkty końcowe dla condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*