Udostępnij za pośrednictwem

Prywatne łącza do bezpiecznego dostępu do Fabric

  • Artykuł

Możesz użyć linków prywatnych, aby zapewnić bezpieczny dostęp do ruchu danych w Fabric. Prywatne punkty końcowe usługi Azure Private Link i Azure Networking służą do wysyłania ruchu danych prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft zamiast przechodzenia przez Internet.

Gdy używane są połączenia łącza prywatnego, przechodzą one przez prywatny szkielet sieci Microsoft, gdy użytkownicy Fabric uzyskują dostęp do zasobów w Fabric.

Aby dowiedzieć się więcej na temat usługi Azure Private Link, zobacz Co to jest usługa Azure Private Link.

Włączenie prywatnych punktów końcowych ma wpływ na wiele elementów, dlatego przed włączeniem prywatnych punktów końcowych należy przejrzeć cały artykuł.

Co to jest prywatny punkt końcowy?

Prywatny punkt końcowy gwarantuje, że ruch przechodzący do elementów sieci szkieletowej organizacji (na przykład przekazywania pliku do usługi OneLake) zawsze jest zgodny ze skonfigurowaną ścieżką sieciową łącza prywatnego w organizacji. Sieć szkieletowa można skonfigurować tak, aby odrzucała wszystkie żądania, które nie pochodzą ze skonfigurowanej ścieżki sieciowej.

Prywatne punkty końcowe nie gwarantują, że ruch z sieci szkieletowej do zewnętrznych źródeł danych ( zarówno w chmurze, jak i lokalnie) jest zabezpieczony. Skonfiguruj reguły zapory i sieci wirtualne, aby dodatkowo zabezpieczyć źródła danych.

Prywatny punkt końcowy to pojedyncza technologia kierunkowa, która umożliwia klientom inicjowanie połączeń z daną usługą, ale nie zezwala usłudze na inicjowanie połączenia z siecią klienta. Ten wzorzec integracji prywatnego punktu końcowego zapewnia izolację zarządzania, ponieważ usługa może działać niezależnie od konfiguracji zasad sieci klienta. W przypadku usług wielodostępnych ten prywatny model punktu końcowego udostępnia identyfikatory linków, aby uniemożliwić dostęp do zasobów innych klientów hostowanych w ramach tej samej usługi.

Usługa Fabric implementuje prywatne punkty końcowe, a nie punkty końcowe usługi.

Korzystanie z prywatnych punktów końcowych z usługą Fabric zapewnia następujące korzyści:

  • Ogranicz ruch z Internetu do Fabric i przekieruj go przez globalną sieć szkieletową firmy Microsoft.
  • Upewnij się, że tylko autoryzowane maszyny klienckie mogą uzyskiwać dostęp do Fabric.
  • Zgodność z wymaganiami dotyczącymi przepisów i zgodności, które nakazują prywatny dostęp do Twoich usług danych i analiz.

Omówienie konfiguracji prywatnego punktu końcowego

Istnieją dwa ustawienia dzierżawy w portalu administracyjnym Fabric związane z konfiguracją usługi Private Link: Łącza prywatne Azure i Blokuj publiczny dostęp do Internetu.

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i włączono opcję Blokuj publiczny dostęp doInternetu:

  • Obsługiwane elementy Fabric są dostępne tylko dla organizacji poprzez prywatne punkty końcowe i nie są dostępne z publicznego Internetu.
  • Ruch z sieci wirtualnej przeznaczonej dla punktów końcowych i scenariuszy obsługujących łącza prywatne jest transportowany za pośrednictwem łącza prywatnego.
  • Ruch z sieci wirtualnej kierowany na punkty końcowe i scenariusze, które nie obsługują łącza prywatne, zostanie zablokowany przez usługę i nie będzie działać.
  • Mogą istnieć scenariusze, które nie obsługują linków prywatnych, co w związku z tym zostanie zablokowane w usłudze po włączeniu opcji Blokuj publiczny dostęp do Internetu.

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i opcja Blokuj publiczny dostęp do Internetu jest wyłączona:

  • Ruch z publicznego Internetu będzie dozwolony przez usługi Fabric.
  • Ruch sieci wirtualnej kierowany do punktów końcowych i scenariuszy obsługujących łącza prywatne jest transportowany za pośrednictwem łącza prywatnego.
  • Ruch z sieci wirtualnej kierowany do punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, jest transportowany za pośrednictwem publicznego Internetu i będzie dozwolony przez usługi Fabric.
  • Jeśli sieć wirtualna jest skonfigurowana do blokowania publicznego dostępu do Internetu, scenariusze, które nie obsługują łączy prywatnych, zostaną zablokowane przez sieć wirtualną i nie będą działać.

OneLake

Usługa OneLake obsługuje usługę Private Link. Możesz eksplorować OneLake w portalu Fabric lub z dowolnej maszyny w utworzonej sieci wirtualnej za pomocą Eksploratora plików OneLake, Eksploratora Azure Storage, PowerShell i innych narzędzi.

Bezpośrednie wywołania przy użyciu regionalnych punktów końcowych usługi OneLake nie działają za pośrednictwem łącza prywatnego do Fabric. Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą OneLake i regionalnymi punktami końcowymi, zobacz Jak mogę połączyć się z OneLake?.

Punkt końcowy analizy SQL dla magazynu i Lakehouse

Uzyskiwanie dostępu do magazynu lub punktu końcowego analizy SQL w Lakehouse w portalu Fabric jest chronione za pomocą prywatnego łącza. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (np. SQL Server Management Studio, Azure Data Studio) do nawiązywania połączenia z usługą Warehouse za pośrednictwem łącza prywatnego.

Zapytanie wizualne w magazynie nie działa, gdy ustawienie Blokowanie publicznego dostępu do Internetu jest włączone.

Baza danych SQL

Uzyskiwanie dostępu do bazy danych SQL lub punktu końcowego analizy SQL w portalu sieci szkieletowej jest chronione za pomocą łącza prywatnego. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (na przykład programu SQL Server Management Studio lub Visual Studio Code) do nawiązywania połączenia z bazą danych SQL za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat nawiązywania połączenia z bazą danych SQL, zobacz Authentication in SQL Database in Microsoft Fabric (Uwierzytelnianie w usłudze SQL Database w usłudze Microsoft Fabric).

Lakehouse, Notebook, Definicja zadania platformy Spark, Środowisko

Po włączeniu ustawienia dzierżawy usługi Azure Private Link, uruchomienie pierwszego zadania Spark (notebooka lub definicji zadania Spark) lub wykonanie operacji Lakehouse (ładowanie danych do tabeli, operacje konserwacji tabeli, takie jak Optymalizacja lub Opróżnienie) spowoduje utworzenie zarządzanej sieci wirtualnej dla obszaru roboczego.

Po aprowizacji zarządzanej sieci wirtualnej pule początkowe (domyślna opcja obliczeniowa) dla platformy Spark są wyłączone, ponieważ są to klastry wstępnie obsługiwane w udostępnionej sieci wirtualnej. Zadania Spark są uruchamiane w pulach niestandardowych utworzonych na żądanie w momencie przesłania zadania w dedykowanej zarządzanej sieci wirtualnej obszaru roboczego. Migracja obszaru roboczego między pojemnościami w różnych regionach nie jest obsługiwana, gdy do obszaru roboczego jest przydzielona zarządzana sieć wirtualna.

Po włączeniu ustawienia łącza prywatnego, zadania Spark nie będą działać dla dzierżawców, których region macierzysty nie obsługuje Fabric Data Engineering, nawet jeśli korzystają z zasobów Fabric z innych regionów, które je obsługują.

Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna (VNet) dla Fabric.

Przepływ danych Gen2

Możesz użyć usługi Dataflow Gen2, aby pobrać dane, przekształcić dane i opublikować przepływ danych za pośrednictwem łącza prywatnego. Gdy źródło danych znajduje się za zaporą, możesz użyć bramy danych sieci wirtualnej, aby nawiązać połączenie ze źródłami danych. Brama danych VNet umożliwia wstrzyknięcie bramy (obliczeniowej) do istniejącej sieci wirtualnej, zapewniając w ten sposób zarządzane środowisko bramowe. Można używać połączeń bramy sieci wirtualnej do nawiązania połączenia z Lakehouse lub Warehouse w dzierżawie, które wymagają połączenia prywatnego, lub do połączenia z innymi źródłami danych z użyciem sieci wirtualnej.

Rurociąg

Po nawiązaniu połączenia z Pipeline za pośrednictwem łącza prywatnego możesz użyć potoku danych, aby załadować dane z dowolnego źródła danych z publicznymi punktami końcowymi do platformy Microsoft Fabric lakehouse z obsługą łącza prywatnego. Klienci mogą również tworzyć i wdrażać w praktyce potoki danych za pomocą czynności, takich jak notatniki i przepływy danych, przy użyciu łącza prywatnego. Jednak kopiowanie danych z i do hurtowni danych nie jest obecnie możliwe, gdy łącze prywatne Fabric jest włączone.

Umiejętności dotyczące modelu uczenia maszynowego, eksperymentu i sztucznej inteligencji

Model uczenia maszynowego, eksperyment i umiejętności sztucznej inteligencji obsługują prywatne połączenie.

Power BI

  • Jeśli dostęp do Internetu jest wyłączony, a semantyczny model usługi Power BI, datamart lub przepływ danych Gen1 łączy się z semantycznym modelem usługi Power BI lub przepływem danych jako źródłem danych, połączenie zakończy się niepowodzeniem.

  • Publikowanie w sieci Web nie jest obsługiwane, gdy ustawienie dzierżawy Azure Private Link jest włączone w Fabric.

  • Subskrypcje poczty e-mail nie są obsługiwane, gdy w dzierżawie jest włączone ustawienie Blokuj publiczny dostęp do Internetu w Fabric.

  • Eksportowanie raportu Power BI jako PDF lub PowerPoint nie jest obsługiwane, gdy ustawienie dzierżawy Azure Private Link jest włączone w Fabric.

  • Jeśli Twoja organizacja korzysta z usługi Azure Private Link w sieci szkieletowej, nowoczesne raporty metryk użycia będą zawierać dane częściowe (tylko raporty dotyczące otwartych zdarzeń). Bieżące ograniczenie podczas przesyłania informacji klienta za pomocą łączy prywatnych uniemożliwia Fabric przechwytywanie widoków stron raportu i danych wydajności. Jeśli Twoja organizacja włączyła ustawienia dzierżawy Azure Private Link i Blokuj publiczny dostęp do Internetu w Fabric, odświeżanie zestawu danych zakończy się niepowodzeniem, a raport metryk użycia nie zawiera żadnych danych.

  • Rozwiązanie Copilot nie jest obecnie obsługiwane w środowiskach sieciowych z Private Link lub sieciach zamkniętych.

Eventhouse

Usługa Eventhouse obsługuje usługę Private Link, umożliwiając bezpieczne pozyskiwanie danych i wykonywanie zapytań z sieci wirtualnej platformy Azure za pośrednictwem łącza prywatnego. Dane można pozyskiwać z różnych źródeł, w tym kont usługi Azure Storage, plików lokalnych i usługi Dataflow Gen2. Strumieniowe przesyłanie danych zapewnia natychmiastową dostępność danych. Ponadto możesz użyć zapytań KQL lub platformy Spark, aby uzyskać dostęp do danych w Eventhouse.

Ograniczenia:

  • Pozyskiwanie danych z usługi OneLake nie jest obsługiwane.
  • Tworzenie skrótu do Eventhouse nie jest możliwe.
  • Nawiązywanie połączenia z Eventhouse w ramach potoku danych nie jest możliwe.
  • Pobieranie danych przy użyciu kolejkowanego pobierania nie jest obsługiwane.
  • Łączniki danych korzystające z kolejkowego przetwarzania nie są obsługiwane.
  • Wykonywanie zapytań dotyczących Eventhouse przy użyciu języka T-SQL nie jest możliwe.

Rozwiązania do danych opieki zdrowotnej (wersja zapoznawcza)

Klienci mogą aprowizować i korzystać z rozwiązań danych opieki zdrowotnej w usłudze Microsoft Fabric za pośrednictwem łącza prywatnego. W ramach dzierżawcy z włączonym łączem prywatnym, klienci mogą wdrażać funkcjonalności rozwiązania do danych zdrowotnych, aby realizować złożone scenariusze przetwarzania i transformacji danych dla danych klinicznych. Obejmuje to możliwość pozyskiwania danych opieki zdrowotnej w różnych źródłach, takich jak konta usługi Azure Storage i nie tylko.

Zdarzenia platformy Azure i sieci szkieletowej

Zdarzenia platformy Azure i Fabric obsługują łącze prywatne, dzięki czemu po włączeniu ustawienia dzierżawy Blokuj publiczny dostęp do Internetu:

  • Każda nowa konfiguracja do korzystania ze zdarzeń platformy Azure, takich jak zdarzenia usługi Azure Blob Storage, zostanie zablokowana.
  • Istniejące konfiguracje korzystające ze zdarzeń platformy Azure zaczną tracić wszelkie nowe zdarzenia.

Inne elementy z materiału

Inne elementy Fabric, takie jak Eventstream, nie obsługują obecnie usługi Private Link i są automatycznie wyłączane po włączeniu ustawienia najemcy Blokuj publiczny dostęp do Internetu, aby chronić status zgodności.

Ochrona informacji Microsoft Purview

Usługa Microsoft Purview Information Protection nie obsługuje obecnie usługi Private Link. Oznacza to, że w programie Power BI Desktop uruchomionym w izolowanej sieci przycisk Czułość jest wyszarzony, informacje o etykietach nie wyświetlą się, a odszyfrowywanie plików .pbix zakończy się niepowodzeniem.

Aby włączyć te możliwości w programie Desktop, administratorzy mogą konfigurować tagi usług dla podstawowych usług, które obsługują usługę Microsoft Purview Information Protection, Exchange Online Protection (EOP) i Azure Information Protection (AIP). Upewnij się, że rozumiesz konsekwencje używania tagów usługi w sieci izolowanej przez łącza prywatne.

Inne zagadnienia i ograniczenia

Podczas pracy z prywatnymi punktami końcowymi w Fabric należy wziąć pod uwagę kilka zagadnień:

  • Usługa Fabric obsługuje maksymalnie 450 pojemności w tenantcie, w którym włączono Private Link.

  • Po utworzeniu pojemności nie będzie ona obsługiwać łącza prywatnego, dopóki jej punkt końcowy nie zostanie odzwierciedlony w prywatnej strefie DNS. Może to potrwać do 24 godzin.

  • Migracja dzierżawy jest blokowana, gdy Private Link jest włączony w portalu administracyjnym Fabric.

  • Klienci nie mogą łączyć się z zasobami Fabric w wielu dzierżawach z jednej sieci wirtualnej, lecz tylko z ostatnią dzierżawą, która skonfigurowała usługę Private Link.

  • Usługa Private Link nie jest obsługiwana w zakresie pojemności wersji próbnej. Podczas uzyskiwania dostępu do Fabric za pośrednictwem usługi Private Link wersja próbna nie będzie działać.

  • Podczas korzystania ze środowiska z prywatnym linkiem nie można używać zewnętrznych obrazów ani motywów.

  • Każdy prywatny punkt końcowy może być połączony tylko z jednym użytkownikiem. Nie można skonfigurować łącza prywatnego do użycia przez więcej niż jednego klienta.

  • W przypadku użytkowników Fabric: lokalne bramy danych nie są obsługiwane i nie można ich zarejestrować, gdy Private Link jest włączony. Aby pomyślnie uruchomić konfigurator bramy, należy wyłączyć usługę Private Link. Dowiedz się więcej o tym scenariuszu. Bramy danych sieci wirtualnej będą działać. Aby uzyskać więcej informacji, zobacz te zagadnienia.

  • dla użytkowników bramy innych niż Power BI (PowerApps lub LogicApps): lokalna brama danych nie jest obsługiwana, gdy usługa Private Link jest włączona. Zalecamy zapoznanie się z użyciem bramy danych VNET, która może być używana z prywatnymi połączeniami.

  • Łącza prywatne nie będą działać z diagnostyką pobierania w bramie danych sieci wirtualnej VNet.

  • Zasoby prywatnych łączy w API REST nie obsługują tagów.

  • Następujące adresy URL muszą być dostępne w przeglądarce klienta:

    • Wymagane do uwierzytelniania:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, chociaż może to być inne w zależności od typu konta.

    • Wymagane kompetencje w zakresie inżynierii danych i nauki o danych:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (na przykład https://pypi.org/pypi/azure-storage-blob/json)
      • lokalne statyczne punkty końcowe dla condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Powiązana zawartość