Links privados para acesso seguro ao Fabric
Você pode usar links privados para fornecer acesso seguro ao tráfego de dados no Fabric. O Link Privado do Azure e os pontos de extremidade privados da Rede do Azure são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede principal da Microsoft em vez de atravessar a Internet.
Quando conexões de link privado são usadas, essas conexões passam pela rede principal privada da Microsoft quando os usuários do Fabric acessam recursos no Fabric.
Para saber mais sobre o Link Privado do Azure, confira O que é o Link Privado do Azure.
A habilitação de pontos de extremidade privados tem impacto em muitos itens, portanto, revise este artigo inteiro antes de habilitar pontos de extremidade privados.
O que é um ponto de extremidade privado?
O ponto de extremidade privado garante que o tráfego que entra nos itens do Fabric da sua organização (como o upload de um arquivo no OneLake, por exemplo) sempre siga o caminho de rede do link privado configurado pela sua organização. Você pode configurar o Fabric para negar todas as solicitações que não venham do caminho de rede configurado.
Os pontos de extremidade privados não garantem que o tráfego do Fabric para suas fontes de dados externas, seja na nuvem ou local, esteja seguro. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.
Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão na rede do cliente. Esse padrão de integração de ponto de extremidade privado fornece isolamento de gerenciamento, pois o serviço pode operar independentemente da configuração de política de rede do cliente. Para serviços multilocatários, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso a outros recursos do cliente hospedados no mesmo serviço.
O serviço do Fabric implementa pontos de extremidade privados e não pontos de extremidade de serviço.
O uso de pontos finais privados com o Fabric oferece as seguintes vantagens:
- Restringir o tráfego da internet para o Fabric e roteá-lo pela rede de backbone da Microsoft.
- Garantir que somente computadores cliente autorizados possam acessar o Fabric.
- Cumprir os requisitos regulamentares e de conformidade que exigem acesso privado aos seus serviços de dados e análise.
Entender a configuração do ponto de extremidade privado
Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração do Link Privado: Links Privados do Azure e Bloquear Acesso Público à Internet.
Se o Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:
- Os itens do Fabric com suporte só estão acessíveis para sua organização a partir dos pontos de extremidade privados e não estão acessíveis pela Internet pública.
- O tráfego da rede virtual que tem como alvo pontos de extremidade e cenários que dão suporte a links privados é transportado pelo link privado.
- O tráfego da rede virtual que tem como alvo pontos de extremidade e cenários que não dão suporte aos links privados será bloqueado pelo serviço e não funcionará.
- Pode haver cenários que não dão suporte a links privados, que, portanto, serão bloqueados no serviço quando Bloquear Acesso Público à Internet estiver habilitado.
Se o Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:
- O tráfego da Internet pública será permitido pelos serviços do Fabric.
- O tráfego da rede virtual destinado a endereços de destino e cenários que dão suporte a links privados é transferido via o link privado.
- O tráfego da rede virtual que tem como alvo pontos de extremidade e cenários que não dão suporte aos links privados é transportado pela Internet pública e será permitido pelos serviços do Fabric.
- Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não dão suporte a links privados serão bloqueados pela rede virtual e não funcionarão.
Link Privado nas experiências do Fabric
OneLake
O OneLake dá suporte a Link Privado. Você pode explorar o OneLake no portal do Fabric ou de qualquer computador dentro da sua rede virtual estabelecida usando o explorador de arquivos do OneLake, o Gerenciador de Armazenamento do Microsoft Azure, o PowerShell e muito mais.
Chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam pelo link privado para o Fabric. Para obter mais informações sobre como se conectar a pontos de extremidade regionais e ao OneLake, confira Como fazer para me conectar ao OneLake?
Ponto de extremidade de análise de SQL do Warehouse e do Lakehouse
O acesso a um Warehouse ou ao ponto de extremidade de análise SQL de um Lakehouse no portal do Fabric é protegido pelo link privado. Os clientes também podem usar pontos de extremidade do Protocolo TDS (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse por um link privado.
A consulta visual no Warehouse não funciona quando a configuração de locatário Bloquear Acesso Público à Internet está habilitada.
Banco de dados SQL
O acesso a um banco de dados SQL ou ao endpoint de análises SQL no portal do Fabric é protegido por um link privado. Os clientes também podem usar pontos de extremidade do Protocolo TDS (por exemplo, SQL Server Management Studio ou Visual Studio Code) para conectar ao banco de dados SQL por um link privado. Para obter mais informações sobre como se conectar a um banco de dados SQL, consulte Authentication in SQL Database in Microsoft Fabric.
Lakehouse, Notebook, definição de trabalho do Spark, Ambiente
Depois de habilitar a configuração de locatário Link Privado do Azure, a execução do primeiro trabalho do Spark (Notebook ou definição de trabalho do Spark) ou a execução de uma operação do Lakehouse (Carregar na Tabela, operações de manutenção de tabela, como Otimizar ou Vácuo) resultará na criação de uma rede virtual gerenciada para o workspace.
Depois que a rede virtual gerenciada for provisionada, os pools iniciais (opção de Computação padrão) para o Spark serão desabilitados, pois esses são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados que são criados sob demanda no momento da inscrição do trabalho na rede virtual gerenciada dedicada do workspace. A migração dos workspaces entre capacidades em diferentes regiões não tem suporte quando uma rede virtual gerenciada é alocada para seu workspace.
Quando a configuração de link privado estiver habilitada, os trabalhos do Spark não funcionarão para locatários cuja região inicial não ofereça suporte à Engenharia de Dados do Fabric, mesmo que usem capacidades do Fabric de outras regiões que ofereçam.
Para obter mais informações, consulte Managed VNet for Fabric.
Fluxo de Dados Gen2
Você pode usar o Fluxo de Dados Gen2 para obter dados, transformar dados e publicar o fluxo de dados por meio de link privado. Quando a fonte de dados estiver protegida pelo firewall, você poderá usar o gateway de dados da VNet para se conectar às suas fontes de dados. O gateway de dados da VNet permite a injeção do gateway (computação) na sua rede virtual existente, proporcionando assim uma experiência de gateway gerenciado. Você pode usar conexões de gateway da VNet para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou se conectar a outras fontes de dados com sua rede virtual.
Pipeline
Quando você se conectar ao Pipeline por meio de link privado, poderá usar o pipeline de dados para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um lakehouse do Microsoft Fabric com o link privado habilitado. Os clientes também podem criar e operacionalizar pipelines de dados com atividades, incluindo atividades de Notebook e Fluxo de Dados, usando o link privado. No entanto, a cópia de dados de e para um Data Warehouse não é possível no momento em que o link privado do Fabric está habilitado.
Modelo de ML, Experimento e habilidade de IA
Modelo de ML, Experimento e habilidade de IA dão suporte ao link privado.
Power BI
Se o acesso à Internet estiver desabilitado e se o modelo semântico do Power BI, o Datamart ou o Fluxo de Dados Gen1 se conectar a um modelo semântico do Power BI ou a um fluxo de dados como fonte de dados, a conexão falhará.
Não há suporte para publicação na Web quando a configuração de locatário Link Privado do Azure está habilitada no Fabric.
As assinaturas de email não têm suporte quando a configuração de locatário Bloquear Acesso Público à Internet está habilitada no Fabric.
A exportação de um relatório do Power BI como PDF ou PowerPoint não tem suporte quando a configuração de locatário Link Privado do Azure está habilitada no Fabric.
Se sua organização estiver usando o Link Privado do Azure no Fabric, os relatórios modernos de métricas de uso conterão dados parciais (apenas eventos do Report Open). Uma limitação atual na transferência de informações do cliente por meio de links privados impede que o Fabric capture dados de desempenho e visualizações de páginas de relatórios por meio de links privados. Se sua organização tiver habilitado as configurações de locatário Link Privado do Azure e Bloqueio do Acesso Público à Internet no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.
Atualmente, não há suporte para o Copilot para o Link Privado ou para ambientes de rede fechados.
Eventhouse
O Eventhouse dá suporte ao Link Privado, permitindo a ingestão e a consulta seguras de dados de sua Rede Virtual do Azure por meio de um link privado. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Microsoft Azure, arquivos locais e Fluxo de Dados Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, é possível usar consultas KQL ou Spark para acessar dados dentro de uma Eventhouse.
Limitações:
- Não há suporte para a ingestão de dados do OneLake.
- Não é possível criar um atalho para uma Eventhouse.
- Não é possível conectar-se a uma Eventhouse em um pipeline de dados.
- Não há suporte para a ingestão de dados usando a ingestão em fila.
- Não há suporte para conectores de dados que dependem de ingestão em fila.
- Não é possível consultar uma Eventhouse usando T-SQL.
Soluções de dados para o setor de saúde (versão prévia)
Os clientes podem provisionar e utilizar as soluções de dados da área de saúde no Microsoft Fabric por meio de um link privado. Em um locatário que tenha sido habilitado com um link privado, os clientes podem implementar recursos de solução de dados de serviços de saúde para executar cenários abrangentes de ingestão e transformação de dados para seus dados clínicos. Isso inclui a capacidade de ingerir dados de saúde de várias fontes, como contas de Armazenamento do Microsoft Azure e muito mais.
Eventos do Azure e do Fabric
Os eventos do Azure e do Fabric dão suporte a um link privado de modo que, quando a configuração de locatário Bloquear Acesso à Internet Pública estiver habilitada:
- Qualquer nova configuração para consumir eventos do Azure, como eventos do Armazenamento de Blobs do Azure, seria bloqueada.
- As configurações existentes que estão consumindo eventos do Azure começarão a perder novos eventos.
Outros itens do Fabric
Outros itens do Fabric, como o Eventstream, não têm suporte para o Private Link no momento e são automaticamente desativados quando você ativa a configuração de locatário Bloqueio do Acesso Público à Internet para proteger o status de conformidade.
Proteção de Informações do Microsoft Purview
No momento, a Proteção de Informações do Microsoft Purview não dá suporte ao Link Privado. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Confidencialidade fica esmaecido, as informações do rótulo não aparecem e a descriptografia de arquivos .pbix falha.
Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que dão suporte à Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de marcas de serviço em uma rede isolada de links privados.
Outras considerações e limitações
Há várias considerações que devem ser levadas em conta ao lidar com endpoints privados no Fabric.
O Fabric dá suporte para até 450 capacidades em um locatário em que o Link privado está habilitado.
Quando a capacidade for criada recentemente, ela não dará suporte ao link privado até que seu ponto de extremidade seja refletido na zona de DNS privado. Isso pode levar até 24 horas.
A migração do locatário é bloqueada quando o Link privado está ativado no portal de administração do Fabric.
Os clientes não podem se conectar aos recursos do Fabric em vários locatários a partir de uma única rede virtual, mas apenas ao último locatário a configurar o Link Privado.
Não há suporte para link privado na capacidade de Avaliação gratuita. Ao acessar o Fabric por meio de tráfego do Link Privado, a capacidade de teste não funcionará.
Qualquer uso de imagens ou temas externos não está disponível quando se usa um ambiente de link privado.
Cada ponto de extremidade privado pode ser conectado a apenas um locatário. Não é possível configurar um link privado para ser usado por mais de um locatário.
Para usuários da rede Fabric: não há suporte para gateways de dados locais e não é possível se registrar quando o Link privado está habilitado. Para executar o configurador de gateway com êxito, o Link privado deve estar desativado. Saiba mais sobre esse cenário. Os gateways de dados da VNet funcionarão. Para obter mais informações, confira estas considerações.
Para usuários do Gateway que não sejam do PowerBI (PowerApps ou LogicApps): o gateway de dados local não tem suporte quando o Link Privado está habilitado. Recomendamos explorar o uso do gateway de dados da VNET, que pode ser usado com links privados.
Os Links Privados não funcionarão com o diagnóstico de download do Gateway de Dados da VNet.
As APIs REST para recursos de links privados não dão suporte para etiquetas.
Os seguintes URLs devem estar acessíveis no navegador do cliente:
Necessário para autenticação:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.comlogin.live.com, embora isso possa ser diferente com base no tipo de conta.
Obrigatório para as experiências de Engenharia de Dados e Ciência de Dados:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/https://pypi.org/*(por exemplo,https://pypi.org/pypi/azure-storage-blob/json)- pontos de extremidade estáticos locais para condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*