Partilhar via

Links privados para acesso seguro ao Fabric

  • Artigo

Você pode usar links privados para fornecer acesso seguro ao tráfego de dados no Fabric. O Azure Private Link e os pontos de extremidade privados da Rede do Azure são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede de backbone da Microsoft, em vez de atravessar a Internet.

Quando conexões de link privado são usadas, essas conexões passam pelo backbone de rede privada da Microsoft quando os usuários do Fabric acessam recursos no Fabric.

Para saber mais sobre o Azure Private Link, consulte O que é o Azure Private Link.

Habilitar pontos de extremidade privados tem um impacto em muitos itens, portanto, você deve revisar este artigo inteiro antes de habilitar pontos de extremidade privados.

O que é um ponto final privado?

O ponto de extremidade privado garante que o tráfego que vai para os itens Fabric da sua organização (como fazer o upload de um ficheiro para o OneLake, por exemplo) siga sempre o caminho de rede de ligação privada configurado da sua organização. Você pode configurar o Fabric para negar todas as solicitações que não vêm do caminho de rede configurado.

Os endpoints privados não garantem que o tráfego do Fabric para as suas fontes de dados externas, seja na nuvem ou no local, esteja assegurado. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.

Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão com a rede do cliente. Esse padrão de integração de ponto final privado fornece isolamento de gerenciamento, uma vez que o serviço pode operar independentemente da configuração da política de rede do cliente. Para serviços multilocatário, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso aos recursos de outros clientes hospedados no mesmo serviço.

O serviço Fabric implementa pontos de extremidade privados e não implementa pontos de extremidade de serviço.

O uso de endpoints privados com o Fabric oferece os seguintes benefícios:

  • Restrinja o tráfego da Internet para o Fabric e encaminhe-o através da rede de backbone da Microsoft.
  • Certifique-se de que apenas máquinas clientes autorizadas possam acessar o Fabric.
  • Cumpra os requisitos regulamentares e de conformidade que exigem acesso privado aos seus dados e serviços de análise.

Compreender a configuração de ponto final privado

Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração de Link Privado: Links Privados do Azure e Bloquear o Acesso da Internet Pública.

Se o Azure Private Link estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:

  • Os Itens Fabric suportados só são acessíveis para a sua organização a partir de pontos de extremidade privados e não são acessíveis a partir da Internet pública.
  • O tráfego da rede virtual direcionado a pontos de extremidade e situações que suportam links privados é transportado através do link privado.
  • O tráfego da rede virtual direcionando endereços de destino e cenários que não suportam links privados será bloqueado pelo serviço e não irão funcionar.
  • Pode haver cenários que não suportam links privados, que, portanto, serão bloqueados no serviço quando Bloquear Acesso Público à Internet estiver habilitado.

Se o Azure Private Link estiver configurado corretamente e Bloquear o acesso à Internet pública estiver desativado:

  • O tráfego da Internet pública será permitido pelos serviços Fabric.
  • O tráfego da rede virtual direcionado para pontos de extremidade e cenários que suportam links privados é transportado através do link privado.
  • O tráfego da rede virtual destinado a pontos finais e cenários que não suportam links privados é transportado pela Internet pública e será autorizado pelos serviços Fabric.
  • Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não suportam links privados serão bloqueados pela rede virtual e não funcionarão.

OneLake

OneLake suporta Private Link. Você pode explorar o OneLake no portal Fabric ou de qualquer máquina dentro de sua rede virtual estabelecida usando o explorador de arquivos OneLake, o Gerenciador de Armazenamento do Azure, o PowerShell e muito mais.

As chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam por meio de link privado para o Fabric. Para obter mais informações sobre como se conectar ao OneLake e pontos de extremidade regionais, consulte Como faço para me conectar ao OneLake?.

Endpoint de análises SQL para Warehouse e Lakehouse

O acesso a um armazém ou ao ponto de extremidade de análise SQL de um Lakehouse no portal do Fabric é protegido por link privado. Os clientes também podem usar pontos de ligação TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse através de uma ligação privada.

A consulta visual no Warehouse não funciona quando a configuração de locatário de Bloqueio de Acesso Público à Internet está ativada.

Base de dados SQL

O acesso a um banco de dados SQL ou ao endpoint de análises SQL no portal Fabric é protegido por um link privado. Os clientes também podem usar pontos de extremidade TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio ou Visual Studio Code) para ligar-se à base de dados SQL através de uma ligação privada. Para obter mais informações sobre como se conectar a um banco de dados SQL, consulte Autenticação no banco de dados SQL no Microsoft Fabric.

Lakehouse, Notebook, Definição de trabalho do Spark, Ambiente

Depois de habilitar a configuração de locatário do Azure Private Link , executar o primeiro trabalho do Spark (definição de trabalho do Bloco de Anotações ou do Spark) ou executar uma operação do Lakehouse (Carregar para Tabela, operações de manutenção de tabela, como Otimizar ou Aspirar) resultará na criação de uma rede virtual gerenciada para o espaço de trabalho.

Depois que a rede virtual gerenciada tiver sido provisionada, os pools iniciais (opção de computação padrão) para o Spark serão desativados, pois são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados que são criados sob demanda no momento do envio do trabalho na rede virtual gerenciada dedicada do espaço de trabalho. A migração de espaços de trabalho entre capacidades em diferentes regiões não é suportada quando uma rede virtual gerenciada é alocada ao seu espaço de trabalho.

Quando a configuração de link privado estiver habilitada, os trabalhos do Spark não funcionarão para locatários cuja região de origem não ofereça suporte à Engenharia de Dados de Malha, mesmo que eles usem capacidades de Malha de outras regiões que o façam.

Para obter mais informações, consulte VNet gerida para Fabric.

Fluxo de dados Gen2

Você pode usar o Dataflow gen2 para obter dados, transformar dados e publicar o fluxo de dados via link privado. Quando a sua fonte de dados está atrás do firewall, pode usar o gateway de dados VNet para se conectar às suas fontes de dados. O gateway de dados VNet permite a injeção do gateway (computação) na sua rede virtual existente, fornecendo assim uma experiência de gestão de gateway. Você pode usar conexões de gateway VNet para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com sua rede virtual.

Canalização

Ao ligar-se ao Pipeline através de um link privado, pode utilizar o pipeline de dados para carregar dados de qualquer fonte de dados com endpoints públicos para um lakehouse do Microsoft Fabric com ligação privada habilitada. Os clientes também podem criar e operacionalizar pipelines de dados com atividades, incluindo atividades de Notebook e Dataflow, usando o link privado. No entanto, copiar dados de e para um Data Warehouse atualmente não é possível quando o link privado do Fabric está habilitado.

Modelo de Aprendizagem Automática, Experimento e Competência em IA

A funcionalidade de Modelo ML, Experimento e IA suporta link privado.

Power BI

  • Se o acesso à Internet estiver desabilitado e se o modelo semântico do Power BI, Datamart ou Dataflow Gen1 se conectar a um modelo semântico do Power BI ou Dataflow como uma fonte de dados, a conexão falhará.

  • Não há suporte para publicar na Web quando a definição do locatário Azure Private Link está habilitada no Fabric.

  • As subscrições de email não são suportadas quando a definição de locatário Bloquear acesso à Internet pública está ativada na malha.

  • Não é suportada a exportação de um relatório do Power BI como PDF ou PowerPoint quando a definição de inquilino Azure Private Link está habilitada na Malha.

  • Se sua organização estiver usando o Azure Private Link no Fabric, os relatórios de métricas de uso modernos conterão dados parciais (somente eventos Report Open). Uma limitação atual ao transferir informações do cliente por links privados impede que o Fabric capture visualizações de página de relatório e dados de desempenho em links privados. Se a sua organização tiver habilitado as configurações de Azure Private Link e Bloquear Acesso Público à Internet no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não exibirá dados.

  • Atualmente, o Copilot não é suportado para ambientes Private Link ou de rede fechada.

Casa de eventos

O Eventhouse suporta o Private Link, permitindo a ingestão segura de dados e consultas a partir da sua Rede Virtual do Azure através de uma ligação privada. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Azure, arquivos locais e Dataflow Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, você pode utilizar consultas KQL ou Spark para acessar dados dentro de uma Eventhouse.

Limitações:

  • Não há suporte para a ingestão de dados do OneLake.
  • Não é possível criar um atalho para uma Eventhouse.
  • Não é possível ligar-se a um Eventhouse num pipeline de dados.
  • Não há suporte para a ingestão de dados através de ingestão em fila.
  • Não há suporte para conectores de dados que utilizem ingestão em fila.
  • Consultar uma casa de eventos usando T-SQL não é possível.

Soluções de dados de cuidados de saúde (pré-visualização)

Os clientes podem provisionar e utilizar soluções de dados de saúde no Microsoft Fabric por meio de um link privado. No âmbito de um locatário que foi ativado com um link privado, os clientes podem implementar capacidades de soluções de dados de saúde para realizar cenários abrangentes de ingestão e transformação dos seus dados clínicos. Isso inclui a capacidade de ingerir dados de saúde de várias fontes, como contas de Armazenamento do Azure e muito mais.

Azure e Fabric Events

Os eventos do Azure e do Fabric dão suporte ao link privado, de modo que, quando a configuração de locatário Bloquear Acesso Público à Internet estiver habilitada:

  • Qualquer nova configuração para consumir eventos do Azure, como eventos do Armazenamento de Blob do Azure, seria bloqueada.
  • As configurações existentes que estão consumindo eventos do Azure começarão a perder quaisquer novos eventos.

Outros artigos de tecido

Outros itens do Fabric, como o Eventstream, atualmente não oferecem suporte a Link Privado e são automaticamente desativados quando ativam a configuração de locatário Bloquear acesso público à Internet para proteger o estado de conformidade.

Proteção de Informações do Microsoft Purview

Atualmente, a Proteção de Informações do Microsoft Purview não oferece suporte ao Private Link. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Sensibilidade está acinzentado, as informações do rótulo não aparecerão e a descriptografia dos arquivos .pbix falhará.

Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que oferecem suporte à Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de tags de serviço em uma rede isolada de links privados.

Outras considerações e limitações

Há várias considerações a ter em mente ao trabalhar com pontos de extremidade privados no Fabric:

  • O Fabric suporta até 450 capacidades em um locatário onde o Private Link está habilitado.

  • Quando a capacidade é recém-criada, não suportará ligação privada até que o seu endpoint esteja registado na zona DNS privada. Isto pode demorar até 24 horas.

  • A migração de locatários é bloqueada quando o Private Link é ativado no portal de administração do Fabric.

  • Os clientes não podem se conectar aos recursos do Fabric em vários locatários a partir de uma única rede virtual, mas apenas ao último locatário a configurar o Private Link.

  • O link privado não é compatível com a versão de teste. Ao acessar o Fabric por meio do tráfego de Link privado, a capacidade de avaliação não funcionará.

  • Quaisquer usos de imagens ou temas externos não estão disponíveis quando se utiliza um ambiente de link privado.

  • Cada ponto de extremidade privado pode ser conectado a apenas um locatário. Não é possível configurar um link privado para ser usado por mais de um locatário.

  • Para utilizadores do Fabric: gateways de dados no local não são suportados e falham ao registar quando o Private Link está habilitado. Para executar o configurador de gateway com êxito, o Private Link deve ser desativado. Saiba mais sobre este cenário. Os gateways de dados VNet funcionarão. Para obter mais informações, consulte estas considerações.

  • Para usuários de gateway que não sejam do PowerBI (PowerApps ou LogicApps): O gateway de dados local não é suportado quando o Private Link está habilitado. Recomendamos explorar o uso do gateway VNET de dados, que pode ser usado com links privados.

  • Os Links Privados não funcionarão com o diagnóstico de download do VNet Data Gateway.

  • As APIs REST do recurso de links privados não suportam tags.

  • Os seguintes URLs devem estar acessíveis a partir do navegador do cliente:

    • Necessário para autenticação.

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, embora isso possa ser diferente com base no tipo de conta.

    • Necessário para as experiências de Engenharia de Dados e Ciência de Dados:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (por exemplo, https://pypi.org/pypi/azure-storage-blob/json)
      • pontos de extremidade estáticos locais para condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Conteúdos relacionados