Поделиться через

Частные ссылки для безопасного доступа к Fabric

  • Статья

Частные ссылки можно использовать для обеспечения безопасного доступа к трафику данных в Fabric. Приватный канал Azure и частные конечные точки сети Azure используются для частных отправки трафика данных с помощью магистральной сетевой инфраструктуры Майкрософт, а не через Интернет.

Если используются подключения приватного канала, эти подключения проходят через магистраль частной сети Майкрософт, когда пользователи Fabric получают доступ к ресурсам в Fabric.

Дополнительные сведения о Приватный канал Azure см. в статье "Что такое Приватный канал Azure".

Включение частных конечных точек влияет на многие элементы, поэтому перед включением частных конечных точек необходимо ознакомиться со всей этой статьей.

Что собой представляет частная конечная точка?

Частная конечная точка гарантирует, что трафик, направленный в элементы Fabric вашей организации (например, при отправке файла в OneLake), всегда следует маршруту частной сети, настроенной в вашей организации. Вы можете настроить Fabric, чтобы запретить все запросы, которые не приходят из настроенного сетевого пути.

Частные конечные точки не гарантируют, что трафик из Fabric в внешние источники данных, будь то в облаке или локальной среде, защищен. Настройте правила брандмауэра и виртуальные сети для дальнейшего защиты источников данных.

Частная конечная точка — это единая направленная технология, которая позволяет клиентам инициировать подключения к данной службе, но не позволяет службе инициировать подключение к клиентской сети. Этот шаблон интеграции с частной конечной точкой обеспечивает изоляцию управления, так как служба может работать независимо от конфигурации политики сети клиента. Для мультитенантных служб эта модель частной конечной точки предоставляет идентификаторы ссылок, чтобы предотвратить доступ к ресурсам других клиентов, размещенным в той же службе.

Служба Fabric реализует частные конечные точки, а не конечные точки службы.

Использование частных конечных точек с Fabric обеспечивает следующие преимущества:

  • Ограничьте трафик из Интернета в Fabric и перенаправьте его через магистральную сеть Майкрософт.
  • Убедитесь, что доступ к Fabric может получить только авторизованные клиентские компьютеры.
  • Соблюдайте нормативные и требования соответствия, которые предусматривают частный доступ к вашим данным и аналитическим службам.

Общие сведения о конфигурации частной конечной точки

На портале администрирования Fabric есть два параметра арендатора, участвующих в настройке Приватных ссылок: Приватные ссылки Azure и Блокировка публичного доступа к Интернету.

Если Azure Private Link настроен правильно и Блокировка общедоступного доступа к Интернетувключена:

  • Поддерживаемые элементы Fabric доступны только для вашей организации из частных конечных точек и недоступны из общедоступного Интернета.
  • Трафик в виртуальной сети, нацеленный на конечные точки и сценарии, поддерживающие частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенной для конечных точек и сценариев, которые не поддерживают частные ссылки, будет заблокирован службой и не будет работать.
  • Могут возникнуть сценарии, которые не поддерживают частные ссылки, и поэтому они будут заблокированы в службе при блокировке доступа к общедоступному Интернету.

Если Azure Private Link настроен правильно и блокировка общедоступного доступа к Интернетуотключена:

  • Трафик из общедоступного Интернета будет разрешен службами Fabric.
  • Трафик из виртуальной сети, нацеленный на конечные точки и сценарии, поддерживающие частные каналы, передается через частный канал.
  • Трафик из виртуальной сети, который нацелен на конечные точки и сценарии, не поддерживающие частные каналы, передается через общедоступный Интернет и будет пропущен службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, будут заблокированы виртуальной сетью и не будут работать.

OneLake

OneLake поддерживает частную ссылку. Вы можете изучать OneLake на портале Fabric или с любого компьютера в вашей установленной виртуальной сети, используя проводник OneLake, Azure Storage Explorer, PowerShell и т. д.

Прямые вызовы с использованием региональных конечных точек OneLake не работают через частное соединение с Fabric. Дополнительные сведения о подключении к OneLake и региональным конечным точкам см. в разделе Как подключиться к OneLake?.

Точка доступа аналитики SQL для Warehouse и Lakehouse

Доступ к хранилищу или конечной точке аналитики SQL в Lakehouse на портале Fabric защищен с помощью Private Link. Клиенты также могут использовать конечные точки табличного потока данных (TDS) (например, SQL Server Management Studio, Azure Data Studio) для подключения к хранилищу с помощью приватного канала.

Визуальный запрос в хранилище не работает, если включен параметр клиента "Блокировать общедоступный доступ к Интернету".

База данных SQL

Доступ к базе данных SQL или конечной точке аналитики SQL на портале Fabric защищен приватным каналом. Клиенты также могут использовать конечные узлы табличного потока данных (TDS) (например, SQL Server Management Studio или Visual Studio Code), чтобы подключиться к базе данных SQL через приватную ссылку. Дополнительные сведения о подключении к базе данных SQL см. в разделе Аутентификация в базе данных SQL в Microsoft Fabric.

Лейкхаус, Ноутбук, Определение задания Spark, среда разработки

После включения настройки клиента Azure Private Link, выполнение первого задания Spark (например, в записной книжке или определение задания Spark) или выполнение операции Lakehouse (загрузка в таблицу, операции технического обслуживания таблиц, такие как оптимизация или команда Vacuum) приведет к созданию управляемой виртуальной сети для рабочей среды.

После подготовки управляемой виртуальной сети начальные пулы (параметр вычислений по умолчанию) для Spark отключены, так как это предварительно подготовленные кластеры, размещенные в общей виртуальной сети. Задания Spark выполняются в пользовательских пулах, созданных по запросу во время отправки заданий в выделенной управляемой виртуальной сети рабочей области. Миграция рабочей области между емкостями в разных регионах не поддерживается, если для рабочей области выделена управляемая виртуальная сеть.

Если параметр приватной ссылки включен, задания Spark не будут работать для клиентов, домашние регионы которых не поддерживают Платформу обработки данных Fabric, даже если они используют вычислительные мощности Fabric из других регионов, где это поддерживается.

Дополнительные сведения см. в разделе "Управляемая виртуальная сеть для Fabric".

Поток данных 2-го поколения

Поток данных 2-го поколения можно использовать для получения данных, преобразования данных и публикации потока данных через приватный канал. Если источник данных находится за брандмауэром, вы можете использовать шлюз данных виртуальной сети для подключения к источникам данных. Шлюз данных VNet позволяет внедрить компонент шлюза (вычислительный) в вашу существующую виртуальную сеть, предоставляя управляемый шлюз. Подключения шлюза виртуальной сети можно использовать для подключения к Lakehouse или хранилищу в клиенте, требующем приватного подключения, или для подключения к другим источникам данных с вашей виртуальной сетью.

Конвейер

При подключении к Pipeline через приватный канал можно использовать конвейер данных для загрузки данных из любого источника с общедоступными конечными точками в Microsoft Fabric lakehouse с поддержкой приватного канала. Клиенты могут также создавать и эксплуатировать конвейеры данных и выполнять операции, включая операции с записными книжками и потоками данных, используя частное соединение. Однако копирование данных из и в хранилище данных в настоящее время невозможно, если включена частная ссылка Fabric.

Модель машинного обучения, эксперимент и навык искусственного интеллекта

Модель машинного обучения, эксперимент и навык искусственного интеллекта поддерживают приватную ссылку.

Power BI

  • Если доступ к Интернету отключен, а если семантическая модель Power BI, Datamart или Dataflow 1-го поколения подключается к семантической модели Power BI или потоку данных в качестве источника данных, подключение завершится ошибкой.

  • Публикация в веб не поддерживается, если настройка тенанта Azure Private Link включена в Fabric.

  • Подписки электронной почты не поддерживаются, если параметр клиента block Public Internet Access включен в Fabric.

  • Экспорт отчета Power BI в формате PDF или PowerPoint не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Если ваша организация использует Azure Private Link в Fabric, современные отчеты о метриках использования будут содержать частичные данные (только события открытия отчетов). Текущее ограничение при передаче сведений о клиенте через частные каналы препятствует «Fabric» в записи просмотров страниц отчетов и данных о производительности по частным ссылкам. Если ваша организация включила настройки арендатора Private Link Azure и блокировка публичного доступа в Интернет в Fabric, обновление набора данных завершается сбоем, а отчет о метриках использования не отображает никаких данных.

  • В настоящее время для Copilot нет поддержки в частных или закрытых сетевых средах.

Eventhouse

Eventhouse поддерживает Private Link, позволяя безопасно передавать данные и выполнять запросы из вашей виртуальной сети Azure через частное соединение. Вы можете получать данные из различных источников, включая учетные записи хранилища Azure, локальные файлы и Dataflow Gen2. Прием потоковой передачи обеспечивает немедленную доступность данных. Кроме того, можно использовать запросы KQL или Spark для доступа к данным в хранилище событий.

Ограничения:

  • Прием данных из OneLake не поддерживается.
  • Создание ярлыка к хранилищу событий невозможно.
  • Подключение к хранилищу событий в конвейере данных невозможно.
  • Прием данных с помощью приема в очереди не поддерживается.
  • Соединители данных, использующие прием в очереди, не поддерживаются.
  • Запрос к хаусу событий с помощью T-SQL невозможен.

Решения для медицинских данных (предварительная версия)

Клиенты могут подготавливать и использовать решения для обработки данных здравоохранения в Microsoft Fabric с помощью приватного канала. В арендаторе с включенной поддержкой приватной ссылки пользователи могут развернуть функциональные возможности решения для обработки данных в здравоохранении, чтобы выполнять комплексные сценарии приема и преобразования своих клинических данных. Это включает в себя возможность приема данных здравоохранения из различных источников, таких как учетные записи Azure Storage, и многое другое.

События Azure и Fabric

События Azure и Fabric поддерживают приватный канал, чтобы при включении параметра клиента блокировать общедоступный доступ к Интернету:

  • Любая новая конфигурация для обработки событий Azure, таких как события хранилища объёмных данных Azure Blob, будет заблокирована.
  • Существующие конфигурации, использующие события Azure, начнут терять любые новые события.

Другие элементы Fabric

Другие элементы Fabric, такие как Eventstream, в настоящее время не поддерживают Приватный канал и автоматически отключаются при включении параметра клиента Block Public Internet Access для защиты состояния соответствия требованиям.

Защита информации Microsoft Purview

В настоящее время Microsoft Purview Information Protection не поддерживает Private Link. Это означает, что в Power BI Desktop, работающем в изолированной сети, кнопка Чувствительность неактивна, сведения о метке не отображаются, а расшифровка .pbix файлов завершится ошибкой.

Чтобы включить эти возможности в Desktop, администраторы могут настроить теги служб для базовых служб, поддерживающих Защита информации Microsoft Purview, Exchange Online Protection (EOP) и Azure Information Protection (AIP). Убедитесь, что вы понимаете последствия использования тегов служб в изолированной сети частных каналов.

Другие рекомендации и ограничения

При работе с частными конечными точками в Fabric следует учитывать несколько соображений.

  • Fabric поддерживает до 450 емкостей в арендаторе, где включен Private Link.

  • Когда емкость создается впервые, она не будет поддерживать приватную ссылку, пока ее конечная точка не будет отражена в частной зоне DNS. Это может занять до 24 часов.

  • Миграция клиента блокируется при включении Private Link на портале администрирования Fabric.

  • Клиенты не могут подключаться к ресурсам Fabric в нескольких арендаторах из одной виртуальной сети, а только к последнему арендатору для настройки Private Link.

  • Частная ссылка не поддерживается в пробном режиме. При доступе к Fabric через трафик Private Link пробная мощность не будет работать.

  • Использование внешних изображений или тем недоступно в среде с приватными ссылками.

  • Каждая частная конечная точка может быть подключена только к одному клиенту. Вы не можете настроить приватную ссылку для использования несколькими клиентами.

  • Для пользователей Fabric: локальные шлюзы данных не поддерживаются и не регистрируются при включении Private Link. Чтобы настроить шлюз успешно, Приватный канал необходимо отключить. Дополнительные сведения об этом сценарии. Шлюзы данных виртуальной сети будут работать. Для получения дополнительной информации см. эти рекомендации.

  • Для пользователей шлюза, которые не используют PowerBI (PowerApps или LogicApps),: локальный шлюз данных не поддерживается при включении Private Link. Мы рекомендуем изучить использование шлюза данных VNET, который можно использовать с частными ссылками.

  • Частные ссылки не будут работать с диагностикой загрузки шлюза данных VNet.

  • REST API ресурсов частных ссылок не поддерживают теги.

  • Следующие URL-адреса должны быть доступны в клиентском браузере:

    • Требуется для проверки подлинности:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, хотя это может отличаться в зависимости от типа учетной записи.

    • Требования для специалистов в области инженерии данных и науки о данных.

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (например, https://pypi.org/pypi/azure-storage-blob/json)
      • локальные статические конечные точки для condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Связанный контент