Privata länkar för säker åtkomst till Infrastrukturresurser
Du kan använda privata länkar för att ge säker åtkomst till datatrafik i Infrastrukturresurser. Privata Slutpunkter i Azure Private Link och Azure Networking används för att skicka datatrafik privat med hjälp av Microsofts stamnätverksinfrastruktur i stället för att gå över internet.
När privata länkanslutningar används går dessa anslutningar via Microsofts privata nätverksstomme när Fabric-användare får åtkomst till resurser i Infrastrukturresurser.
Mer information om Azure Private Link finns i Vad är Azure Private Link.
Aktivering av privata slutpunkter påverkar många objekt, så du bör granska hela artikeln innan du aktiverar privata slutpunkter.
Vad är en privat slutpunkt?
Privat slutpunkt garanterar att trafik som går till organisationens infrastrukturresurser (till exempel att ladda upp en fil till OneLake, till exempel) alltid följer organisationens konfigurerade nätverkssökväg för privata länkar. Du kan konfigurera Infrastrukturresurser för att neka alla begäranden som inte kommer från den konfigurerade nätverkssökvägen.
Privata slutpunkter garanterar inte att trafik från Infrastruktur till dina externa datakällor, vare sig i molnet eller lokalt, skyddas. Konfigurera brandväggsregler och virtuella nätverk för att ytterligare skydda dina datakällor.
En privat slutpunkt är en enda riktningsteknik som låter klienter initiera anslutningar till en viss tjänst, men som inte tillåter att tjänsten initierar en anslutning till kundnätverket. Det här privata slutpunktsintegreringsmönstret ger hanteringsisolering eftersom tjänsten kan fungera oberoende av kundens nätverksprincipkonfiguration. För tjänster med flera klientorganisationer tillhandahåller den här privata slutpunktsmodellen länkidentifierare för att förhindra åtkomst till andra kunders resurser som finns i samma tjänst.
Fabric-tjänsten implementerar privata slutpunkter och inte tjänstslutpunkter.
Användning av privata slutpunkter med Fabric ger följande fördelar:
- Begränsa trafik från Internet till Infrastrukturresurser och dirigera den via Microsofts stamnätverk.
- Se till att endast auktoriserade klientdatorer kan komma åt Infrastrukturresurser.
- Följ regel- och efterlevnadskrav som kräver privat åtkomst till dina data- och analystjänster.
Förstå konfiguration av privata slutpunkter
Det finns två klientinställningar i infrastrukturadministrationsportalen som ingår i Private Link-konfigurationen: Azure Private Links och Blockera offentlig Internetåtkomst.
Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är aktiverat:
- Infrastrukturobjekt som stöds är endast tillgängliga för din organisation från privata slutpunkter och är inte tillgängliga från det offentliga Internet.
- Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
- Trafik från det virtuella nätverket som riktar in sig på slutpunkter och scenarier som inte stöder privata länkar blockeras av tjänsten och fungerar inte.
- Det kan finnas scenarier som inte stöder privata länkar, som därför blockeras i tjänsten när Blockera offentlig Internetåtkomst är aktiverat.
Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är inaktiverat:
- Trafik från det offentliga Internet tillåts av Fabric-tjänster.
- Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
- Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som inte stöder privata länkar transporteras via det offentliga Internet och tillåts av Fabric-tjänster.
- Om det virtuella nätverket är konfigurerat för att blockera offentlig Internetåtkomst blockeras scenarier som inte stöder privata länkar av det virtuella nätverket och fungerar inte.
Private Link in Fabric-upplevelser
OneLake
OneLake stöder Private Link. Du kan utforska OneLake i Fabric-portalen eller från valfri dator i ditt etablerade virtuella nätverk med onelake-utforskaren, Azure Storage Explorer, PowerShell med mera.
Direktanrop med hjälp av regionala OneLake-slutpunkter fungerar inte via privat länk till Infrastrukturresurser. Mer information om hur du ansluter till OneLake och regionala slutpunkter finns i Hur gör jag för att ansluta till OneLake?.
Slutpunkt för Warehouse och Lakehouse SQL-analys
Åtkomst till ett lager eller SQL-analysslutpunkten för en Lakehouse i Fabric-portalen skyddas av en privat länk. Kunder kan också använda TDS-slutpunkter (Tabular Data Stream) (till exempel SQL Server Management Studio, Azure Data Studio) för att ansluta till Warehouse via privat länk.
Visuell fråga i Warehouse fungerar inte när inställningen Blockera klientorganisation för offentlig Internetåtkomst är aktiverad.
SQL-databas
Åtkomst till en SQL-databas eller SQL-analysslutpunkten i Fabric-portalen skyddas av en privat länk. Kunder kan också använda TDS-slutpunkter (t.ex. SQL Server Management Studio eller Visual Studio Code) för att ansluta till SQL-databasen via privat länk. Mer information om hur du ansluter till en SQL-databas finns i Autentisering i SQL-databas i Microsoft Fabric.
Lakehouse, Notebook, Spark-jobbdefinition, Miljö
När du har aktiverat azure Private Link-klientinställningen resulterar det första Spark-jobbet (notebook- eller Spark-jobbdefinition) eller en Lakehouse-åtgärd (Läs in till tabell, tabellunderhållsåtgärder som Optimera eller Vakuum) i skapandet av ett hanterat virtuellt nätverk för arbetsytan.
När det hanterade virtuella nätverket har etablerats inaktiveras startpoolerna (standardalternativet Beräkning) för Spark, eftersom dessa är förvärmda kluster som finns i ett delat virtuellt nätverk. Spark-jobb körs på anpassade pooler som skapas på begäran vid tidpunkten för jobböverföring i arbetsytans dedikerade hanterade virtuella nätverk. Migrering av arbetsytor mellan kapaciteter i olika regioner stöds inte när ett hanterat virtuellt nätverk allokeras till din arbetsyta.
När inställningen för privat länk är aktiverad fungerar inte Spark-jobb för klientorganisationer vars hemregion inte stöder infrastrukturresurser Dataingenjör, även om de använder infrastrukturresurser från andra regioner som gör det.
Mer information finns i Hanterat virtuellt nätverk för infrastrukturresurser.
Dataflöde Gen2
Du kan använda Dataflow gen2 för att hämta data, transformera data och publicera dataflöden via privat länk. När datakällan ligger bakom brandväggen kan du använda VNet-datagatewayen för att ansluta till dina datakällor. VNet-datagatewayen möjliggör inmatning av gatewayen (beräkning) till ditt befintliga virtuella nätverk, vilket ger en hanterad gatewayupplevelse. Du kan använda VNet-gatewayanslutningar för att ansluta till en Lakehouse eller Warehouse i klientorganisationen som kräver en privat länk eller ansluta till andra datakällor med ditt virtuella nätverk.
Pipeline
När du ansluter till Pipeline via en privat länk kan du använda datapipelinen för att läsa in data från alla datakällor med offentliga slutpunkter i ett Microsoft Fabric Lakehouse med privat länk. Kunder kan också skapa och operationalisera datapipelines med aktiviteter, inklusive notebook- och dataflödesaktiviteter, med hjälp av den privata länken. Det går dock inte att kopiera data från och till ett informationslager när Infrastrukturresursers privata länk är aktiverad.
ML-modell, experiment och AI-kompetens
ML-modell, experiment och AI-kunskaper stöder privat länk.
Power BI
Om Internetåtkomst är inaktiverat, och om Power BI-semantikmodellen, Datamart eller Dataflow Gen1 ansluter till en Power BI-semantisk modell eller Dataflöde som datakälla, misslyckas anslutningen.
Direct Lake-läget stöds för närvarande inte med Private Link.
Publicera på webben stöds inte när klientinställningen Azure Private Link är aktiverad i Infrastrukturresurser.
E-postprenumerationer stöds inte när klientinställningen Blockera offentlig Internetåtkomst är aktiverad i Infrastrukturresurser.
Det går inte att exportera en Power BI-rapport som PDF eller PowerPoint när klientinställningen Azure Private Link är aktiverad i Fabric.
Om din organisation använder Azure Private Link i Fabric innehåller moderna användningsstatistikrapporter partiella data (endast Rapport öppna händelser). En aktuell begränsning vid överföring av klientinformation via privata länkar hindrar Infrastrukturresurser från att samla in rapportvyer och prestandadata via privata länkar. Om din organisation hade aktiverat klientinställningarna för Azure Private Link och Blockera offentlig Internetåtkomst i Infrastruktur, misslyckas uppdateringen av datamängden och användningsstatistikrapporten visar inga data.
Händelsehus
Eventhouse stöder Private Link, vilket möjliggör säker datainmatning och frågor från ditt virtuella Azure-nätverk via en privat länk. Du kan mata in data från olika källor, inklusive Azure Storage-konton, lokala filer och Dataflow Gen2. Direktuppspelningsinmatning säkerställer omedelbar datatillgänglighet. Dessutom kan du använda KQL-frågor eller Spark för att komma åt data i ett Eventhouse.
Begränsningar:
- Inmatning av data från OneLake stöds inte.
- Det går inte att skapa en genväg till ett Eventhouse.
- Det går inte att ansluta till ett Eventhouse i en datapipeline.
- Inmatning av data med köad inmatning stöds inte.
- Dataanslutningar som förlitar sig på köad inmatning stöds inte.
- Det går inte att köra frågor mot ett Eventhouse med hjälp av T-SQL.
Lösningar för sjukvårdsdata (förhandsversion)
Kunder kan etablera och använda lösningar för sjukvårdsdata i Microsoft Fabric via en privat länk. I en klientorganisation som har aktiverats med en privat länk kan kunder distribuera funktioner för sjukvårdsdatalösningar för att köra omfattande datainmatnings- och transformeringsscenarier för sina kliniska data. Detta omfattar möjligheten att mata in sjukvårdsdata från olika källor, till exempel Azure Storage-konton med mera.
Andra infrastrukturobjekt
Andra infrastrukturobjekt, till exempel Eventstream, stöder för närvarande inte Private Link och inaktiveras automatiskt när du aktiverar inställningen Blockera offentlig Internetåtkomst för att skydda efterlevnadsstatus.
Microsoft Purview Information Protection
Microsoft Purview Information Protection stöder för närvarande inte Private Link. Det innebär att i Power BI Desktop som körs i ett isolerat nätverk är känslighetsknappen nedtonad, etikettinformationen visas inte och dekrypteringen av .pbix-filer misslyckas.
För att aktivera dessa funktioner i Desktop kan administratörer konfigurera tjänsttaggar för de underliggande tjänster som stöder Microsoft Purview Information Protection, Exchange Online Protection (EOP) och Azure Information Protection (AIP). Se till att du förstår konsekvenserna av att använda tjänsttaggar i ett isolerat nätverk med privata länkar.
Andra överväganden och begränsningar
Det finns flera saker att tänka på när du arbetar med privata slutpunkter i Infrastrukturresurser:
Infrastrukturresurser stöder upp till 450 kapaciteter i en klientorganisation där Private Link är aktiverat.
När kapaciteten har skapats nyligen stöder den inte privat länk förrän dess slutpunkt återspeglas i den privata DNS-zonen. Det kan ta upp till 24 timmar.
Klientmigrering blockeras när Private Link aktiveras i infrastrukturresursadministratörsportalen.
Kunder kan inte ansluta till Infrastrukturresurser i flera klientorganisationer från ett enda virtuellt nätverk, utan bara den sista klientorganisationen som konfigurerar Private Link.
Privat länk stöder inte utvärderingskapacitet. När du kommer åt Fabric via Private Link-trafik fungerar inte utvärderingskapaciteten.
Användning av externa bilder eller teman är inte tillgänglig när du använder en privat länkmiljö.
Varje privat slutpunkt kan endast anslutas till en klientorganisation. Du kan inte konfigurera en privat länk som ska användas av mer än en klientorganisation.
För Fabric-användare: Lokala datagatewayer stöds inte och kan inte registreras när Private Link är aktiverat. Private Link måste inaktiveras för att gatewaykonfiguratorn ska kunna köras. Läs mer om det här scenariot. VNet-datagatewayer fungerar. Mer information finns i dessa överväganden.
För icke-PowerBI-gatewayanvändare (PowerApps eller LogicApps): Den lokala datagatewayen stöds inte när Private Link är aktiverat. Vi rekommenderar att du utforskar användningen av VNET-datagatewayen, som kan användas med privata länkar.
Privata länkar fungerar inte med nedladdningsdiagnostik för VNet Data Gateway.
REST-API:er för privata länkar stöder inte taggar.
Följande URL:er måste vara tillgängliga från klientwebbläsaren:
Krävs för autentisering:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
login.live.com
, även om detta kan vara annorlunda baserat på kontotyp.
Krävs för Dataingenjör och Datavetenskap upplevelser:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
https://pypi.org/*
(till exempelhttps://pypi.org/pypi/azure-storage-blob/json
)- lokala statiska slutpunkter för condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*