共用方式為

安全存取 Fabric 的私人連結

  • 發行項

您可以在 Fabric 中使用私人連結以提供資料流量的安全存取。 Azure Private Link 和 Azure 網路私人端點將用於透過 Microsoft 骨幹網路基礎結構私下傳送資料流量,而不是透過網際網路傳送。

使用私人連結連線時,這些連線會在 Fabric 使用者存取 Fabric 中的資源時通過 Microsoft 私人網路骨幹。

如需深入了解 Azure Private Link,請參閱什麼是 Azure Private Link

啟用私人端點會影響許多項目,因此您應該先檢閱本文全文,然後再啟用私人端點。

什麼是私人端點?

私人連結可保證進入組織的 Fabric 項目 (例如上傳檔案到 OneLake) 的流量一律會遵循組織設定的私人連結網路路徑。 您可以將 Fabric 設定為拒絕非來自設定網路路徑的所有要求。

私人端點保證從 Fabric 到外部資料來源 (不論是在雲端還是內部部署) 的流量都受到保護。 請設定防火牆規則和虛擬網路,以進一步保護資料來源。

私人端點是單一方向的技術,可讓用戶端起始與指定服務的連線,但不允許服務起始連線到客戶網路。 由於服務可獨立於客戶網路原則設定運作,因此這個私人端點整合模式提供管理隔離。 針對多租戶服務,此私人端點模型提供鏈接識別碼,以防止存取相同服務中其他客戶的資源。

Fabric 服務會實作私人端點,而不是服務端點。

透過 Fabric 使用私人端點可提供下列優點:

  • 限制從網際網路到 Fabric 的流量,並透過 Microsoft 骨幹網路路由傳送。
  • 請確定只有授權的用戶端計算機可以存取 Fabric。
  • 遵循法規與合規要求,確保您的資料和分析服務僅供私人存取。

了解私人端點設定

在 Fabric 管理員入口網站中,有兩個租用戶設定涉及私人連結設定:Azure Private Link封鎖公用網際網路存取

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已啟用]

  • 您的組織僅能透過私人端點存取支援的 Fabric 項目,無法透過公用網際網路存取。
  • 來自虛擬網路並針對支援私人連結的端點和場景的流量,將透過私人連結進行傳輸。
  • 來自虛擬網路目標端點的流量和支援私人連結的案例,將遭到服務封鎖且無法運作。
  • 可能會有一些情況不支援私人連結,因此在 [封鎖公用網際網路存取] 已啟用時,這類連結將會被服務封鎖。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已停用]

  • Fabric 服務將允許來自公用網際網路的流量。
  • 來自虛擬網路的流量,針對支援私人連結的端點和情境,將透過私人連結進行傳輸。
  • 來自虛擬網路目標端點的流量和支援私人連結的案例將透過公用網際網路進行傳輸,且將得到 Fabric 服務的允許。
  • 如果將虛擬網路設定為封鎖公用網際網路存取,則不支援私人連結的案例將會遭到虛擬網路封鎖且無法運作。

OneLake

OneLake 支援私人連結。 您可以在 Fabric 入口網站中,或從已建立的虛擬網路內的任何電腦使用 OneLake 檔案總管、Azure 儲存體 Explorer、PowerShell 等工具探索 OneLake。

使用 OneLake 區域端點的直接呼叫無法透過 Fabric 的私人連結運作。 如需連線到 OneLake 和區域端點的詳細資訊,請參閱如何連線到 OneLake?

倉儲和 Lakehouse SQL 分析端點

在 Fabric 入口網站中,存取 Lakehouse 的 Warehouse 或 SQL 分析端點會受到專用連結的保護。 客戶也可以使用表格式數據流 (TDS) 端點(例如 SQL Server Management Studio、Azure Data Studio)透過私人連結連線至倉儲。

啟用 [封鎖公用網際網路存取] 租用戶設定時,倉儲中的視覺查詢無法運作。

SQL 資料庫

存取網狀架構入口網站中的 SQL 資料庫或 SQL 分析端點會受到私人鏈接的保護。 客戶也可以使用表格式數據流 (TDS) 端點(例如 SQL Server Management Studio 或 Visual Studio Code)來 透過私人連結連線到 SQL 資料庫。 如需連線到 SQL 資料庫的詳細資訊,請參閱 Microsoft Fabric 中的 SQL 資料庫中驗證。

Lakehouse、Notebook、Spark 工作定義、環境

啟用 Azure Private Link 租用戶設定之後,執行第一個 Spark 工作 (Notebook 或 Spark 工作定義) 或執行 Lakehouse 操作 (載入至資料表、資料表維護操作如優化或清理) 將會建立工作區的受控虛擬網路。

佈建受控虛擬網路之後,Spark 的起始集區(預設計算選項)會停用,因為這些是位於共用虛擬網路中的預熱叢集。 Spark 工作會在工作區的專用受控虛擬網路內,於工作提交時視需要建立的自訂集區上執行。 當將受控虛擬網路配置到您的工作區時,不支援在不同區域的容量之間進行工作區遷移。

啟用私人連結設定時,如果租用戶的主區域不支援 Fabric Data Engineering,則即使這些租用戶使用來自其他區域的 Fabric 容量,Spark 工作也無法運行。

如需詳細資訊,請參閱適用於 Fabric 的受控 VNet

Dataflow Gen2

您可以使用 Dataflow gen2 來取得資料、轉換資料,以及透過私人連結發佈資料流程。 當您的資料源位於防火牆後方時,您可以使用 VNet 資料閘道來連線到您的資料來源。 VNet 資料閘道可讓您將閘道插 (計算) 入現有的虛擬網路中,進而提供受控閘道體驗。 您可以使用 VNet 閘道連線來連線到租用戶中需要私人連結的 Lakehouse 或倉儲,或使用虛擬網路連線到其他資料來源。

管線

當您透過私人連結連線到管線時,您可以使用資料管線,將資料從具有公用端點的任何資料來源載入至已啟用私人連結的 Microsoft Fabric Lakehouse。 客戶也可以使用私人連結,透過活動來撰寫和使資料管線投入運行,包括 Notebook 和 Dataflow 活動。 不過,目前無法在啟用 Fabric 的私人連結時從資料倉儲中複製資料或向其寫入資料。

ML 模型、實驗和 AI 技能

ML 模型、實驗和 AI 技能支援私有連結。

Power BI

  • 若停用了網際網路存取,且 Power BI 語意模型、資料集市或資料流程 Gen1 連接到 Power BI 語意模型或資料流程作為資料來源,則連接將會失敗。

  • 在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援發佈至 Web。

  • 當 Fabric 中啟用租用戶設定 [封鎖公用網際網路存取] 時,不支援電子郵件訂閱。

  • 當您在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援將 Power BI 報表匯出為 PDF 或 PowerPoint。

  • 如果您的組織在 Fabric 中使用 Azure Private Link,則新式使用計量報表將包含部分資料 (僅報表開啟事件)。 目前透過私人連結傳送用戶端資訊仍有所限制,使 Fabric 無法透過私人連結擷取報表頁面檢視與效能資料。 如果您的組織在 Fabric 中啟用 Azure Private Link 和 [封鎖公用網際網路存取],則重新整理資料集將會失敗,而使用計量報表將不會顯示任何資料。

  • Private Link 或已關閉的網路環境目前不支援 Copilot。

Eventhouse

Eventhouse 支援 Private Link,允許透過私人連結從 Azure 虛擬網絡 安全地擷取和查詢數據。 您可以從各種來源擷取資料,包括 Azure 儲存體帳戶、本機檔案和 Dataflow Gen2。 串流擷取可確保立即實現資料可用性。 此外,您可以使用 KQL 查詢或 Spark 來存取 Eventhouse 內的數據。

限制:

  • 不支援從 OneLake 匯入資料。
  • 無法建立通往 Eventhouse 的捷徑。
  • 無法連線到數據管線中的 Eventhouse。
  • 不支援使用佇列佇送來擷取資料。
  • 不支援依賴佇列擷取的資料連接器。
  • 無法使用 T-SQL 查詢 Eventhouse。

醫療保健資料解決方案 (預覽版)

客戶可以透過私人連結,在 Microsoft Fabric 中佈建及利用醫療保健資料解決方案。 在已啟用私人連結的租用戶中,客戶可以部署醫療保健資料解決方案功能,針對其臨床資料執行完整的資料擷取和轉換案例。 這包括匯入來自各種來源的醫療保健資料的能力,例如 Azure 儲存體帳戶等。

Azure 和網狀架構事件

Azure 和 Fabric 事件支持私人連結,因此當啟用 [封鎖公共網際網路存取 租戶設定] 時:

  • 任何取用 Azure 事件的新組態,例如 Azure Blob 記憶體事件,都會遭到封鎖。
  • 正在取用 Azure 事件的現有組態將會開始遺失任何新的事件。

其他布料項目

其他 Fabric 項目,例如 Eventstream,目前不支援私人連結,而且當您開啟 [封鎖公用網際網路存取] 租用戶設定以保護合規性狀態時,會自動停用。

Microsoft Purview 資訊保護

Microsoft Purview 資訊保護目前不支援私人連結。 這表示在隔離網路中執行的 Power BI Desktop 中,[通知標準] 按鈕將會呈現灰色,標籤資訊將不會顯示,且 .pbix 檔案的解密將失敗。

若要在桌面中啟用這些功能,管理員可以為支援 Microsoft Purview 資訊保護、Exchange Online Protection (EOP) 和 Azure 資訊保護 (AIP) 的基礎服務設定服務標籤。 請務必了解在私人連結隔離網路中使用服務標籤的影響。

其他考量與限制

在 Fabric 中使用私人端點時,有幾件需要牢記的考量事項:

  • 在啟用私人連結的租用戶中,Fabric 最多可支援 450 個容量。

  • 當容量新建立時,在其端點反映於私人 DNS 區域之前,將不支援私人連結。 最多可能需要 24 小時。

  • 當在 Fabric 管理入口網站中開啟私人連結時,將阻止租用戶移轉。

  • 客戶無法從單一虛擬網路連線到多個租用戶中的 Fabric 資源,而只能連線到最後一個租用戶來設定私人連結。

  • 試用版不支援私人連結。 透過私人連結流量存取 Fabric 時,試用容量將無法運作。

  • 使用私人連結環境時,將無法使用任何外部影像或佈景主題。

  • 每個私人端點僅可以連線至一個租用戶。 您無法將私人連結設定為由多個租用戶使用。

  • 針對 Fabric 使用者:不支援內部部署的資料閘道,且無法在啟用私人連結時註冊。 若要成功執行閘道設定程式,則必須停用私人連結。 進一步了解此案例。 VNet 資料閘道將會運作。 如需詳細資訊,請參閱以下考量

  • 針對非 PowerBI (PowerApps 或 LogicApps) 閘道使用者:啟用 Private Link 時不支援內部部署數據閘道。 建議您探索 VNET 資料閘道的使用,其可與私人連結搭配使用。

  • 私人鏈接不適用於 VNet 數據閘道下載診斷。

  • 私人連結資源 REST API 不支援標籤。

  • 您必須從用戶端瀏覽器存取下列 URL:

    • 驗證所需:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com,但這可能會根據帳戶類型而有所不同。

    • Data Engineering 和 Data Science 經驗所需的必要項目:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (例如 https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages 的本機靜態端點
      • https://cdn.jsdelivr.net/npm/monaco-editor*

相關內容