共用方式為

安全存取 Fabric 的私人連結

  • 發行項

您可以在 Fabric 中使用私人連結以提供資料流量的安全存取。 Azure Private Link 和 Azure 網路私人端點將用於透過 Microsoft 骨幹網路基礎結構私下傳送資料流量,而不是透過網際網路傳送。

使用私人連結連線時,這些連線會在 Fabric 使用者存取 Fabric 中的資源時通過 Microsoft 私人網路骨幹。

如需深入了解 Azure Private Link,請參閱什麼是 Azure Private Link

啟用私人端點會影響許多項目,因此您應該先檢閱本文全文,然後再啟用私人端點。

什麼是私人端點?

私人連結可保證進入組織的 Fabric 項目 (例如上傳檔案到 OneLake) 的流量一律會遵循組織設定的私人連結網路路徑。 您可以將 Fabric 設定為拒絕非來自設定網路路徑的所有要求。

私人端點保證從 Fabric 到外部資料來源 (不論是在雲端還是內部部署) 的流量都受到保護。 請設定防火牆規則和虛擬網路,以進一步保護資料來源。

私人端點是單一方向的技術,可讓用戶端起始與指定服務的連線,但不允許服務起始連線到客戶網路。 由於服務可獨立於客戶網路原則設定運作,因此這個私人端點整合模式提供管理隔離。 針對多組織用戶共享服務,此私人端點模型會提供連結識別碼,以防止存取裝載於相同服務內的其他客戶資源。

Fabric 服務會實作私人端點,而不是服務端點。

透過 Fabric 使用私人端點可提供下列優點:

  • 限制從網際網路到 Fabric 的流量,並透過 Microsoft 骨幹網路路由傳送。
  • 請確定只有授權的用戶端計算機可以存取 Fabric。
  • 符合法規和合規性需求,以授權私人存取您的資料和分析服務。

了解私人端點設定

在 Fabric 管理員入口網站中,有兩個租用戶設定涉及私人連結設定:Azure Private Link封鎖公用網際網路存取

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已啟用]

  • 您的組織僅能透過私人端點存取支援的 Fabric 項目,無法透過公用網際網路存取。
  • 來自虛擬網路目標端點的網路和支援私人連結的案例,將透過私人連結進行傳輸。
  • 來自虛擬網路目標端點的流量和支援私人連結的案例,將遭到服務封鎖且無法運作。
  • 在某些情況下不支援私人連結,因此會在 [封鎖公用網際網路存取] 為已啟用時封鎖服務。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已停用]

  • Fabric 服務將允許來自公用網際網路的流量。
  • 來自虛擬網路目標端點的網路和支援私人連結的案例,將透過私人連結進行傳輸。
  • 來自虛擬網路目標端點的流量和支援私人連結的案例將透過公用網際網路進行傳輸,且將得到 Fabric 服務的允許。
  • 如果將虛擬網路設定為封鎖公用網際網路存取,則不支援私人連結的案例將會遭到虛擬網路封鎖且無法運作。

OneLake

OneLake 支援私人連結。 您可以使用 OneLake 檔案總管、Azure 儲存體 Explorer、PowerShell 等等,在網狀架構入口網站中,或從已建立虛擬網路內的任何電腦探索 OneLake。

使用 OneLake 區域端點的直接呼叫無法透過 Fabric 的私人連結運作。 如需連線到 OneLake 和區域端點的詳細資訊,請參閱如何連線到 OneLake?

倉儲和 Lakehouse SQL 分析端點

存取 Fabric 入口網站中 Lakehouse 的 Warehouse 或 SQL 分析端點會受到私人鏈接的保護。 客戶也可以使用表格式數據流 (TDS) 端點(例如 SQL Server Management Studio、Azure Data Studio)透過私人連結連線至倉儲。

啟用 [封鎖公用網際網路存取] 租用戶設定時,倉儲中的視覺物件查詢無法運作。

Lakehouse、Notebook、Spark 工作定義、環境

啟用 Azure Private Link 租用戶設定之後,執行第一個 Spark 工作 (Notebook 或 Spark 工作定義) 或執行 Lakehouse 作業 (載入至資料表、優化或清理等資料表維護作業) 會導致建立工作區的受控虛擬網路。

佈建受控虛擬網路之後,Spark 的入門集區 (預設計算選項) 會停用,因為這些是共用虛擬網路中託管的預先載入叢集。 Spark 工作會在工作區的專用受控虛擬網路內,於工作提交時視需要建立的自訂集區上執行。 當受控虛擬網路配置給工作區時,不支援跨不同區域容量的執行工作區移轉。

啟用私人連結設定時,即使其使用來自其他區域的 Fabric 容量,Spark 工作也無法用於主區域不支援 Fabric Data Engineering 的租用戶。

如需詳細資訊,請參閱適用於 Fabric 的受控 VNet

Dataflow Gen2

您可以使用 Dataflow gen2 來取得資料、轉換資料,以及透過私人連結發佈資料流程。 當您的資料源位於防火牆後方時,您可以使用 VNet 資料閘道來連線到您的資料來源。 VNet 資料閘道可讓您將閘道插 (計算) 入現有的虛擬網路中,進而提供受控閘道體驗。 您可以使用 VNet 閘道連線來連線到租用戶中需要私人連結的 Lakehouse 或倉儲,或使用虛擬網路連線到其他資料來源。

管線

當您透過私人連結連線到管線時,您可以使用資料管線,將資料從具有公用端點的任何資料來源載入至已啟用私人連結的 Microsoft Fabric Lakehouse。 客戶也可以使用私人連結,透過活動來撰寫及運作資料管線,包括筆記本和資料流程活動。 不過,當啟用 Fabric 的私人連結時,目前無法從資料倉儲和向其複製資料。

ML 模型、實驗和 AI 技能

ML 模型、實驗和 AI 技能支援私人連結。

Power BI

  • 若已停用網際網路存取,而且 Power BI 語意模型、資料超市或資料流程 Gen1 連線到 Power BI 語意模型或資料流程作為資料來源,則連線將失敗。

  • Direct Lake 模式目前不支援使用 Private Link。

  • 在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援發佈至 Web。

  • 當 Fabric 中啟用租用戶設定 [封鎖公用網際網路存取] 時,不支援電子郵件訂閱。

  • 當您在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援將 Power BI 報表匯出為 PDF 或 PowerPoint。

  • 如果您的組織在 Fabric 中使用 Azure Private Link,則新式使用計量報表將包含部分資料 (僅報表開啟事件)。 目前透過私人連結傳送用戶端資訊仍有所限制,使 Fabric 無法透過私人連結擷取報表頁面檢視與效能資料。 如果您的組織在 Fabric 中啟用 Azure Private Link 和 [封鎖公用網際網路存取],則重新整理資料集將會失敗,而使用計量報表將不會顯示任何資料。

Eventhouse

Eventhouse 支援 Private Link,允許透過私人連結從 Azure 虛擬網絡 安全地擷取和查詢數據。 您可以從各種來源擷取資料,包括 Azure 儲存體帳戶、本機檔案和 Dataflow Gen2。 串流擷取可確保立即實現資料可用性。 此外,您可以使用 KQL 查詢或 Spark 來存取 Eventhouse 內的數據。

限制:

  • 不支援從 OneLake 擷取資料。
  • 無法建立 Eventhouse 的快捷方式。
  • 無法連線到數據管線中的 Eventhouse。
  • 不支援使用佇列擷取來擷取資料。
  • 不支援依賴佇列擷取的資料連接器。
  • 無法使用 T-SQL 查詢 Eventhouse。

醫療保健資料解決方案 (預覽版)

客戶可以透過私人連結,在 Microsoft Fabric 中佈建及利用醫療保健資料解決方案。 在已啟用私人連結的租用戶中,客戶可以部署醫療保健資料解決方案功能,針對其臨床資料執行完整的資料擷取和轉換案例。 這包括擷取醫療保健資料表單的各種來源的能力,例如 Azure 儲存體帳戶等等。

其他 Fabric 項目

其他 Fabric 項目,例如 Eventstream,目前不支援私人連結,而且當您開啟 [封鎖公用網際網路存取] 租用戶設定以保護合規性狀態時,會自動停用。

Microsoft Purview 資訊保護

Microsoft Purview 資訊保護目前不支援私人連結。 這表示在隔離網路中執行的 Power BI Desktop 中,[通知標準] 按鈕將會呈現灰色,標籤資訊將不會顯示,且 .pbix 檔案的解密將失敗。

若要在桌面中啟用這些功能,管理員可以為支援 Microsoft Purview 資訊保護、Exchange Online Protection (EOP) 和 Azure 資訊保護 (AIP) 的基礎服務設定服務標籤。 請務必了解在私人連結隔離網路中使用服務標籤的影響。

其他考量與限制

在 Fabric 中使用私人端點時,有幾件需要牢記的考量事項:

  • 在啟用私人連結的租用戶中,Fabric 最多可支援 450 個容量。

  • 新建立容量時,在私人 DNS 區域中反映其端點之前,它不支援私人連結。 最多可能需要 24 小時。

  • 在 Fabric 管理員入口網站中開啟私人連結時,系統將封鎖租用戶移轉。

  • 客戶無法從單一虛擬網路連線到多個租用戶中的 Fabric 資源,而只能連線到最後一個租用戶來設定私人連結。

  • 試用容量不支援私人連結。 透過私人連結流量存取 Fabric 時,試用容量將無法運作。

  • 使用私人連結環境時,將無法使用任何外部影像或佈景主題。

  • 每個私人端點僅可以連線至一個租用戶。 您無法將私人連結設定為由多個租用戶使用。

  • 針對 Fabric 使用者:不支援內部部署的資料閘道,且無法在啟用私人連結時註冊。 若要成功執行閘道設定程式,則必須停用私人連結。 進一步了解此案例。 VNet 資料閘道將會運作。 如需詳細資訊,請參閱以下考量

  • 針對非 PowerBI (PowerApps 或 LogicApps) 閘道使用者:啟用 Private Link 時不支援內部部署數據閘道。 建議您探索 VNET 資料閘道的使用,其可與私人連結搭配使用。

  • 私人鏈接不適用於 VNet 數據閘道下載診斷。

  • 私人連結資源 REST API 不支援標籤。

  • 您必須從用戶端瀏覽器存取下列 URL:

    • 驗證必須有:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com,但這可能會根據帳戶類型而有所不同。

    • Data Engineering 和 Data Science 體驗的必要項目:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (例如 https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages 的本機靜態端點
      • https://cdn.jsdelivr.net/npm/monaco-editor*

相關內容