Zkratky OneLake

Klávesové zkratky v Microsoft OneLake umožňují sjednotit data napříč doménami, cloudy a účty vytvořením jednoho virtuálního datového jezera pro celý podnik. Všechna prostředí Fabric a analytické moduly se můžou přímo připojit k vašim existujícím zdrojům dat, jako jsou Azure, Amazon Web Services (AWS) a OneLake prostřednictvím sjednoceného jmenného prostoru. OneLake spravuje všechna oprávnění a přihlašovací údaje, takže nemusíte samostatně konfigurovat každou úlohu Fabric pro připojení ke každému zdroji dat. Kromě toho můžete pomocí klávesových zkratek eliminovat hraniční kopie dat a snížit latenci procesu spojenou s kopiemi dat a přípravou.

Co jsou klávesové zkratky?

Klávesové zkratky jsou objekty ve OneLake, které odkazují na jiná umístění úložiště. Umístění může být interní nebo externí pro OneLake. Umístění, na které zástupce odkazuje, se označuje jako cílová cesta zástupce. Umístění, kde se zástupce zobrazí, se označuje jako cesta zástupce. Klávesové zkratky se ve OneLake zobrazují jako složky a všechny úlohy nebo služby, které mají přístup k OneLake, je můžou používat. Klávesové zkratky se chovají jako symbolické odkazy. Jedná se o nezávislý objekt oddělený od cíle. Pokud odstraníte zástupce, cíl zůstane nedotčený. Pokud přesunete, přejmenujete nebo odstraníte cílovou cestu, nemusí zástupce fungovat.

Kde můžu vytvářet klávesové zkratky?

Klávesové zkratky můžete vytvářet v lakehouses a v databázích Kusto Query Language (KQL). Kromě toho klávesové zkratky, které vytvoříte v rámci těchto položek, můžou odkazovat na jiná umístění OneLake, Azure Data Lake Storage (ADLS) Gen2, Účty úložiště Amazon S3 nebo Dataverse. Můžete dokonce vytvořit zástupce pro interní nebo síťově omezená umístění pomocí lokální datové brány Fabric (OPDG).

Pomocí uživatelského rozhraní Fabric můžete interaktivně vytvářet zástupce a pomocí rozhraní REST API můžete programově vytvářet zástupce.

Dům u jezera

Při vytváření zástupců v lakehouse musíte porozumět struktuře složek dané položky. Lakehouses se skládají ze dvou složek nejvyšší úrovně: složka Tabulky a složka Soubory. Složka Tabulky představuje spravovanou část lakehouse pro strukturované datové sady. Zatímco složka Files je nespravovanou částí datového jezera pro nestrukturovaná nebo polostrukturovaná data.

Ve složce Tabulky můžete vytvářet zástupce pouze na nejvyšší úrovni. Klávesové zkratky nejsou podporovány v podadresářích složky Tables. Klávesové zkratky v části tabulky obvykle odkazují na interní zdroje v rámci OneLake nebo odkazují na jiné datové prostředky, které odpovídají formátu tabulky Delta. Pokud cíl zástupce obsahuje data ve formátu Delta/Parquet, lakehouse automaticky synchronizuje metadata a považuje složku za tabulku. Klávesové zkratky v oddílu tabulky můžou propojit buď jednu tabulku, nebo schéma, což je nadřazená složka pro více tabulek.

Poznámka:

Formát Delta nepodporuje tabulky s mezerami v názvu. Jakákoli zkratka obsahující mezeru v názvu nebude v lakehouse rozpoznána jako tabulka Delta.

Ve složce Soubory nejsou žádná omezení, kde můžete vytvářet odkazy. Můžete je vytvořit na libovolné úrovni hierarchie složek. Zjišťování tabulek se neprovádí ve složce Soubory . Klávesové zkratky zde můžou odkazovat na interní systémy (OneLake) i externí úložiště s daty v libovolném formátu.

Databáze KQL

Když vytvoříte zástupce v databázi KQL, zobrazí se ve složce Shortcuts databáze. Databáze KQL zpracovává klávesové zkratky, jako jsou externí tabulky. K zobrazení zástupce použijte funkci external_table jazyka dotazů Kusto.

Kde můžu získat přístup ke zkratkám?

Jakákoli služba Fabric nebo jiná služba, která má přístup k datům v OneLake, může používat zkratky. Klávesové zkratky jsou neviditelné pro všechny služby, které přistupují k datům prostřednictvím rozhraní API OneLake. Klávesové zkratky se zobrazují jako jiná složka v jezeře. Apache Spark, SQL, inteligence v reálném čase a Analysis Services můžou při dotazování na data všechny používat zkratky.

Apache Spark

Poznámkové bloky Apache Sparku a úlohy Apache Sparku můžou používat klávesové zkratky, které vytvoříte ve OneLake. Relativní cesty k souborům lze použít k přímému čtení dat ze zkratek. Pokud vytvoříte zástupce v sekci Tabulky v lakehouse a je ve formátu Delta, můžete ji navíc číst jako spravovanou tabulku pomocí syntaxe Apache Spark SQL.

df = spark.read.format("delta").load("Tables/MyShortcut")
display(df)

df = spark.sql("SELECT * FROM MyLakehouse.MyShortcut LIMIT 1000")
display(df)

SQL

Klávesové zkratky si můžete přečíst v sekci Tabulky lakehouse prostřednictvím koncového bodu SQL analytiky pro lakehouse. Ke koncovému bodu analýzy SQL můžete přistupovat prostřednictvím selektoru režimu lakehouse nebo přes SQL Server Management Studio (SSMS).

SELECT TOP (100) *
FROM [MyLakehouse].[dbo].[MyShortcut]

Analýza v reálném čase

Klávesové zkratky v databázích KQL jsou rozpoznány jako externí tabulky. K zobrazení zástupce použijte funkci external_table jazyka dotazů Kusto.

external_table('MyShortcut')
| take 100

Analytické služby

Můžete vytvořit sémantické modely pro lakehouse, které obsahují zástupce v části Tabulky lakehousu. Když se sémantický model spustí v režimu Direct Lake, může služba Analysis Services číst data přímo z zástupce.

Ne-textilní

Aplikace a služby mimo Fabric mohou také přistupovat ke zkratkám prostřednictvím rozhraní OneLake API. OneLake podporuje podmnožinu rozhraní API ADLS Gen2 a Blob Storage. Další informace o rozhraní OneLake API najdete v tématu Přístup k OneLake pomocí rozhraní API.

https://onelake.dfs.fabric.microsoft.com/MyWorkspace/MyLakhouse/Tables/MyShortcut/MyFile.csv

Typy klávesových zkratek

Klávesové zkratky OneLake podporují více zdrojů dat systému souborů. Patří mezi ně interní umístění OneLake, Azure Data Lake Storage (ADLS) Gen2, Amazon S3, S3 Compatible, Google Cloud Storage (GCS) a Dataverse.

Interní klávesové zkratky OneLake

Interní zkratky OneLake vám umožňují odkazovat na data v rámci stávajících položek Fabric, včetně:

• Databáze KQL
• Domy u jezera
• Zrcadlené katalogy Azure Databricks
• Zrcadlené databáze
• Sémantické modely
• Databáze SQL
• Sklady

Zástupce může odkazovat na umístění složky ve stejné položce, napříč položkami ve stejném pracovním prostoru nebo dokonce mezi položkami v různých pracovních prostorech. Když vytvoříte zástupce pro jednotlivé položky, typy položek se nemusí shodovat. Můžete například vytvořit zástupce v jezeře, který odkazuje na data v datovém skladu.

Když uživatel přistupuje k datům prostřednictvím zástupce do jiného umístění OneLake, použije OneLake identitu volajícího uživatele pro autorizaci přístupu k datům v cílové cestě zástupce. Tento uživatel musí mít oprávnění v cílovém umístění ke čtení dat.

Důležité

Když uživatelé přistupují k zástupcům prostřednictvím sémantických modelů Power BI nebo T-SQL, identita volajícího uživatele není předána cílovému objektu zástupce. Místo toho se předává identita vlastníka položky, která provádí volání, čímž se deleguje přístup na uživatele, který volá.

Klávesové zkratky služby Azure Data Lake Storage

Když vytvoříte zástupce pro účty úložiště Azure Data Lake Storage (ADLS) Gen2, cílová cesta může směřovat k libovolné složce v rámci hierarchického oboru názvů. Cílová cesta musí obsahovat minimálně název kontejneru.

Poznámka:

Pro účet úložiště ADLS Gen2 musíte mít povolené hierarchické obory názvů.

Přístup

Klávesové zkratky ADLS musí odkazovat na koncový bod DFS pro účet úložiště.

Příklad: https://accountname.dfs.core.windows.net/

Pokud je vaše úložiště chráněno firewallem, můžete nakonfigurovat přístup pro důvěryhodné služby. Další informace najdete v tématu Přístup k důvěryhodnému pracovnímu prostoru.

Autorizace

Klávesové zkratky ADLS používají delegovaný autorizační model. V tomto modelu autor zástupce určuje oprávnění pro zástupce ADLS a veškerý přístup k tomuto zástupci je autorizovaný pomocí tohoto oprávnění. Klávesové zkratky ADLS podporují následující typy delegovaných autorizací:

• Účet organizace – musí mít v účtu úložiště roli Čtenář dat objektů blob služby Storage, Přispěvatel dat objektů blob služby Storage nebo Vlastník dat objektů blob úložiště; roli delegátoru pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Principál služby – musí mít v účtu úložiště roli Čtenář dat objektů blob úložiště, Přispěvatel dat objektů blob úložiště, nebo Vlastník dat objektů blob úložiště; nebo roli delegátora pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Identita pracovního prostoru – musí mít v účtu úložiště roli Čtenář dat objektů blob úložiště, Přispěvatel dat objektů blob úložiště nebo Vlastník dat objektů blob úložiště; nebo roli Delegátor pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Sdílený přístupový podpis (SAS) – musí obsahovat aspoň následující oprávnění: čtení, výpis a spuštění.

Delegované typy autorizace Microsoft Entra ID (účet organizace, instanční objekt nebo identita pracovního prostoru) vyžadují akci Generovat klíč delegování uživatele na úrovni účtu úložiště. Tato akce je součástí rolí Čtenář dat objektů blob úložiště, Přispěvatel dat objektů blob úložiště, Vlastník dat objektů blob úložiště a Delegátor. Pokud nechcete udělit uživateli oprávnění čtenáře, přispěvatele nebo vlastníka pro celý účet úložiště, přiřaďte jim místo toho roli Delegátor. Pak definujte podrobná přístupová práva k datům pomocí seznamů řízení přístupu (ACL) ve službě Azure Data Lake Storage.

Důležité

Požadavek na vygenerování klíče delegování uživatele se v současné době nevynucuje, pokud je pro pracovní prostor nakonfigurována identita pracovního prostoru a typ ověřování zástupce ADLS je organizační účet, instanční objekt nebo identita pracovního prostoru. Toto chování však bude v budoucnu omezeno. Doporučujeme zajistit, aby všechny delegované identity měly akci Vygenerovat klíč delegování uživatele , aby se zajistilo, že přístup uživatelů nebude ovlivněn, když se toto chování změní.

Klávesové zkratky služby Azure Blob Storage

Přístup

Zástupce služby Azure Blob Storage může odkazovat na název úložného účtu nebo adresu URL úložného účtu.

Příklad: accountname nebo https://accountname.blob.core.windows.net/

Autorizace

Klávesové zkratky úložiště objektů blob používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje přihlašovací údaje pro zástupce, a celý přístup k tomuto zástupci je autorizován pomocí těchto údajů. Klávesové zkratky objektů blob podporují následující typy delegovaných autorizací:

• Účet organizace – musí mít v účtu úložiště roli Čtenář dat objektů blob služby Storage, Přispěvatel dat objektů blob služby Storage nebo Vlastník dat objektů blob úložiště; roli delegátoru pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Principál služby – musí mít v účtu úložiště roli Čtenář dat objektů blob úložiště, Přispěvatel dat objektů blob úložiště, nebo Vlastník dat objektů blob úložiště; nebo roli delegátora pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Identita pracovního prostoru – musí mít v účtu úložiště roli Čtenář dat objektů blob úložiště, Přispěvatel dat objektů blob úložiště nebo Vlastník dat objektů blob úložiště; nebo roli Delegátor pro účet úložiště plus přístup k souborům nebo adresářům uděleným v rámci účtu úložiště.
• Sdílený přístupový podpis (SAS) – musí obsahovat aspoň následující oprávnění: čtení, výpis a spuštění.

Klávesové zkratky S3

Při vytváření zástupců k účtům Amazon S3 musí cílová cesta obsahovat minimálně název bucketu. S3 nativně nepodporuje hierarchické obory názvů, ale k napodobení adresářové struktury můžete použít předpony. Do klávesové zkratky můžete zahrnout předpony pro další zúžení rozsahu dat přístupných prostřednictvím zástupce. Při přístupu k datům prostřednictvím zástupce S3 jsou prefixy reprezentovány jako složky.

Poznámka:

Klávesové zkratky S3 jsou jen pro čtení. Nepodporují operace zápisu bez ohledu na oprávnění uživatele.

Přístup

Klávesové zkratky S3 musí odkazovat na HTTPS koncový bod bucketu S3.

Příklad: https://bucketname.s3.region.amazonaws.com/

Poznámka:

Pro funkčnost zástupce S3 není nutné zakázat nastavení bloku veřejného přístupu pro váš účet S3.

Přístup ke koncovému bodu S3 nesmí být blokován úložišťovou bránou firewall ani virtuálním privátním cloudem.

Autorizace

Klávesové zkratky S3 používají delegovaný autorizační model. V tomto modelu tvůrce zástupu stanovuje pověření pro zástup S3 a veškerý přístup k tomuto zástupu je autorizován pomocí těchto pověření. Podporované delegované přihlašovací údaje jsou klíč a tajný klíč pro uživatele IAM.

Uživatel IAM musí mít následující oprávnění pro bucket, na který zástupce odkazuje:

• S3:GetObject
• S3:GetBucketLocation
• S3:ListBucket

Klávesové zkratky S3 podporují S3 buckety, které pro šifrování SSE-KMS používají S3 Bucket Keys. Pro přístup k datům šifrovaným pomocí šifrování SSE-KMS musí mít uživatel oprávnění k šifrování/dešifrování klíče kbelíku, jinak obdrží chybu Zakázáno (403). Další informace najdete v tématu Konfigurace vašeho bucketu pro použití klíče bucketu S3 s SSE-KMS pro nové objekty.

Klávesové zkratky Google Cloud Storage

Klávesové zkratky je možné vytvořit ve službě Google Cloud Storage (GCS) pomocí rozhraní XML API pro GCS. Když vytváříte zástupce pro Google Cloud Storage, cílová cesta musí obsahovat minimálně název kontejneru. Rozsah zástupce můžete omezit tím, že přesněji určíte předponu nebo složku, na kterou chcete v rámci hierarchie úložiště odkazovat.

Poznámka:

Klávesové zkratky GCS jsou jen pro čtení. Nepodporují operace zápisu bez ohledu na oprávnění uživatele.

Přístup

Při konfiguraci připojení pro zástupce GCS máte možnost zadat buď globální endpoint pro službu úložiště, nebo použít endpoint specifický pro bucket.

• Příklad globálního koncového bodu: https://storage.googleapis.com
• Příklad koncového bodu konkrétního kontejneru: https://<BucketName>.storage.googleapis.com

Autorizace

Klávesové zkratky GCS používají delegovaný autorizační model. V tomto modelu autor zástupce určuje přihlašovací údaje pro zástupce GCS a veškerý přístup k tomuto zástupci je autorizován s pomocí těchto přihlašovacích údajů. Podporované delegované přihlašovací údaje jsou klíč HMAC a tajný klíč pro účet služby nebo uživatelský účet.

Účet musí mít oprávnění pro přístup k datům v kontejneru GCS. Pokud se koncový bod specifický pro bucket použil v připojení pro zkratku, musí mít účet následující oprávnění:

• storage.objects.get
• stoage.objects.list

Pokud byl v připojení pro zástupce použit globální koncový bod, musí mít účet také následující oprávnění:

• storage.buckets.list

Klávesové zkratky pro Dataverse

Přímá integrace Dataverse s Microsoft Fabric umožňuje organizacím rozšířit podnikové aplikace Dynamics 365 a obchodní procesy do Fabric. Tato integrace se provádí prostřednictvím zkratek, které je možné vytvořit dvěma způsoby: prostřednictvím portálu pro tvůrce PowerApps nebo přímo prostřednictvím Fabric.

Poznámka:

Zkratky Dataverse jsou jen pro čtení. Nepodporují operace zápisu bez ohledu na oprávnění uživatele.

Vytváření zástupců prostřednictvím portálu pro vývojáře PowerApps

Autorizovaní uživatelé PowerApps mají přístup k portálu pro tvůrce PowerApps a používají funkci Odkaz na Microsoft Fabric . Z této jediné akce je ve Fabric vytvořen lakehouse a pro každou tabulku v prostředí Dataverse se automaticky vygenerují zástupci.

Další informace najdete v tématu Přímá integrace Dataverse s Microsoft Fabric.

Vytváření zástupců prostřednictvím Fabric

Uživatelé platformy Fabric mohou také vytvářet zkratky k Dataverse. Když uživatelé vytvářejí zástupce, mohou vybrat Dataverse, zadat adresu URL prostředí a procházet dostupné tabulky. Toto prostředí umožňuje uživatelům vybrat, které tabulky přenést do Fabric, místo toho, aby se přenesly všechny tabulky.

Poznámka:

Tabulky Dataverse musí být nejprve k dispozici ve službě Dataverse Managed Lake, aby byly viditelné v rozhraní pro vytváření zkratek ve Fabricu. Pokud vaše tabulky nejsou viditelné z Fabricu, použijte v portálu pro tvůrce PowerApps funkci Odkaz na Microsoft Fabric.

Autorizace

Klávesové zkratky dataverse používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje autentizační údaje pro zástupce Dataverse a veškerý přístup k tomuto zástupci je autorizovaný pomocí těchto autentizačních údajů. Podporovaný typ delegovaných přihlašovacích údajů je účet organizace (OAuth2). Účet organizace musí mít oprávnění správce systému pro přístup k datům ve službě Dataverse Managed Lake.

Poznámka:

Zkratky Dataverse v současné době nepodporují principály služeb jako typ ověřování.

Cacheování

Ukládání zástupců do mezipaměti může snížit náklady na výstupní přenos dat spojené s přístupem k datům napříč různými cloudy. Vzhledem k tomu, že se soubory čtou externí zkratkou, jsou soubory uložené v mezipaměti pro pracovní prostor Fabric. Další požadavky na čtení se obsluhují z mezipaměti, nikoli ze vzdáleného poskytovatele úložiště. Doba uchovávání souborů uložených v mezipaměti je možné nastavit od 1 do 28 dnů. Při každém přístupu k souboru se doba uchovávání resetuje. Pokud je soubor ve vzdáleném poskytovateli úložiště novější než soubor v mezipaměti, žádost se obsluhuje od vzdáleného poskytovatele úložiště a aktualizovaný soubor se uloží do mezipaměti. Pokud k souboru není přístup více než vybrané období uchovávání informací, vymaže se z mezipaměti. Jednotlivé soubory větší než 1 GB nejsou uložené v mezipaměti.

Poznámka:

Ukládání zástupců do mezipaměti se v současné době podporuje pro zástupce GCS, S3, kompatibilní s S3 a místní datovou bránu.

Pokud chcete povolit ukládání do mezipaměti pro zástupce, otevřete panel nastavení pracovního prostoru. Zvolte kartu OneLake. Přepněte nastavení mezipaměti na Zapnuto a vyberte dobu uchovávání.

Mezipaměť je také možné kdykoli vymazat. Na stejné stránce nastavení vyberte tlačítko Obnovit mezipaměť. Tato akce odebere všechny soubory ze zástupců mezipaměti v tomto pracovním prostoru.

Jak klávesové zkratky využívají cloudová připojení

Autorizace zkratek ADLS a S3 se deleguje pomocí cloudových připojení. Při vytváření nového zástupce ADLS nebo S3 buď vytvoříte nové připojení, nebo vyberete existující připojení jako zdroj dat. Nastavení připojení pro zástupce je připojovací úkon. Operaci vazby můžou provádět pouze uživatelé s oprávněním k připojení. Pokud nemáte oprávnění k připojení, nemůžete pomocí připojení vytvářet nové klávesové zkratky.

Zabezpečení zkratek

Klávesové zkratky vyžadují určitá oprávnění ke správě a používání. Zabezpečení zástupců OneLake zkoumá oprávnění nezbytná k vytváření zástupců a k přístupu k datům, která jsou přes ně přístupná.

Jak klávesové zkratky zpracovávají odstranění?

Zkratky neprovádějí kaskádovitá odstranění. Když odstraníte zástupce, odstraníte pouze objekt zástupce. Data v zástupci cíle zůstávají beze změny. Pokud však odstraníte soubor nebo složku v rámci zkratky a máte oprávnění k provedení operace odstranění v cílovém umístění zkratky, soubory nebo složky se v cíli odstraní.

Představte si například dům u jezera s následující cestou: MyLakehouse\Files\MyShortcut\Foo\Bar. MyShortcut je zástupce, který odkazuje na účet ADLS Gen2 obsahující adresáře Foo\Bar.

Operaci odstranění můžete provést na následující cestě: MyLakehouse\Files\MyShortcut. V tomto případě se zástupce MyShortcut odstraní z lakehouse, ale soubory a adresáře v účtu ADLS Gen2 Foo\Bar zůstanou nedotčené.

Můžete také provést operaci odstranění na následující cestě: MyLakehouse\Files\MyShortcut\Foo\Bar. Pokud v tomto případě udělíte oprávnění k zápisu v účtu ADLS Gen2, adresář Bar se odstraní z účtu ADLS Gen2.

Zobrazení rodokmenu pracovního prostoru

Při vytváření zkratek mezi více položkami Fabric v pracovním prostoru můžete vizualizovat jejich vztahy prostřednictvím zobrazení linií pracovního prostoru. Vyberte tlačítko zobrazení rodokmenu () v pravém horním rohu Průzkumníka pracovních prostorů.

Poznámka:

Zobrazení návazností je omezeno na jeden pracovní prostor. Zástupci umístění mimo vybraný pracovní prostor se nezobrazují.

Omezení a důležité informace

• Maximální počet zástupců pro jednu položku Fabric je 100 000. V tomto kontextu pojem položka odkazuje na: aplikace, datová jezera, sklady, sestavy a další.
• Maximální počet zkratek v jedné cestě OneLake je 10.
• Maximální počet přímých zkratek pro klávesové zkratky je 5.
• Cílové cesty ADLS a S3 nemůžou obsahovat žádné rezervované znaky z dokumentu RFC 3986 oddílu 2.2. Povolené znaky naleznete v dokumentu RFC 3968 oddíl 2.3.
• Názvy zástupců OneLake, nadřazené cesty a cílové cesty nemohou obsahovat znaky % nebo +.
• Klávesové zkratky nepodporují jiné znaky než latinku.
• Rozhraní API pro kopírování objektů Blob není podporované pro zkratky ADLS ani S3.
• Funkce kopírování nefunguje u zástupců, které odkazují přímo na ADLS kontejnery. Doporučujeme vytvořit zástupce ADLS pro adresář, který se nachází alespoň o jednu úroveň níže než kontejner.
• Ve zkratkách ADLS nebo S3 není možné vytvářet další klávesové zkratky.
• Vazby pro zkratky k datovým skladům a sémantickým modelům nejsou momentálně k dispozici.
• Zástupce Fabric se synchronizuje se zdrojem skoro okamžitě, ale doba šíření se může lišit kvůli výkonu zdroje dat, zobrazením uloženým v mezipaměti nebo problémům s připojením k síti.
• Rozpoznávání nových zástupců rozhraní API pro tabulky může trvat až minutu.
• Klávesové zkratky OneLake nepodporují připojení k účtům úložiště ADLS Gen2, které používají spravované privátní koncové body. Další informace najdete v tématu spravovaných privátních koncových bodů pro Fabric.

Související obsah

• Vytvořte zástupce OneLake
• Použití REST API zkratek pro OneLake