Sdílet prostřednictvím

Privátní propojení pro tenanty Fabric

Privátní propojení můžete použít k zajištění zabezpečeného přístupu k datovému provozu v prostředcích Fabric. Privátní koncové body Služby Azure Private Link a sítě Azure se používají k privátnímu odesílání datového provozu pomocí páteřní síťové infrastruktury Microsoftu, a ne přes internet. Když se použijí připojení privátního propojení, tato připojení procházejí páteřní sítí Microsoftu, když uživatelé Fabric přistupují k prostředkům v Fabric.

Prostředky infrastruktury podporují privátní propojení na úrovni tenanta i na úrovni pracovního prostoru:

  • Privátní propojení na úrovni tenanta poskytují zásady sítě pro celého tenanta. Tento článek se zaměřuje na privátní propojení na úrovni tenanta.

  • Privátní propojení na úrovni pracovního prostoru poskytují podrobné řízení, což umožňuje omezit přístup k určitým pracovním prostorům a umožnit ostatním pracovním prostorům zůstat otevřené pro veřejný přístup. Další informace najdete v tématu Privátní propojení pro pracovní prostory Infrastruktury.

Povolení privátních koncových bodů má vliv na mnoho položek, takže před povolením privátních koncových bodů pro vašeho tenanta byste si měli projít celý článek.

Co je privátní koncový bod?

Privátní koncový bod zaručuje, že provoz procházející do položek infrastruktury vaší organizace (například nahrání souboru do OneLake) vždy sleduje nakonfigurovanou síťovou cestu privátního propojení vaší organizace. Můžete nakonfigurovat Fabric tak, aby zamítal všechny požadavky, které nepocházejí z nakonfigurované síťové cesty.

Privátní koncové body nezaručují, že provoz z platformy Fabric do externích zdrojů dat, ať už v cloudu či on-premises, je zabezpečený. Nakonfigurujte pravidla brány firewall a virtuální sítě pro další zabezpečení zdrojů dat.

Privátní koncový bod je jednosměrná technologie, která umožňuje klientům inicializovat připojení k dané službě, ale neumožňuje službě inicializovat připojení k síti zákazníka. Tento model integrace privátního koncového bodu poskytuje izolaci správy, protože služba může fungovat nezávisle na konfiguraci zásad sítě zákazníka. U víceklientských služeb poskytuje tento model privátního koncového bodu identifikátory propojení, které brání přístupu k prostředkům jiných zákazníků hostovaným ve stejné službě.

Služba Fabric implementuje privátní koncové body, nikoli koncové body služby.

Použití privátních koncových bodů s Fabric poskytuje následující výhody:

  • Omezte provoz z internetu do Fabric a směrujte ho přes páteřní síť Microsoftu.
  • Ujistěte se, že k Fabric mají přístup jenom autorizované klientské počítače.
  • Dodržování zákonných požadavků a požadavků na dodržování předpisů, které vyžadují soukromý přístup k vašim datům a analytickým službám.

Principy konfigurace privátního koncového bodu

Na administračním portálu Fabric jsou součástí konfigurace Private Link dvě nastavení tenanta: Azure Private Links a Blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:

  • Podporované položky Fabric jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
  • Přenosy z virtuální sítě směřující na koncové body a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Služba blokuje provoz z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení.
  • Existují scénáře, které nepodporují privátní propojení, která jsou ve službě blokovaná, když je povolený blokovat veřejný přístup k internetu .

Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:

  • Provoz z veřejného internetu povoluje služby Fabric.
  • Přenosy z virtuální sítě směřující na koncové body a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, se přenášejí přes veřejný internet a jsou povolené službami Fabric.
  • Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, virtuální síť blokuje scénáře, které nepodporují privátní propojení.

OneLake

OneLake podporuje Private Link. OneLake můžete prozkoumat na portálu Fabric nebo z libovolného počítače v rámci vytvořené virtuální sítě pomocí Průzkumníka souborů OneLake, Průzkumník služby Azure Storage, PowerShellu a dalších.

Přímé hovory využívající regionální koncové body OneLake nefungují prostřednictvím privátního propojení k Fabric. Další informace o připojení k OneLake a regionálním koncovým bodům najdete v části Jak se připojit k OneLake?.

Koncový bod pro SQL analýzu ve Warehouse a Lakehouse

Přístup ke skladu nebo koncovému bodu analýzy SQL na portálu Fabric je chráněn privátním propojením. Zákazníci můžou také používat koncové body tabulkového datového streamu (TDS) (například SQL Server Management Studio, Azure Data Studio) pro připojení ke službě Warehouse přes privátní propojení.

Vizuální dotaz ve službě Warehouse nefunguje, pokud je povolené nastavení Blokovat veřejný přístup k internetu.

databáze SQL

Přístup k databázi SQL nebo koncovému bodu analýzy SQL na portálu Fabric je chráněný privátním propojením. Zákazníci můžou také používat koncové body TDS (Tabular Data Stream) (například SQL Server Management Studio nebo Visual Studio Code) k připojení k databázi SQL prostřednictvím privátního propojení. Další informace o připojení k databázi SQL naleznete v tématu Ověřování v databázi SQL v Microsoft Fabric.

Lakehouse, Notebook, Definice úlohy Spark, Prostředí

Po povolení nastavení tenanta Azure Private Link spustíte první úlohu Sparku (poznámkový blok nebo definici úlohy Sparku) nebo provedete operaci Lakehouse (načtení do tabulky, operace údržby tabulek, jako je optimalizace nebo úklid), výsledkem bude vytvoření spravované virtuální sítě pro pracovní prostor.

Po zřízení spravované virtuální sítě jsou počáteční fondy (výchozí výpočetní možnost) pro Spark zakázané, protože jsou předem připravené clustery hostované ve sdílené virtuální síti. Úlohy Sparku běží na vlastních fondech vytvořených na vyžádání v době odeslání úlohy ve vyhrazené spravované virtuální síti pracovního prostoru. Migrace pracovních prostorů mezi kapacitami v různých regionech není podporována, pokud je vašemu pracovnímu prostoru přidělena spravovaná virtuální síť.

Pokud je nastavení privátního propojení povolené, úlohy Sparku nefungují pro tenanty, jejichž domovská oblast nepodporuje přípravu dat infrastruktury, i když používají kapacity Fabric z jiných oblastí, které to dělají.

Další informace najdete v tématu Spravovaná VNet pro Fabric.

Datový tok Gen2

Tok dat Gen2 můžete použít k získání dat, transformaci dat a publikování toku dat prostřednictvím privátního propojení. Pokud je zdroj dat za bránou firewall, můžete se pomocí brány dat virtuální sítě připojit ke zdrojům dat. Datová brána VNet umožňuje integraci brány (výpočetních prostředků) do vaší stávající virtuální sítě, čímž poskytuje zkušenost se spravovanou bránou. Připojení brány virtuální sítě můžete použít k připojení ke službě Lakehouse nebo Warehouse v tenantovi, který vyžaduje privátní propojení nebo připojení k jiným zdrojům dat s vaší virtuální sítí.

Kanál

Když se připojíte ke kanálu přes privátní propojení, můžete pomocí kanálu načíst data z libovolného zdroje dat s veřejnými koncovými body do microsoft Fabric lakehouse s podporou privátního propojení. Zákazníci můžou také vytvářet a zprovozňovat kanály s aktivitami, včetně aktivit poznámkového bloku a toku dat, pomocí privátního propojení. Kopírování dat z datového skladu a do datového skladu ale v současné době není možné, pokud je povolené privátní propojení Fabric.

Model, experiment a datový agent ML

Model ML, experiment a datový agent podporují privátní propojení.

Power BI

  • Pokud je přístup k internetu zakázaný a pokud se sémantický model Power BI, Datamart nebo Dataflow Gen1 připojí k sémantickému modelu Power BI nebo toku dat jako zdroj dat, připojení selže.

  • Publikování na webu není podporováno, pokud je povoleno nastavení klienta Azure Private Link ve službě Fabric.

  • E-mailová odběry nejsou podporována, pokud je v prostředí Fabric povoleno nastavení Blokovat veřejný přístup na internet.

  • Export sestavy Power BI jako PDF nebo PowerPoint není podporován, pokud je v rámci Fabric povoleno nastavení tenanta Azure Private Link.

  • Pokud vaše organizace používá Azure Private Link v prostředcích infrastruktury, moderní sestavy metrik využití obsahují částečná data (pouze události Otevření sestav). Aktuální omezení při přenosu informací o klientovi přes privátní odkazy brání Fabric v zachycení zobrazení stránek sestav a výkonových dat prostřednictvím těchto odkazů. Pokud vaše organizace povolila nastavení tenanta Azure Private Link a Blokovat nastavení tenanta veřejného internetového přístupu v prostředcích infrastruktury, aktualizace datové sady selže a sestava metrik využití nezobrazuje žádná data.

  • Copilot se v současné době nepodporuje pro privátní propojení ani uzavřená síťová prostředí.

Eventstream

Eventstream podporuje Službu Private Link, která umožňuje zabezpečené příjem dat v reálném čase z více zdrojů bez zveřejnění provozu do veřejného internetu. Podporuje také transformaci dat v reálném čase, jako je filtrování a obohacení příchozích datových proudů, před jejich směrováním do cílů v rámci Fabric.

Nepodporované scénáře:

  • Vlastní koncový bod jako zdroj se nepodporuje.
  • Vlastní koncový bod jako cíl se nepodporuje.
  • Eventhouse jako cíl (s režimem přímého příjmu dat) se nepodporuje.
  • Aktivace jako cíl není podporována.

Eventhouse

Eventhouse podporuje Službu Private Link, která umožňuje zabezpečený příjem dat a dotazování z vaší virtuální sítě Azure prostřednictvím privátního propojení. Můžete načítat data z různých zdrojů, včetně účtů Azure Storage, místních souborů a Dataflow Gen2. Streamovaný příjem dat zajišťuje okamžitou dostupnost. Kromě toho můžete využít dotazy KQL nebo Spark pro přístup k datům v eventhouse.

Omezení:

  • Ingestování dat z OneLake se nepodporuje.
  • Vytvoření zástupce pro Eventhouse není možné.
  • Připojení k Eventhouse v potrubí není možné.
  • Ingestování dat pomocí frontového zpracování dat není podporováno.
  • Datové konektory, které se spoléhají na příjem dat ve frontě, se nepodporují.
  • Dotazování na eventhouse pomocí T-SQL není možné.

Řešení pro zdravotní data (náhled)

Zákazníci můžou zřizovat a využívat řešení pro zdravotní data v Microsoft Fabric prostřednictvím privátního propojení. V tenantovi, kde je povolené privátní propojení, můžou zákazníci nasadit funkce řešení pro zdravotnictví, aby mohli provádět komplexní scénáře příjmu a transformace dat pro jejich klinická data. Součástí je také možnost ingestovat zdravotnická data z různých zdrojů, jako jsou účty Azure Storage a další.

Události Fabric

Události Fabric podporují službu Private Link, aniž by to mělo vliv na doručování událostí, protože události pocházejí z tenanta.

Události Azure

Události Azure podporují službu Private Link s následujícím způsobem fungování, pokud je povoleno nastavení nájemce blokování veřejného přístupu k internetu:

  • Nové konfigurace pro příjem událostí Azure (např. události služby Azure Blob Storage) budou zablokovány pro doručení.
  • Stávající konfigurace, které využívají události Azure, zastaví doručení nových událostí.

Microsoft Purview – ochrana informací

Microsoft Purview Information Protection v současné době nepodporuje službu Private Link. To znamená, že v Power BI Desktopu spuštěném v izolované síti se tlačítko Citlivost zobrazuje šedě, nezobrazují se informace o popisku a dešifrování souborů .pbix selžou.

Správci můžou tyto funkce povolit v Desktopu tak, že nakonfigurují značky služeb pro podkladové služby, které podporují Microsoft Purview Information Protection, Exchange Online Protection (EOP) a Azure Information Protection (AIP). Ujistěte se, že rozumíte důsledkům používání značek služeb v izolované síti privátních propojení.

Zrcadlené databáze

Privátní propojení se podporuje pro otevřené zrcadlení, zrcadlení služby Azure Cosmos DB a zrcadlení SQL Serveru 2025 (s použitím verze CTP 2.0 nebo vyšší). U jiných typů zrcadlení databáze platí, že pokud je povolené nastavení Blokovat veřejného tenanta přístupu k internetu, aktivní zrcadlené databáze zadají pozastavený stav a zrcadlení nejde spustit.

Pokud je povolené nastavení Blokovat veřejný internetový přístup tenanta, ujistěte se, že vydavatel zapíše data do cílové zóny OneLake prostřednictvím privátního propojení.

Další důležité informace a omezení

Při práci s privátními koncovými body ve Fabricu je potřeba mít na paměti několik ohledů:

  • Síťová struktura podporuje až 450 kapacit v tenantovi, kde je povolen Private Link.

  • Když je kapacita nově vytvořená, nepodporuje privátní propojení, dokud se jeho koncový bod neprojeví v zóně privátního DNS, což může trvat až 24 hodin.

  • Migrace tenanta se zablokuje, když je v portálu pro správu Fabric zapnutý Private Link.

  • Zákazníci se nemohou připojit k prostředkům Fabric ve více tenantach ze stejného síťového umístění (záleží na tom, kde nakonfigurujete záznamy DNS), ale pouze k poslednímu tenantovi, který nastavil službu Private Link.

  • Private Link nepodporuje zkušební kapacitu. Při přístupu k Fabric prostřednictvím provozu Private Link nefunguje zkušební kapacita.

  • Při použití prostředí privátního propojení nejsou k dispozici žádné použití externích obrázků nebo motivů.

  • Každý privátní koncový bod je možné připojit pouze k jednomu tenantovi. Nemůžete nastavit privátní propojení, které bude používat více než jeden tenant.

  • Scénáře napříč tenanty se nepodporují. To znamená, že nastavení privátního koncového bodu na úrovni tenanta v jednom tenantovi Azure pro přímé připojení ke službě Private Link v jiném tenantovi se nepodporuje.

  • Pro uživatele služby Fabric: Místní datové brány nejsou podporovány a nezaregistrují se, když je povolena služba Private Link. Pokud chcete úspěšně spustit konfigurátor brány, musí být private Link zakázaný. Přečtěte si další informace o tomto scénáři. Brány dat virtuální sítě fungují. Další informace najdete v těchto aspektech.

  • pro uživatele brány mimo PowerBI (PowerApps nebo LogicApps): Místní brána dat se nepodporuje, pokud je povolená služba Private Link. Doporučujeme prozkoumat použití brány dat virtuální sítě, kterou je možné použít s privátními propojeními.

  • Privátní odkazy nefungují s diagnostikou stahování přes VNet Data Gateway.

  • Aplikace Microsoft Fabric Capacity Metrics nepodporuje službu Private Link.

  • Karta OneLake Catalog – Řízení není dostupná při aktivaci služby Private Link.

  • Rozhraní REST API prostředků privátních přípojek nepodporují tagy.

  • Následující adresy URL musí být přístupné z klientského prohlížeče:

    • Požadováno pro autentizaci:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, i když se může lišit podle typu účtu.

    • Vyžaduje se pro oblasti datového inženýrství a datové vědy:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (například https://pypi.org/pypi/azure-storage-blob/json)
      • místní statické koncové body pro balíčky CondaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Související obsah

  • Last updated on