Ιδιωτικές συνδέσεις για ασφαλή πρόσβαση στο Fabric (προεπισκόπηση)

Μπορείτε να χρησιμοποιήσετε ιδιωτικές συνδέσεις για την παροχή ασφαλούς πρόσβασης για την κυκλοφορία δεδομένων στο Fabric. Τα ιδιωτικά τελικά σημεία του Azure Ιδιωτική σύνδεση και του Azure Networking χρησιμοποιούνται για την αποστολή κυκλοφορίας δεδομένων ιδιωτικά χρησιμοποιώντας την υποδομή κεντρικού δικτύου της Microsoft αντί να περνούν από το Internet.

Όταν χρησιμοποιούνται συνδέσεις ιδιωτικής σύνδεσης, αυτές οι συνδέσεις περνούν από τον κορμό του ιδιωτικού δικτύου της Microsoft όταν οι χρήστες fabric αποκτούν πρόσβαση σε πόρους στο Fabric.

Για να μάθετε περισσότερα σχετικά με το Azure Ιδιωτική σύνδεση, ανατρέξτε στο θέμα Τι είναι το Azure Ιδιωτική σύνδεση.

Η ενεργοποίηση ιδιωτικών τελικών σημείων έχει επιπτώσεις σε πολλά στοιχεία, επομένως θα πρέπει να εξετάσετε ολόκληρο αυτό το άρθρο προτού ενεργοποιήσετε ιδιωτικά τελικά σημεία.

Τι είναι ένα ιδιωτικό τελικό σημείο

Το ιδιωτικό τελικό σημείο εγγυάται ότι η κυκλοφορία στα στοιχεία Fabric του οργανισμού σας (όπως η αποστολή ενός αρχείου στο OneLake, για παράδειγμα) ακολουθεί πάντα τη ρυθμισμένη διαδρομή δικτύου ιδιωτικής σύνδεσης του οργανισμού σας. Μπορείτε να ρυθμίσετε τις παραμέτρους του Fabric για την απόρριψη όλων των αιτήσεων που δεν προέρχονται από τη ρυθμισμένη διαδρομή δικτύου.

Τα ιδιωτικά τελικά σημεία δεν εγγυώνται ότι η κυκλοφορία από το Fabric στις εξωτερικές προελεύσεις δεδομένων σας, είτε στο cloud είτε στην εσωτερική εγκατάσταση, είναι ασφαλής. Ρυθμίστε τις παραμέτρους των κανόνων τείχους προστασίας και των εικονικών δικτύων για την περαιτέρω προστασία των προελεύσεων δεδομένων σας.

Ένα ιδιωτικό τελικό σημείο είναι μια ενιαία, κατευθυντική τεχνολογία που επιτρέπει στους υπολογιστές-πελάτες να εκκινήσουν συνδέσεις με μια δεδομένη υπηρεσία, αλλά δεν επιτρέπει στην υπηρεσία να εκκινήσει μια σύνδεση στο δίκτυο του πελάτη. Αυτό το μοτίβο ενοποίησης ιδιωτικού τελικού σημείου παρέχει απομόνωση της διαχείρισης, δεδομένου ότι η υπηρεσία μπορεί να λειτουργεί ανεξάρτητα από τη ρύθμιση παραμέτρων πολιτικής δικτύου πελατών. Για υπηρεσίες πολλαπλών χρήσεων, αυτό το ιδιωτικό μοντέλο τελικού σημείου παρέχει αναγνωριστικά σύνδεσης για να αποτρέψει την πρόσβαση σε πόρους άλλων πελατών που φιλοξενούνται στην ίδια υπηρεσία.

Η υπηρεσία Fabric υλοποιεί ιδιωτικά τελικά σημεία και όχι τελικά σημεία υπηρεσίας.

Η χρήση ιδιωτικών τελικών σημείων με το Fabric παρέχει τα εξής πλεονεκτήματα:

• Περιορίστε την κυκλοφορία από το Internet στο Fabric και δρομολογήστε την μέσω του δικτύου κορμού της Microsoft.
• Βεβαιωθείτε ότι μόνο εξουσιοδοτημένοι υπολογιστές-πελάτες μπορούν να έχουν πρόσβαση στο Fabric.
• Συμμορφωθείτε με κανονιστικές απαιτήσεις και απαιτήσεις συμμόρφωσης που επιβάλλουν ιδιωτική πρόσβαση στα δεδομένα και τις υπηρεσίες ανάλυσης.

Κατανόηση της ρύθμισης παραμέτρων ιδιωτικού τελικού σημείου

Υπάρχουν δύο ρυθμίσεις μισθωτή στην πύλη διαχείρισης Fabric που εμπλέκονται στη ρύθμιση παραμέτρων του Ιδιωτική σύνδεση: Azure Ιδιωτική σύνδεση καιΑποκλεισμός δημόσιας πρόσβασης στο Internet.

Εάν το Azure Ιδιωτική σύνδεση έχει ρυθμιστεί σωστά και είναι ενεργοποιημένο το στοιχείο Αποκλεισμός δημόσιας πρόσβασης στο Internet:

• Τα υποστηριζόμενα στοιχεία Fabric είναι προσβάσιμα μόνο για τον οργανισμό σας από ιδιωτικά τελικά σημεία και δεν είναι προσβάσιμα από το δημόσιο Internet.
• Η κυκλοφορία από τα τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω της ιδιωτικής σύνδεσης.
• Η κυκλοφορία από τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που δεν υποστηρίζουν ιδιωτικές συνδέσεις θα αποκλειστεί από την υπηρεσία και δεν θα λειτουργεί.
• Ενδέχεται να υπάρχουν σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις, τα οποία επομένως θα αποκλειστούν στην υπηρεσία όταν είναι ενεργοποιημένη η επιλογή Αποκλεισμός δημόσιας πρόσβασης στο Internet.

Εάν το Azure Ιδιωτική σύνδεση έχει ρυθμιστεί σωστά και ο Αποκλεισμός δημόσιας πρόσβασης στο Internet είναι απενεργοποιημένος:

• Η κυκλοφορία από το δημόσιο Internet θα επιτρέπεται από τις υπηρεσίες Fabric.
• Η κυκλοφορία από τα τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω της ιδιωτικής σύνδεσης.
• Η κυκλοφορία από το εικονικό δίκτυο που στοχεύει τελικά σημεία και σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω του δημόσιου Internet και θα επιτρέπεται από τις υπηρεσίες Fabric.
• Εάν το εικονικό δίκτυο έχει ρυθμιστεί για να αποκλείει την πρόσβαση του δημόσιου Internet, σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις θα αποκλείονται από το εικονικό δίκτυο και δεν θα λειτουργούν.

Ιδιωτική σύνδεση στις εμπειρίες Fabric

Onelake

Η onelake υποστηρίζει Ιδιωτική σύνδεση. Μπορείτε να εξερευνήσετε το Onelake στην πύλη Fabric ή από οποιονδήποτε υπολογιστή μέσα στο καθιερωμένο VNet σας, χρησιμοποιώντας την εξερεύνηση αρχείων OneLake, την Εξερεύνηση Υπηρεσία αποθήκευσης Azure, το PowerShell και πολλά άλλα.

Οι άμεσες κλήσεις που χρησιμοποιούν τελικά σημεία OneLake κατά περιοχή δεν λειτουργούν μέσω ιδιωτικής σύνδεσης στο Fabric. Για περισσότερες πληροφορίες σχετικά με τη σύνδεση σε OneLake και τοπικά τελικά σημεία, ανατρέξτε στο θέμα Πώς γίνεται σύνδεση στο OneLake;.

Τελικό σημείο SQL Warehouse και Lakehouse

Η πρόσβαση σε στοιχεία Warehouse και τελικά σημεία SQL Lakehouse στην πύλη προστατεύεται από Ιδιωτική σύνδεση. Οι πελάτες μπορούν επίσης να χρησιμοποιήσουν τελικά σημεία της Ροής δεδομένων σε μορφή πίνακα (TDS) (για παράδειγμα, SQL Server Management Studio, Azure Data Studio) για να συνδεθούν στην Αποθήκη μέσω ιδιωτικής σύνδεσης.

Το ερώτημα απεικόνισης στην Αποθήκη δεν λειτουργεί όταν είναι ενεργοποιημένη η ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet.

Lakehouse, Notebook, Ορισμός εργασίας Spark, Περιβάλλον

Αφού ενεργοποιήσετε τη ρύθμιση μισθωτή Azure Ιδιωτική σύνδεση, η εκτέλεση της πρώτης εργασίας Spark (ορισμός εργασίας Notebook ή Spark) ή η εκτέλεση μιας λειτουργίας Lakehouse (Φόρτωση σε πίνακα, λειτουργίες συντήρησης πίνακα όπως Βελτιστοποίηση ή Κενό) θα έχει ως αποτέλεσμα τη δημιουργία ενός διαχειριζόμενου εικονικού δικτύου για τον χώρο εργασίας.

Μετά την προμήθεια του διαχειριζόμενου εικονικού δικτύου, οι χώροι συγκέντρωσης εκκίνησης (προεπιλεγμένη επιλογή υπολογιστικής λειτουργίας) για το Spark απενεργοποιούνται, καθώς πρόκειται για προκαθορισμένα συμπλέγματα που φιλοξενούνται σε ένα κοινόχρηστο εικονικό δίκτυο. Οι εργασίες Spark εκτελούνται σε προσαρμοσμένους χώρους συγκέντρωσης που δημιουργούνται κατ' απαίτηση κατά την υποβολή της εργασίας εντός του αποκλειστικού διαχειριζόμενου εικονικού δικτύου του χώρου εργασίας. Η μετεγκατάσταση χώρου εργασίας μεταξύ εκχωρημένων πόρων σε διαφορετικές περιοχές δεν υποστηρίζεται όταν ένα διαχειριζόμενο εικονικό δίκτυο εκχωρείται στον χώρο εργασίας σας.

Όταν είναι ενεργοποιημένη η ρύθμιση ιδιωτικής σύνδεσης, οι εργασίες Spark δεν θα λειτουργούν για μισθωτές των οποίων η αρχική περιοχή δεν υποστηρίζει Μηχανικός δεδομένων Fabric, ακόμη και αν χρησιμοποιούν εκχωρημένους πόρους Fabric από άλλες περιοχές που το κάνουν.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχειριζόμενο VNet για Fabric.

Dataflow Gen2

Μπορείτε να χρησιμοποιήσετε τη Ροή δεδομένων gen2 για να λάβετε δεδομένα, να μετασχηματίζετε δεδομένα και να δημοσιεύσετε ροές δεδομένων μέσω ιδιωτικής σύνδεσης. Όταν η προέλευση δεδομένων σας βρίσκεται πίσω από το τείχος προστασίας, μπορείτε να χρησιμοποιήσετε την πύλη δεδομένων VNet για να συνδεθείτε στις προελεύσεις δεδομένων σας. Η πύλη δεδομένων VNet επιτρέπει την προσθήκη της πύλης (υπολογιστική λειτουργία) στο υπάρχον εικονικό δίκτυό σας, παρέχοντας έτσι μια διαχειριζόμενη εμπειρία πύλης. Μπορείτε να χρησιμοποιήσετε τις συνδέσεις πύλης VNet για να συνδεθείτε σε ένα Lakehouse ή warehouse στον μισθωτή που απαιτεί ιδιωτική σύνδεση ή να συνδεθείτε σε άλλες προελεύσεις δεδομένων με το εικονικό δίκτυο.

Διοχέτευση

Όταν συνδέεστε στη Διοχέτευση μέσω ιδιωτικής σύνδεσης, μπορείτε να χρησιμοποιήσετε τη διοχέτευση δεδομένων για να φορτώσετε δεδομένα από οποιαδήποτε προέλευση δεδομένων με δημόσια τελικά σημεία σε μια λίμνη Microsoft Fabric με δυνατότητα ιδιωτικής σύνδεσης. Οι πελάτες μπορούν επίσης να συντάξετε και να λειτουργικοποιήσουν διοχετεύσεις δεδομένων με δραστηριότητες, συμπεριλαμβανομένων δραστηριοτήτων Σημειωματάριου και ροής δεδομένων, χρησιμοποιώντας την ιδιωτική σύνδεση. Ωστόσο, η αντιγραφή δεδομένων από και προς το παρόν σε μια Αποθήκη δεδομένων δεν είναι δυνατή όταν είναι ενεργοποιημένη η ιδιωτική σύνδεση του Fabric.

Μοντέλο εκμάθησης μηχανής, πείραμα και δεξιότητα AI

Το μοντέλο εκμάθησης μηχανής, το πείραμα και οι δεξιότητες AI υποστηρίζουν ιδιωτική σύνδεση.

Power BI

• Εάν η πρόσβαση στο Internet είναι απενεργοποιημένη και εάν το σημασιολογικό μοντέλο Power BI, το Datamart ή το Dataflow Gen1 συνδέονται σε ένα σημασιολογικό μοντέλο Power BI ή ροή δεδομένων ως προέλευση δεδομένων, η σύνδεση θα αποτύχει.

• Η δημοσίευση στο Web δεν υποστηρίζεται όταν η ρύθμιση μισθωτή Azure Ιδιωτική σύνδεση είναι ενεργοποιημένη στο Fabric.

• Οι εγγραφές ηλεκτρονικού ταχυδρομείου δεν υποστηρίζονται όταν η ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet είναι ενεργοποιημένη στο Fabric.

• Η εξαγωγή μιας αναφοράς Power BI ως PDF ή PowerPoint δεν υποστηρίζεται όταν η ρύθμιση μισθωτή Azure Ιδιωτική σύνδεση είναι ενεργοποιημένη στο Fabric.

• Εάν ο οργανισμός σας χρησιμοποιεί το Azure Ιδιωτική σύνδεση στο Fabric, οι σύγχρονες αναφορές μετρικών χρήσης θα περιέχουν μερικά δεδομένα (μόνο συμβάντα Άνοιγμα αναφοράς). Ένας τρέχων περιορισμός κατά τη μεταφορά πληροφοριών προγράμματος-πελάτη σε ιδιωτικές συνδέσεις αποτρέπει το Fabric από την καταγραφή προβολών σελίδας αναφοράς και δεδομένων επιδόσεων σε ιδιωτικές συνδέσεις. Εάν ο οργανισμός σας είχε ενεργοποιήσει τις ρυθμίσεις μισθωτή Azure Ιδιωτική σύνδεση και Αποκλεισμός δημόσιας πρόσβασης στο Internet στο Fabric, η ανανέωση για το σύνολο δεδομένων αποτυγχάνει και η αναφορά μετρικών χρήσης δεν εμφανίζει δεδομένα.

Άλλα στοιχεία Fabric

Άλλα στοιχεία Fabric, όπως η Βάση δεδομένων KQL και η EventStream, δεν υποστηρίζουν προς το παρόν Ιδιωτική σύνδεση και απενεργοποιούνται αυτόματα όταν ενεργοποιήσετε τη ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet προκειμένου να προστατεύσετε την κατάσταση συμμόρφωσης.

Προστασία πληροφοριών Microsoft Purview

Προστασία πληροφοριών Microsoft Purview δεν υποστηρίζει αυτήν τη στιγμή Ιδιωτική σύνδεση. Αυτό σημαίνει ότι στο Power BI Desktop που εκτελείται σε ένα απομονωμένο δίκτυο, το κουμπί ευαισθησίας θα είναι απενεργοποιημένο, οι πληροφορίες ετικέτας δεν θα εμφανίζονται και η αποκρυπτογράφηση των αρχείων .pbix θα αποτύχει.

Για να ενεργοποιήσουν αυτές τις δυνατότητες στο Desktop, οι διαχειριστές μπορούν να ρυθμίσουν ετικέτες υπηρεσίας για τις υποκείμενες υπηρεσίες που υποστηρίζουν Προστασία πληροφοριών Microsoft Purview, exchange Online Protection (EOP) και Azure Προστασία πληροφοριών (AIP). Βεβαιωθείτε ότι κατανοείτε τις συνέπειες της χρήσης ετικετών υπηρεσίας σε ένα απομονωμένο δίκτυο ιδιωτικών συνδέσεων.

Άλλα ζητήματα και περιορισμοί

Υπάρχουν πολλά ζητήματα που πρέπει να λάβετε υπόψη κατά την εργασία με ιδιωτικά τελικά σημεία στο Fabric:

• Το Fabric υποστηρίζει έως και 200 εκχωρημένους πόρους σε έναν μισθωτή όπου είναι ενεργοποιημένη Ιδιωτική σύνδεση.

• Η μετεγκατάσταση μισθωτή αποκλείεται όταν η Ιδιωτική σύνδεση ενεργοποιείται στην πύλη διαχείρισης Fabric.

• Οι πελάτες δεν μπορούν να συνδεθούν σε πόρους Fabric σε πολλούς μισθωτές από ένα μόνο VNet, αλλά μόνο στον τελευταίο μισθωτή που έχει ρυθμιστεί Ιδιωτική σύνδεση.

• Η ιδιωτική σύνδεση δεν υποστηρίζει εκχωρημένους πόρους δοκιμαστικής έκδοσης.

• Οποιεσδήποτε χρήσεις εξωτερικών εικόνων ή θεμάτων δεν είναι διαθέσιμες κατά τη χρήση περιβάλλοντος ιδιωτικής σύνδεσης.

• Κάθε ιδιωτικό τελικό σημείο μπορεί να συνδεθεί σε έναν μόνο μισθωτή. Δεν μπορείτε να ρυθμίσετε μια ιδιωτική σύνδεση για χρήση από περισσότερους από έναν μισθωτές.

• Για χρήστες Fabric: Οι πύλες δεδομένων εσωτερικής εγκατάστασης δεν υποστηρίζονται και αποτυγχάνουν να καταχωρηθούν όταν είναι ενεργοποιημένη Ιδιωτική σύνδεση. Για να εκτελέσετε με επιτυχία τον διαμορφωτή πύλης, Ιδιωτική σύνδεση πρέπει να είναι απενεργοποιημένος. Οι πύλες δεδομένων VNet θα λειτουργούν.

• Για χρήστες πύλης που δεν είναι PowerBI (PowerApps ή LogicApps): Η πύλη δεν λειτουργεί σωστά όταν είναι ενεργοποιημένη Ιδιωτική σύνδεση. Μια πιθανή λύση είναι να απενεργοποιήσετε τη ρύθμιση μισθωτή Azure Ιδιωτική σύνδεση, να ρυθμίσετε τις παραμέτρους της πύλης σε μια απομακρυσμένη περιοχή (μια περιοχή διαφορετική από την προτεινόμενη περιοχή) και, στη συνέχεια, να ενεργοποιήσετε ξανά το Azure Ιδιωτική σύνδεση. Αφού ενεργοποιηθεί ξανά η Ιδιωτική σύνδεση, η πύλη στην απομακρυσμένη περιοχή δεν θα χρησιμοποιεί ιδιωτικές συνδέσεις.

• Τα API REST του πόρου ιδιωτικών συνδέσεων δεν υποστηρίζουν ετικέτες.

• Οι ακόλουθες διευθύνσεις URL πρέπει να είναι προσβάσιμες από το πρόγραμμα περιήγησης του προγράμματος-πελάτη:

  • Απαιτείται για έλεγχο ταυτότητας:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, αν και αυτό μπορεί να διαφέρει ανάλογα με τον τύπο λογαριασμού.

  • Απαιτείται για τις εμπειρίες Μηχανικός δεδομένων και επιστήμης δεδομένων:

    • http://res.cdn.office.net/
    • https://pypi.org/* (για παράδειγμα, https://pypi.org/pypi/azure-storage-blob/json)
    • τοπικά στατικά τελικά σημεία για το condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Σχετικό περιεχόμενο

• Ρύθμιση και χρήση ασφαλών ιδιωτικών τελικών σημείων
• Διαχειριζόμενο VNet για Fabric
• Πρόσβαση υπό όρους
• Πώς μπορείτε να βρείτε το αναγνωριστικό μισθωτή Σας Microsoft Entra