Ιδιωτικές συνδέσεις για ασφαλή πρόσβαση στο Fabric
Μπορείτε να χρησιμοποιήσετε ιδιωτικές συνδέσεις για την παροχή ασφαλούς πρόσβασης για την κυκλοφορία δεδομένων στο Fabric. Οι ιδιωτικές τελικές συνδέσεις του Azure Private Link και του Azure Networking χρησιμοποιούνται για την αποστολή κυκλοφορίας δεδομένων ιδιωτικά χρησιμοποιώντας την υποδομή κεντρικού δικτύου της Microsoft αντί να περνούν από το Internet.
Όταν χρησιμοποιούνται συνδέσεις ιδιωτικής σύνδεσης, αυτές οι συνδέσεις περνούν από τον κορμό του ιδιωτικού δικτύου της Microsoft όταν οι χρήστες fabric αποκτούν πρόσβαση σε πόρους στο Fabric.
Για να μάθετε περισσότερα σχετικά με την Ιδιωτική σύνδεση Azure, ανατρέξτε στο θέμα Τι είναι η ιδιωτική σύνδεση του Azure.
Η ενεργοποίηση ιδιωτικών τελικών σημείων έχει επιπτώσεις σε πολλά στοιχεία, επομένως θα πρέπει να εξετάσετε ολόκληρο αυτό το άρθρο προτού ενεργοποιήσετε ιδιωτικά τελικά σημεία.
Τι είναι ένα ιδιωτικό τελικό σημείο;
Το ιδιωτικό τελικό σημείο εγγυάται ότι η κυκλοφορία στα στοιχεία Fabric του οργανισμού σας (όπως η αποστολή ενός αρχείου στο OneLake, για παράδειγμα) ακολουθεί πάντα τη ρυθμισμένη διαδρομή δικτύου ιδιωτικής σύνδεσης του οργανισμού σας. Μπορείτε να ρυθμίσετε τις παραμέτρους του Fabric για την απόρριψη όλων των αιτήσεων που δεν προέρχονται από τη ρυθμισμένη διαδρομή δικτύου.
Τα ιδιωτικά τελικά σημεία δεν εγγυώνται ότι η κυκλοφορία από το Fabric στις εξωτερικές προελεύσεις δεδομένων σας, είτε στο cloud είτε στην εσωτερική εγκατάσταση, είναι ασφαλής. Ρυθμίστε τις παραμέτρους των κανόνων τείχους προστασίας και των εικονικών δικτύων για την περαιτέρω προστασία των προελεύσεων δεδομένων σας.
Ένα ιδιωτικό τελικό σημείο είναι μια ενιαία, κατευθυντική τεχνολογία που επιτρέπει στους υπολογιστές-πελάτες να εκκινήσουν συνδέσεις με μια δεδομένη υπηρεσία, αλλά δεν επιτρέπει στην υπηρεσία να εκκινήσει μια σύνδεση στο δίκτυο του πελάτη. Αυτό το μοτίβο ενοποίησης ιδιωτικού τελικού σημείου παρέχει απομόνωση της διαχείρισης, δεδομένου ότι η υπηρεσία μπορεί να λειτουργεί ανεξάρτητα από τη ρύθμιση παραμέτρων πολιτικής δικτύου πελατών. Για υπηρεσίες πολλαπλών χρήσεων, αυτό το ιδιωτικό μοντέλο τελικού σημείου παρέχει αναγνωριστικά σύνδεσης για να αποτρέψει την πρόσβαση σε πόρους άλλων πελατών που φιλοξενούνται στην ίδια υπηρεσία.
Η υπηρεσία Fabric υλοποιεί ιδιωτικά τελικά σημεία και όχι τελικά σημεία υπηρεσίας.
Η χρήση ιδιωτικών τελικών σημείων με το Fabric παρέχει τα εξής πλεονεκτήματα:
- Περιορίστε την κυκλοφορία από το Internet στο Fabric και δρομολογήστε την μέσω του δικτύου κορμού της Microsoft.
- Βεβαιωθείτε ότι μόνο εξουσιοδοτημένοι υπολογιστές-πελάτες μπορούν να έχουν πρόσβαση στο Fabric.
- Συμμορφωθείτε με κανονιστικές απαιτήσεις και απαιτήσεις συμμόρφωσης που επιβάλλουν ιδιωτική πρόσβαση στα δεδομένα και τις υπηρεσίες ανάλυσης.
Κατανόηση της ρύθμισης παραμέτρων ιδιωτικού τελικού σημείου
Υπάρχουν δύο ρυθμίσεις μισθωτή στην πύλη διαχείρισης Fabric που εμπλέκονται στη ρύθμιση παραμέτρων ιδιωτικής σύνδεσης: Ιδιωτικές συνδέσεις Azure και Αποκλεισμός δημόσιας πρόσβασης στο Internet.
Εάν η Ιδιωτική σύνδεση Azure έχει ρυθμιστεί σωστά και ο Αποκλεισμός δημόσιας πρόσβασης στο Internet είναι ενεργοποιημένος:
- Τα υποστηριζόμενα στοιχεία Fabric είναι προσβάσιμα μόνο για τον οργανισμό σας από ιδιωτικά τελικά σημεία και δεν είναι προσβάσιμα από το δημόσιο Internet.
- Η κυκλοφορία από τα τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω της ιδιωτικής σύνδεσης.
- Η κυκλοφορία από τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που δεν υποστηρίζουν ιδιωτικές συνδέσεις θα αποκλειστεί από την υπηρεσία και δεν θα λειτουργεί.
- Ενδέχεται να υπάρχουν σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις, τα οποία επομένως θα αποκλειστούν στην υπηρεσία όταν είναι ενεργοποιημένη η επιλογή Αποκλεισμός δημόσιας πρόσβασης στο Internet.
Εάν η Ιδιωτική σύνδεση Azure έχει ρυθμιστεί σωστά και ο Αποκλεισμός δημόσιας πρόσβασης στο Internet είναι απενεργοποιημένος:
- Η κυκλοφορία από το δημόσιο Internet θα επιτρέπεται από τις υπηρεσίες Fabric.
- Η κυκλοφορία από τα τελικά σημεία και σενάρια στόχευσης εικονικού δικτύου που υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω της ιδιωτικής σύνδεσης.
- Η κυκλοφορία από το εικονικό δίκτυο που στοχεύει τελικά σημεία και σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις μεταφέρονται μέσω του δημόσιου Internet και θα επιτρέπεται από τις υπηρεσίες Fabric.
- Εάν το εικονικό δίκτυο έχει ρυθμιστεί για να αποκλείει την πρόσβαση του δημόσιου Internet, σενάρια που δεν υποστηρίζουν ιδιωτικές συνδέσεις θα αποκλείονται από το εικονικό δίκτυο και δεν θα λειτουργούν.
Εμπειρίες ιδιωτικής σύνδεσης στο Fabric
OneLake
Το OneLake υποστηρίζει ιδιωτική σύνδεση. Μπορείτε να εξερευνήσετε το OneLake στην πύλη Fabric ή από οποιονδήποτε υπολογιστή εντός του καθιερωμένου εικονικού δικτύου σας, χρησιμοποιώντας την εξερεύνηση αρχείων OneLake, την Εξερεύνηση υπηρεσίας αποθήκευσης Azure, το PowerShell και πολλά άλλα.
Οι άμεσες κλήσεις που χρησιμοποιούν τελικά σημεία OneLake κατά περιοχή δεν λειτουργούν μέσω ιδιωτικής σύνδεσης στο Fabric. Για περισσότερες πληροφορίες σχετικά με τη σύνδεση σε OneLake και περιφερειακά τελικά σημεία, ανατρέξτε στο θέμα Πώς μπορώ να συνδεθώ στο OneLake;.
Τελικό σημείο ανάλυσης SQL Warehouse και Lakehouse
Η πρόσβαση σε μια Αποθήκη ή στο τελικό σημείο ανάλυσης SQL ενός Lakehouse στην πύλη Fabric προστατεύεται από την Ιδιωτική σύνδεση. Οι πελάτες μπορούν επίσης να χρησιμοποιήσουν τελικά σημεία της Ροής δεδομένων σε μορφή πίνακα (TDS) (για παράδειγμα, SQL Server Management Studio, Azure Data Studio) για να συνδεθούν στην Αποθήκη μέσω ιδιωτικής σύνδεσης.
Το ερώτημα απεικόνισης στην Αποθήκη δεν λειτουργεί όταν είναι ενεργοποιημένη η ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet.
Lakehouse, Notebook, Ορισμός εργασίας Spark, Περιβάλλον
Αφού ενεργοποιήσετε τη ρύθμιση μισθωτή ιδιωτικής σύνδεσης Azure, η εκτέλεση της πρώτης εργασίας Spark (ορισμός εργασίας Notebook ή Spark) ή η εκτέλεση μιας λειτουργίας Lakehouse (Φόρτωση σε πίνακα, λειτουργίες συντήρησης πίνακα όπως Βελτιστοποίηση ή Κενό) θα έχει ως αποτέλεσμα τη δημιουργία ενός διαχειριζόμενου εικονικού δικτύου για τον χώρο εργασίας.
Μετά την προμήθεια του διαχειριζόμενου εικονικού δικτύου, οι χώροι συγκέντρωσης εκκίνησης (προεπιλεγμένη επιλογή υπολογιστικής λειτουργίας) για το Spark απενεργοποιούνται, καθώς πρόκειται για προκαθορισμένα συμπλέγματα που φιλοξενούνται σε ένα κοινόχρηστο εικονικό δίκτυο. Οι εργασίες Spark εκτελούνται σε προσαρμοσμένους χώρους συγκέντρωσης που δημιουργούνται κατ' απαίτηση κατά την υποβολή της εργασίας εντός του αποκλειστικού διαχειριζόμενου εικονικού δικτύου του χώρου εργασίας. Η μετεγκατάσταση χώρου εργασίας μεταξύ εκχωρημένων πόρων σε διαφορετικές περιοχές δεν υποστηρίζεται όταν ένα διαχειριζόμενο εικονικό δίκτυο εκχωρείται στον χώρο εργασίας σας.
Όταν είναι ενεργοποιημένη η ρύθμιση ιδιωτικής σύνδεσης, οι εργασίες Spark δεν θα λειτουργήσουν για μισθωτές των οποίων η αρχική περιοχή δεν υποστηρίζει τη Μηχανική δεδομένων Fabric, ακόμη και αν χρησιμοποιούν εκχωρημένους πόρους Fabric από άλλες περιοχές που το κάνουν.
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχειριζόμενο VNet για Fabric.
Dataflow Gen2
Μπορείτε να χρησιμοποιήσετε τη Ροή δεδομένων gen2 για να λάβετε δεδομένα, να μετασχηματίζετε δεδομένα και να δημοσιεύσετε ροές δεδομένων μέσω ιδιωτικής σύνδεσης. Όταν η προέλευση δεδομένων σας βρίσκεται πίσω από το τείχος προστασίας, μπορείτε να χρησιμοποιήσετε την πύλη δεδομένων VNet για να συνδεθείτε στις προελεύσεις δεδομένων σας. Η πύλη δεδομένων VNet επιτρέπει την προσθήκη της πύλης (υπολογιστική λειτουργία) στο υπάρχον εικονικό δίκτυό σας, παρέχοντας έτσι μια διαχειριζόμενη εμπειρία πύλης. Μπορείτε να χρησιμοποιήσετε τις συνδέσεις πύλης VNet για να συνδεθείτε σε ένα Lakehouse ή warehouse στον μισθωτή που απαιτεί ιδιωτική σύνδεση ή να συνδεθείτε σε άλλες προελεύσεις δεδομένων με το εικονικό δίκτυο.
Διοχέτευση
Όταν συνδέεστε στη Διοχέτευση μέσω ιδιωτικής σύνδεσης, μπορείτε να χρησιμοποιήσετε τη διοχέτευση δεδομένων για να φορτώσετε δεδομένα από οποιαδήποτε προέλευση δεδομένων με δημόσια τελικά σημεία σε μια λίμνη Microsoft Fabric με δυνατότητα ιδιωτικής σύνδεσης. Οι πελάτες μπορούν επίσης να συντάξετε και να λειτουργικοποιήσουν διοχετεύσεις δεδομένων με δραστηριότητες, συμπεριλαμβανομένων δραστηριοτήτων Σημειωματάριου και ροής δεδομένων, χρησιμοποιώντας την ιδιωτική σύνδεση. Ωστόσο, η αντιγραφή δεδομένων από και προς το παρόν σε μια Αποθήκη δεδομένων δεν είναι δυνατή όταν είναι ενεργοποιημένη η ιδιωτική σύνδεση του Fabric.
Μοντέλο εκμάθησης μηχανής, πείραμα και δεξιότητα AI
Το μοντέλο εκμάθησης μηχανής, το πείραμα και οι δεξιότητες AI υποστηρίζουν ιδιωτική σύνδεση.
Power BI
Εάν η πρόσβαση στο Internet είναι απενεργοποιημένη και εάν το σημασιολογικό μοντέλο Power BI, το Datamart ή το Dataflow Gen1 συνδέονται σε ένα σημασιολογικό μοντέλο Power BI ή ροή δεδομένων ως προέλευση δεδομένων, η σύνδεση θα αποτύχει.
Η λειτουργία Direct Lake δεν υποστηρίζεται προς το παρόν με χρήση ιδιωτικής σύνδεσης.
Η Δημοσίευση στο Web δεν υποστηρίζεται όταν η ρύθμιση μισθωτή Ιδιωτική σύνδεση Azure είναι ενεργοποιημένη στο Fabric.
Οι εγγραφές ηλεκτρονικού ταχυδρομείου δεν υποστηρίζονται όταν η ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet είναι ενεργοποιημένη στο Fabric.
Η εξαγωγή μιας αναφοράς Power BI ως PDF ή PowerPoint δεν υποστηρίζεται όταν η ρύθμιση μισθωτή Ιδιωτική σύνδεση Azure είναι ενεργοποιημένη στο Fabric.
Εάν ο οργανισμός σας χρησιμοποιεί ιδιωτική σύνδεση Azure στο Fabric, οι σύγχρονες αναφορές μετρικών χρήσης θα περιέχουν μερικά δεδομένα (μόνο συμβάντα Άνοιγμα αναφοράς). Ένας τρέχων περιορισμός κατά τη μεταφορά πληροφοριών προγράμματος-πελάτη σε ιδιωτικές συνδέσεις αποτρέπει το Fabric από την καταγραφή προβολών σελίδας αναφοράς και δεδομένων επιδόσεων σε ιδιωτικές συνδέσεις. Εάν ο οργανισμός σας είχε ενεργοποιήσει τις ρυθμίσεις μισθωτή Ιδιωτική σύνδεση Azure και Αποκλεισμός δημόσιας πρόσβασης στο Internet στο Fabric, η ανανέωση για το σύνολο δεδομένων αποτυγχάνει και η αναφορά μετρικών χρήσης δεν εμφανίζει δεδομένα.
Eventhouse
Η Υπηρεσία συμβάντων υποστηρίζει την Ιδιωτική σύνδεση, επιτρέποντας την ασφαλή πρόσληψη δεδομένων και υποβολή ερωτημάτων από το εικονικό δίκτυο Azure μέσω ιδιωτικής σύνδεσης. Μπορείτε να κάνετε πρόσληψη δεδομένων από διάφορες προελεύσεις, όπως λογαριασμούς υπηρεσίας αποθήκευσης Azure, τοπικά αρχεία και Dataflow Gen2. Η πρόσληψη ροής εξασφαλίζει άμεση διαθεσιμότητα δεδομένων. Επιπλέον, μπορείτε να χρησιμοποιήσετε ερωτήματα KQL ή Spark για πρόσβαση σε δεδομένα σε μια Αποθήκη συμβάντων.
Περιορισμούς:
- Η πρόσληψη δεδομένων από το OneLake δεν υποστηρίζεται.
- Δεν είναι δυνατή η δημιουργία μιας συντόμευσης για ένα Eventhouse.
- Η σύνδεση σε μια αποθήκη συμβάντων σε μια διοχέτευση δεδομένων δεν είναι δυνατή.
- Δεν υποστηρίζεται πρόσληψη δεδομένων με χρήση πρόσληψης σε ουρά.
- Δεν υποστηρίζονται συνδέσεις δεδομένων που βασίζονται σε πρόσληψη σε ουρά.
- Η υποβολή ερωτημάτων σε μια υπηρεσία συμβάντων με χρήση T-SQL δεν είναι δυνατή.
Λύσεις δεδομένων υγείας (προεπισκόπηση)
Οι πελάτες μπορούν να προμηθεύουν και να χρησιμοποιούν λύσεις δεδομένων υγειονομικής περίθαλψης στο Microsoft Fabric μέσω ιδιωτικής σύνδεσης. Εντός ενός μισθωτή που έχει ενεργοποιηθεί με ιδιωτική σύνδεση, οι πελάτες μπορούν να αναπτύξουν δυνατότητες λύσεων δεδομένων healthcare για την εκτέλεση ολοκληρωμένων σεναρίων πρόσληψης και μετασχηματισμού δεδομένων για τα κλινικών δεδομένων τους. Αυτό περιλαμβάνει τη δυνατότητα πρόσληψης δεδομένων υγείας από διάφορες προελεύσεις, όπως λογαριασμούς υπηρεσίας αποθήκευσης Azure και πολλές άλλες.
Άλλα στοιχεία Fabric
Άλλα στοιχεία Fabric, όπως το Eventstream, δεν υποστηρίζουν προς το παρόν ιδιωτική σύνδεση και απενεργοποιούνται αυτόματα όταν ενεργοποιείτε τη ρύθμιση μισθωτή Αποκλεισμός δημόσιας πρόσβασης στο Internet για την προστασία της κατάστασης συμμόρφωσης.
Προστασία πληροφοριών Microsoft Purview
Η Προστασία πληροφοριών Microsoft Purview δεν υποστηρίζει προς το παρόν ιδιωτική σύνδεση. Αυτό σημαίνει ότι στο Power BI Desktop που εκτελείται σε ένα απομονωμένο δίκτυο, το κουμπί ευαισθησίας είναι απενεργοποιημένο, οι πληροφορίες ετικέτας δεν θα εμφανίζονται και η αποκρυπτογράφηση των αρχείων .pbix θα αποτύχει.
Για να ενεργοποιήσουν αυτές τις δυνατότητες στο Desktop, οι διαχειριστές μπορούν να ρυθμίσουν ετικέτες υπηρεσίας για τις υποκείμενες υπηρεσίες που υποστηρίζουν προστασία πληροφοριών Microsoft Purview, Exchange Online Protection (EOP) και Προστασία πληροφοριών Azure (AIP). Βεβαιωθείτε ότι κατανοείτε τις συνέπειες της χρήσης ετικετών υπηρεσίας σε ένα απομονωμένο δίκτυο ιδιωτικών συνδέσεων.
Άλλα ζητήματα και περιορισμοί
Υπάρχουν πολλά ζητήματα που πρέπει να λάβετε υπόψη κατά την εργασία με ιδιωτικά τελικά σημεία στο Fabric:
Το Fabric υποστηρίζει έως και 450 εκχωρημένους πόρους σε έναν μισθωτή όπου είναι ενεργοποιημένη η Ιδιωτική σύνδεση.
Όταν το σύνολο εκχωρημένων πόρων δημιουργηθεί πρόσφατα, δεν θα υποστηρίζει ιδιωτικές συνδέσεις μέχρι το τελικό σημείο να απεικονίζεται στην ιδιωτική ζώνη DNS. Αυτό μπορεί να διαρκέσει έως και 24 ώρες.
Η μετεγκατάσταση μισθωτή αποκλείεται όταν η Ιδιωτική σύνδεση ενεργοποιείται στην πύλη διαχείρισης Fabric.
Οι πελάτες δεν μπορούν να συνδεθούν σε πόρους Fabric σε πολλούς μισθωτές από ένα εικονικό δίκτυο, αλλά μόνο στον τελευταίο μισθωτή για τη ρύθμιση ιδιωτικής σύνδεσης.
Η ιδιωτική σύνδεση δεν υποστηρίζεται σε εκχωρημένους πόρους δοκιμαστικής έκδοσης. Κατά την πρόσβαση στο Fabric μέσω κυκλοφορίας ιδιωτικής σύνδεσης, οι δοκιμαστικοί εκχωρημένοι πόροι δεν θα λειτουργούν.
Οποιεσδήποτε χρήσεις εξωτερικών εικόνων ή θεμάτων δεν είναι διαθέσιμες κατά τη χρήση περιβάλλοντος ιδιωτικής σύνδεσης.
Κάθε ιδιωτικό τελικό σημείο μπορεί να συνδεθεί σε έναν μόνο μισθωτή. Δεν μπορείτε να ρυθμίσετε μια ιδιωτική σύνδεση για χρήση από περισσότερους από έναν μισθωτές.
Για τους χρήστες Fabric: Οι πύλες δεδομένων εσωτερικής εγκατάστασης δεν υποστηρίζονται και δεν καταχωρούνται όταν είναι ενεργοποιημένη η Ιδιωτική σύνδεση. Για να εκτελέσετε με επιτυχία τον διαμορφωτή πύλης, πρέπει να είναι απενεργοποιημένη η ιδιωτική σύνδεση. Μάθετε περισσότερα σχετικά με αυτό το σενάριο. Οι πύλες δεδομένων VNet θα λειτουργούν. Για περισσότερες πληροφορίες, ανατρέξτε σε αυτά τα ζητήματα.
Για χρήστες πύλης που δεν είναι PowerBI (PowerApps ή LogicApps): Η πύλη δεδομένων εσωτερικής εγκατάστασης δεν υποστηρίζεται όταν είναι ενεργοποιημένη η Ιδιωτική σύνδεση. Συνιστούμε να εξερευνήσετε τη χρήση της πύλης δεδομένων VNET, η οποία μπορεί να χρησιμοποιηθεί με ιδιωτικές συνδέσεις.
Οι ιδιωτικές συνδέσεις δεν θα λειτουργούν με τα διαγνωστικά λήψης της πύλης δεδομένων VNet.
Τα API REST του πόρου ιδιωτικών συνδέσεων δεν υποστηρίζουν ετικέτες.
Οι ακόλουθες διευθύνσεις URL πρέπει να είναι προσβάσιμες από το πρόγραμμα περιήγησης του προγράμματος-πελάτη:
Απαιτείται για έλεγχο ταυτότητας:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
login.live.com
, αν και αυτό μπορεί να διαφέρει ανάλογα με τον τύπο λογαριασμού.
Απαιτείται για τις εμπειρίες μηχανικής δεδομένων και επιστήμης δεδομένων:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
https://pypi.org/*
(για παράδειγμα,https://pypi.org/pypi/azure-storage-blob/json
)- τοπικά στατικά τελικά σημεία για το condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*