Jaa


Yksityiset linkit Fabricin suojattuun käyttöön

Voit käyttää yksityisiä linkkejä, jotka tarjoavat suojatun käytön tietoliikenteelle Fabricissa. Yksityisiä Azure-linkin ja Azure-verkkopalveluiden yksityisiä päätepisteitä käytetään tietoliikenteen yksityiseen lähettämiseen Microsoftin runkoverkon infrastruktuurin avulla Internetin sijaan.

Kun yksityisiä linkkiyhteyksiä käytetään, kyseiset yhteydet kulkevat Microsoftin yksityisen runkoverkon kautta, kun Fabric-käyttäjät käyttävät Fabric-resursseja.

Lisätietoja yksityisestä Azure-linkistä on artikkelissa Mikä on yksityinen Azure-linkki.

Yksityisten päätepisteiden ottaminen käyttöön vaikuttaa moniin kohteisiin, joten lue tämä koko artikkeli ennen yksityisten päätepisteiden käyttöönottoa.

Mikä on yksityinen päätepiste?

Yksityiset päätepisteet takaavat, että liikenne, joka kulkee organisaatiosi Fabric-kohteisiin (esimerkiksi tiedoston lataaminen OneLakeen), noudattaa aina organisaatiosi määrittämää yksityisen linkin verkkopolkua. Voit määrittää Fabricin hylkäämään kaikki pyynnöt, jotka eivät ole peräisin määritetystä verkkopolusta.

Yksityiset päätepisteet eivät takaa, että Fabricista ulkoisiin tietolähteisiin ulottuva liikenne pilvessä tai paikallisesti on suojattua. Määritä palomuurisäännöt ja näennäisverkot tietolähteiden lisäturvaa varten.

Yksityinen päätepiste on yksittäinen suuntaistekniikka, joka antaa asiakkaiden luoda yhteyksiä tiettyyn palveluun, mutta ei salli palvelun aloittaa yhteyttä asiakkaan verkkoon. Tämä yksityisen päätepisteen integrointirakenne varmistaa hallinnan eristämisen, sillä palvelu voi toimia riippumatta asiakkaan verkkokäytännön määrityksistä. Tämä yksityisen päätepisteen malli tarjoaa useille palveluille linkkitunnisteita, joiden avulla estetään pääsy samassa palvelussa isännöityihin muiden asiakkaiden resursseihin.

Fabric-palvelu toteuttaa yksityisiä päätepisteitä, ei palvelupäätepisteitä.

Yksityisten päätepisteiden käyttö Fabricilla tarjoaa seuraavat edut:

  • Rajoita liikenne Internetistä Fabriciin ja reititystä Microsoftin runkoverkon kautta.
  • Varmista, että vain valtuutetut asiakaskoneet voivat käyttää Fabricia.
  • Noudata lakisääteisiä ja vaatimustenmukaisuusvaatimuksia, jotka valtuuttavat tietojen ja analytiikkapalvelujen yksityisen käytön.

Tutustu yksityiseen päätepisteen määrityksiin

Fabric-hallintaportaalissa on kaksi vuokraaja-asetusta, jotka liittyvät yksityisen linkin määrittämiseen: Azuren yksityiset linkit ja julkisen Internet-yhteyden estäminen.

Jos Azuren yksityinen linkki on määritetty oikein ja estä julkinen Internet-yhteys on käytössä:

  • Tuetut Fabric-kohteet ovat organisaatiollesi käytettävissä vain yksityisistä päätepisteistä, eivätkä ne ole käytettävissä julkisesta Internetistä.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja yksityisiä linkkejä tukeviin skenaarioihin, kuljetetaan yksityisen linkin kautta.
  • Palvelu estää näennäisverkon liikenteen kohdistamisen päätepisteisiin ja skenaarioihin, jotka eivät tue yksityisiä linkkejä. Tämä ei toimi.
  • On olemassa tilanteita, jotka eivät tue yksityisiä linkkejä, jotka siksi estetään palvelussa, kun Estä julkinen Internet-yhteys on käytössä.

Jos Azuren yksityinen linkki on määritetty oikein ja estä julkinen Internetin käyttö on poistettu käytöstä:

  • Fabric-palvelut mahdollistavat liikenteen julkisesta Internetistä.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja yksityisiä linkkejä tukeviin skenaarioihin, kuljetetaan yksityisen linkin kautta.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja skenaarioihin, jotka eivät tue yksityisiä linkkejä, kuljetetaan julkisen Internetin kautta, ja se sallitaan Fabric-palveluille.
  • Jos näennäisverkko on määritetty estämään julkinen Internet-yhteys, näennäisverkko estää skenaariot, jotka eivät tue yksityisiä linkkejä, eivätkä ne toimi.

OneLake

OneLake tukee yksityistä linkkiä. Voit tutustua OneLakeen Fabric-portaalissa tai millä tahansa vakiintuneen näennäisverkon koneella OneLake-resurssienhallinnan, Azure Storage Explorerin, PowerShellin ja niin edelleen.

OneLaken alueellisia päätepisteitä käyttävät suorat kutsut eivät toimi yksityisen Fabric-linkin kautta. Lisätietoja yhteyden muodostamisesta OneLakeen ja alueellisiin päätepisteisiin on kohdassa Miten yhdistän OneLakeen?.

Warehouse ja Lakehouse SQL -analytiikan päätepiste

Lakehousen varaston tai SQL-analytiikan päätepisteen käyttöä Fabric-portaalissa suojaa yksityinen linkki. Asiakkaat voivat käyttää myös TDS-päätepisteitä (esimerkiksi SQL Server Management Studio ja Azure Data Studio) yhteyden muodostamiseen Varastoon yksityisen linkin kautta.

Visuaalinen kysely Warehousessa ei toimi, kun Estä julkisen Internet-käytön vuokraaja - asetus on käytössä.

Lakehouse, Notebook, Spark-työn määritelmä, Ympäristö

Kun olet ottanut käyttöön Azuren yksityisen linkin vuokraaja-asetuksen, ensimmäisen Spark-työn (muistikirja tai Spark-työmääritelmä) suorittaminen tai Lakehouse-toiminnon suorittaminen (Lataa taulukkoon, taulukoiden ylläpitotoiminnot, kuten optimointi tai tyhjiö) johtavat hallitun näennäisverkon luomiseen työtilalle.

Kun hallittu näennäisverkko on valmistelty, Sparkin aloitusvarannot (oletusarvoinen Käsittely-asetus) poistetaan käytöstä, koska ne ovat ennalta määritettyjä klustereita, joita isännöidään jaetussa näennäisverkossa. Spark-työt suoritetaan mukautetuissa varannoissa, jotka luodaan pyydettäessä työn lähettämisen yhteydessä työtilan erillisessä hallitussa näennäisverkossa. Työtilan siirtämistä eri alueiden kapasiteettien välillä ei tueta, kun hallittu näennäisverkko varataan työtilallesi.

Kun yksityinen linkkiasetus on käytössä, Spark-työt eivät toimi vuokraajille, joiden kotialue ei tue Fabric Data Engineeringiä, vaikka he käyttäisivät Fabric-kapasiteetteja muilta, paljon samalta alueelta.

Katso lisätietoja artikkelista Managed VNet for Fabric.

Tietovuo Gen2

Voit käyttää Tietovuo gen2 -funktiota tietojen noutamiseen, tietojen muuntamiseen ja tietovuon julkaisemiseen yksityisen linkin kautta. Kun tietolähteesi on palomuurin takana, voit muodostaa yhteyden tietolähteisiin VNet-tietoyhdyskäytävän avulla. VNet-tietoyhdyskäytävä mahdollistaa yhdyskäytävän (käsittelyn) lisäämisen olemassa olevaan näennäisverkkoosi, mikä tarjoaa hallitun yhdyskäytäväkokemuksen. Voit käyttää VNet-yhdyskäytäväyhteyksiä muodostaaksesi yhteyden vuokraajan Lakehouse- tai Warehouse-yhteyksiin, jotka edellyttävät yksityistä linkkiä tai muodostavat yhteyden muihin tietolähteisiin näennäisverkossasi.

Jakso

Kun muodostat yhteyden Pipelineen yksityisen linkin kautta, voit tietoputken avulla ladata tietoja mistä tahansa tietolähteestä, jolla on julkiset päätepisteet, yksityiseen linkkiä käyttävään Microsoft Fabric lakehouse -yhdystilaan. Asiakkaat voivat myös luoda ja operationalisoida tietoputkia toimintojen avulla, mukaan lukien muistikirja- ja tietovuotoiminnot, käyttämällä yksityistä linkkiä. Tällä hetkellä tietojen kopiointi tietovarastosta ja tietovarastoon ei ole tällä hetkellä mahdollista, kun Fabricin yksityinen linkki on käytössä.

Koneoppimismalli, kokeilu ja tekoälytaidot

Koneoppimismalli, kokeilu ja tekoälytaidot tukevat yksityistä linkkiä.

Power BI

  • Jos Internet-yhteys on poistettu käytöstä ja jos Power BI:n semanttinen malli, tietovuo tai tietovuo Gen1 muodostaa yhteyden Power BI:n semanttiseen malliin tai tietovuohon tietolähteenä, yhteys epäonnistuu.

  • Julkaise verkkoon -toimintoa ei tueta, kun Azuren yksityisen linkin vuokraaja-asetus on käytössä Fabricissa.

  • Sähköpostitilauksia ei tueta, kun vuokraajan Estä julkinen Internet-yhteys -asetus on käytössä Fabricissa.

  • Power BI -raportin viemistä PDF-tiedostona tai PowerPointina ei tueta, kun Vuokraaja-asetus Azuren yksityinen linkki on käytössä Fabricissa.

  • Jos organisaatiossasi on käytössä Azuren yksityinen linkki Fabricissa, nykyaikaiset käyttötietoraportit sisältävät vain osittaiset tiedot (vain Raportin avoimet tapahtumat). Nykyinen rajoitus asiakastietojen siirtämisessä yksityisten linkkien kautta estää Fabricia kaappaamasta raporttisivujen näkymiä ja suorituskykytietoja yksityisten linkkien kautta. Jos organisaatiosi oli ottanut käyttöön Azuren yksityisen linkin ja estää julkisen Internet-käytön vuokraajan asetukset Fabricissa, tietojoukon päivitys epäonnistuu ja käyttötietoraportissa ei näy mitään tietoja.

Tapahtumatalo

Tapahtumatalo tukee yksityistä linkkiä, mikä mahdollistaa turvallisen tietojen käsittely ja kyselyn Azure-näennäisverkosta yksityisen linkin kautta. Voit käyttää tietoja eri lähteistä, kuten Azure-tallennustilatileistä, paikallisista tiedostoista ja tietovuon Gen2:sta. Tietojen virtauttaminen varmistaa tietojen välittömän käytettävyyden. Lisäksi voit käyttää KQL-kyselyitä tai Spark-funktiota, kun haluat käyttää tietoja tapahtumatalossa.

Rajoitukset:

  • Tietojen käsittelemistä OneLakesta ei tueta.
  • Pikakuvakkeen luominen tapahtumataloon ei ole mahdollista.
  • Yhteyden muodostaminen tietoputkessa olevaan tapahtumataloon ei ole mahdollista.
  • Tietojen käyttöä jonossa olevien tietojen käsittelyä ei tueta.
  • Jonossa olevasta käsittelystä riippuvaisia tietoliittimiä ei tueta.
  • Kyselyn tekeminen tapahtumatalolle T-SQL:n avulla ei ole mahdollista.

Terveydenhuollon tietoratkaisut (esiversio)

Asiakkaat voivat valmistella ja käyttää Microsoft Fabricin terveydenhuollon tietoratkaisuja yksityisen linkin kautta. Yksityisellä linkillä käyttöön otetun vuokraajan sisällä asiakkaat voivat ottaa käyttöön Terveydenhuollon tietoratkaisut ja suorittaa kattavia tietojen käsittely- ja muunnosskenaarioita kliinisille tiedoilleen. Tämä sisältää mahdollisuuden käyttää terveydenhuollon tietomuotoja erilaisissa lähteissä, kuten Azure-tallennustilissä, ja paljon muuta.

Muut Fabric-kohteet

Muut Fabric-kohteet, kuten Eventstream, eivät tällä hetkellä tue yksityistä linkkiä, ja ne poistetaan automaattisesti käytöstä, kun otat käyttöön Julkisen Internet-yhteyden vuokraaja-asetuksen yhteensopivuuden tilan suojaamiseksi.

Microsoft Purview Teabekaitse

Microsoft Purview Teabekaitse ei tällä hetkellä tue yksityistä linkkiä. Tämä tarkoittaa sitä, että eristetyssä verkossa suoritettavassa Power BI Desktopissa Luottamuksellisuus-painike näkyy harmaana, tunnistetiedot eivät tule näkyviin ja .pbix-tiedostojen salauksen purkaminen epäonnistuu.

Jotta nämä ominaisuudet voidaan ottaa käyttöön Desktopissa, järjestelmänvalvojat voivat määrittää palvelutunnisteet pohjana oleviin palveluihin, jotka tukevat Microsoft Purview Teabekaitse, Exchange Online Protectionia (EOP) ja Azure Teabekaitse (AIP). Varmista, että ymmärrät palvelutunnisteiden käyttämisen vaikutukset yksityisissä linkeissä, jotka on eristetty verkkoon.

Muita huomioitavia seikkoja ja rajoituksia

Sinun on huomioitava useita seikkoja, kun käytät Fabricissa yksityisiä päätepisteitä:

  • Fabric tukee jopa 450 kapasiteettia vuokraajassa, jossa yksityinen linkki on käytössä.

  • Kun kapasiteetti on juuri luotu, se ei tue yksityistä linkkiä, ennen kuin sen päätepiste näkyy yksityisellä DNS-vyöhykkeellä. Tämä voi kestää jopa 24 tuntia.

  • Vuokraajan siirto estetään, kun yksityinen linkki on käytössä Fabric-hallintaportaalissa.

  • Asiakkaat eivät voi muodostaa yhteyttä Fabric-resursseihin useissa vuokraajissa yhdestä näennäisverkosta, vaan ainoastaan viimeisen yksityisen linkin määrittäneen vuokraajan.

  • Yksityinen linkki ei tue kokeiluversion kapasiteettia. Kun käytät Fabricia yksityisen linkin liikenteen kautta, kokeiluversion kapasiteetti ei toimi.

  • Ulkoiset kuvat tai teemat eivät ole käytettävissä käytettäessä yksityistä linkkiympäristöä.

  • Jokainen yksityinen päätepiste voidaan yhdistää vain yhteen vuokraajaan. Et voi määrittää yksityistä linkkiä usean vuokraajan käytettäväksi.

  • Fabric-käyttäjille: paikallisia tietoyhdyskäytäviä ei tueta, ja niiden rekisteröiminen epäonnistuu, kun yksityinen linkki on käytössä. Yksityinen linkki on poistettava käytöstä, jotta yhdyskäytävän määritystoiminnon suorittaminen onnistuu. Lue lisätietoja tästä skenaariosta. VNet-tietoyhdyskäytävät toimivat. Katso lisätietoja näistä seikoista.

  • Muille kuin PowerBI:n (PowerApps tai LogicApps) yhdyskäytävän käyttäjille: paikallinen tietoyhdyskäytävä ei toimi oikein, kun yksityinen linkki on käytössä. Suosittelemme tutustumaan VNET-tietoyhdyskäytävän käyttöön, jota voidaan käyttää yksityisten linkkien kanssa. Mahdollinen vaihtoehtoinen menetelmä on poistaa Azuren yksityisen linkin vuokraaja-asetus käytöstä, määrittää yhdyskäytävä etäalueella (muu kuin suositeltu alue) ja ottaa sitten Azuren yksityinen linkki uudelleen käyttöön. Kun yksityinen linkki on otettu uudelleen käyttöön, etäalueen yhdyskäytävä ei käytä yksityisiä linkkejä. Emme kuitenkaan tue tätä skenaariota.

  • Yksityiset linkit resurssin REST-ohjelmointirajapinnat eivät tue tunnisteita.

  • Seuraavien URL-osoitteiden on oltava käytettävissä asiakasselaimessa:

    • Todennus vaaditaan:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, vaikka tämä voi olla erilaista tilityypin mukaan.
    • Vaaditaan tietotekniikka- ja datatiedekokemuksiin:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (esimerkiksi https://pypi.org/pypi/azure-storage-blob/json)
      • paikalliset staattiset päätepisteet condaPackagesille
      • https://cdn.jsdelivr.net/npm/monaco-editor*