Megosztás a következőn keresztül:

Privát hivatkozások Fabric-bérlőkhöz

Privát hivatkozások használatával biztonságos hozzáférést biztosíthat az adatforgalomhoz a Fabricben. Az Azure Private Link és az Azure Networking privát végpontjai az adatforgalom privát küldésére szolgálnak a Microsoft gerinchálózati infrastruktúrájával, nem pedig az interneten keresztül. A privát kapcsolati kapcsolatok használatakor ezek a kapcsolatok a Microsoft magánhálózati gerinchálózatán haladnak át, amikor a Fabric felhasználói hozzáférnek a Fabric erőforrásaihoz.

A Fabric a bérlői és a munkaterületi szinten is támogatja a privát kapcsolatokat:

  • A bérlőszintű privát kapcsolatok hálózati házirendet biztosítanak a teljes bérlő számára. Ez a cikk a bérlőszintű privát hivatkozásokra összpontosít.

  • A munkaterületszintű privát hivatkozások részletes vezérlést biztosítanak, ami lehetővé teszi bizonyos munkaterületek hozzáférésének korlátozását, miközben a többi munkaterület nyitva marad a nyilvános hozzáférés számára. További információkért tekintse meg a Fabric-munkaterületek privát hivatkozásait.

A privát végpontok engedélyezése számos elemet érint, ezért érdemes áttekinteni ezt a teljes cikket, mielőtt engedélyezi a privát végpontokat a bérlő számára.

Mi az a privát végpont?

A privát végpont garantálja, hogy a szervezet Fabric-elemeibe irányuló forgalom (például egy fájl feltöltése a OneLake-be) mindig a szervezet konfigurált privát kapcsolat hálózati útvonalát követi. A Hálót úgy konfigurálhatja, hogy megtagadja az összes olyan kérést, amely nem a konfigurált hálózati útvonalból származik.

A privát végpontok nem garantálják, hogy a Fabricből a külső adatforrásokra irányuló forgalom biztonságos legyen, akár a felhőben, akár a helyszínen. Konfigurálja a tűzfalszabályokat és a virtuális hálózatokat az adatforrások további védelméhez.

A privát végpontok egyetlen, irányított technológia, amely lehetővé teszi az ügyfelek számára, hogy kapcsolatokat kezdeményezhessenek egy adott szolgáltatáshoz, de nem teszik lehetővé a szolgáltatás számára, hogy kapcsolatot indítson az ügyfélhálózattal. Ez a privát végpontintegrációs minta felügyeleti elkülönítést biztosít, mivel a szolgáltatás az ügyfél hálózati házirend-konfigurációtól függetlenül működhet. A több-bérlős szolgáltatások esetében ez a privát végpontmodell hivatkozásazonosítókat biztosít, amelyek megakadályozzák az ugyanazon szolgáltatásban üzemeltetett más ügyfelek erőforrásaihoz való hozzáférést.

A Fabric szolgáltatás privát végpontokat implementál, nem pedig szolgáltatásvégpontokat.

Privát végpontok használata a Fabric használatával a következő előnyöket biztosítja:

  • Korlátozza az internetről a Fabric felé irányuló forgalmat, és irányítsa át a Microsoft gerinchálózatán.
  • Győződjön meg arról, hogy csak a jogosult ügyfélgépek férhetnek hozzá a Fabrichez.
  • Az adat- és elemzési szolgáltatásokhoz való privát hozzáférést biztosító jogszabályi és megfelelőségi követelményeknek való megfelelés.

A privát végpont konfigurációjának ismertetése

A Háló felügyeleti portálján két bérlői beállítás szerepel a Private Link konfigurációjában: Az Azure Private Links és a Nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:

  • A támogatott hálóelemek csak privát végpontokról érhetők el a szervezet számára, és nem érhetők el a nyilvános internetről.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A szolgáltatás letiltja a privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat.
  • Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, amelyek a szolgáltatásban le vannak tiltva, amikor engedélyezve van a nyilvános internet-hozzáférés letiltása .

Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:

  • A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalom a nyilvános interneten keresztül történik, és a Fabric-szolgáltatások engedélyezik.
  • Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat.

OneLake

A OneLake támogatja a Private Linket. A OneLake-t a Fabric portálon vagy a létrehozott virtuális hálózat bármely gépéről megismerheti a OneLake fájlkezelő, az Azure Storage Explorer, a PowerShell és egyebek használatával.

A OneLake regionális végpontjait használó közvetlen hívások nem működnek a Fabrichez való privát kapcsolaton keresztül. További információ a OneLake-hez és a regionális végpontokhoz való csatlakozásról: Hogyan csatlakozás a OneLake-hez?

Warehouse és Lakehouse SQL Analytics-végpont

A Fabric portálon egy Lakehouse-beli raktár vagy SQL Analytics-végpont elérése privát hivatkozással védett. Az ügyfelek a Tabular Data Stream (TDS) végpontjaival (például az SQL Server Management Studio (SSMS) vagy a Visual Studio Code MSSQL-bővítményével is csatlakozhatnak a Warehouse-hoz privát kapcsolaton keresztül.

A Visual Query a Warehouse-ban nem működik, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van.

SQL-adatbázis

Az SQL-adatbázis vagy az SQL Analytics-végpont elérése a Háló portálon privát hivatkozással védett. Az ügyfelek táblázatos adatfolyam-(TDS-) végpontokkal (például SQL Server Management Studio vagy Visual Studio Code) is csatlakozhatnak az SQL-adatbázishoz privát kapcsolaton keresztül. További információ az SQL-adatbázishoz való csatlakozásról: Hitelesítés az SQL-adatbázisban a Microsoft Fabric.

Tóházas, Jegyzetfüzet, Spark-feladat meghatározás, Környezet

Ha engedélyezte az Azure Private Link bérlői beállítását, az első Spark-feladat (jegyzetfüzet vagy Spark-feladatdefiníció) futtatása vagy egy Lakehouse-művelet (Terhelés táblázatba, táblakarbantartási műveletek, például optimalizálás vagy vákuum) végrehajtása egy felügyelt virtuális hálózat létrehozását eredményezi a munkaterület számára.

A felügyelt virtuális hálózat kiépítése után a Spark kezdőkészletei (alapértelmezett számítási beállítás) le lesznek tiltva, mivel azok egy megosztott virtuális hálózaton üzemeltetett előre előkészített fürtök. A Spark-feladatok olyan egyéni készleteken futnak, amelyek a munkaterület dedikált felügyelt virtuális hálózatában történő feladatbeküldéskor jönnek létre igény szerint. A különböző régiókban lévő kapacitások közötti munkaterület-migrálás nem támogatott, ha egy felügyelt virtuális hálózat van lefoglalva a munkaterülethez.

Ha a privát kapcsolat beállítása engedélyezve van, a Spark-feladatok nem működnek olyan bérlők esetében, akiknek az otthoni régiója nem támogatja a Fabric Data Engineeringet, még akkor sem, ha más régiókból származó Fabric-kapacitásokat használnak.

További információ: Managed VNet for Fabric.

Adatfolyam Gen2

A Dataflow gen2 használatával adatokat kérhet le, átalakíthat adatokat, és privát kapcsolaton keresztül közzéteheti az adatfolyamot. Ha az adatforrás a tűzfal mögött található, a virtuális hálózati adatátjáróval csatlakozhat az adatforrásokhoz. A virtuális hálózati adatátjáró lehetővé teszi az átjáró (számítás) injektálását a meglévő virtuális hálózatba, így felügyelt átjáró-élményt biztosít. A virtuális hálózati átjáró kapcsolataival csatlakozhat egy olyan Lakehouse-hoz vagy raktárhoz a bérlőben, amelyhez privát kapcsolatra van szükség, vagy kapcsolódhat más adatforrásokhoz a virtuális hálózattal.

Pipeline

Ha privát kapcsolaton keresztül csatlakozik a Folyamathoz, a folyamattal bármilyen nyilvános végponttal rendelkező adatforrásból adatokat tölthet be egy privát kapcsolattal kompatibilis Microsoft Fabric lakehouse-ba. Az ügyfelek a privát hivatkozással olyan tevékenységekkel is létrehozhatnak és üzembe helyezhetnek folyamatokat, mint a jegyzetfüzet- és adatfolyam-tevékenységek. Az adatok adattárházból és adattárházba való másolása azonban jelenleg nem lehetséges, ha a Fabric privát kapcsolata engedélyezve van.

ML-modell, kísérlet és adatügynök

Az ML-modell, a kísérlet és az adatügynök támogatja a privát kapcsolatot.

Power BI

  • Ha az internet-hozzáférés le van tiltva, és a Power BI szemantikai modell, a Datamart vagy az Adatfolyam Gen1 egy Power BI szemantikai modellhez vagy adatfolyamhoz csatlakozik adatforrásként, a kapcsolat meghiúsul.

  • A webes közzététel nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Az e-mail-előfizetések nem támogatottak, ha a Bérlői beállítás a Nyilvános internet-hozzáférés letiltása beállítást engedélyezi a Fabricben.

  • A Power BI-jelentések PDF-ként vagy PowerPointként való exportálása nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Ha a szervezet az Azure Private Linket használja a Fabricben, a modern használati metrikák jelentései részleges adatokat tartalmaznak (csak a jelentésmegnyitási eseményeket). Az ügyféladatok privát hivatkozásokon keresztüli átvitelének jelenlegi korlátozása megakadályozza, hogy a Fabric privát hivatkozásokon keresztül rögzítse a jelentésoldal-nézeteket és a teljesítményadatokat. Ha a szervezet engedélyezte az Azure Private Link és a Nyilvános internet-hozzáférés letiltása bérlői beállításait a Fabricben, az adathalmaz frissítése meghiúsul, és a használati metrikák jelentése nem jelenít meg adatokat.

  • A Copilot jelenleg nem támogatott Privát kapcsolat vagy zárt hálózati környezetek esetén.

Eventstream

Az Eventstream támogatja a Private Linket, lehetővé téve a biztonságos, valós idejű adatbetöltést több forrásból anélkül, hogy a nyilvános internet felé irányuló forgalmat tárt fel. Emellett támogatja a valós idejű adatátalakítást, például a bejövő adatfolyamok szűrését és bővítését, mielőtt a Fabricen belüli célhelyekre irányítanák őket.

Nem támogatott forgatókönyvek:

  • Az egyéni végpont forrásként nem támogatott.
  • Az egyéni végpont célként nem támogatott.
  • Az Eventhouse mint célhely (közvetlen betöltési móddal) nem támogatott.
  • Az Activator mint cél nem támogatott.

Eventhouse

Az Eventhouse támogatja a Private Linket, így biztonságos adatbetöltést és lekérdezést tesz lehetővé az Azure-beli virtuális hálózatról egy privát kapcsolaton keresztül. Különböző forrásokból, például Azure Storage-fiókokból, helyi fájlokból és Adatfolyam Gen2-ből is betölthet adatokat. A streamelés biztosítja az adatok azonnali rendelkezésre állását. Emellett KQL-lekérdezéseket vagy Sparkot is használhat az Eventhouse-adatok eléréséhez.

Korlátozások:

  • A OneLake-ből történő adatbetöltés nem támogatott.
  • Nem lehet parancsikont létrehozni az Eventhouse-hoz.
  • Egy Eventhouse-ra való csatlakozás nem lehetséges egy folyamatláncban.
  • A soros betöltés használatával történő adatbevitel nem támogatott.
  • A sorban álló adatbetöltésre támaszkodó adatcsatlakozók nem támogatottak.
  • Eseményház lekérdezése T-SQL használatával nem lehetséges.

Egészségügyi adatmegoldások (előzetes verzió)

Az ügyfelek privát kapcsolaton keresztül hozhatnak létre és használhatnak egészségügyi adatmegoldásokat a Microsoft Fabricben. Egy olyan bérlőben, ahol engedélyezve van a privát kapcsolat, az ügyfelek egészségügyi adatmegoldási képességeket helyezhetnek üzembe a klinikai adataik átfogó adatbetöltési és átalakítási forgatókönyveinek végrehajtásához. Emellett az egészségügyi adatok különböző forrásokból, például Azure Storage-fiókokból való betöltésének lehetősége.

Szövet események

A Fabric események az eseménykézbesítés befolyásolása nélkül támogatják a Privát Hivatkozást, mivel az események a bérlőn belülről erednek.

Azure-események

Az Azure-események a következő viselkedéssel támogatják a Private Linket, ha engedélyezve van a Nyilvános internet-hozzáférés letiltása bérlői beállítás:

  • Az Azure-eseményeket (például Azure Blob Storage-eseményeket) használó új konfigurációk nem lesznek kézbesítve.
  • Az Azure-eseményeket használó meglévő konfigurációk meggátolják az új események kézbesítését.

Microsoft Purview Információvédelem

Microsoft Purview információvédelem jelenleg nem támogatja a Private Linket. Ez azt jelenti, hogy az elkülönített hálózaton futó Power BI Desktopban a Bizalmasság gomb szürkén jelenik meg, a címkeadatok nem jelennek meg, és a .pbix-fájlok visszafejtése meghiúsul.

Ha engedélyezni szeretné ezeket a képességeket a Desktopban, a rendszergazdák konfigurálhatják a Microsoft Purview információvédelem, az Exchange Online Védelmi szolgáltatás (EOP) és az Azure Information Protection (AIP) szolgáltatást támogató mögöttes szolgáltatásokhoz tartozó szolgáltatáscímkéket. Győződjön meg arról, hogy tisztában van a szolgáltatáscímkék magánhálózati kapcsolatokban való használatának következményeivel.

Tükrözött adatbázis

A privát kapcsolat támogatott a nyílt tükrözéshez, az Azure Cosmos DB-tükrözéshez és az SQL Server 2025 tükrözéshez. Más típusú adatbázis-tükrözések esetén, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van, az aktív tükrözött adatbázisok szüneteltetett állapotba kerülnek, és a tükrözés nem indítható el.

Nyitott tükrözés esetén, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van, gondoskodjon arról, hogy a közzétevő privát kapcsolaton keresztül írjon adatokat a OneLake fogadózónába.

Egyéb szempontok és korlátozások

A Fabric privát végpontjaival végzett munka során több szempontot is figyelembe kell venni:

  • A Fabric legfeljebb 450 kapacitást támogat olyan bérlőkben, ahol engedélyezve van a Private Link.

  • Az újonnan létrehozott kapacitás nem támogatja a privát kapcsolatot, amíg a végpontja nem jelenik meg a privát DNS-zónában, ami akár 24 órát is igénybe vehet.

  • A bérlői migrálás le lesz tiltva, ha a Private Link be van kapcsolva a Háló felügyeleti portálján.

  • Az ügyfelek nem csatlakozhatnak a Fabric-erőforrásokhoz ugyanazon a hálózati helyről több bérlőn belül (attól függően, hogy hol konfigurálja a DNS-rekordokat), hanem csak az utolsó bérlő állíthatja be a Private Linket.

  • A privát kapcsolat nem támogatja a próbaverziós kapacitást. Ha privát kapcsolaton keresztül éri el a Fabric-et, a próbakapacitás nem működik.

  • A külső képek vagy témák bármilyen felhasználása nem érhető el privát kapcsolati környezetek használatakor.

  • Minden privát végpont csak egy bérlőhöz csatlakoztatható. Nem állíthat be olyan privát hivatkozást, amelyet egynél több bérlő használhat.

  • A bérlők közötti forgatókönyvek nem támogatottak. Ez azt jelenti, hogy egy bérlőszintű privát végpont beállítása az egyik Azure-bérlőben nem támogatott közvetlenül egy másik bérlő Private Link szolgáltatásához való csatlakozáshoz.

  • Fabric felhasználók számára: A helyszíni adatátjárók nem működnek és nem regisztrálhatók, ha a Private Link engedélyezve van. Az átjárókonfiguráló sikeres futtatásához le kell tiltani a Private Linket. További információ erről a forgatókönyvről. A virtuális hálózati adatátjárók működnek. További információkért tekintse meg ezeket a szempontokat.

  • PowerBI-tól eltérő (PowerApps vagy LogicApps) átjáró felhasználók: A privát kapcsolat engedélyezése esetén a helyszíni adatátjáró nem támogatott. Javasoljuk, hogy vizsgálja meg a virtuális hálózati adatátjáró használatát, amely privát kapcsolatokkal használható.

  • A privát hivatkozások nem működnek a VNet Data Gateway letöltési diagnosztikáival.

  • A Microsoft Fabric Kapacitásmetrikák alkalmazás nem támogatja a Private Linket.

  • A OneLake-katalógus – Szabályozás lap nem érhető el a Private Link aktiválásakor.

  • A privát kapcsolatok erőforrás REST API-k nem támogatják a címkéket.

  • A következő URL-címeknek elérhetőnek kell lenniük az ügyfélböngészőből:

    • Hitelesítéshez szükséges:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comfióktípustól függően eltérő lehet.

    • Az adatmérnöki és adattudomány tapasztalatokhoz szükséges:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (például: https://pypi.org/pypi/azure-storage-blob/json)
      • a condaPackages helyi statikus végpontjai
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Kapcsolódó tartalom

  • Last updated on