Megosztás a következőn keresztül:


Privát hivatkozások a Hálóhoz való biztonságos hozzáféréshez

Privát hivatkozások használatával biztonságos hozzáférést biztosíthat az adatforgalomhoz a Fabricben. Az Azure Private Link és az Azure Networking privát végpontjai az adatforgalom privát küldésére szolgálnak a Microsoft gerinchálózati infrastruktúrájával, nem pedig az interneten keresztül.

A privát kapcsolati kapcsolatok használatakor ezek a kapcsolatok a Microsoft magánhálózati gerinchálózatán haladnak át, amikor a Fabric felhasználói hozzáférnek a Fabric erőforrásaihoz.

Az Azure Private Linkről további információt az Azure Private Link ismertetése című témakörben talál.

A privát végpontok engedélyezése számos elemre hatással van, ezért a privát végpontok engedélyezése előtt érdemes áttekinteni ezt a teljes cikket.

Mi az a privát végpont?

A privát végpont garantálja, hogy a szervezet Fabric-elemeibe irányuló forgalom (például egy fájl feltöltése a OneLake-be) mindig a szervezet konfigurált privát kapcsolat hálózati útvonalát követi. A Hálót úgy konfigurálhatja, hogy megtagadja az összes olyan kérést, amely nem a konfigurált hálózati útvonalból származik.

A privát végpontok nem garantálják, hogy a Fabricből a külső adatforrásokra irányuló forgalom biztonságos legyen, akár a felhőben, akár a helyszínen. Konfigurálja a tűzfalszabályokat és a virtuális hálózatokat az adatforrások további védelméhez.

A privát végpontok egyetlen, irányított technológia, amely lehetővé teszi az ügyfelek számára, hogy kapcsolatokat kezdeményezhessenek egy adott szolgáltatáshoz, de nem teszik lehetővé a szolgáltatás számára, hogy kapcsolatot indítson az ügyfélhálózattal. Ez a privát végpontintegrációs minta felügyeleti elkülönítést biztosít, mivel a szolgáltatás az ügyfél hálózati házirend-konfigurációtól függetlenül működhet. A több-bérlős szolgáltatások esetében ez a privát végpontmodell hivatkozásazonosítókat biztosít, amelyek megakadályozzák az ugyanazon szolgáltatásban üzemeltetett más ügyfelek erőforrásaihoz való hozzáférést.

A Fabric szolgáltatás privát végpontokat implementál, nem pedig szolgáltatásvégpontokat.

Privát végpontok használata a Fabric használatával a következő előnyöket biztosítja:

  • Korlátozza az internetről a Fabric felé irányuló forgalmat, és irányítsa át a Microsoft gerinchálózatán.
  • Győződjön meg arról, hogy csak a jogosult ügyfélgépek férhetnek hozzá a Fabrichez.
  • Az adat- és elemzési szolgáltatásokhoz való privát hozzáférést biztosító jogszabályi és megfelelőségi követelményeknek való megfelelés.

A privát végpont konfigurációjának ismertetése

A Háló felügyeleti portálján két bérlői beállítás szerepel a Private Link konfigurációjában: Az Azure Private Links és a Nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:

  • A támogatott hálóelemek csak privát végpontokról érhetők el a szervezet számára, és nem érhetők el a nyilvános internetről.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat a szolgáltatás letiltja, és nem fog működni.
  • Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, ezért a szolgáltatás letiltja, ha engedélyezve van a nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:

  • A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a nyilvános interneten keresztül továbbítja, és a Fabric-szolgáltatások engedélyezik.
  • Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat, és nem működnek.

OneLake

A OneLake támogatja a Private Linket. A OneLake-t a Fabric portálon vagy a létrehozott virtuális hálózat bármely gépéről megismerheti a OneLake fájlkezelő, az Azure Storage Explorer, a PowerShell és egyebek segítségével.

A OneLake regionális végpontjait használó közvetlen hívások nem működnek a Fabrichez való privát kapcsolaton keresztül. További információ a OneLake-hez és a regionális végpontokhoz való csatlakozásról: Hogyan csatlakozás a OneLake-hez?

Warehouse és Lakehouse SQL Analytics-végpont

A Fabric portálon található Lakehouse-beli raktár vagy SQL Analytics-végpont elérése privát kapcsolattal védett. Az ügyfelek a Tabular Data Stream (TDS) végpontjaival (például SQL Server Management Studio, Azure Data Studio) is csatlakozhatnak a Warehouse-hoz privát kapcsolaton keresztül.

A Visual Query a Warehouse-ban nem működik, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van.

Lakehouse, Notebook, Spark-feladatdefiníció, Környezet

Miután engedélyezte az Azure Private Link bérlői beállítását, az első Spark-feladat (jegyzetfüzet vagy Spark-feladatdefiníció) futtatása vagy egy Lakehouse-művelet (Betöltés táblázatba, táblakarbantartási műveletek, például optimalizálás vagy vákuum) végrehajtása egy felügyelt virtuális hálózat létrehozását eredményezi a munkaterület számára.

A felügyelt virtuális hálózat kiépítése után a Spark kezdőkészletei (alapértelmezett számítási lehetőség) le lesznek tiltva, mivel ezek egy megosztott virtuális hálózaton üzemeltetett előre elkészített fürtök. A Spark-feladatok olyan egyéni készleteken futnak, amelyek a munkaterület dedikált felügyelt virtuális hálózatában történő feladatbeküldéskor jönnek létre igény szerint. A különböző régiókban lévő kapacitások közötti munkaterület-migrálás nem támogatott, ha egy felügyelt virtuális hálózat van lefoglalva a munkaterülethez.

Ha a privát kapcsolat beállítása engedélyezve van, a Spark-feladatok nem fognak működni azon bérlők esetében, akiknek az otthoni régiója nem támogatja a Fabric adatmérnök inget, még akkor sem, ha más régiókból származó Fabric-kapacitásokat használnak.

További információ: Managed VNet for Fabric.

Adatfolyam Gen2

A Dataflow gen2 használatával adatokat kérhet le, átalakíthat adatokat, és privát kapcsolaton keresztül közzéteheti az adatfolyamot. Ha az adatforrás a tűzfal mögött található, a virtuális hálózati adatátjáróval csatlakozhat az adatforrásokhoz. A virtuális hálózati adatátjáró lehetővé teszi az átjáró (számítás) injektálását a meglévő virtuális hálózatba, így felügyelt átjáró-élményt biztosít. VNet-átjárókapcsolatok használatával csatlakozhat egy olyan Lakehouse-hoz vagy -raktárhoz a bérlőben, amelyhez privát kapcsolat szükséges, vagy kapcsolódhat más adatforrásokhoz a virtuális hálózattal.

Folyamat

Amikor privát kapcsolaton keresztül csatlakozik a Folyamathoz, az adatfolyam használatával bármilyen nyilvános végponttal rendelkező adatforrásból adatokat tölthet be egy privát kapcsolattal kompatibilis Microsoft Fabric lakehouse-ba. Az ügyfelek a privát hivatkozás használatával olyan tevékenységekkel is létrehozhatják és üzembe helyezhetik az adatfolyamokat, mint a jegyzetfüzet- és adatfolyam-tevékenységek. Az adatok adattárházból és adattárházba való másolása azonban jelenleg nem lehetséges, ha a Fabric privát kapcsolata engedélyezve van.

ML-modell, kísérletezés és AI-képesség

Az ML-modell, kísérletezés és AI-képesség támogatja a privát kapcsolatot.

Power BI

  • Ha az internet-hozzáférés le van tiltva, és a Power BI szemantikai modell, a Datamart vagy az Adatfolyam Gen1 egy Power BI szemantikai modellhez vagy adatfolyamhoz csatlakozik adatforrásként, a kapcsolat sikertelen lesz.

  • A webes közzététel nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Az e-mail-előfizetések nem támogatottak, ha a Bérlői beállítás a Nyilvános internet-hozzáférés letiltása beállítást engedélyezi a Fabricben.

  • A Power BI-jelentések PDF-ként vagy PowerPointként való exportálása nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Ha a szervezet az Azure Private Linket használja a Fabricben, a modern használati metrikák jelentései részleges adatokat tartalmaznak (csak a jelentésmegnyitási eseményeket). Az ügyféladatok privát hivatkozásokon keresztüli átvitelének jelenlegi korlátozása megakadályozza, hogy a Fabric privát hivatkozásokon keresztül rögzítse a jelentésoldal-nézeteket és a teljesítményadatokat. Ha a szervezet engedélyezte az Azure Private Link és a Nyilvános internet-hozzáférés letiltása bérlői beállításait a Fabricben, az adathalmaz frissítése meghiúsul, és a használati metrikák jelentése nem jelenít meg adatokat.

Rendezvényház

Az Event House támogatja a Private Linket, így biztonságos adatbetöltést és lekérdezést tesz lehetővé az Azure-beli virtuális hálózatról egy privát kapcsolaton keresztül. Különböző forrásokból, például Azure Storage-fiókokból, helyi fájlokból és Adatfolyam Gen2-ből is betölthet adatokat. A streamelés biztosítja az adatok azonnali rendelkezésre állását. Emellett KQL-lekérdezéseket vagy Sparkot is használhat az eseményházon belüli adatok eléréséhez.

Korlátozások:

  • Az adatok OneLake-ből való betöltése nem támogatott.
  • Nem lehet parancsikont létrehozni egy eseményházhoz.
  • Nem lehet csatlakozni egy eseményházhoz egy adatfolyamban.
  • Az adatok várólistás betöltéssel való betöltése nem támogatott.
  • Az üzenetsoros betöltésre támaszkodó adatösszekötők nem támogatottak.
  • Az eseményház T-SQL használatával történő lekérdezése nem lehetséges.

Egészségügyi adatmegoldások (előzetes verzió)

Az ügyfelek privát kapcsolaton keresztül hozhatnak létre és használhatnak egészségügyi adatmegoldásokat a Microsoft Fabricben. Egy privát kapcsolattal rendelkező bérlőn belül az ügyfelek egészségügyi adatmegoldási képességeket helyezhetnek üzembe a klinikai adataik átfogó adatbetöltési és átalakítási forgatókönyveinek végrehajtásához. Ez magában foglalja az egészségügyi adatok betöltésének lehetőségét különböző forrásokból, például Azure Storage-fiókokból és egyebekből.

Egyéb hálóelemek

Az egyéb hálóelemek( például az Eventstream) jelenleg nem támogatják a Privát kapcsolat funkciót, és a megfelelőségi állapot védelme érdekében automatikusan le lesz tiltva a Nyilvános internet-hozzáférés letiltása bérlői beállítás bekapcsolásakor.

Microsoft Purview Információvédelem

Microsoft Purview információvédelem jelenleg nem támogatja a Private Linket. Ez azt jelenti, hogy az elkülönített hálózaton futó Power BI Desktopban a Bizalmasság gomb szürkén jelenik meg, a címkeadatok nem jelennek meg, és a .pbix-fájlok visszafejtése sikertelen lesz.

Ha engedélyezni szeretné ezeket a képességeket a Desktopban, a rendszergazdák konfigurálhatják a Microsoft Purview információvédelem, az Exchange Online Védelmi szolgáltatás (EOP) és az Azure Information Protection (AIP) szolgáltatást támogató mögöttes szolgáltatásokhoz tartozó szolgáltatáscímkéket. Győződjön meg arról, hogy tisztában van a szolgáltatáscímkék magánhálózati kapcsolatokban való használatának következményeivel.

Egyéb szempontok és korlátozások

A Fabric privát végpontjaival végzett munka során több szempontot is figyelembe kell venni:

  • A Fabric legfeljebb 450 kapacitást támogat olyan bérlőkben, ahol engedélyezve van a Private Link.

  • Az újonnan létrehozott kapacitás nem támogatja a privát kapcsolatot, amíg a végpontja nem jelenik meg a privát DNS-zónában. Ez akár 24 órát is igénybe vehet.

  • A bérlői migrálás le lesz tiltva, ha a Private Link be van kapcsolva a Háló felügyeleti portálján.

  • Az ügyfelek egyetlen virtuális hálózat több bérlőjében nem tudnak csatlakozni a Fabric-erőforrásokhoz, hanem csak az utolsó bérlőhöz, amely beállítja a Private Linket.

  • A privát kapcsolat nem támogatja a próbaverziós kapacitást. Ha privát kapcsolaton keresztül éri el a Hálót, a próbakapacitás nem fog működni.

  • A külső képek vagy témák bármilyen felhasználása nem érhető el privát kapcsolati környezetek használatakor.

  • Minden privát végpont csak egy bérlőhöz csatlakoztatható. Nem állíthat be olyan privát hivatkozást, amelyet egynél több bérlő használhat.

  • Hálófelhasználók számára: A helyszíni adatátjárók nem támogatottak, és nem regisztrálhatók, ha a Private Link engedélyezve van. Az átjárókonfiguráló sikeres futtatásához le kell tiltani a Private Linket. További információ erről a forgatókönyvről. A virtuális hálózati adatátjárók működni fognak. További információkért tekintse meg ezeket a szempontokat.

  • Nem PowerBI (PowerApps vagy LogicApps) átjárófelhasználók esetén: A helyszíni adatátjáró nem működik megfelelően, ha a Private Link engedélyezve van. Javasoljuk, hogy vizsgálja meg a VNET adatátjáró használatát, amely privát hivatkozásokkal használható. Lehetséges megkerülő megoldás az Azure Private Link bérlői beállításának letiltása, az átjáró konfigurálása egy távoli régióban (a javasolt régiótól eltérő régióban), majd az Azure Private Link újbóli engedélyezése. A Private Link újbóli engedélyezése után a távoli régióban lévő átjáró nem használ privát hivatkozásokat. Ehhez a forgatókönyvhöz azonban nem biztosítunk támogatást.

  • A privát kapcsolatok erőforrás REST API-k nem támogatják a címkéket.

  • A következő URL-címeknek elérhetőnek kell lenniük az ügyfélböngészőből:

    • Hitelesítéshez szükséges:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comfióktípustól függően azonban ez eltérő lehet.
    • A adatmérnök és Adattudomány szolgáltatásokhoz szükséges:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (például: https://pypi.org/pypi/azure-storage-blob/json)
      • a condaPackages helyi statikus végpontjai
      • https://cdn.jsdelivr.net/npm/monaco-editor*