Tautan privat untuk pengguna Fabric

Anda dapat menggunakan tautan privat untuk menyediakan akses aman untuk lalu lintas data di Fabric. titik akhir privat Azure Private Link dan Azure Networking digunakan untuk mengirim lalu lintas data secara privat menggunakan infrastruktur jaringan backbone Microsoft alih-alih melintasi internet. Saat koneksi tautan privat digunakan, koneksi tersebut melewati backbone jaringan privat Microsoft saat pengguna Fabric mengakses sumber daya di Fabric. Private Link mengamankan akses masuk dalam satu batas penyewa dan tidak memungkinkan konektivitas lintas penyewa. Untuk data berbagi yang diatur di seluruh penyewa, gunakan berbagi data OneLake sebagai pilihan alternatif.

Fabric mendukung tautan privat di tingkat penyewa dan tingkat ruang kerja:

  • Tautan privat tingkat penyewa menyediakan kebijakan jaringan ke seluruh penyewa. Artikel ini berfokus pada tautan pribadi tingkat penyewa.

  • Taut privat tingkat Ruang Kerja memberikan kontrol terperinci, sehingga memungkinkan untuk membatasi access ke ruang kerja tertentu sambil memungkinkan ruang kerja lainnya tetap terbuka untuk access publik. Untuk mempelajari selengkapnya, lihat Tautan pribadi untuk ruang kerja Fabric.

Mengaktifkan titik akhir privat memengaruhi banyak item, jadi Anda harus meninjau seluruh artikel ini sebelum mengaktifkan titik akhir privat untuk penyewa Anda.

Apa itu titik akhir privat?

Titik akhir privat menjamin bahwa lalu lintas yang masuk ke item Fabric organisasi Anda (seperti mengunggah file ke dalam OneLake, misalnya) selalu mengikuti jalur jaringan tautan privat yang telah dikonfigurasi oleh organisasi Anda. Anda dapat mengonfigurasi Fabric untuk menolak semua permintaan yang tidak berasal dari jalur jaringan yang dikonfigurasi.

Titik akhir privat tidak menjamin bahwa lalu lintas dari Fabric ke sumber data eksternal Anda, baik di cloud atau di tempat, diamankan. Mengonfigurasi aturan firewall dan jaringan virtual untuk lebih mengamankan sumber data Anda.

Titik akhir privat adalah teknologi terarah tunggal yang memungkinkan klien memulai koneksi ke layanan tertentu tetapi tidak memungkinkan layanan untuk memulai koneksi ke jaringan pelanggan. Pola integrasi titik akhir privat ini menyediakan isolasi manajemen karena layanan dapat beroperasi secara independen dari konfigurasi kebijakan jaringan pelanggan. Untuk layanan multipenyewa, model titik akhir privat ini menyediakan pengidentifikasi tautan untuk mencegah access ke sumber daya pelanggan lain yang dihosting dalam layanan yang sama.

Layanan Fabric mengimplementasikan titik akhir privat dan bukan titik akhir layanan.

Menggunakan titik akhir privat dengan Fabric memberikan manfaat berikut:

  • Batasi lalu lintas dari internet ke Fabric dan rutekan melalui jaringan backbone Microsoft.
  • Pastikan hanya komputer klien yang berwenang yang dapat mengakses Fabric.
  • Mematuhi persyaratan peraturan dan kepatuhan yang mengamanatkan access privat ke layanan data dan analitik Anda.

Memahami konfigurasi titik akhir privat

Ada dua pengaturan penyewa di portal admin Fabric yang terlibat dalam konfigurasi Private Link: Azure Private Links dan Block Public Internet Access.

Jika Azure Private Link dikonfigurasi dengan benar dan Blokir akses Internet publikdiaktifkan:

  • Item Fabric yang didukung hanya dapat diakses untuk organisasi Anda dari titik akhir privat, dan tidak dapat diakses dari Internet publik.
  • Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
  • Lalu lintas dari virtual network yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat diblokir oleh layanan.
  • Mungkin ada skenario yang tidak mendukung tautan privat, yang diblokir di layanan saat Block Public Internet Access diaktifkan.

Jika Azure Private Link dikonfigurasi dengan benar dan memblokir akses Internet publikdinonaktifkan:

  • Lalu lintas dari Internet publik diizinkan oleh layanan Fabric.
  • Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
  • Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan pribadi melewati Internet publik, dan diizinkan oleh layanan Fabric.
  • Jika jaringan virtual dikonfigurasi untuk memblokir akses Internet publik, skenario yang tidak mendukung tautan pribadi diblokir oleh jaringan virtual.

OneLake

OneLake mendukung Private Link. Anda dapat menjelajahi OneLake di portal Fabric atau dari komputer apa pun dalam jaringan virtual yang Anda buat menggunakan penjelajah file OneLake, Azure Storage Explorer, PowerShell, dan banyak lagi.

Panggilan langsung menggunakan titik akhir regional OneLake tidak berfungsi melalui tautan privat ke Fabric. Untuk informasi selengkapnya tentang menyambungkan ke OneLake dan titik akhir regional, lihat Bagaimana cara menyambungkan ke OneLake?.

Jalan pintas

Pintasan OneLake didukung melalui Private Link ketika sumber dan target pintasan berada dalam tenant yang sama. Saat Anda mengakses data melalui pintasan melalui koneksi tautan privat, lalu lintas antara OneLake dan akun penyimpanan yang dirujuk berjalan melalui backbone jaringan privat Microsoft. Pintasan yang mereferensikan penyimpanan cloud eksternal (seperti Azure Data Lake Storage atau Amazon S3) mengharuskan akun penyimpanan eksternal juga memungkinkan akses titik akhir privat atau dapat dijangkau dari jaringan privat.

Pintasan antarmenyewa (pintasan yang merujuk pada data yang dibagikan dari penyewa Fabric lainnya) tidak didukung melalui Private Link. Untuk mengakses data antar-penyewa, gunakan fitur berbagi data OneLake tanpa Private Link.

Sistem Analitik SQL untuk Gudang dan Lakehouse

Mengakses Gudang atau endpoint analitik SQL dari Lakehouse di portal Fabric dilindungi oleh tautan privat. Pelanggan juga dapat menggunakan titik akhir Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio (SSMS) atau ekstensi MSSQL untuk Visual Studio Code) untuk terhubung ke Gudang melalui tautan privat.

Kueri visual di dalam Gudang tidak berfungsi saat pengaturan penyewa Block Public Internet Access diaktifkan.

database SQL

Mengakses database SQL atau titik akhir analitik SQL di portal Fabric dilindungi oleh tautan privat. Pelanggan juga dapat menggunakan titik akhir Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio atau Visual Studio Code) untuk menyambungkan ke database SQL melalui tautan privat. Untuk informasi selengkapnya tentang menyambungkan ke database SQL, lihat Otentikasi dalam database SQL di Microsoft Fabric.

Lakehouse, Notebook, Definisi kerja Spark, Lingkungan

Setelah Anda mengaktifkan pengaturan penyewa Azure Private Link, menjalankan pekerjaan Spark pertama (pekerjaan Notebook atau definisi pekerjaan Spark) atau melakukan operasi Lakehouse (memuat ke dalam tabel, operasi pemeliharaan tabel seperti Optimize atau Vacuum) akan menghasilkan pembuatan jaringan virtual yang dikelola untuk ruang kerja.

Setelah virtual network terkelola disediakan, kumpulan pemula (opsi Komputasi default) untuk Spark dinonaktifkan, karena mereka adalah kluster bawaan yang dihosting di virtual network bersama. Pekerjaan Spark dijalankan pada pool kustom yang dibuat sesuai permintaan pada saat pekerjaan diajukan, dalam jaringan virtual terkelola khusus yang didedikasikan untuk ruang kerja. Migrasi ruang kerja antar kapasitas di wilayah yang berbeda tidak didukung saat jaringan virtual yang dikelola dialokasikan ke ruang kerja Anda.

Saat pengaturan tautan privat diaktifkan, pekerjaan Spark tidak berfungsi untuk penyewa yang wilayah asalnya tidak mendukung Fabric Data Engineering, bahkan jika mereka menggunakan kapasitas Fabric dari wilayah lain yang mendukungnya.

Untuk informasi selengkapnya, lihat Managed VNet untuk Fabric.

Aliran Data Gen2

Anda dapat menggunakan Dataflow gen2 untuk mendapatkan data, mengubah data, dan menerbitkan aliran data melalui private link. Saat sumber data Anda berada di belakang firewall, Anda dapat menggunakan gateway data jaringan virtual virtual network untuk menyambungkan ke sumber data Anda. Gateway data VNet memungkinkan injeksi gateway (komputasi) ke virtual network Anda yang sudah ada, sehingga memberikan pengalaman gateway terkelola. Anda dapat menggunakan koneksi gateway jaringan virtual untuk menyambungkan ke Lakehouse atau Gudang di penyewa yang memerlukan tautan privat, atau menyambungkan ke sumber data lain dengan jaringan virtual Anda.

Pipeline

Saat tersambung ke Pipeline melalui tautan privat, Anda dapat menggunakan alur untuk memuat data dari sumber data apa pun dengan titik akhir publik ke dalam lakehouse Microsoft Fabric yang mendukung tautan privat. Pelanggan juga dapat menulis dan mengoperalisasi pipelines dengan aktivitas, termasuk aktivitas Notebook dan Aliran Data, menggunakan private link. Namun, menyalin data dari dan ke Data Warehouse saat ini tidak dimungkinkan saat tautan privat Fabric diaktifkan.

Model ML, Eksperimen, dan Agen data

Model ML, Eksperimen, dan Agen data mendukung private link.

Power BI

  • Jika akses internet dinonaktifkan, dan jika model semantik Power BI, Datamart, atau Dataflow Gen1 tersambung ke model semantik Power BI atau Aliran Data sebagai sumber data, koneksi gagal.

  • "Publish to Web tidak didukung saat pengaturan tenant Azure Private Link diaktifkan di Fabric."

  • Langganan email tidak didukung saat pengaturan penyewa Block Public Internet Access diaktifkan di Fabric.

  • Mengekspor laporan Power BI sebagai PDF atau PowerPoint tidak didukung saat pengaturan penyewa Azure Private Link diaktifkan di Fabric.

  • Jika organisasi Anda menggunakan Azure Private Link di Fabric, laporan metrik penggunaan modern berisi sebagian data (hanya peristiwa Buka Laporan). Batasan saat ini saat mentransfer informasi klien melalui tautan privat mencegah Fabric mengambil Tampilan Halaman Laporan dan data performa melalui tautan privat. Jika organisasi Anda mengaktifkan pengaturan penyewa Azure Private Link dan Block Public Internet Access di Fabric, refresh untuk himpunan data gagal dan laporan metrik penggunaan tidak menampilkan data apa pun.

  • Copilot saat ini tidak didukung untuk lingkungan jaringan Private Link atau tertutup.

  • Akses antar-penyewa ke data OneLake melalui pintasan atau berbagi data OneLake tidak didukung melalui Private Link. Pengguna yang perlu mengakses data bersama dari penyewa lain harus terhubung di luar jalur Private Link.

Eventstream

Eventstream mendukung Private Link, memungkinkan penyerapan data real time yang aman dari beberapa sumber tanpa mengekspos lalu lintas ke internet publik. Ini juga mendukung transformasi data real-time, seperti pemfilteran dan pengayaan aliran data masuk, sebelum merutekannya ke tujuan dalam Fabric.

Skenario yang tidak didukung:

  • Endpoint Kustom sebagai sumber tidak didukung.
  • Titik Akhir Kustom sebagai tujuan tidak didukung.
  • Eventhouse sebagai tujuan (dengan mode penyerapan langsung) tidak didukung.
  • Penggunaan Aktivator sebagai tujuan tidak didukung.

Data Activator

Data Activator mendukung penyerapan peristiwa dari KQL/Eventhouse, Power BI, dan Real-Time Hub Fabric Events untuk Private Link tingkat penyewa. Untuk tingkat ruang kerja, Data Activator mendukung penyerapan peristiwa dari KQL/Eventhouse dan Real-Time Hub Fabric Events.

Batasan:

  • Saat ini, Data Activator tidak mendukung pemasukan dari Eventstream dengan Private Links diaktifkan.

Eventhouse

Eventhouse mendukung Private Link, memungkinkan penyerapan dan kueri data yang aman dari jaringan Azure Virtual Network pribadi Anda melalui tautan pribadi. Anda dapat menyerap data dari berbagai sumber, termasuk akun Azure Storage, file lokal, dan Dataflow Gen2. Pengambilan data streaming memastikan ketersediaan data secara langsung. Selain itu, Anda dapat menggunakan kueri KQL atau Spark untuk mengakses data dalam Eventhouse.

Batasan:

  • Pengambilan data dari OneLake tidak didukung.
  • Membuat pintasan ke Eventhouse tidak memungkinkan.
  • Menghubungkan ke Eventhouse pada pipeline tidak memungkinkan.
  • Memasukkan data menggunakan pengambilan antrian tidak didukung.
  • Konektor data yang mengandalkan ingesti yang diantrekan tidak didukung.
  • Mengkueri Eventhouse menggunakan T-SQL tidak dimungkinkan.

Solusi data layanan kesehatan (pratinjau)

Pelanggan dapat menyediakan dan menggunakan solusi data Layanan Kesehatan di Microsoft Fabric melalui tautan privat. Pada penyewa di mana private link diaktifkan, pelanggan dapat menyebarkan kemampuan dari solusi data Healthcare untuk menjalankan skenario pengambilan dan transformasi data yang komprehensif untuk data klinis mereka. Juga termasuk kemampuan untuk menyerap data layanan kesehatan dari berbagai sumber, seperti akun Azure Storage, dan banyak lagi.

Acara Azure dan Fabric

Peristiwa Fabric (seperti peristiwa Pekerjaan, peristiwa item Ruang Kerja, dan peristiwa OneLake) mendukung "Private Link" di tingkat penyewa tanpa memengaruhi pengiriman peristiwa karena berasal dari dalam penyewa. Namun, ketika tautan privat tingkat ruang kerja dikonfigurasi untuk memblokir akses publik di ruang kerja tempat peristiwa berasal (ruang kerja sumber), konsumen peristiwa seperti pemberitahuan Aktivator atau eventstream di ruang kerja lain diblokir agar tidak menggunakan peristiwa tersebut kecuali tautan privat dibuat dari jaringan konsumen ke ruang kerja sumber.

Peristiwa Azure (seperti peristiwa Azure Blob Storage) dipengaruhi oleh tautan privat pada tingkat penyewa dan ruang kerja. Ketika pengaturan penyewa Block Public Internet Access diaktifkan, sumber peristiwa Azure di luar penyewa diblokir sepenuhnya dari mengirimkan peristiwa ke Fabric.

  • Konfigurasi baru untuk mengonsumsi peristiwa Azure diblokir.
  • Konfigurasi yang ada yang menggunakan peristiwa Azure berhenti mengirimkan peristiwa. Sistem mendeteksi perubahan konfigurasi dan menempatkan pengguna dalam status jeda.

Selain itu, saat Anda mengonfigurasi konsumen untuk menerima peristiwa Azure, item eventstream dibuat di ruang kerja Fabric untuk mewakili sumber Azure. Tautan privat tingkat ruang kerja memengaruhi konsumsi peristiwa Azure dengan cara yang sama seperti peristiwa Fabric: jika ruang kerja yang berisi item eventstream ini memblokir akses jaringan publik, konsumen di ruang kerja lain diblokir kecuali tautan privat dibuat.

Untuk informasi selengkapnya, lihat tautan privat untuk Peristiwa Azure dan Fabric.

Perlindungan Informasi Microsoft Purview

Microsoft Purview Information Protection saat ini tidak mendukung Private Link. Ini berarti bahwa di Power BI Desktop yang berjalan di jaringan terisolasi, tombol Sensitivitas berwarna abu-abu, informasi label tidak muncul, dan dekripsi file .pbix gagal.

Untuk mengaktifkan kemampuan ini di Desktop, admin dapat mengonfigurasi tag service untuk layanan dasar yang mendukung Microsoft Purview Information Protection, Exchange Online Protection (EOP), dan Azure Information Protection (AIP). Pastikan Anda memahami implikasi penggunaan tag layanan dalam jaringan terisolasi tautan privat.

Database mirror

Tautan privat didukung untuk pencerminan buka, pencerminan Azure Cosmos DB, pencerminan Azure SQL Managed Instance dan pencerminan SQL Server 2025. Untuk jenis pencerminan database lainnya, jika pengaturan penyewa Block public Internet access diaktifkan, database tercermin aktif memasuki status jeda, dan pencerminan tidak dapat dimulai.

Untuk mirroring terbuka, ketika pengaturan penyewa Block public Internet accessdiaktifkan, pastikan penerbit menulis data ke area pendaratan OneLake melalui tautan pribadi.

API untuk GraphQL

API untuk GraphQL mendukung Private Link, mengizinkan akses dan kueri API secara aman dari Azure Virtual Network melalui Private Link.

Limitations:

  • Dasbor pemantauan API dan pengelogan berdasarkan Pemantauan Ruang Kerja tidak didukung.
  • Service Principals (SPN) didukung sebagai klien namun tidak dimungkinkan untuk menggunakan Service Principal untuk membuat kredensial yang disimpan untuk akses antara API dan sumber data.
  • Penggunaan API untuk komponen GraphQL dan komponen sumber data dalam dua wilayah kapasitas yang berbeda tidak didukung saat akses publik dinonaktifkan. Anda akan mendapatkan kesalahan autentikasi dalam skenario ini.

Pertimbangan dan batasan lainnya

Ada beberapa pertimbangan yang perlu diingat saat bekerja dengan titik akhir privat di Fabric:

  • Fabric mendukung hingga 450 kapasitas dalam sebuah penyewa di mana Private Link diaktifkan.

  • Ketika kapasitas baru saja dibuat, itu tidak mendukung private link sampai titik akhirnya tersedia di zona DNS privat, yang dapat memakan waktu sampai 24 jam.

  • Migrasi penyewa diblokir saat Private Link diaktifkan di portal admin Fabric.

  • Pelanggan tidak dapat tersambung ke sumber daya Fabric di beberapa penyewa dari lokasi jaringan yang sama (tergantung di mana Anda mengonfigurasi catatan DNS), melainkan hanya penyewa terakhir yang menyiapkan Private Link.

  • Private link tidak mendukung dalam kapasitas Uji Coba. Saat mengakses Fabric melalui lalu lintas Private Link, kapasitas uji coba tidak berfungsi.

  • Setiap penggunaan gambar atau tema eksternal tidak tersedia saat menggunakan lingkungan private link.

  • Setiap titik akhir privat hanya dapat dihubungkan ke satu penyewa. Anda tidak dapat menyiapkan private link yang akan digunakan oleh lebih dari satu penyewa.

  • Skenario lintas penyewa tidak didukung. Ini berarti bahwa menyiapkan titik akhir privat tingkat penyewa dalam satu penyewa Azure untuk terhubung langsung ke layanan Private Link di penyewa lain tidak didukung.

  • Private Link beroperasi dalam satu batas lingkungan penyewa. Fitur berbagi data lintas penyewa milik Fabric (seperti berbagi data OneLake dan pintasan lintas penyewa) menggunakan kontrol akses terpisah dan tidak memerlukan atau mendukung Private Link. Untuk berbagi data di seluruh penyewa, konfigurasikan izin berbagi data OneLake sebagai gantinya.

  • Untuk pengguna Fabric: Gateway data lokal tidak didukung dan gagal mendaftar saat Private Link diaktifkan. Agar berhasil menjalankan konfigurasi gateway, Private Link harus dinonaktifkan. Pelajari selengkapnya tentang skenario ini. Gateway data jaringan virtual berfungsi. Untuk informasi selengkapnya, lihat pertimbangan ini.

  • Untuk pengguna Gateway non-PowerBI (PowerApps atau LogicApps): Gateway data lokal tidak didukung saat Private Link diaktifkan. Kami merekomendasikan untuk menjelajahi penggunaan gateway data jaringan virtual, yang dapat digunakan dengan tautan privat.

  • Private Link tidak berfungsi dengan diagnostik unduhan VNet Data Gateway.

  • Aplikasi Metrik Kapasitas Microsoft Fabric tidak mendukung Private Link.

  • Tab OneLake Catalog - Govern tidak tersedia saat Private Link diaktifkan.

  • REST API sumber daya tautan privat tidak mendukung tag.

  • URL berikut harus dapat diakses dari browser klien:

    • Diperlukan untuk autentikasi:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, meskipun mungkin berbeda berdasarkan jenis akun.

    • Diperlukan untuk pengalaman Rekayasa Data dan Ilmu Data:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (misalnya, https://pypi.org/pypi/azure-storage-blob/json)
      • titik akhir statis lokal untuk condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Konten terkait

  • Last updated on