Tautan privat untuk akses aman ke Fabric

Anda dapat menggunakan tautan privat untuk menyediakan akses aman untuk lalu lintas data di Fabric. Titik akhir privat Azure Private Link dan Azure Networking digunakan untuk mengirim lalu lintas data secara privat menggunakan infrastruktur jaringan backbone Microsoft alih-alih melintasi internet.

Saat koneksi tautan privat digunakan, koneksi tersebut melalui backbone jaringan privat Microsoft saat pengguna Fabric mengakses sumber daya di Fabric.

Untuk mempelajari selengkapnya tentang Azure Private Link, lihat Apa itu Azure Private Link.

Mengaktifkan titik akhir privat berdampak pada banyak item, jadi Anda harus meninjau seluruh artikel ini sebelum mengaktifkan titik akhir privat.

Apa itu titik akhir privat

Titik akhir privat menjamin bahwa lalu lintas yang masuk ke item Fabric organisasi Anda (seperti mengunggah file ke OneLake, misalnya) selalu mengikuti jalur jaringan tautan privat organisasi Anda yang dikonfigurasi. Anda dapat mengonfigurasi Fabric untuk menolak semua permintaan yang tidak berasal dari jalur jaringan yang dikonfigurasi.

Titik akhir privat tidak menjamin bahwa lalu lintas dari Fabric ke sumber data eksternal Anda, baik di cloud atau lokal, diamankan. Mengonfigurasi aturan firewall dan jaringan virtual untuk lebih mengamankan sumber data Anda.

Titik akhir privat adalah teknologi terarah tunggal yang memungkinkan klien memulai koneksi ke layanan tertentu tetapi tidak memungkinkan layanan untuk memulai koneksi ke jaringan pelanggan. Pola integrasi titik akhir privat ini menyediakan isolasi manajemen karena layanan dapat beroperasi secara independen dari konfigurasi kebijakan jaringan pelanggan. Untuk layanan multipenyewa, model titik akhir privat ini menyediakan pengidentifikasi tautan untuk mencegah akses ke sumber daya pelanggan lain yang dihosting dalam layanan yang sama.

Layanan Fabric mengimplementasikan titik akhir privat dan bukan titik akhir layanan.

Menggunakan titik akhir privat dengan Fabric memberikan manfaat berikut:

• Batasi lalu lintas dari internet ke Fabric dan rutekan melalui jaringan backbone Microsoft.
• Pastikan hanya komputer klien resmi yang dapat mengakses Fabric.
• Mematuhi persyaratan peraturan dan kepatuhan yang mengamanatkan akses privat ke layanan data dan analitik Anda.

Memahami konfigurasi titik akhir privat

Ada dua pengaturan penyewa di portal admin Fabric yang terlibat dalam konfigurasi Private Link: Azure Private Links dan Blokir Akses Internet Publik.

Jika Azure Private Link dikonfigurasi dengan benar dan Akses Internet publik Blokir diaktifkan:

• Item Fabric yang didukung hanya dapat diakses untuk organisasi Anda dari titik akhir privat, dan tidak dapat diakses dari Internet publik.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat akan diblokir oleh layanan, dan tidak akan berfungsi.
• Mungkin ada skenario yang tidak mendukung tautan privat, yang oleh karena itu akan diblokir di layanan ketika Blokir Akses Internet Publik diaktifkan.

Jika Azure Private Link dikonfigurasi dengan benar dan Akses Internet publik Blokir dinonaktifkan:

• Lalu lintas dari Internet publik akan diizinkan oleh layanan Fabric.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat diangkut melalui Internet publik, dan akan diizinkan oleh layanan Fabric.
• Jika jaringan virtual dikonfigurasi untuk memblokir akses Internet publik, skenario yang tidak mendukung tautan privat akan diblokir oleh jaringan virtual, dan tidak akan berfungsi.

Private Link dalam pengalaman Fabric

OneLake

OneLake mendukung Private Link. Anda dapat menjelajahi OneLake di portal Fabric atau dari komputer apa pun dalam jaringan virtual yang Anda buat menggunakan melalui penjelajah file OneLake, Azure Storage Explorer, PowerShell, dan banyak lagi.

Panggilan langsung menggunakan titik akhir regional OneLake tidak berfungsi melalui tautan privat ke Fabric. Untuk informasi selengkapnya tentang menyambungkan ke OneLake dan titik akhir regional, lihat Bagaimana cara menyambungkan ke OneLake?.

Titik akhir analitik SQL Gudang dan Lakehouse

Mengakses Gudang atau titik akhir analitik SQL lakehouse di portal Fabric dilindungi oleh Private Link. Pelanggan juga dapat menggunakan titik akhir Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio, Azure Data Studio) untuk terhubung ke Gudang melalui tautan Privat.

Kueri visual di Gudang tidak berfungsi saat pengaturan Blokir penyewa Akses Internet Publik diaktifkan.

Lakehouse, Notebook, Definisi kerja Spark, Lingkungan

Setelah Anda mengaktifkan pengaturan penyewa Azure Private Link , menjalankan pekerjaan Spark pertama (Definisi kerja Notebook atau Spark) atau melakukan operasi Lakehouse (Muat ke Tabel, operasi pemeliharaan tabel seperti Optimize atau Vacuum) akan menghasilkan pembuatan jaringan virtual terkelola untuk ruang kerja.

Setelah jaringan virtual terkelola disediakan, kumpulan pemula (opsi Komputasi default) untuk Spark dinonaktifkan, karena ini adalah kluster yang telah dihosting sebelumnya di jaringan virtual bersama. Pekerjaan Spark berjalan pada kumpulan kustom yang dibuat sesuai permintaan pada saat pengiriman pekerjaan dalam jaringan virtual terkelola khusus ruang kerja. Migrasi ruang kerja di seluruh kapasitas di berbagai wilayah tidak didukung saat jaringan virtual terkelola dialokasikan ke ruang kerja Anda.

Saat pengaturan tautan privat diaktifkan, pekerjaan Spark tidak akan berfungsi untuk penyewa yang wilayah asalnya tidak mendukung Fabric Rekayasa Data, bahkan jika mereka menggunakan kapasitas Fabric dari wilayah lain yang melakukannya.

Untuk informasi selengkapnya, lihat VNet Terkelola untuk Fabric.

Aliran Data Gen2

Anda dapat menggunakan Dataflow gen2 untuk mendapatkan data, mengubah data, dan menerbitkan aliran data melalui tautan privat. Saat sumber data Berada di belakang firewall, Anda dapat menggunakan gateway data VNet untuk menyambungkan ke sumber data Anda. Gateway data VNet memungkinkan injeksi gateway (komputasi) ke jaringan virtual Anda yang ada, sehingga memberikan pengalaman gateway terkelola. Anda dapat menggunakan koneksi gateway VNet untuk menyambungkan ke Lakehouse atau Gudang di penyewa yang memerlukan tautan privat atau menyambungkan ke sumber data lain dengan jaringan virtual Anda.

Alur

Saat tersambung ke Pipeline melalui tautan privat, Anda dapat menggunakan alur data untuk memuat data dari sumber data apa pun dengan titik akhir publik ke microsoft Fabric lakehouse yang mendukung tautan privat. Pelanggan juga dapat menulis dan mengoprasikan alur data dengan aktivitas, termasuk aktivitas Notebook dan Aliran Data, menggunakan tautan privat. Namun, menyalin data dari dan ke Gudang Data saat ini tidak dimungkinkan saat tautan privat Fabric diaktifkan.

Keterampilan Model, Eksperimen, dan AI ML

Keterampilan Model, Eksperimen, dan AI ML mendukung tautan privat.

Power BI

• Jika akses internet dinonaktifkan, dan jika model semantik Power BI, Datamart, atau Dataflow Gen1 tersambung ke model semantik Power BI atau Aliran Data sebagai sumber data, koneksi akan gagal.

• Publikasikan ke Web tidak didukung saat pengaturan penyewa Azure Private Link diaktifkan di Fabric.

• Langganan email tidak didukung saat pengaturan penyewa Blokir Akses Internet Publik diaktifkan di Fabric.

• Mengekspor laporan Power BI sebagai PDF atau PowerPoint tidak didukung saat pengaturan penyewa Azure Private Link diaktifkan di Fabric.

• Jika organisasi Anda menggunakan Azure Private Link di Fabric, laporan metrik penggunaan modern akan berisi data parsial (hanya laporkan peristiwa Terbuka). Batasan saat ini saat mentransfer informasi klien melalui tautan privat mencegah Fabric menangkap Tampilan Halaman Laporan dan data performa melalui tautan privat. Jika organisasi Anda telah mengaktifkan pengaturan penyewa Azure Private Link dan Block Public Internet Access di Fabric, refresh untuk himpunan data gagal dan laporan metrik penggunaan tidak menampilkan data apa pun.

Rumah acara

Event house mendukung Private Link, memungkinkan penyerapan dan kueri data yang aman dari Azure Virtual Network Anda melalui tautan privat. Anda dapat menyerap data dari berbagai sumber, termasuk akun Azure Storage, file lokal, dan Dataflow Gen2. Penyerapan streaming memastikan ketersediaan data langsung. Selain itu, Anda dapat menggunakan kueri KQL atau Spark untuk mengakses data dalam rumah peristiwa.

Batasan:

• Menyerap data dari OneLake tidak didukung.
• Membuat pintasan ke rumah acara tidak dimungkinkan.
• Menyambungkan ke rumah peristiwa di alur data tidak dimungkinkan.
• Menyerap data menggunakan penyerapan antrean tidak didukung.
• Konektor data yang mengandalkan penyerapan antrean tidak didukung.
• Mengkueri rumah peristiwa menggunakan T-SQL tidak dimungkinkan.

Solusi data layanan kesehatan (pratinjau)

Pelanggan dapat menyediakan dan menggunakan solusi data Healthcare di Microsoft Fabric melalui tautan privat. Dalam penyewa yang telah diaktifkan dengan tautan privat, pelanggan dapat menyebarkan kemampuan solusi data Healthcare untuk menjalankan skenario penyerapan dan transformasi data yang komprehensif untuk data klinis mereka. Ini termasuk kemampuan untuk menyerap data layanan kesehatan dari berbagai sumber, seperti akun Azure Storage, dan banyak lagi.

Item Fabric lainnya

Item Fabric lainnya, seperti Eventstream, saat ini tidak mendukung Private Link, dan secara otomatis dinonaktifkan saat Anda mengaktifkan pengaturan Blokir penyewa Akses Internet Publik untuk melindungi status kepatuhan.

Perlindungan Informasi Microsoft Purview

Perlindungan Informasi Microsoft Purview saat ini tidak mendukung Private Link. Ini berarti bahwa di Power BI Desktop yang berjalan di jaringan terisolasi, tombol Sensitivitas berwarna abu-abu, informasi label tidak akan muncul, dan dekripsi file .pbix akan gagal.

Untuk mengaktifkan kemampuan ini di Desktop, admin dapat mengonfigurasi tag layanan untuk layanan dasar yang mendukung Perlindungan Informasi Microsoft Purview, Proteksi Exchange Online (EOP), dan Azure Information Protection (AIP). Pastikan Anda memahami implikasi penggunaan tag layanan dalam jaringan terisolasi tautan privat.

Pertimbangan dan batasan lainnya

Ada beberapa pertimbangan yang perlu diingat saat bekerja dengan titik akhir privat di Fabric:

• Fabric mendukung hingga 450 kapasitas dalam penyewa tempat Private Link diaktifkan.

• Ketika kapasitas baru dibuat, kapasitas tidak akan mendukung tautan privat hingga titik akhirnya tercermin di zona DNS privat. Proses ini dapat memakan waktu hingga 24 jam.

• Migrasi penyewa diblokir saat Private Link diaktifkan di portal admin Fabric.

• Pelanggan tidak dapat terhubung ke sumber daya Fabric di beberapa penyewa dari satu jaringan virtual, melainkan hanya penyewa terakhir yang menyiapkan Private Link.

• Tautan privat tidak mendukung dalam kapasitas Uji Coba. Saat mengakses Fabric melalui lalu lintas Private Link, kapasitas uji coba tidak akan berfungsi.

• Setiap penggunaan gambar atau tema eksternal tidak tersedia saat menggunakan lingkungan tautan privat.

• Setiap titik akhir privat hanya dapat dihubungkan ke satu penyewa. Anda tidak dapat menyiapkan tautan privat untuk digunakan oleh lebih dari satu penyewa.

• Untuk pengguna Fabric: Gateway data lokal tidak didukung dan gagal mendaftar saat Private Link diaktifkan. Agar berhasil menjalankan konfigurasi gateway, Private Link harus dinonaktifkan. Pelajari selengkapnya tentang skenario ini. Gateway data VNet akan berfungsi. Untuk informasi selengkapnya, lihat pertimbangan ini.

• Untuk pengguna gateway non-PowerBI (PowerApps atau LogicApps) : Gateway data lokal tidak berfungsi dengan baik saat Private Link diaktifkan. Sebaiknya jelajahi penggunaan gateway data VNET, yang dapat digunakan dengan tautan privat. Solusi potensial adalah menonaktifkan pengaturan penyewa Azure Private Link , mengonfigurasi gateway di wilayah jarak jauh (wilayah selain wilayah yang direkomendasikan), lalu mengaktifkan kembali Azure Private Link. Setelah Private Link diaktifkan kembali, gateway di wilayah jarak jauh tidak akan menggunakan tautan privat. Namun, kami tidak memberikan dukungan untuk skenario ini.

• REST API sumber daya tautan privat tidak mendukung tag.

• URL berikut harus dapat diakses dari browser klien:

  • Diperlukan untuk autentikasi:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, meskipun ini mungkin berbeda berdasarkan jenis akun.

  • Diperlukan untuk pengalaman Rekayasa Data dan Ilmu Data:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (misalnya, https://pypi.org/pypi/azure-storage-blob/json)
    • titik akhir statis lokal untuk condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Konten terkait

• Menyiapkan dan menggunakan titik akhir privat yang aman
• VNet terkelola untuk Fabric
• Akses Bersyarat
• Cara menemukan ID penyewa Microsoft Entra Anda