Private koblinger for sikker tilgang til Fabric (forhåndsversjon)

Du kan bruke private koblinger til å gi sikker tilgang til datatrafikk i Fabric. Azure Private Link og Azure Networking private endepunkter brukes til å sende datatrafikk privat ved hjelp av Microsofts infrastruktur for ryggradsnettverk i stedet for å gå over Internett.

Når private koblingstilkoblinger brukes, går disse tilkoblingene gjennom Microsofts private nettverksrad når Fabric-brukere får tilgang til ressurser i Fabric.

Hvis du vil ha mer informasjon om Azure Private Link, kan du se Hva er Azure Private Link.

Aktivering av private endepunkter har innvirkning på mange elementer, så du bør se gjennom hele artikkelen før du aktiverer private endepunkter.

Hva er et privat endepunkt

Privat endepunkt garanterer at trafikken som går inn i organisasjonens Fabric-elementer (for eksempel opplasting av en fil til OneLake, for eksempel) alltid følger organisasjonens konfigurerte private koblingsnettverksbane. Du kan konfigurere Fabric til å avslå alle forespørsler som ikke kommer fra den konfigurerte nettverksbanen.

Private endepunkter garanterer ikke at trafikk fra Fabric til eksterne datakilder, enten i skyen eller lokalt, er sikret. Konfigurer brannmurregler og virtuelle nettverk for å sikre datakildene ytterligere.

Et privat endepunkt er én enkelt retningsteknologi som lar klienter starte tilkoblinger til en gitt tjeneste, men som ikke tillater at tjenesten starter en tilkobling til kundenettverket. Dette private endepunktintegreringsmønsteret gir administrasjonsusolasjon, siden tjenesten kan fungere uavhengig av konfigurasjon av kundenettverkspolicyer. For tjenester med flere enheter gir denne private endepunktmodellen koblingsidentifikatorer for å hindre tilgang til andre kunders ressurser som driftes i samme tjeneste.

Fabric-tjenesten implementerer private endepunkter og ikke tjenesteendepunkter.

Bruk av private endepunkter med Fabric gir følgende fordeler:

• Begrens trafikken fra Internett til Fabric og rute den gjennom Microsofts ryggradsnettverk.
• Sørg for at bare autoriserte klientmaskiner har tilgang til Fabric.
• Overholde forskriftsmessige krav og samsvarskrav som krever privat tilgang til data- og analysetjenestene dine.

Forstå privat endepunktkonfigurasjon

Det finnes to leierinnstillinger i fabric-administrasjonsportalen som er involvert i konfigurasjonen Private Link: Azure Private Links og Block Public Internet Access.

Hvis Azure Private Link er riktig konfigurert og blokker offentlig Internett-tilgang er aktivert:

• Stoffelementer som støttes, er bare tilgjengelige for organisasjonen fra private endepunkter, og er ikke tilgjengelige fra offentlig Internett.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarioer som støtter private koblinger, transporteres via den private koblingen.
• Trafikk fra de virtuelle nettverkene som målretter mot endepunkter og scenarier som ikke støtter private koblinger, blokkeres av tjenesten, og fungerer ikke.
• Det kan være scenarioer som ikke støtter private koblinger, som derfor blokkeres i tjenesten når Blokker offentlig Internett-tilgang er aktivert.

Hvis Azure Private Link er riktig konfigurert og blokker offentlig Internett-tilgang er deaktivert:

• Trafikk fra det offentlige Internett vil bli tillatt av Fabric-tjenester.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarioer som støtter private koblinger, transporteres via den private koblingen.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarier som ikke støtter private koblinger, transporteres via offentlig Internett, og tillates av Fabric-tjenester.
• Hvis det virtuelle nettverket er konfigurert til å blokkere offentlig Internett-tilgang, blokkeres scenarioer som ikke støtter private koblinger av det virtuelle nettverket, og fungerer ikke.

Private Link in Fabric-opplevelser

Onelake

Onelake støtter Private Link. Du kan utforske Onelake i Fabric-portalen eller fra en hvilken som helst maskin i det etablerte VNet ved hjelp av OneLake-filutforsker, Azure Storage Explorer, PowerShell og mer.

Direktesamtaler ved hjelp av regionale endepunkter i OneLake fungerer ikke via privat kobling til Fabric. Hvis du vil ha mer informasjon om hvordan du kobler til OneLake og regionale endepunkter, kan du se Hvordan koble til OneLake?.

Sql-endepunkt for Warehouse og Lakehouse

Tilgang til Lagerelementer og Lakehouse SQL-endepunkter i portalen er beskyttet av Private Link. Kunder kan også bruke TDS-endepunkter (Tabular Data Stream) (for eksempel SQL Server Management Studio, Azure Data Studio) til å koble til Warehouse via privat kobling.

Visualobjektspørring i Lager fungerer ikke når tenantinnstillingen Blokker offentlig Internett-tilgang er aktivert.

Lakehouse, Notebook, Spark jobbdefinisjon, Miljø

Når du har aktivert leierinnstillingen For Azure Private Link , kjører du den første Spark-jobben (definisjon av notatblokk eller Spark-jobb) eller utfører en Lakehouse-operasjon (Last til tabell, tabellvedlikeholdsoperasjoner som Optimaliser eller Vakuum) vil resultere i oppretting av et administrert virtuelt nettverk for arbeidsområdet.

Når det administrerte virtuelle nettverket er klargjort, deaktiveres startutvalgene (standard databehandlingsalternativ) for Spark, da disse er forhåndsvarmte klynger som driftes i et delt virtuelt nettverk. Spark-jobber kjører på egendefinerte utvalg som opprettes ved behov på tidspunktet for jobbinnsending i det dedikerte administrerte virtuelle nettverket i arbeidsområdet. Arbeidsområdeoverføring på tvers av kapasiteter i ulike områder støttes ikke når et administrert virtuelt nettverk tildeles arbeidsområdet.

Når den private koblingsinnstillingen er aktivert, fungerer ikke Spark-jobber for leiere som har et hjemområde som ikke støtter Fabric Dataingeniør ing, selv om de bruker stoffkapasitet fra andre områder som gjør det.

Hvis du vil ha mer informasjon, kan du se Administrert VNet for Fabric.

Dataflyt gen2

Du kan bruke Dataflyt gen2 til å hente data, transformere data og publisere dataflyt via privat kobling. Når datakilden er bak brannmuren, kan du bruke VNet-datagatewayen til å koble til datakildene. VNet-datagatewayen aktiverer injeksjon av gatewayen (databehandling) i det eksisterende virtuelle nettverket, og gir dermed en administrert gatewayopplevelse. Du kan bruke VNet Gateway-tilkoblinger til å koble til et Lakehouse eller Warehouse i leieren som krever en privat kobling eller koble til andre datakilder med det virtuelle nettverket.

Datasamlebånd

Når du kobler til Pipeline via privat kobling, kan du bruke datasamlebåndet til å laste inn data fra en datakilde med offentlige endepunkter til et privat-link-aktivert Microsoft Fabric lakehouse. Kunder kan også redigere og operasjonalisere datasamlebånd med aktiviteter, inkludert notatblokk- og dataflytaktiviteter, ved hjelp av den private koblingen. Kopiering av data fra og inn i et datalager er imidlertid for øyeblikket ikke mulig når Fabrics private kobling er aktivert.

Ferdigheter for ML-modell, eksperiment og kunstig intelligens

ML-modell-, eksperiment- og AI-ferdigheter støtter privat kobling.

Power BI

• Hvis Internett-tilgang er deaktivert, og hvis semantisk Power BI-modell, Datamart eller Dataflyt Gen1 kobler til en Semantisk Power BI-modell eller dataflyt som datakilde, vil tilkoblingen mislykkes.

• Publiser på nett støttes ikke når leierinnstillingen Azure Private Link er aktivert i Fabric.

• E-postabonnementer støttes ikke når tenantinnstillingen Blokker offentlig Internett-tilgang er aktivert i Fabric.

• Eksport av en Power BI-rapport som PDF eller PowerPoint støttes ikke når leierinnstillingen Azure Private Link er aktivert i Fabric.

• Hvis organisasjonen bruker Azure Private Link i Fabric, vil moderne bruksdatarapporter inneholde delvise data (bare Report Open-hendelser). En gjeldende begrensning når du overfører klientinformasjon over private koblinger, hindrer fabric i å registrere rapportsidevisninger og ytelsesdata via private koblinger. Hvis organisasjonen hadde aktivert leierinnstillingene for Azure Private Link og Block Public Internet Access i Fabric, mislykkes oppdateringen for datasettet, og bruksdatarapporten viser ingen data.

Andre stoffelementer

Andre Fabric-elementer, for eksempel KQL Database og EventStream, støtter for øyeblikket ikke Private Link, og deaktiveres automatisk når du aktiverer tenantinnstillingen Blokker offentlig Internett-tilgang for å beskytte samsvarsstatus.

Microsoft Purview informasjonsbeskyttelse

Microsoft Purview informasjonsbeskyttelse støtter for øyeblikket ikke Private Link. Dette betyr at i Power BI Desktop som kjører i et isolert nettverk, vil Følsomhet-knappen bli nedtonet, etikettinformasjon vises ikke, og dekryptering av PBIX-filer vil mislykkes.

Hvis du vil aktivere disse funksjonene i Desktop, kan administratorer konfigurere servicekoder for de underliggende tjenestene som støtter Microsoft Purview informasjonsbeskyttelse, Exchange Online Protection (EOP) og Azure Information Protection (AIP). Kontroller at du forstår konsekvensene av å bruke servicekoder i et isolert nettverk med private koblinger.

Andre hensyn og begrensninger

Det er flere hensyn å huske på mens du arbeider med private endepunkter i Fabric:

• Fabric støtter opptil 200 kapasiteter i en tenant der Private Link er aktivert.

• Leieroverføring blokkeres når Privat kobling er aktivert i administrasjonsportalen for Fabric.

• Kunder kan ikke koble til Fabric-ressurser i flere leiere fra én enkelt VNet, men heller bare den siste leieren som konfigurerer Privat kobling.

• Privat kobling støtter ikke i prøveversjonskapasitet.

• All bruk av eksterne bilder eller temaer er ikke tilgjengelig når du bruker et privat koblingsmiljø.

• Hvert private endepunkt kan bare kobles til én leier. Du kan ikke konfigurere en privat kobling som skal brukes av mer enn én leier.

• For Fabric-brukere: Lokale datagatewayer støttes ikke og kan ikke registreres når Privat kobling er aktivert. Hvis du vil kjøre gateway-konfiguratoren, må privat kobling være deaktivert. VNet-datagatewayer fungerer.

• For ikke-PowerBI-gatewaybrukere (PowerApps eller LogicApps): Gatewayen fungerer ikke som den skal når Privat kobling er aktivert. En mulig løsning er å deaktivere leierinnstillingen for Azure Private Link , konfigurere gatewayen i et eksternt område (et annet område enn det anbefalte området), og deretter aktivere Azure Private Link på nytt. Når Privat kobling er aktivert på nytt, bruker ikke gatewayen i det eksterne området private koblinger.

• Rest-API-er for private koblinger støtter ikke koder.

• Følgende URL-adresser må være tilgjengelige fra klientleseren:

  • Obligatorisk for godkjenning:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, men dette kan være forskjellig basert på kontotype.

  • Obligatorisk for Dataingeniør- og datavitenskapsopplevelsene:

    • http://res.cdn.office.net/
    • https://pypi.org/* (for eksempel https://pypi.org/pypi/azure-storage-blob/json)
    • lokale statiske endepunkter for condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Relatert innhold

• Konfigurere og bruke sikre private endepunkter
• Administrert VNet for Fabric
• Betinget tilgang
• Slik finner du leier-ID-en for Microsoft Entra