Delen via


Privékoppelingen voor beveiligde toegang tot Fabric

U kunt privékoppelingen gebruiken om beveiligde toegang te bieden voor gegevensverkeer in Fabric. Privé-eindpunten van Azure Private Link en Azure Networking worden gebruikt om gegevensverkeer privé te verzenden met behulp van de backbone-netwerkinfrastructuur van Microsoft in plaats van via internet te gaan.

Wanneer private link-verbindingen worden gebruikt, doorlopen deze verbindingen de backbone van het privénetwerk van Microsoft wanneer Fabric-gebruikers toegang hebben tot resources in Fabric.

Zie Wat is Azure Private Link voor meer informatie over Azure Private Link.

Het inschakelen van privé-eindpunten heeft invloed op veel items. Lees daarom dit hele artikel voordat u privé-eindpunten inschakelt.

Wat is een privé-eindpunt?

Privé-eindpunt garandeert dat verkeer naar de Fabric-items van uw organisatie (zoals het uploaden van een bestand naar OneLake, bijvoorbeeld) altijd het geconfigureerde private link-netwerkpad van uw organisatie volgt. U kunt Fabric configureren om alle aanvragen te weigeren die niet afkomstig zijn van het geconfigureerde netwerkpad.

Privé-eindpunten garanderen niet dat verkeer van Fabric naar uw externe gegevensbronnen, ongeacht of deze zich in de cloud of on-premises bevinden, is beveiligd. Configureer firewallregels en virtuele netwerken om uw gegevensbronnen verder te beveiligen.

Een privé-eindpunt is één richtingstechnologie waarmee clients verbindingen met een bepaalde service kunnen initiëren, maar de service niet toestaat om een verbinding in het klantnetwerk te initiëren. Dit integratiepatroon voor privé-eindpunten biedt beheerisolatie omdat de service onafhankelijk van de configuratie van het netwerkbeleid van de klant kan werken. Voor multitenant-services biedt dit privé-eindpuntmodel koppelings-id's om toegang te voorkomen tot resources van andere klanten die worden gehost binnen dezelfde service.

De Fabric-service implementeert privé-eindpunten en geen service-eindpunten.

Het gebruik van privé-eindpunten met Fabric biedt de volgende voordelen:

  • Beperk verkeer van internet naar Fabric en routeer het via het Microsoft backbone-netwerk.
  • Zorg ervoor dat alleen geautoriseerde clientcomputers toegang hebben tot Fabric.
  • Voldoen aan wettelijke en nalevingsvereisten die persoonlijke toegang tot uw gegevens- en analyseservices verplicht stellen.

Configuratie van privé-eindpunten begrijpen

Er zijn twee tenantinstellingen in de Fabric-beheerportal die betrokken zijn bij de configuratie van Private Link: Privékoppelingen van Azure en openbare internettoegang blokkeren.

Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is ingeschakeld:

  • Ondersteunde Fabric-items zijn alleen toegankelijk voor uw organisatie vanaf privé-eindpunten en zijn niet toegankelijk via het openbare internet.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, wordt geblokkeerd door de service en werkt niet.
  • Er zijn mogelijk scenario's die geen ondersteuning bieden voor privékoppelingen, die daarom worden geblokkeerd bij de service wanneer Openbare internettoegang blokkeren is ingeschakeld.

Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is uitgeschakeld:

  • Verkeer vanaf het openbare internet wordt toegestaan door Fabric-services.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk dat gericht is op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, worden vervoerd via het openbare internet en worden toegestaan door Fabric-services.
  • Als het virtuele netwerk is geconfigureerd om openbare internettoegang te blokkeren, worden scenario's die geen ondersteuning bieden voor privékoppelingen geblokkeerd door het virtuele netwerk en werken ze niet.

OneLake

OneLake ondersteunt Private Link. U kunt OneLake verkennen in de Fabric-portal of vanaf elke computer in uw gevestigde virtuele netwerk met behulp van OneLake-verkenner, Azure Storage Explorer, PowerShell en meer.

Directe aanroepen met regionale OneLake-eindpunten werken niet via een privékoppeling naar Fabric. Zie Hoe kan ik verbinding maken met OneLake?voor meer informatie over het maken van verbinding met OneLake en regionale eindpunten.

Warehouse en Lakehouse SQL-eindpunt

Toegang tot warehouse-items en Lakehouse SQL-eindpunten in de portal wordt beveiligd door Private Link. Klanten kunnen ook TDS-eindpunten (Tabular Data Stream) (bijvoorbeeld SQL Server Management Studio, Azure Data Studio) gebruiken om via Private Link verbinding te maken met Warehouse.

Visuele query's in Warehouse werken niet wanneer de tenantinstelling Openbare internettoegang blokkeren is ingeschakeld.

Lakehouse, Notebook, Spark-taakdefinitie, Omgeving

Nadat u de azure Private Link-tenantinstelling hebt ingeschakeld, resulteert het uitvoeren van de eerste Spark-taak (Notebook of Spark-taakdefinitie) of het uitvoeren van een Lakehouse-bewerking (laden naar tabel, tabelonderhoudsbewerkingen zoals Optimaliseren of Vacuüm) tot het maken van een beheerd virtueel netwerk voor de werkruimte.

Zodra het beheerde virtuele netwerk is ingericht, worden de starterspools (standaard compute-optie) voor Spark uitgeschakeld, omdat dit vooraf beheerde clusters zijn die worden gehost in een gedeeld virtueel netwerk. Spark-taken worden uitgevoerd op aangepaste pools die op aanvraag worden gemaakt op het moment dat taken worden verzonden binnen het toegewezen beheerde virtuele netwerk van de werkruimte. Migratie van werkruimten tussen capaciteiten in verschillende regio's wordt niet ondersteund wanneer een beheerd virtueel netwerk wordt toegewezen aan uw werkruimte.

Wanneer de instelling voor privékoppeling is ingeschakeld, werken Spark-taken niet voor tenants waarvan de thuisregio geen ondersteuning biedt voor Fabric-Data-engineer ing, zelfs niet als ze Infrastructuurcapaciteit van andere regio's gebruiken die dat wel doen.

Zie Managed VNet for Fabric voor meer informatie.

Gegevensstroom Gen2

U kunt Dataflow Gen2 gebruiken om gegevens op te halen, gegevens te transformeren en gegevensstroom te publiceren via een private link. Wanneer uw gegevensbron zich achter de firewall bevindt, kunt u de VNet-gegevensgateway gebruiken om verbinding te maken met uw gegevensbronnen. De VNet-gegevensgateway maakt de injectie van de gateway (compute) mogelijk in uw bestaande virtuele netwerk, waardoor een beheerde gateway-ervaring wordt geboden. U kunt VNet-gatewayverbindingen gebruiken om verbinding te maken met een Lakehouse of Warehouse in de tenant waarvoor een privékoppeling is vereist of om verbinding te maken met andere gegevensbronnen met uw virtuele netwerk.

Pijplijn

Wanneer u verbinding maakt met pijplijn via een privékoppeling, kunt u de gegevenspijplijn gebruiken om gegevens uit elke gegevensbron met openbare eindpunten te laden in een Microsoft Fabric Lakehouse met private link. Klanten kunnen ook gegevenspijplijnen ontwerpen en operationeel maken met activiteiten, waaronder notebook- en gegevensstroomactiviteiten, met behulp van de privékoppeling. Het kopiëren van gegevens uit en naar een datawarehouse is momenteel echter niet mogelijk wanneer de privékoppeling van Fabric is ingeschakeld.

ML-model, experiment en AI-vaardigheid

ML-model, experiment en AI-vaardigheid ondersteunt private link.

Power BI

  • Als internettoegang is uitgeschakeld en als het semantische Power BI-model, Datamart of Dataflow Gen1 verbinding maakt met een semantisch Power BI-model of gegevensstroom als gegevensbron, mislukt de verbinding.

  • Publiceren op internet wordt niet ondersteund wanneer de tenantinstelling Azure Private Link is ingeschakeld in Fabric.

  • E-mailabonnementen worden niet ondersteund wanneer de tenantinstelling Openbare internettoegang blokkeren is ingeschakeld in Fabric.

  • Het exporteren van een Power BI-rapport als PDF of PowerPoint wordt niet ondersteund wanneer de tenantinstelling Azure Private Link is ingeschakeld in Fabric.

  • Als uw organisatie Azure Private Link in Fabric gebruikt, bevatten moderne rapporten met metrische gegevens over gebruik gedeeltelijke gegevens (alleen Open-gebeurtenissen rapporteren). Een huidige beperking bij het overdragen van clientgegevens via privékoppelingen voorkomt dat Fabric rapportpaginaweergaven en prestatiegegevens vastlegt via privékoppelingen. Als uw organisatie de tenantinstellingen van Azure Private Link had ingeschakeld en openbare internettoegang blokkeren in Fabric, mislukt het vernieuwen voor de gegevensset en worden er geen gegevens weergegeven in het rapport met metrische gegevens over gebruik.

Eventhouse

Eventhouse ondersteunt Private Link, waardoor beveiligde gegevensopname en query's vanuit uw virtuele Azure-netwerk via een privékoppeling mogelijk zijn. U kunt gegevens uit verschillende bronnen opnemen, waaronder Azure Storage-accounts, lokale bestanden en Dataflow Gen2. Streamingopname zorgt voor onmiddellijke beschikbaarheid van gegevens. Daarnaast kunt u KQL-query's of Spark gebruiken om toegang te krijgen tot gegevens binnen een eventhouse.

Beperkingen:

  • Het opnemen van gegevens uit OneLake wordt niet ondersteund.
  • Het maken van een snelkoppeling naar een eventhouse is niet mogelijk.
  • Verbinding maken met een eventhouse in een gegevenspijplijn is niet mogelijk.
  • Het opnemen van gegevens met behulp van opname in de wachtrij wordt niet ondersteund.
  • Gegevensconnectors die afhankelijk zijn van opname in de wachtrij, worden niet ondersteund.
  • Het uitvoeren van query's op een eventhouse met T-SQL is niet mogelijk.

Overige fabricitems

Andere Fabric-items, zoals Event Stream, bieden momenteel geen ondersteuning voor Private Link en worden automatisch uitgeschakeld wanneer u de tenantinstelling Openbare internettoegang blokkeren inschakelt om de nalevingsstatus te beveiligen.

Microsoft Purview Information Protection

Microsoft Purview Informatiebeveiliging biedt momenteel geen ondersteuning voor Private Link. Dit betekent dat in Power BI Desktop die wordt uitgevoerd in een geïsoleerd netwerk, de knop Vertrouwelijkheid grijs wordt weergegeven, labelinformatie niet wordt weergegeven en dat de ontsleuteling van PBIX-bestanden mislukt.

Beheerders kunnen servicetags configureren voor de onderliggende services die ondersteuning bieden voor Microsoft Purview Informatiebeveiliging, Exchange Online Protection (EOP) en AIP (Azure Information Protection). Zorg ervoor dat u begrijpt wat de gevolgen zijn van het gebruik van servicetags in een geïsoleerd netwerk met privékoppelingen.

Andere overwegingen en beperkingen

Er zijn verschillende overwegingen waarmee u rekening moet houden bij het werken met privé-eindpunten in Fabric:

  • Fabric ondersteunt maximaal 450 capaciteiten in een tenant waarvoor Private Link is ingeschakeld.

  • Tenantmigratie wordt geblokkeerd wanneer Private Link is ingeschakeld in de Fabric-beheerportal.

  • Klanten kunnen geen verbinding maken met Fabric-resources in meerdere tenants vanuit één VNet, maar alleen de laatste tenant voor het instellen van Private Link.

  • Private Link biedt geen ondersteuning voor de capaciteit van de proefversie. Bij toegang tot Fabric via Private Link-verkeer werkt de proefcapaciteit niet.

  • Gebruik van externe afbeeldingen of thema's is niet beschikbaar wanneer u een private link-omgeving gebruikt.

  • Elk privé-eindpunt kan slechts met één tenant worden verbonden. U kunt geen privékoppeling instellen voor gebruik door meer dan één tenant.

  • Voor Fabric-gebruikers: on-premises gegevensgateways worden niet ondersteund en kunnen niet worden geregistreerd wanneer Private Link is ingeschakeld. Als u de gatewayconfigurator wilt uitvoeren, moet Private Link worden uitgeschakeld. VNet-gegevensgateways werken.

  • Voor niet-Power BI-gatewaygebruikers (PowerApps of LogicApps): de gateway werkt niet goed wanneer Private Link is ingeschakeld. Een mogelijke tijdelijke oplossing is het uitschakelen van de azure Private Link-tenantinstelling , het configureren van de gateway in een externe regio (een andere regio dan de aanbevolen regio) en vervolgens Azure Private Link opnieuw inschakelen. Nadat Private Link opnieuw is ingeschakeld, gebruikt de gateway in de externe regio geen privékoppelingen.

  • REST API's voor privékoppelingen bieden geen ondersteuning voor tags.

  • De volgende URL's moeten toegankelijk zijn vanuit de clientbrowser:

    • Vereist voor verificatie:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, hoewel dit kan verschillen op basis van accounttype.
    • Vereist voor de Data-engineer- en Datawetenschap ervaringen:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (bijvoorbeeld, https://pypi.org/pypi/azure-storage-blob/json)
      • lokale statische eindpunten voor condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*