Linki prywatne umożliwiające bezpieczny dostęp do sieci Szkieletowej (wersja zapoznawcza)

Możesz użyć linków prywatnych, aby zapewnić bezpieczny dostęp do ruchu danych w sieci szkieletowej. Prywatne punkty końcowe usługi Azure Private Link i Azure Networking służą do wysyłania ruchu danych prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft zamiast przechodzenia przez Internet.

Gdy są używane połączenia łącza prywatnego, te połączenia przechodzą przez sieć szkieletową sieci prywatnej firmy Microsoft, gdy użytkownicy sieci szkieletowej uzyskują dostęp do zasobów w sieci szkieletowej.

Aby dowiedzieć się więcej na temat usługi Azure Private Link, zobacz Co to jest usługa Azure Private Link.

Włączenie prywatnych punktów końcowych ma wpływ na wiele elementów, dlatego przed włączeniem prywatnych punktów końcowych należy przejrzeć cały artykuł.

Co to jest prywatny punkt końcowy

Prywatny punkt końcowy gwarantuje, że ruch przechodzący do elementów sieci szkieletowej organizacji (na przykład przekazywania pliku do usługi OneLake) zawsze jest zgodny ze skonfigurowaną ścieżką sieciową łącza prywatnego w organizacji. Sieć szkieletowa można skonfigurować tak, aby odrzucała wszystkie żądania, które nie pochodzą ze skonfigurowanej ścieżki sieciowej.

Prywatne punkty końcowe nie gwarantują, że ruch z sieci szkieletowej do zewnętrznych źródeł danych , zarówno w chmurze, jak i lokalnie, jest zabezpieczony. Skonfiguruj reguły zapory i sieci wirtualne, aby dodatkowo zabezpieczyć źródła danych.

Prywatny punkt końcowy to pojedyncza technologia kierunkowa, która umożliwia klientom inicjowanie połączeń z daną usługą, ale nie zezwala usłudze na inicjowanie połączenia z siecią klienta. Ten wzorzec integracji prywatnego punktu końcowego zapewnia izolację zarządzania, ponieważ usługa może działać niezależnie od konfiguracji zasad sieci klienta. W przypadku usług wielodostępnych ten prywatny model punktu końcowego udostępnia identyfikatory linków, aby uniemożliwić dostęp do zasobów innych klientów hostowanych w ramach tej samej usługi.

Usługa Fabric implementuje prywatne punkty końcowe, a nie punkty końcowe usługi.

Korzystanie z prywatnych punktów końcowych z usługą Fabric zapewnia następujące korzyści:

• Ogranicz ruch z Internetu do sieci szkieletowej i kieruje go przez sieć szkieletową firmy Microsoft.
• Upewnij się, że tylko autoryzowane maszyny klienckie mogą uzyskiwać dostęp do sieci szkieletowej.
• Zgodność z wymaganiami dotyczącymi przepisów i zgodności, które nakazują prywatny dostęp do Twoich usług danych i analiz.

Omówienie konfiguracji prywatnego punktu końcowego

Istnieją dwa ustawienia dzierżawy w portalu administracyjnym sieci szkieletowej związane z konfiguracją usługi Private Link: Łącza prywatne platformy Azure i Blokuj publiczny dostęp do Internetu.

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i włączono opcję Blokuj publiczny dostęp doInternetu:

• Obsługiwane elementy sieci szkieletowej są dostępne tylko dla organizacji z prywatnych punktów końcowych i nie są dostępne z publicznego Internetu.
• Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne są transportowane za pośrednictwem łącza prywatnego.
• Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, zostanie zablokowany przez usługę i nie będzie działać.
• Mogą istnieć scenariusze, które nie obsługują linków prywatnych, co w związku z tym zostanie zablokowane w usłudze po włączeniu opcji Blokuj publiczny dostęp do Internetu.

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i opcja Blokuj publiczny dostęp do Internetu jest wyłączona:

• Ruch z publicznego Internetu będzie dozwolony przez usługi Sieci szkieletowej.
• Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne są transportowane za pośrednictwem łącza prywatnego.
• Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, są transportowane za pośrednictwem publicznego Internetu i będą dozwolone przez usługi Sieci szkieletowej.
• Jeśli sieć wirtualna jest skonfigurowana do blokowania publicznego dostępu do Internetu, scenariusze, które nie obsługują łączy prywatnych, zostaną zablokowane przez sieć wirtualną i nie będą działać.

Środowisko usługi Private Link w sieci szkieletowej

Onelake

Usługa Onelake obsługuje usługę Private Link. Możesz eksplorować usługę Onelake w portalu sieci szkieletowej lub z dowolnej maszyny w utworzonej sieci wirtualnej przy użyciu eksploratora plików usługi OneLake, Eksplorator usługi Azure Storage, programu PowerShell i nie tylko.

Bezpośrednie wywołania przy użyciu regionalnych punktów końcowych usługi OneLake nie działają za pośrednictwem łącza prywatnego do sieci Szkieletowej. Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą OneLake i regionalnymi punktami końcowymi, zobacz Jak mogę connect to OneLake?.

Punkt końcowy sql magazynu i usługi Lakehouse

Uzyskiwanie dostępu do elementów magazynu i punktów końcowych SQL usługi Lakehouse w portalu jest chronione przez usługę Private Link. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (np. SQL Server Management Studio, Azure Data Studio), aby nawiązać połączenie z magazynem za pośrednictwem łącza prywatnego.

Zapytanie wizualne w magazynie nie działa, gdy ustawienie Blokuj publiczny dostęp do Internetu jest włączone.

Lakehouse, Notebook, Definicja zadania platformy Spark, Środowisko

Po włączeniu ustawienia dzierżawy usługi Azure Private Link uruchomienie pierwszego zadania Platformy Spark (definicja zadania notesu lub platformy Spark) lub wykonanie operacji lakehouse (ładowanie do tabeli, operacje konserwacji tabeli, takie jak Optymalizacja lub opróżnienie), spowodują utworzenie zarządzanej sieci wirtualnej dla obszaru roboczego.

Po aprowizacji zarządzanej sieci wirtualnej pule początkowe (domyślna opcja obliczeniowa) dla platformy Spark są wyłączone, ponieważ są to klastry wstępnie obsługiwane w udostępnionej sieci wirtualnej. Zadania platformy Spark są uruchamiane w pulach niestandardowych utworzonych na żądanie w momencie przesłania zadania w dedykowanej zarządzanej sieci wirtualnej obszaru roboczego. Migracja obszaru roboczego między pojemnościami w różnych regionach nie jest obsługiwana, gdy zarządzana sieć wirtualna jest przydzielana do obszaru roboczego.

Po włączeniu ustawienia łącza prywatnego zadania platformy Spark nie będą działać w przypadku dzierżaw, których region macierzysny nie obsługuje inżynierowie danych sieci szkieletowej, nawet jeśli korzystają z pojemności sieci szkieletowej z innych regionów, które to robią.

Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna dla sieci szkieletowej.

Przepływ danych Gen2

Możesz użyć usługi Dataflow Gen2, aby pobrać dane, przekształcić dane i opublikować przepływ danych za pośrednictwem łącza prywatnego. Gdy źródło danych znajduje się za zaporą, możesz użyć bramy danych sieci wirtualnej, aby nawiązać połączenie ze źródłami danych. Brama danych sieci wirtualnej umożliwia wstrzyknięcie bramy (obliczeń) do istniejącej sieci wirtualnej, co zapewnia środowisko bramy zarządzanej. Za pomocą połączeń bramy sieci wirtualnej można nawiązać połączenie z usługą Lakehouse lub Warehouse w dzierżawie, która wymaga łącza prywatnego lub połączyć się z innymi źródłami danych z siecią wirtualną.

Potok

Po nawiązaniu połączenia z potokiem za pośrednictwem łącza prywatnego możesz użyć potoku danych, aby załadować dane z dowolnego źródła danych z publicznymi punktami końcowymi do usługi Microsoft Fabric typu lakehouse z obsługą łącza prywatnego. Klienci mogą również tworzyć i operacjonalizować potoki danych za pomocą działań, w tym działań notesu i przepływu danych, przy użyciu łącza prywatnego. Jednak kopiowanie danych z i do magazynu danych nie jest obecnie możliwe, gdy łącze prywatne sieci szkieletowej jest włączone.

Umiejętności dotyczące modelu uczenia maszynowego, eksperymentu i sztucznej inteligencji

Umiejętność modelowania uczenia maszynowego, eksperymentu i sztucznej inteligencji obsługuje link prywatny.

Power BI

• Jeśli dostęp do Internetu jest wyłączony, a semantyczny model usługi Power BI, datamart lub przepływ danych Gen1 łączy się z semantycznym modelem usługi Power BI lub przepływem danych jako źródłem danych, połączenie zakończy się niepowodzeniem.

• Publikowanie w sieci Web nie jest obsługiwane, gdy ustawienie dzierżawy usługi Azure Private Link jest włączone w sieci szkieletowej.

• Subskrypcje poczty e-mail nie są obsługiwane, gdy ustawienie dzierżawy Blokuj publiczny dostęp do Internetu jest włączone w sieci szkieletowej.

• Eksportowanie raportu usługi Power BI jako pliku PDF lub programu PowerPoint nie jest obsługiwane, gdy ustawienie dzierżawy usługi Azure Private Link jest włączone w sieci szkieletowej.

• Jeśli Twoja organizacja korzysta z usługi Azure Private Link w sieci szkieletowej, nowoczesne raporty metryk użycia będą zawierać dane częściowe (tylko raporty dotyczące otwartych zdarzeń). Bieżące ograniczenie podczas przesyłania informacji klienta za pośrednictwem łączy prywatnych uniemożliwia sieci szkieletowej przechwytywanie widoków stron raportu i danych wydajności za pośrednictwem linków prywatnych. Jeśli Twoja organizacja włączyła ustawienia dzierżawy usługi Azure Private Link i Blokuj publiczny dostęp do Internetu w sieci szkieletowej, odświeżanie zestawu danych zakończy się niepowodzeniem, a raport metryk użycia nie zawiera żadnych danych.

Inne elementy sieci szkieletowej

Inne elementy sieci szkieletowej, takie jak baza danych KQL i eventstream, nie obsługują obecnie usługi Private Link i są automatycznie wyłączone po włączeniu ustawienia Blokuj publiczny dostęp do Internetu w celu ochrony stanu zgodności.

Microsoft Purview Information Protection

Usługa Microsoft Purview Information Protection nie obsługuje obecnie usługi Private Link. Oznacza to, że w programie Power BI Desktop uruchomionym w izolowanej sieci przycisk Ważność będzie wyszarzany, informacje o etykiecie nie będą wyświetlane, a odszyfrowywanie plików pbix zakończy się niepowodzeniem.

Aby włączyć te możliwości w programie Desktop, administratorzy mogą konfigurować tagi usług dla podstawowych usług, które obsługują usługę Microsoft Purview Information Protection, Exchange Online Protection (EOP) i Azure Information Protection (AIP). Upewnij się, że rozumiesz konsekwencje używania tagów usługi w sieci izolowanej przez łącza prywatne.

Inne zagadnienia i ograniczenia

Podczas pracy z prywatnymi punktami końcowymi w sieci szkieletowej należy wziąć pod uwagę kilka zagadnień:

• Sieć szkieletowa obsługuje maksymalnie 200 pojemności w dzierżawie, w której włączono usługę Private Link.

• Migracja dzierżawy jest blokowana po włączeniu usługi Private Link w portalu administracyjnym sieci szkieletowej.

• Klienci nie mogą łączyć się z zasobami sieci szkieletowej w wielu dzierżawach z jednej sieci wirtualnej, ale tylko ostatniej dzierżawy do skonfigurowania usługi Private Link.

• Usługa Private Link nie obsługuje pojemności próbnej.

• W przypadku korzystania ze środowiska łącza prywatnego nie są dostępne żadne zastosowania obrazów zewnętrznych lub motywów.

• Każdy prywatny punkt końcowy może być połączony tylko z jedną dzierżawą. Nie można skonfigurować łącza prywatnego do użycia przez więcej niż jedną dzierżawę.

• W przypadku użytkowników sieci szkieletowej: lokalne bramy danych nie są obsługiwane i nie można zarejestrować się, gdy usługa Private Link jest włączona. Aby pomyślnie uruchomić konfigurator bramy, należy wyłączyć usługę Private Link. Bramy danych sieci wirtualnej będą działać.

• W przypadku użytkowników bramy innych niż Power BI (PowerApps lub LogicApps): brama nie działa prawidłowo po włączeniu usługi Private Link. Potencjalnym obejściem jest wyłączenie ustawienia dzierżawy usługi Azure Private Link , skonfigurowanie bramy w regionie zdalnym (innym niż zalecany region), a następnie ponowne włączenie usługi Azure Private Link. Po ponownym włączeniu usługi Private Link brama w regionie zdalnym nie będzie używać łączy prywatnych.

• Interfejsy API REST zasobów łączy prywatnych nie obsługują tagów.

• Następujące adresy URL muszą być dostępne w przeglądarce klienta:

  • Wymagane do uwierzytelniania:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, chociaż może to być inne w zależności od typu konta.

  • Wymagane w przypadku środowisk inżynierowie danych i Nauka o danych:

    • http://res.cdn.office.net/
    • https://pypi.org/* (na przykład https://pypi.org/pypi/azure-storage-blob/json)
    • lokalne statyczne punkty końcowe dla condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Powiązana zawartość

• Konfigurowanie i używanie bezpiecznych prywatnych punktów końcowych
• Zarządzana sieć wirtualna dla sieci szkieletowej
• Dostęp warunkowy
• Jak znaleźć identyfikator dzierżawy usługi Microsoft Entra