Links privados para acesso seguro ao Fabric (preview)

  • Artigo

É possível usar links privados para fornecer acesso seguro para o tráfego de dados no Fabric. Os pontos de extremidade privados do Link Privado do Azure e da Rede do Azure são usados para enviar o tráfego de dados de modo privado usando a infraestrutura de rede de backbone da Microsoft em vez de pela Internet.

Quando as conexões de link privado são usadas, essas conexões passam pelo backbone da rede privada da Microsoft quando os usuários do Fabric acessam os recursos dessa ferramenta.

Confira O que é o Link Privado do Azure para saber mais.

A habilitação de pontos de extremidade privados tem um impacto em vários itens, portanto, revise este artigo antes de habilitá-los.

O que é um ponto de extremidade privado?

O ponto de extremidade privado garante que o tráfego que entra nos itens do Fabric da sua organização (como upload de um arquivo para o OneLake, por exemplo) sempre siga o caminho de rede de link privado configurado da sua organização. Você pode configurar o Fabric para negar todas as solicitações que não forem provenientes do caminho de rede configurado.

Os pontos de extremidade privados não garantem que o tráfego do Fabric para as suas fontes de dados externas, seja na nuvem ou locais, seja protegido. Configure regras de firewall e redes virtuais que protegem ainda mais as suas fontes de dados.

Um ponto de extremidade privado é uma tecnologia direcional única que permite que clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão com a rede de clientes. Esse padrão de integração do ponto de extremidade privado proporciona o isolamento do gerenciamento, pois o serviço pode operar independentemente da configuração da política de rede do cliente. No caso de serviços multilocatários, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso a recursos de outros clientes hospedados no mesmo serviço.

O serviço do Fabric implementa pontos de extremidade privados, e não de serviço.

O uso de pontos de extremidade privados com o Fabric oferece os seguintes benefícios:

  • Restrinja o tráfego da Internet para o Fabric e encaminhe-o através da rede de backbone da Microsoft.
  • Verifique se somente as máquinas clientes autorizadas podem acessar o Fabric.
  • Cumpra os requisitos regulamentares e de conformidade que exigem acesso privado aos seus dados e serviços de análise.

Faça o reconhecimento da configuração do ponto de extremidade privado

Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração do Link Privado: Links Privados do Azure e Bloquear Acesso Público à Internet.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:

  • Os itens com suporte para o Fabric só poderão ser acessados pela sua organização nos pontos de extremidade privados e não poderão ser acessados pela Internet pública.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
  • O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não oferecem suporte a links privados será bloqueado pelo serviço e não funcionará.
  • Como pode haver cenários sem suporte para links privados, eles estarão bloqueados no serviço quando a opção Bloquear acesso público à internet estiver habilitada.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:

  • O tráfego da Internet pública será permitido pelos serviços do Fabric.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que não dão suporte a links privados será transportado pela Internet pública e será permitido pelos serviços do Fabric.
  • Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não dão suporte a links privados serão bloqueados pela rede virtual e não funcionarão.

OneLake

O Onelake oferece suporte ao link privado. Você pode explorar o Onelake no portal do Fabric ou de qualquer máquina dentro da sua VNet estabelecida usando o explorador de arquivos OneLake, o Gerenciador de Armazenamento do Azure, o PowerShell e outros.

Chamadas diretas usando pontos de extremidade regionais no OneLake não funcionam por meio de link privado para o Fabric. Para obter mais informações sobre como me conectar ao OneLake e pontos de extremidade regionais, consulte Como faço para me conectar ao OneLake?.

Ponto de extremidade SQL do Warehouse e do Lakehouse

O acesso a itens do Warehouse e aos pontos de extremidade SQL do Lakehouse no portal é protegido pelo link privado. Os clientes também podem usar pontos de extremidade TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse por meio do link privado.

A consulta visual no Warehouse não funciona quando a configuração de locatário Bloquear acesso público à internet está habilitada.

Lakehouse, Notebook, Definição de trabalho do Spark, Ambiente

Depois de habilitar a configuração de locatário do link privado do Azure, executar a primeira tarefa do Spark (definição de trabalho do Notebook ou do Spark) ou executar uma operação do Lakehouse (carregar na tabela, operações de manutenção de tabela, como otimizar ou aspirar) resultará na criação de uma rede virtual gerenciada para o espaço de trabalho.

Depois que a rede virtual gerenciada for provisionada, os pools iniciais (opção de computação padrão) do Spark serão desabilitados, pois são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em subfases personalizadas criadas sob demanda no momento do envio do trabalho na rede virtual gerenciada dedicada do espaço de trabalho. A migração de espaço de trabalho entre capacidades em diferentes regiões não é suportada quando uma rede virtual gerenciada é atribuída ao espaço de trabalho.

Quando a configuração de link privado estiver habilitada, os trabalhos do Spark não funcionarão para os locatários cuja região de origem não ofereça suporte à Engenharia de Dados do Fabric, mesmo que eles usem recursos do Fabric de outras regiões com suporte.

Para obter mais informações, veja VNet gerenciada para Fabric.

Fluxo de Dados Gen2

Você pode usar o Fluxo de trabalho gen2 para obter e transformar dados e para publicar o fluxo de dados por meio do link privado. Quando a fonte de dados consiste de firewall, você pode usar o gateway de dados VNet para se conectar às fontes de dados. O gateway de dados da VNet permite a injeção do gateway (computação) na rede virtual existente, fornecendo assim uma experiência de gateway gerenciado. Você pode usar conexões de gateway VNet para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com a rede virtual.

Pipeline

Ao se conectar ao Pipeline por meio de link privado, você pode usar o pipeline de dados para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um lakehouse do Microsoft Fabric habilitado para link privado. Os clientes também podem criar e operacionalizar pipelines de dados com atividades, incluindo atividades do Notebook e do Fluxo de dados, usando o link privado. No entanto, copiar dados de e para um Data Warehouse não é possível no momento quando o link privado do Fabric está habilitado.

Habilidade de IA, experimento e modelo de ML

Habilidades de IA, experimento e modelo de ML são compatíveis com link privado.

Power BI

  • Se o acesso à Internet estiver desativado e se o modelo semântico do Power BI, o Datamart ou o Dataflow Gen1 se conectar a um modelo semântico do Power BI ou ao Dataflow como fonte de dados, a conexão falhará.

  • Não há suporte para publicar na Web quando a configuração do locatário Link privado do Azure está habilitada no Fabric.

  • Não há suporte para assinaturas de email quando a opção Bloquear o acesso à internet pública estiver habilitada no Fabric.

  • Não há suporte para exportar um relatório como PDF ou PowerPoint quando você habilita o Link Privado do Azure no Fabric.

  • Se a sua organização estiver usando o Link Privado do Azure no Fabric, os relatórios de métricas de uso modernas conterão dados parciais (apenas relatar eventos abertos). Uma limitação atual na transferência das informações do cliente por meio de links privados impede o Fabric de capturar as Exibições da Página de Relatório e os dados de desempenho em links privados. Se sua organização tiver habilitado as configurações do locatário Link Privado do Azure e Bloquear Acesso Público à Internet no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.

Outros artigos sobre o Fabric

Outros itens do Fabric, como Banco de Dados KQL e EventStream, atualmente não oferecem suporte ao Link Privado e são desabilitados automaticamente quando você ativa a configuração de locatário Bloquear Acesso Público à Internet para proteger o status de conformidade.

Proteção de Informações do Microsoft Purview

A proteção de informações do Microsoft Purview não dá suporte a links privados. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão de Confidencialidade ficará cinza, as informações do rótulo não serão exibidas e a descriptografia de arquivos .pbix falhará.

Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que oferecem suporte à Proteção de Informações do Microsoft Purview, à Proteção do Exchange Online (EOP) e à Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de marcas de serviço em uma rede isolada de links privados.

Outras considerações e limitações

Tenha em mente algumas considerações ao trabalhar com os pontos de extremidade privados no Fabric:

  • O Fabric suporta até 200 capacidades em um locatário habilitado para link privado.

  • Quando o link privado estiver ativado no portal de administração do Fabric, a migração de locatário será bloqueada.

  • Clientes não podem se conectar aos recursos do Fabric em múltiplos locatários a partir de uma única VNet, mas apenas o último locatário a configurar o link privado.

  • O Link privado não oferece suporte à capacidade de avaliação.

  • O uso de imagens ou temas externos não está disponível durante o uso de um ambiente de link privado.

  • Cada ponto de extremidade privado só pode ser conectado a um locatário. Você não pode configurar um link privado para ser usado por mais de um locatário.

  • Para usuários do Fabric, o gateway de dados local não é compatível e apresenta falha no registro quando os links privados estão habilitados. Para executar o configurador de gateway com êxito, o Link Privado deve estar desabilitado. Os gateways de dados da VNet funcionarão.

  • Para usuários do Gateway que não é do PowerBI (PowerApps ou LogicApps), o gateway não funciona corretamente quando o Link Privado está habilitado. Uma possível solução alternativa é desativar as configurações de locatário do Link Privado do Azure, configurar o gateway em uma região remota (diferente da recomendada) e reabilitar o Link Privado do Azure. Depois que o Link Privado for reabilitado, o gateway na região remota não usará links privados.

  • As APIs REST dos recursos de links privados não dão suporte a marcas.

  • As seguintes URLs devem estar acessíveis no navegador do cliente:

    • Necessário para autenticação:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, embora isso possa ser diferente com base no tipo de conta.

    • Necessário para as experiências de Engenharia de Dados e Ciência de Dados:

      • http://res.cdn.office.net/
      • https://pypi.org/* (por exemplo, https://pypi.org/pypi/azure-storage-blob/json)
      • pontos de extremidade estáticos locais para condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Conteúdo relacionado