Links privados para acesso seguro ao Fabric
É possível usar links privados para fornecer acesso seguro para o tráfego de dados no Fabric. Os pontos de extremidade privados do Link Privado do Azure e da Rede do Azure são usados para enviar o tráfego de dados de modo privado usando a infraestrutura de rede de backbone da Microsoft em vez de pela Internet.
Quando as conexões de link privado são usadas, essas conexões passam pelo backbone da rede privada da Microsoft quando os usuários do Fabric acessam os recursos dessa ferramenta.
Confira O que é o Link Privado do Azure para saber mais.
A habilitação de pontos de extremidade privados tem um impacto em vários itens, portanto, revise este artigo antes de habilitá-los.
O que é um ponto de extremidade privado?
O ponto de extremidade privado garante que o tráfego que entra nos itens do Fabric da sua organização (como upload de um arquivo para o OneLake, por exemplo) sempre siga o caminho de rede de link privado configurado da sua organização. Você pode configurar o Fabric para negar todas as solicitações que não forem provenientes do caminho de rede configurado.
Os pontos de extremidade privados não garantem que o tráfego do Fabric para as suas fontes de dados externas, seja na nuvem ou locais, seja protegido. Configure regras de firewall e redes virtuais que protegem ainda mais as suas fontes de dados.
Um ponto de extremidade privado é uma tecnologia direcional única que permite que clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão com a rede de clientes. Esse padrão de integração do ponto de extremidade privado proporciona o isolamento do gerenciamento, pois o serviço pode operar independentemente da configuração da política de rede do cliente. No caso de serviços multilocatários, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso a recursos de outros clientes hospedados no mesmo serviço.
O serviço do Fabric implementa pontos de extremidade privados, e não de serviço.
O uso de pontos de extremidade privados com o Fabric oferece os seguintes benefícios:
- Restrinja o tráfego da Internet para o Fabric e encaminhe-o através da rede de backbone da Microsoft.
- Verifique se somente as máquinas clientes autorizadas podem acessar o Fabric.
- Cumpra os requisitos regulamentares e de conformidade que exigem acesso privado aos seus dados e serviços de análise.
Faça o reconhecimento da configuração do ponto de extremidade privado
Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração do Link Privado: Links Privados do Azure e Bloquear Acesso Público à Internet.
Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:
- Os itens com suporte para o Fabric só poderão ser acessados pela sua organização nos pontos de extremidade privados e não poderão ser acessados pela Internet pública.
- O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
- O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não oferecem suporte a links privados será bloqueado pelo serviço e não funcionará.
- Como pode haver cenários sem suporte para links privados, eles estarão bloqueados no serviço quando a opção Bloquear acesso público à internet estiver habilitada.
Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:
- O tráfego da Internet pública será permitido pelos serviços do Fabric.
- O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
- O tráfego da rede virtual que direciona pontos de extremidade e cenários que não dão suporte a links privados será transportado pela Internet pública e será permitido pelos serviços do Fabric.
- Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não dão suporte a links privados serão bloqueados pela rede virtual e não funcionarão.
Experiências de Link Privado no Fabric
OneLake
O OneLake oferece suporte ao link privado. Você pode explorar o OneLake no portal do Fabric ou de qualquer máquina dentro da sua rede virtual estabelecida usando o explorador de arquivos OneLake, o Gerenciador de Armazenamento do Azure, o PowerShell e outros.
Chamadas diretas usando pontos de extremidade regionais no OneLake não funcionam por meio de link privado para o Fabric. Para obter mais informações sobre como me conectar ao OneLake e pontos de extremidade regionais, consulte Como faço para me conectar ao OneLake?.
Ponto de extremidade de análise do SQL do Warehouse e do Lakehouse
O acesso a um Warehouse ou aos pontos de extremidade de análise do SQL de um Lakehouse no portal do Fabric é protegido pelo Link Privado. Os clientes também podem usar pontos de extremidade TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse por meio do link privado.
A consulta visual no Warehouse não funciona quando a configuração de locatário Bloquear acesso público à internet está habilitada.
Lakehouse, Notebook, Definição de trabalho do Spark, Ambiente
Depois de habilitar a configuração de locatário do link privado do Azure, executar a primeira tarefa do Spark (definição de trabalho do Notebook ou do Spark) ou executar uma operação do Lakehouse (carregar na tabela, operações de manutenção de tabela, como otimizar ou aspirar) resultará na criação de uma rede virtual gerenciada para o espaço de trabalho.
Depois que a rede virtual gerenciada for provisionada, os pools iniciais (opção de computação padrão) do Spark serão desabilitados, pois são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em subfases personalizadas criadas sob demanda no momento do envio do trabalho na rede virtual gerenciada dedicada do espaço de trabalho. A migração de espaço de trabalho entre capacidades em diferentes regiões não é suportada quando uma rede virtual gerenciada é atribuída ao espaço de trabalho.
Quando a configuração de link privado estiver habilitada, os trabalhos do Spark não funcionarão para os locatários cuja região de origem não ofereça suporte à Engenharia de Dados do Fabric, mesmo que eles usem recursos do Fabric de outras regiões com suporte.
Para obter mais informações, veja VNet gerenciada para Fabric.
Fluxo de Dados Gen2
Você pode usar o Fluxo de trabalho gen2 para obter e transformar dados e para publicar o fluxo de dados por meio do link privado. Quando a fonte de dados consiste de firewall, você pode usar o gateway de dados VNet para se conectar às fontes de dados. O gateway de dados da VNet permite a injeção do gateway (computação) na rede virtual existente, fornecendo assim uma experiência de gateway gerenciado. Você pode usar conexões de gateway VNet para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com a rede virtual.
Pipeline
Ao se conectar ao Pipeline por meio de link privado, você pode usar o pipeline de dados para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um lakehouse do Microsoft Fabric habilitado para link privado. Os clientes também podem criar e operacionalizar pipelines de dados com atividades, incluindo atividades do Notebook e do Fluxo de dados, usando o link privado. No entanto, copiar dados de e para um Data Warehouse não é possível no momento quando o link privado do Fabric está habilitado.
Habilidade de IA, experimento e modelo de ML
Habilidades de IA, experimento e modelo de ML são compatíveis com link privado.
Power BI
Se o acesso à Internet estiver desativado e se o modelo semântico do Power BI, o Datamart ou o Dataflow Gen1 se conectar a um modelo semântico do Power BI ou ao Dataflow como fonte de dados, a conexão falhará.
No momento, não há suporte para o modo Direct Lake usando o Link Privado.
Não há suporte para publicar na Web quando a configuração do locatário Link privado do Azure está habilitada no Fabric.
Não há suporte para assinaturas de email quando a opção Bloquear o acesso à internet pública estiver habilitada no Fabric.
Não há suporte para exportar um relatório como PDF ou PowerPoint quando você habilita o Link Privado do Azure no Fabric.
Se a sua organização estiver usando o Link Privado do Azure no Fabric, os relatórios de métricas de uso modernas conterão dados parciais (apenas relatar eventos abertos). Uma limitação atual na transferência das informações do cliente por meio de links privados impede o Fabric de capturar as Exibições da Página de Relatório e os dados de desempenho em links privados. Se sua organização tiver habilitado as configurações do locatário Link Privado do Azure e Bloquear Acesso Público à Internet no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.
Eventhouse
A eventhouse oferece suporte ao Link Privado, permitindo a ingestão e consulta segura de dados da sua Rede Virtual do Azure por meio de um link privado. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Azure, arquivos locais e Dataflow Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, é possível usar consultas KQL ou Spark para acessar dados dentro de uma Eventhouse.
Limitações:
- Não há suporte para a ingestão de dados do OneLake.
- Não é possível criar um atalho para uma Eventhouse.
- Não é possível conectar-se a uma Eventhouse em um pipeline de dados.
- Não há suporte para a ingestão de dados usando a ingestão na fila.
- Não há suporte para conectores de dados que dependem da ingestão na fila.
- Não é possível consultar uma Eventhouse usando T-SQL.
Soluções de dados de saúde (versão prévia)
Os clientes podem provisionar e utilizar soluções de dados de saúde no Microsoft Fabric por meio de um link privado. Em um locatário que foi habilitado com um link privado, os clientes podem implantar recursos de solução de dados de saúde para executar cenários abrangentes de ingestão e transformação de dados para seus dados clínicos. Isso inclui a capacidade de ingerir dados de saúde de várias fontes, como contas de Armazenamento do Azure e muito mais.
Outros artigos sobre o Fabric
Outros itens do Fabric, como o Eventstream, atualmente não são compatíveis com o Link Privado e são desabilitados automaticamente quando você ativa a configuração de locatário Bloquear Acesso Público à Internet para proteger o status de conformidade.
Proteção de Informações do Microsoft Purview
A proteção de informações do Microsoft Purview não dá suporte a links privados. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão de Confidencialidade fica cinza, as informações do rótulo não serão exibidas e a descriptografia de arquivos .pbix falhará.
Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que oferecem suporte à Proteção de Informações do Microsoft Purview, à Proteção do Exchange Online (EOP) e à Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de marcas de serviço em uma rede isolada de links privados.
Outras considerações e limitações
Tenha em mente algumas considerações ao trabalhar com os pontos de extremidade privados no Fabric:
O Fabric suporta até 450 capacidades em um locatário habilitado para link privado.
Quando a capacidade tiver sido criada recentemente, não dará suporte à conexão privada até que seu ponto de extremidade seja refletido na zona DNS privada. Isso pode levar até 24 horas.
Quando o link privado estiver ativado no portal de administração do Fabric, a migração de locatário será bloqueada.
Clientes não podem se conectar aos recursos do Fabric em múltiplos locatários a partir de uma única rede virtual, mas apenas o último locatário a configurar o link privado.
O Link privado não oferece suporte à capacidade de avaliação. Ao acessar o Fabric por meio do tráfego de Link Privado, a capacidade de avaliação não funcionará.
O uso de imagens ou temas externos não está disponível durante o uso de um ambiente de link privado.
Cada ponto de extremidade privado só pode ser conectado a um locatário. Você não pode configurar um link privado para ser usado por mais de um locatário.
Para usuários do Fabric, o gateway de dados local não é compatível e apresenta falha no registro quando os links privados estão habilitados. Para executar o configurador de gateway com êxito, o Link Privado deve estar desabilitado. Saiba mais sobre esse cenário. Os gateways de dados da VNet funcionarão. Para obter mais informações, confira estas considerações.
Para usuários do Gateway não PowerBI (PowerApps ou LogicApps): o gateway de dados local não tem suporte quando o Link Privado está habilitado. É recomendável explorar o uso do gateway de dados VNET, que pode ser usado com links privados.
Os Links Privados não funcionarão com o diagnóstico de download do Gateway de Dados da VNet.
As APIs REST dos recursos de links privados não dão suporte a marcas.
As seguintes URLs devem estar acessíveis no navegador do cliente:
Necessário para autenticação:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
login.live.com
, embora isso possa ser diferente com base no tipo de conta.
Necessário para as experiências de Engenharia de Dados e Ciência de Dados:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
https://pypi.org/*
(por exemplo,https://pypi.org/pypi/azure-storage-blob/json
)- pontos de extremidade estáticos locais para condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*