Partilhar via


Links privados para acesso seguro ao Fabric

Você pode usar links privados para fornecer acesso seguro ao tráfego de dados no Fabric. O Azure Private Link e os pontos de extremidade privados da Rede do Azure são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede de backbone da Microsoft, em vez de atravessar a Internet.

Quando conexões de link privado são usadas, essas conexões passam pelo backbone de rede privada da Microsoft quando os usuários do Fabric acessam recursos no Fabric.

Para saber mais sobre o Azure Private Link, consulte O que é o Azure Private Link.

Habilitar pontos de extremidade privados tem um impacto em muitos itens, portanto, você deve revisar este artigo inteiro antes de habilitar pontos de extremidade privados.

O que é um endpoint privado

O ponto de extremidade privado garante que o tráfego que vai para os itens de malha da sua organização (como carregar um arquivo no OneLake, por exemplo) sempre siga o caminho de rede de link privado configurado da sua organização. Você pode configurar o Fabric para negar todas as solicitações que não vêm do caminho de rede configurado.

Os endpoints privados não garantem que o tráfego do Fabric para suas fontes de dados externas, seja na nuvem ou no local, esteja protegido. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.

Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão com a rede do cliente. Esse padrão de integração de ponto final privado fornece isolamento de gerenciamento, uma vez que o serviço pode operar independentemente da configuração da política de rede do cliente. Para serviços multilocatário, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso aos recursos de outros clientes hospedados no mesmo serviço.

O serviço Fabric implementa pontos de extremidade privados e não pontos de extremidade de serviço.

O uso de endpoints privados com o Fabric oferece os seguintes benefícios:

  • Restrinja o tráfego da Internet para o Fabric e encaminhe-o através da rede de backbone da Microsoft.
  • Certifique-se de que apenas máquinas clientes autorizadas possam acessar o Fabric.
  • Cumpra os requisitos regulamentares e de conformidade que exigem acesso privado aos seus dados e serviços de análise.

Compreender a configuração de ponto final privado

Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração de Link Privado: Links Privados do Azure e Bloquear Acesso Público à Internet.

Se o Azure Private Link estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:

  • Os itens de malha suportados só são acessíveis para sua organização a partir de pontos de extremidade privados e não são acessíveis a partir da Internet pública.
  • O tráfego da rede virtual direcionando pontos de extremidade e cenários que suportam links privados são transportados através do link privado.
  • O tráfego da rede virtual direcionando pontos de extremidade e cenários que não suportam links privados será bloqueado pelo serviço e não funcionará.
  • Pode haver cenários que não suportam links privados, que, portanto, serão bloqueados no serviço quando Bloquear Acesso Público à Internet estiver habilitado.

Se o Azure Private Link estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:

  • O tráfego da Internet pública será permitido pelos serviços Fabric.
  • O tráfego da rede virtual direcionando pontos de extremidade e cenários que suportam links privados são transportados através do link privado.
  • O tráfego da rede virtual direcionando pontos de extremidade e cenários que não suportam links privados é transportado pela Internet pública e será permitido pelos serviços de malha.
  • Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não suportam links privados serão bloqueados pela rede virtual e não funcionarão.

OneLake

OneLake suporta Private Link. Você pode explorar o OneLake no portal do Fabric ou de qualquer máquina dentro de sua rede virtual estabelecida usando o explorador de arquivos do OneLake, o Gerenciador de Armazenamento do Azure, o PowerShell e muito mais.

As chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam por meio de link privado para o Fabric. Para obter mais informações sobre como se conectar ao OneLake e pontos de extremidade regionais, consulte Como faço para me conectar ao OneLake?.

Ponto de extremidade SQL do Warehouse e Lakehouse

O acesso aos itens do Warehouse e aos endpoints do Lakehouse SQL no portal é protegido pelo Private Link. Os clientes também podem usar pontos de extremidade TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse via link privado.

A consulta visual no Warehouse não funciona quando a configuração de locatário Bloquear acesso público à Internet está habilitada.

Lakehouse, Notebook, Definição de trabalho do Spark, Ambiente

Depois de habilitar a configuração de locatário do Azure Private Link , executar o primeiro trabalho do Spark (definição de trabalho do Bloco de Anotações ou do Spark) ou executar uma operação do Lakehouse (Carregar para Tabela, operações de manutenção de tabela, como Otimizar ou Aspirar) resultará na criação de uma rede virtual gerenciada para o espaço de trabalho.

Depois que a rede virtual gerenciada tiver sido provisionada, os pools iniciais (opção de computação padrão) para o Spark serão desativados, pois são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados que são criados sob demanda no momento do envio do trabalho na rede virtual gerenciada dedicada do espaço de trabalho. A migração de espaços de trabalho entre capacidades em diferentes regiões não é suportada quando uma rede virtual gerenciada é alocada ao seu espaço de trabalho.

Quando a configuração de link privado estiver habilitada, os trabalhos do Spark não funcionarão para locatários cuja região de origem não ofereça suporte à Engenharia de Dados de Malha, mesmo que eles usem capacidades de Malha de outras regiões que o façam.

Para obter mais informações, consulte VNet gerenciada para malha.

Fluxo de dados Gen2

Você pode usar o Dataflow gen2 para obter dados, transformar dados e publicar o fluxo de dados via link privado. Quando sua fonte de dados está atrás do firewall, você pode usar o gateway de dados VNet para se conectar às suas fontes de dados. O gateway de dados VNet permite a injeção do gateway (computação) em sua rede virtual existente, fornecendo assim uma experiência de gateway gerenciado. Você pode usar conexões de gateway VNet para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com sua rede virtual.

Pipeline

Ao se conectar ao Pipeline via link privado, você pode usar o pipeline de dados para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um lago do Microsoft Fabric habilitado para link privado. Os clientes também podem criar e operacionalizar pipelines de dados com atividades, incluindo atividades de Notebook e Dataflow, usando o link privado. No entanto, copiar dados de e para um Data Warehouse atualmente não é possível quando o link privado do Fabric está habilitado.

Modelo de ML, experiência e habilidade de IA

A habilidade ML Model, Experiment e AI suporta link privado.

Power BI

  • Se o acesso à Internet estiver desabilitado e se o modelo semântico do Power BI, Datamart ou Dataflow Gen1 se conectar a um modelo semântico do Power BI ou Dataflow como uma fonte de dados, a conexão falhará.

  • Não há suporte para publicar na Web quando a configuração do locatário Azure Private Link está habilitada na Malha.

  • As assinaturas de email não são suportadas quando a configuração de locatário Bloquear acesso público à Internet está habilitada na malha.

  • Não há suporte para a exportação de um relatório do Power BI como PDF ou PowerPoint quando a configuração de locatário Azure Private Link está habilitada na Malha.

  • Se sua organização estiver usando o Azure Private Link no Fabric, os relatórios de métricas de uso modernos conterão dados parciais (somente eventos Report Open). Uma limitação atual ao transferir informações do cliente por links privados impede que o Fabric capture visualizações de página de relatório e dados de desempenho em links privados. Se sua organização tiver habilitado as configurações de locatário de Link Privado do Azure e Bloquear Acesso Público à Internet na Malha, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.

Casa de eventos

O Eventhouse suporta o Private Link, permitindo a ingestão segura de dados e consultas a partir da sua Rede Virtual do Azure através de uma ligação privada. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Azure, arquivos locais e Dataflow Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, você pode utilizar consultas KQL ou Spark para acessar dados dentro de uma casa de eventos.

Limitações:

  • Não há suporte para a ingestão de dados do OneLake.
  • Criar um atalho para uma casa de eventos não é possível.
  • Não é possível conectar-se a uma casa de eventos em um pipeline de dados.
  • Não há suporte para a ingestão de dados usando a ingestão em fila.
  • Não há suporte para conectores de dados que dependem de ingestão em fila.
  • Não é possível consultar uma casa de eventos usando T-SQL.

Outros artigos de tecido

Outros itens de malha, como fluxo de eventos, atualmente não oferecem suporte ao Private Link e são desativados automaticamente quando você ativa a configuração Bloquear locatário de acesso público à Internet para proteger o status de conformidade.

Proteção de Informações do Microsoft Purview

Atualmente, a Proteção de Informações do Microsoft Purview não oferece suporte ao Private Link. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Sensibilidade está acinzentado, as informações do rótulo não aparecerão e a descriptografia dos arquivos .pbix falhará.

Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que oferecem suporte à Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de tags de serviço em uma rede isolada de links privados.

Outras considerações e limitações

Há várias considerações a ter em mente ao trabalhar com pontos de extremidade privados no Fabric:

  • O Fabric suporta até 450 capacidades em um locatário onde o Private Link está habilitado.

  • A migração de locatários é bloqueada quando o Private Link é ativado no portal de administração do Fabric.

  • Os clientes não podem se conectar aos recursos do Fabric em vários locatários a partir de uma única rede virtual, mas apenas ao último locatário a configurar o Private Link.

  • O link privado não é compatível com a capacidade de avaliação. Ao acessar o Fabric por meio do tráfego de Link privado, a capacidade de avaliação não funcionará.

  • Quaisquer usos de imagens ou temas externos não estão disponíveis ao usar um ambiente de link privado.

  • Cada ponto de extremidade privado pode ser conectado a apenas um locatário. Não é possível configurar um link privado para ser usado por mais de um locatário.

  • Para usuários de malha: gateways de dados locais não são suportados e não são registrados quando o Private Link está habilitado. Para executar o configurador de gateway com êxito, o Private Link deve ser desativado. Saiba mais sobre este cenário. Os gateways de dados VNet funcionarão. Para obter mais informações, consulte estas considerações.

  • Para usuários de gateway que não são do PowerBI (PowerApps ou LogicApps): o gateway não funciona corretamente quando o Private Link está habilitado. Uma possível solução é desabilitar a configuração de locatário do Azure Private Link , configurar o gateway em uma região remota (uma região diferente da região recomendada) e reativar o Azure Private Link. Depois que o Link Privado for reativado, o gateway na região remota não usará links privados.

  • As APIs REST do recurso de links privados não suportam tags.

  • Os seguintes URLs devem estar acessíveis a partir do navegador do cliente:

    • Necessário para auth:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, embora isso possa ser diferente com base no tipo de conta.
    • Necessário para as experiências de Engenharia de Dados e Ciência de Dados:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (por exemplo, https://pypi.org/pypi/azure-storage-blob/json)
      • pontos de extremidade estáticos locais para condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*