Zdieľať cez

Súkromné prepojenia na zabezpečený prístup k službe Fabric

  • Článok

Súkromné prepojenia môžete použiť na poskytovanie zabezpečeného prístupu k údajom v službe Fabric. Súkromné koncové body Azure Private Link a Azure Networking sa používajú na súkromné odosielanie prenosov údajov pomocou infraštruktúry chrbticovej siete spoločnosti Microsoft namiesto toho, aby prechádzali cez internet.

Keď sa použijú pripojenia súkromných prepojení, tieto pripojenia prechádzajú chrbticovou sieťou súkromnej siete Microsoft, keď používatelia služby Fabric pristupujú k zdrojom v službe Fabric.

Ďalšie informácie o službe Azure Private Link nájdete v téme Čo je Služba Azure Private Link.

Povolenie súkromných koncových bodov má vplyv na mnoho položiek, takže pred povolením súkromných koncových bodov by ste si mali prečítať celý tento článok.

Čo je súkromný koncový bod

Súkromný koncový bod zaručuje, že prenos, ktorý prechádza do položiek služby Fabric vašej organizácie (napríklad nahratie súboru do služby OneLake), vždy sleduje nakonfigurovanú sieťovú cestu súkromného prepojenia vašej organizácie. Môžete nakonfigurovať službu Fabric tak, aby sa všetky žiadosti, ktoré nepochádzajú z nakonfigurovanej sieťovej cesty, odmietali.

Súkromné koncové body nezaručujú , že prenosy zo služby Fabric do externých zdrojov údajov, či už v cloude alebo lokálne, budú zabezpečené. Nakonfigurujte pravidlá brány firewall a virtuálne siete na ďalšie zabezpečenie zdrojov údajov.

Súkromný koncový bod je jedna smerová technológia, ktorá umožňuje klientom nadviazať spojenie s danou službou, ale neumožňuje službe nadviazať spojenie so sieťou zákazníka. Tento vzor integrácie súkromného koncového bodu poskytuje izoláciu správy, pretože služba môže fungovať nezávisle od politiky konfigurácie siete zákazníka. V prípade viacúčelových služieb poskytuje tento model súkromného koncového bodu identifikátory prepojení, aby sa zabránilo prístupu k prostriedkom iných zákazníkov hosťovaných v tej istej službe.

Služba Fabric implementuje súkromné koncové body, nie koncové body služby.

Používanie súkromných koncových bodov v službe Fabric poskytuje nasledujúce výhody:

  • Obmedzte prenos z internetu na fabric a presmerujte ho cez chrbticovú sieť Microsoft.
  • Zabezpečte, aby k službe Fabric mali prístup iba oprávnení klienti.
  • Spĺňajte požiadavky na reguláciu a dodržiavanie súladu, ktoré nariaďujú súkromný prístup k vašim údajom a analytickým službám.

Vysvetlenie konfigurácie súkromného koncového bodu

Konfigurácia služby Private Link má dve nastavenia nájomníka na portáli na správu služby Fabric: Súkromné prepojenia Azure a Blokovať verejný prístup na internet.

Ak je služba Azure Private Link správne nakonfigurovaná a možnosť Blokovať verejný prístup na internet je povolená:

  • Podporované položky služby Fabric sú pre vašu organizáciu prístupné len zo súkromných koncových bodov a nie sú dostupné z verejného internetu.
  • Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
  • Prenosy z koncových bodov a scenárov, ktoré nepodporujú súkromné prepojenia, budú v službe zablokované a nebudú fungovať.
  • Môžu existovať scenáre, ktoré nepodporujú súkromné prepojenia, a preto budú v službe zablokované, keď je povolená možnosť Blokovať verejný prístup na internet.

Ak je služba Azure Private Link správne nakonfigurovaná a položka Blokovať verejný prístup na internet je zakázaná:

  • Služby fabricu môžu povoliť prenos z verejného internetu.
  • Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
  • Prenosy z virtuálnych sieťových cieľových koncových bodov a scenáre, ktoré nepodporujú súkromné prepojenia, sa prenášajú prostredníctvom verejného internetu a budú povolené službami Fabric.
  • Ak je virtuálna sieť nakonfigurovaná na blokovanie verejného prístupu na internet, scenáre, ktoré nepodporujú súkromné prepojenia, budú zablokované virtuálnou sieťou a nebudú fungovať.

OneLake

OneLake podporuje službu Private Link. Službu OneLake môžete preskúmať na portáli služby Fabric alebo z ľubovoľného počítača v rámci zavedenej virtuálnej siete pomocou prieskumníka súborov OneLake, prieskumníka Azure Storage Explorera, prostredia PowerShell a ďalších.

Priame volania využívajúce regionálne koncové body OneLake nefungujú prostredníctvom súkromného prepojenia na službu Fabric. Ďalšie informácie o pripojení k OneLake a regionálnym koncovým bodom nájdete v téme Ako sa pripojiť k službe OneLake?.

Koncový bod Warehouse a Lakehouse SQL

Prístup k položkám skladu a koncovým bodom SQL v službe Lakehouse na portáli je chránený službou Private Link. Zákazníci môžu tiež použiť koncové body služby Tabular Data Stream (TDS) (napríklad SQL Server Management Studio, Azure Data Studio) na pripojenie k skladu prostredníctvom súkromného prepojenia.

Dotaz vizuálu v sklade nefunguje, keď je povolené nastavenie nájomníka Blokovať verejný prístup na internet.

Lakehouse, Notebook, Spark definície úloh, prostredie

Po povolení nastavenia nájomníka služby Azure Private Link spustením prvej úlohy Spark (notebook alebo definícia úlohy služby Spark) alebo vykonaním operácie Lakehouse (Načítať do tabuľky) operácie údržby tabuliek, ako napríklad Optimalizácia alebo Vákuo), budú mať za následok vytvorenie spravovanej virtuálnej siete pre pracovný priestor.

Po zriadení spravovanej virtuálnej siete sú úvodné fondy (predvolená možnosť výpočtu) pre službu Spark zakázané, pretože tieto sú predvojne hosťované klastre v zdieľanej virtuálnej sieti. Úlohy v službe Spark sa spúšťajú vo vlastných bazénoch, ktoré sa vytvárajú na požiadanie v čase odoslania úlohy v rámci vyhradenej spravovanej virtuálnej siete pracovného priestoru. Migrácia pracovných priestorov v rámci kapacít v rôznych oblastiach nie je podporovaná, keď je spravovaná virtuálna sieť vyhradená pre váš pracovný priestor.

Keď je nastavenie private link povolené, úlohy v službe Spark nebudú fungovať pre nájomníkov, ktorých domovská oblasť nepodporuje Dátový inžinier Fabric, dokonca ani vtedy, ak používajú kapacity služby Fabric z iných oblastí, ktoré tak robia.

Ďalšie informácie nájdete v téme Spravovaná sieť VNet pre službu Fabric.

Tok údajov Gen2

Službu Dataflow Gen2 môžete použiť na získanie údajov, transformáciu údajov a publikovanie toku údajov prostredníctvom súkromného prepojenia. Keď je zdroj údajov za bránou firewall, môžete sa pripojiť k zdrojom údajov pomocou brány údajov VNet. Brána údajov VNet umožňuje vsunutie brány (vypočítať) do existujúcej virtuálnej siete, čím poskytuje prostredie spravovanej brány. Pripojenia k bráne VNet môžete použiť na pripojenie k službe Lakehouse alebo Warehouse v nájomníkovi, ktorá vyžaduje súkromné prepojenie alebo pripojenie k iným zdrojom údajov pomocou virtuálnej siete.

Pipeline

Keď sa pripojíte ku kanálu prostredníctvom súkromného prepojenia, môžete pomocou dátového kanála načítať údaje z ľubovoľného zdroja údajov s verejnými koncovými bodmi do služby Microsoft Fabric lakehouse, ktorá má podporu súkromného prepojenia. Zákazníci môžu prostredníctvom súkromného prepojenia tiež vytvoriť a prevádzkovať kanály údajov s aktivitami vrátane aktivít poznámkového bloku a toku údajov. Kopírovanie údajov z a do skladu údajov však v súčasnosti nie je možné, ak je povolené súkromné prepojenie služby Fabric.

Model strojového učenia, experiment a zručnosti umelej inteligencie

Model strojového učenia, experiment a zručnosť umelej inteligencie podporujú súkromné prepojenie.

Power BI

  • Ak je prístup k internetu zakázaný a sémantický model služby Power BI, Datamart alebo Dataflow Gen1 sa pripojí k sémantickému modelu služby Power BI alebo toku údajov ako zdroju údajov, pripojenie zlyhá.

  • Publikovanie na webe nie je podporované, ak je v službe Fabric povolené nastavenie nájomníka Azure Private Link .

  • Prihlásenie na odber e-mailov nie je podporované, ak je v službe Fabric povolené nastavenie Blokovať verejný prístup na internet.

  • Export zostavy Power BI vo formáte PDF alebo PowerPoint nie je podporovaný, keď je v službe Fabric povolené nastavenie nájomníka Azure Private Link .

  • Ak vaša organizácia používa službu Azure Private Link v službe Fabric, zostavy moderných metrík používania budú obsahovať čiastočné údaje (iba udalosti otvorenia zostavy). Aktuálne obmedzenie pri prenose klientskych informácií prostredníctvom súkromných prepojení bráni službe Fabric vo vytvorení zobrazení stránky zostavy a údajov o výkone prostredníctvom súkromných prepojení. Ak by vaša organizácia v službe Fabric povolila nastavenia nájomníka Azure Private Link a Blokovať verejný prístup na internet, obnovenie množiny údajov zlyhá a zostava metrík používania nezobrazí žiadne údaje.

Eventhouse

Eventhouse podporuje službu Private Link, čo umožňuje zabezpečené príjem údajov a dotazovanie z vašej virtuálnej siete Azure prostredníctvom súkromného prepojenia. Údaje môžete využívať z rôznych zdrojov vrátane kont Azure Storage, lokálnych súborov a služby Dataflow Gen2. Príjem streamovania zabezpečuje okamžitú dostupnosť údajov. Okrem toho môžete využívať dotazy KQL alebo Spark na prístup k údajom v rámci eventhouse.

Obmedzenia:

  • Ingesting údajov z OneLake nie je podporovaný.
  • Vytvorenie odkazu na miesto udalosti nie je možné.
  • Pripojenie k kanálu udalostí v údajovom kanáli nie je možné.
  • Používanie údajov vo fronte pri príjme vo fronte nie je podporované.
  • Konektory údajov, ktoré sa spoliehajú pri príjme do frontu, nie sú podporované.
  • Dotazovanie v službe eventhouse pomocou T-SQL nie je možné.

Ostatné položky tkaniny

Iné položky služby Fabric, napríklad Stream udalostí, momentálne nepodporujú službu Private Link a sú automaticky zakázané, keď zapnete nastavenie nájomníka Blokovať verejný prístup na internet, aby sa ochránil stav dodržiavania súladu.

Microsoft Purview Information Protection

Služba Microsoft Purview Information Protection momentálne nepodporuje službu Private Link. To znamená, že v aplikácii Power BI Desktop, ktorá je spustená v izolovanej sieti, je tlačidlo Citlivosť neaktívne, nezobrazujú sa informácie o označení a dešifrovanie súborov .pbix zlyhá.

Ak chcete povoliť tieto funkcie v aplikácii Desktop, správcovia môžu nakonfigurovať značky služby pre základné služby, ktoré podporujú službu Microsoft Purview Information Protection, Exchange Online Protection (EOP) a Azure Information Protection (AIP). Uistite sa, že pochopíte dôsledky používania značiek služby v izolovanej sieti súkromných prepojení.

Ďalšie dôležité informácie a obmedzenia

Existuje niekoľko dôležitých informácií, ktoré treba mať pri práci so súkromnými koncovými bodmi v službe Fabric na pamäti:

  • Služba Fabric podporuje až 450 kapacít v nájomníkovi, v ktorom je povolené private link.

  • Migrácia nájomníkov je blokovaná, keď je na portáli na správu služby Fabric zapnutá možnosť Private Link.

  • Zákazníci sa nemôžu pripojiť k zdrojom služby Fabric vo viacerých nájomníkoch z jednej siete VNet, ale iba posledným nájomníkom, ktorý nastavil službu Private Link.

  • Súkromné prepojenie nepodporuje funkciu Skúšobná kapacita. Pri prístupe k službe Fabric prostredníctvom prenosu private link nebude skúšobná kapacita fungovať.

  • Používanie externých obrázkov alebo motívov nie je pri používaní prostredia súkromného prepojenia k dispozícii.

  • Každý súkromný koncový bod môže byť pripojený len k jednému nájomníkovi. Nie je možné nastaviť súkromné prepojenie, ktoré bude používať viac ako jeden nájomník.

  • Používatelia služby Fabric: Lokálne brány údajov sa nepodporujú a neregistrujú sa, keď je povolené private link. Ak chcete úspešne spustiť konfigurátor brány, musí byť zakázané rozhranie Private Link. Brány údajov VNet budú fungovať. Ďalšie informácie nájdete v nasledujúcich bodoch.

  • Pre používateľov brány, ktoré nepoužívajú službu PowerBI (PowerApps alebo LogicApps): Brána nefunguje správne, keď je súkromné prepojenie povolené. Možným alternatívnym riešením je zakázanie nastavenia nájomníka služby Azure Private Link , konfigurácia brány vo vzdialenej oblasti (inej ako odporúčanej oblasti) a opätovné povolenie služby Azure Private Link. Po opätovnom povolení možnosti Private Link sa brána vo vzdialenej oblasti nebude používať súkromné prepojenia.

  • Rozhrania REST API na súkromné prepojenia nepodporujú značky.

  • Tieto URL adresy musia byť prístupné v klientskom prehliadači:

    • Povinné pre overovanie:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, môže sa to však líšiť v závislosti od typu konta.

    • Potrebné na prácu s Dátový inžinier a dátovou vedou:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/*(napríklad ) https://pypi.org/pypi/azure-storage-blob/json
      • lokálne statické koncové body pre kondaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Súvisiaci obsah