Dela via


Privata länkar för säker åtkomst till Infrastrukturresurser (förhandsversion)

Du kan använda privata länkar för att ge säker åtkomst till datatrafik i Infrastrukturresurser. Privata Slutpunkter i Azure Private Link och Azure Networking används för att skicka datatrafik privat med hjälp av Microsofts stamnätverksinfrastruktur i stället för att gå över internet.

När privata länkanslutningar används går dessa anslutningar via Microsofts privata nätverksstomme när Fabric-användare får åtkomst till resurser i Infrastrukturresurser.

Mer information om Azure Private Link finns i Vad är Azure Private Link.

Aktivering av privata slutpunkter påverkar många objekt, så du bör granska hela artikeln innan du aktiverar privata slutpunkter.

Vad är en privat slutpunkt?

Privat slutpunkt garanterar att trafik som går till organisationens infrastrukturresurser (till exempel att ladda upp en fil till OneLake, till exempel) alltid följer organisationens konfigurerade nätverkssökväg för privata länkar. Du kan konfigurera Infrastrukturresurser för att neka alla begäranden som inte kommer från den konfigurerade nätverkssökvägen.

Privata slutpunkter garanterar inte att trafik från Infrastruktur till dina externa datakällor, oavsett om det är i molnet eller lokalt, skyddas. Konfigurera brandväggsregler och virtuella nätverk för att ytterligare skydda dina datakällor.

En privat slutpunkt är en enda riktningsteknik som låter klienter initiera anslutningar till en viss tjänst, men som inte tillåter att tjänsten initierar en anslutning till kundnätverket. Det här privata slutpunktsintegreringsmönstret ger hanteringsisolering eftersom tjänsten kan fungera oberoende av kundens nätverksprincipkonfiguration. För tjänster med flera klientorganisationer tillhandahåller den här privata slutpunktsmodellen länkidentifierare för att förhindra åtkomst till andra kunders resurser som finns i samma tjänst.

Fabric-tjänsten implementerar privata slutpunkter och inte tjänstslutpunkter.

Användning av privata slutpunkter med Fabric ger följande fördelar:

  • Begränsa trafik från Internet till Infrastrukturresurser och dirigera den via Microsofts stamnätverk.
  • Se till att endast auktoriserade klientdatorer kan komma åt Infrastrukturresurser.
  • Följ regel- och efterlevnadskrav som kräver privat åtkomst till dina data- och analystjänster.

Förstå konfiguration av privata slutpunkter

Det finns två klientinställningar i infrastrukturadministrationsportalen som ingår i Private Link-konfigurationen: Azure Private Links och Blockera offentlig Internetåtkomst.

Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är aktiverat:

  • Infrastrukturobjekt som stöds är endast tillgängliga för din organisation från privata slutpunkter och är inte tillgängliga från det offentliga Internet.
  • Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
  • Trafik från det virtuella nätverket som riktar in sig på slutpunkter och scenarier som inte stöder privata länkar blockeras av tjänsten och fungerar inte.
  • Det kan finnas scenarier som inte stöder privata länkar, som därför blockeras i tjänsten när Blockera offentlig Internetåtkomst är aktiverat.

Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är inaktiverat:

  • Trafik från det offentliga Internet tillåts av Fabric-tjänster.
  • Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
  • Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som inte stöder privata länkar transporteras via det offentliga Internet och tillåts av Fabric-tjänster.
  • Om det virtuella nätverket är konfigurerat för att blockera offentlig Internetåtkomst blockeras scenarier som inte stöder privata länkar av det virtuella nätverket och fungerar inte.

Onelake

Onelake stöder Private Link. Du kan utforska Onelake i Fabric-portalen eller från valfri dator i ditt etablerade virtuella nätverk med hjälp av OneLake-utforskaren, Azure Storage Explorer, PowerShell med mera.

Direktanrop med hjälp av regionala OneLake-slutpunkter fungerar inte via privat länk till Infrastrukturresurser. Mer information om hur du ansluter till OneLake och regionala slutpunkter finns i Hur gör jag för att ansluta till OneLake?.

Warehouse och Lakehouse SQL-slutpunkt

Åtkomst till lagerobjekt och Lakehouse SQL-slutpunkter i portalen skyddas av Private Link. Kunder kan också använda TDS-slutpunkter (Tabular Data Stream) (till exempel SQL Server Management Studio, Azure Data Studio) för att ansluta till Warehouse via Privat länk.

Visuell fråga i Warehouse fungerar inte när inställningen Blockera klientorganisation för offentlig Internetåtkomst är aktiverad.

Lakehouse, Notebook, Spark-jobbdefinition, Miljö

När du har aktiverat azure Private Link-klientinställningen resulterar det första Spark-jobbet (notebook- eller Spark-jobbdefinition) eller en Lakehouse-åtgärd (Läs in till tabell, tabellunderhållsåtgärder som Optimera eller Vakuum) i skapandet av ett hanterat virtuellt nätverk för arbetsytan.

När det hanterade virtuella nätverket har etablerats inaktiveras startpoolerna (standardalternativet Beräkning) för Spark, eftersom dessa är förvärmda kluster som finns i ett delat virtuellt nätverk. Spark-jobb körs på anpassade pooler som skapas på begäran vid tidpunkten för jobböverföring i arbetsytans dedikerade hanterade virtuella nätverk. Migrering av arbetsytor mellan kapaciteter i olika regioner stöds inte när ett hanterat virtuellt nätverk allokeras till din arbetsyta.

När inställningen för privat länk är aktiverad fungerar inte Spark-jobb för klienter vars hemregion inte stöder Infrastrukturresurser Datateknik, även om de använder infrastrukturresurser från andra regioner som gör det.

Mer information finns i Hanterat virtuellt nätverk för infrastrukturresurser.

Dataflöde Gen2

Du kan använda Dataflow gen2 för att hämta data, transformera data och publicera dataflöden via privat länk. När datakällan ligger bakom brandväggen kan du använda VNet-datagatewayen för att ansluta till dina datakällor. VNet-datagatewayen möjliggör inmatning av gatewayen (beräkning) till ditt befintliga virtuella nätverk, vilket ger en hanterad gatewayupplevelse. Du kan använda VNet-gatewayanslutningar för att ansluta till en Lakehouse eller Warehouse i klientorganisationen som kräver en privat länk eller ansluta till andra datakällor med ditt virtuella nätverk.

Pipeline

När du ansluter till Pipeline via en privat länk kan du använda datapipelinen för att läsa in data från alla datakällor med offentliga slutpunkter i ett Microsoft Fabric Lakehouse med privat länk. Kunder kan också skapa och operationalisera datapipelines med aktiviteter, inklusive notebook- och dataflödesaktiviteter, med hjälp av den privata länken. Det går dock inte att kopiera data från och till ett informationslager när Infrastrukturresursers privata länk är aktiverad.

ML-modell, experiment och AI-kompetens

ML-modell, experiment och AI-kunskaper har stöd för privat länk.

Power BI

  • Om Internetåtkomst är inaktiverat, och om Power BI-semantikmodellen, Datamart eller Dataflow Gen1 ansluter till en Power BI-semantisk modell eller Dataflöde som datakälla, misslyckas anslutningen.

  • Publicera på webben stöds inte när klientinställningen Azure Private Link är aktiverad i Infrastrukturresurser.

  • E-postprenumerationer stöds inte när klientinställningen Blockera offentlig Internetåtkomst är aktiverad i Infrastrukturresurser.

  • Det går inte att exportera en Power BI-rapport som PDF eller PowerPoint när klientinställningen Azure Private Link är aktiverad i Fabric.

  • Om din organisation använder Azure Private Link i Fabric innehåller moderna användningsstatistikrapporter partiella data (endast Rapport öppna händelser). En aktuell begränsning vid överföring av klientinformation via privata länkar hindrar Infrastrukturresurser från att samla in rapportvyer och prestandadata via privata länkar. Om din organisation hade aktiverat klientinställningarna för Azure Private Link och Blockera offentlig Internetåtkomst i Infrastruktur, misslyckas uppdateringen av datamängden och användningsstatistikrapporten visar inga data.

Andra infrastrukturobjekt

Andra infrastrukturresursobjekt, till exempel KQL Database och EventStream, stöder för närvarande inte Private Link och inaktiveras automatiskt när du aktiverar inställningen Blockera klientorganisation för offentlig Internetåtkomst för att skydda efterlevnadsstatus.

Microsoft Purview Information Protection

Microsoft Purview Information Protection stöder för närvarande inte Private Link. Det innebär att i Power BI Desktop som körs i ett isolerat nätverk kommer känslighetsknappen att vara nedtonad, etikettinformationen visas inte och dekrypteringen av .pbix-filer misslyckas.

För att aktivera dessa funktioner i Desktop kan administratörer konfigurera tjänsttaggar för de underliggande tjänster som stöder Microsoft Purview Information Protection, Exchange Online Protection (EOP) och Azure Information Protection (AIP). Se till att du förstår konsekvenserna av att använda tjänsttaggar i ett isolerat nätverk med privata länkar.

Andra överväganden och begränsningar

Det finns flera saker att tänka på när du arbetar med privata slutpunkter i Infrastrukturresurser:

  • Infrastrukturresurser stöder upp till 200 kapaciteter i en klientorganisation där Private Link är aktiverat.

  • Klientmigrering blockeras när Private Link aktiveras i infrastrukturresursadministratörsportalen.

  • Kunder kan inte ansluta till Infrastrukturresurser i flera klientorganisationer från ett enda virtuellt nätverk, utan bara den sista klientorganisationen som konfigurerar Private Link.

  • Privat länk stöder inte utvärderingskapacitet. När du kommer åt Fabric via Private Link-trafik fungerar inte utvärderingskapaciteten.

  • Användning av externa bilder eller teman är inte tillgänglig när du använder en privat länkmiljö.

  • Varje privat slutpunkt kan endast anslutas till en klientorganisation. Du kan inte konfigurera en privat länk som ska användas av mer än en klientorganisation.

  • För Fabric-användare: Lokala datagatewayer stöds inte och kan inte registreras när Private Link är aktiverat. Private Link måste inaktiveras för att gatewaykonfiguratorn ska kunna köras. VNet-datagatewayer fungerar.

  • För gatewayanvändare som inte är PowerBI-gatewayer (PowerApps eller LogicApps): Gatewayen fungerar inte korrekt när Private Link är aktiverat. En möjlig lösning är att inaktivera inställningen för Azure Private Link-klientorganisationen , konfigurera gatewayen i en fjärrregion (en annan region än den rekommenderade regionen) och sedan återaktivera Azure Private Link. När Private Link har återaktiverats använder gatewayen i fjärrregionen inte privata länkar.

  • REST-API:er för privata länkar stöder inte taggar.

  • Följande URL:er måste vara tillgängliga från klientwebbläsaren:

    • Krävs för autentisering:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, även om detta kan vara annorlunda baserat på kontotyp.
    • Krävs för Datateknik och Datavetenskap upplevelser:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (till exempel https://pypi.org/pypi/azure-storage-blob/json)
      • lokala statiska slutpunkter för condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*