Privata länkar för säker åtkomst till Infrastrukturresurser

Du kan använda privata länkar för att ge säker åtkomst till datatrafik i Infrastrukturresurser. Privata Slutpunkter i Azure Private Link och Azure Networking används för att skicka datatrafik privat med hjälp av Microsofts stamnätverksinfrastruktur i stället för att gå över internet.

När privata länkanslutningar används går dessa anslutningar via Microsofts privata nätverksstomme när Fabric-användare får åtkomst till resurser i Infrastrukturresurser.

Mer information om Azure Private Link finns i Vad är Azure Private Link.

Aktivering av privata slutpunkter påverkar många objekt, så du bör granska hela artikeln innan du aktiverar privata slutpunkter.

Vad är en privat slutpunkt?

Privat slutpunkt garanterar att trafik som går till organisationens infrastrukturresurser (till exempel att ladda upp en fil till OneLake, till exempel) alltid följer organisationens konfigurerade nätverkssökväg för privata länkar. Du kan konfigurera Infrastrukturresurser för att neka alla begäranden som inte kommer från den konfigurerade nätverkssökvägen.

Privata slutpunkter garanterar inte att trafik från Infrastruktur till dina externa datakällor, vare sig i molnet eller lokalt, skyddas. Konfigurera brandväggsregler och virtuella nätverk för att ytterligare skydda dina datakällor.

En privat slutpunkt är en enda riktningsteknik som låter klienter initiera anslutningar till en viss tjänst, men som inte tillåter att tjänsten initierar en anslutning till kundnätverket. Det här privata slutpunktsintegreringsmönstret ger hanteringsisolering eftersom tjänsten kan fungera oberoende av kundens nätverksprincipkonfiguration. För tjänster med flera klientorganisationer tillhandahåller den här privata slutpunktsmodellen länkidentifierare för att förhindra åtkomst till andra kunders resurser som finns i samma tjänst.

Fabric-tjänsten implementerar privata slutpunkter och inte tjänstslutpunkter.

Användning av privata slutpunkter med Fabric ger följande fördelar:

• Begränsa trafik från Internet till Infrastrukturresurser och dirigera den via Microsofts stamnätverk.
• Se till att endast auktoriserade klientdatorer kan komma åt Infrastrukturresurser.
• Följ regel- och efterlevnadskrav som kräver privat åtkomst till dina data- och analystjänster.

Förstå konfiguration av privata slutpunkter

Det finns två klientinställningar i infrastrukturadministrationsportalen som ingår i Private Link-konfigurationen: Azure Private Links och Blockera offentlig Internetåtkomst.

Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är aktiverat:

• Infrastrukturobjekt som stöds är endast tillgängliga för din organisation från privata slutpunkter och är inte tillgängliga från det offentliga Internet.
• Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
• Trafik från det virtuella nätverket som riktar in sig på slutpunkter och scenarier som inte stöder privata länkar blockeras av tjänsten och fungerar inte.
• Det kan finnas scenarier som inte stöder privata länkar, som därför blockeras i tjänsten när Blockera offentlig Internetåtkomst är aktiverat.

Om Azure Private Link är korrekt konfigurerat och Blockera offentlig Internetåtkomst är inaktiverat:

• Trafik från det offentliga Internet tillåts av Fabric-tjänster.
• Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som stöder privata länkar transporteras via den privata länken.
• Trafik från det virtuella nätverket som riktar sig mot slutpunkter och scenarier som inte stöder privata länkar transporteras via det offentliga Internet och tillåts av Fabric-tjänster.
• Om det virtuella nätverket är konfigurerat för att blockera offentlig Internetåtkomst blockeras scenarier som inte stöder privata länkar av det virtuella nätverket och fungerar inte.

Private Link in Fabric-upplevelser

OneLake

OneLake stöder Private Link. Du kan utforska OneLake i Fabric-portalen eller från valfri dator i ditt etablerade virtuella nätverk med hjälp av OneLake-utforskaren, Azure Storage Explorer, PowerShell med mera.

Direktanrop med hjälp av regionala OneLake-slutpunkter fungerar inte via privat länk till Infrastrukturresurser. Mer information om hur du ansluter till OneLake och regionala slutpunkter finns i Hur ansluter jag till OneLake?.

Warehouse och Lakehouse SQL-slutpunkt

Åtkomst till lagerobjekt och Lakehouse SQL-slutpunkter i portalen skyddas av Private Link. Kunder kan också använda TDS-slutpunkter (Tabular Data Stream) (till exempel SQL Server Management Studio, Azure Data Studio) för att ansluta till Warehouse via Privat länk.

Visuell fråga i Warehouse fungerar inte när inställningen Blockera klientorganisation för offentlig Internetåtkomst är aktiverad.

Lakehouse, Notebook, Spark-jobbdefinition, Miljö

När du har aktiverat azure Private Link-klientinställningen resulterar det första Spark-jobbet (notebook- eller Spark-jobbdefinition) eller en Lakehouse-åtgärd (Läs in till tabell, tabellunderhållsåtgärder som Optimera eller Vakuum) i skapandet av ett hanterat virtuellt nätverk för arbetsytan.

När det hanterade virtuella nätverket har etablerats inaktiveras startpoolerna (standardalternativet Beräkning) för Spark, eftersom dessa är förvärmda kluster som finns i ett delat virtuellt nätverk. Spark-jobb körs på anpassade pooler som skapas på begäran vid tidpunkten för jobböverföring i arbetsytans dedikerade hanterade virtuella nätverk. Migrering av arbetsytor mellan kapaciteter i olika regioner stöds inte när ett hanterat virtuellt nätverk allokeras till din arbetsyta.

När inställningen för privat länk är aktiverad fungerar inte Spark-jobb för klienter vars hemregion inte stöder Infrastrukturdatateknik, även om de använder infrastrukturresurser från andra regioner som gör det.

Mer information finns i Hanterat virtuellt nätverk för infrastrukturresurser.

Dataflöde Gen2

Du kan använda Dataflow gen2 för att hämta data, transformera data och publicera dataflöden via privat länk. När datakällan ligger bakom brandväggen kan du använda VNet-datagatewayen för att ansluta till dina datakällor. VNet-datagatewayen möjliggör inmatning av gatewayen (beräkning) till ditt befintliga virtuella nätverk, vilket ger en hanterad gatewayupplevelse. Du kan använda VNet-gatewayanslutningar för att ansluta till en Lakehouse eller Warehouse i klientorganisationen som kräver en privat länk eller ansluta till andra datakällor med ditt virtuella nätverk.

Pipeline

När du ansluter till Pipeline via en privat länk kan du använda datapipelinen för att läsa in data från alla datakällor med offentliga slutpunkter i ett Microsoft Fabric Lakehouse med privat länk. Kunder kan också skapa och operationalisera datapipelines med aktiviteter, inklusive notebook- och dataflödesaktiviteter, med hjälp av den privata länken. Det går dock inte att kopiera data från och till ett informationslager när Infrastrukturresursers privata länk är aktiverad.

ML-modell, experiment och AI-kompetens

ML-modell, experiment och AI-kunskaper stöder privat länk.

Power BI

• Om Internetåtkomst är inaktiverat, och om Power BI-semantikmodellen, Datamart eller Dataflow Gen1 ansluter till en Power BI-semantisk modell eller Dataflöde som datakälla, misslyckas anslutningen.

• Publicera på webben stöds inte när klientinställningen Azure Private Link är aktiverad i Infrastrukturresurser.

• E-postprenumerationer stöds inte när klientinställningen Blockera offentlig Internetåtkomst är aktiverad i Infrastrukturresurser.

• Det går inte att exportera en Power BI-rapport som PDF eller PowerPoint när klientinställningen Azure Private Link är aktiverad i Fabric.

• Om din organisation använder Azure Private Link i Fabric innehåller moderna användningsstatistikrapporter partiella data (endast Rapport öppna händelser). En aktuell begränsning vid överföring av klientinformation via privata länkar hindrar Infrastrukturresurser från att samla in rapportvyer och prestandadata via privata länkar. Om din organisation hade aktiverat klientinställningarna för Azure Private Link och Blockera offentlig Internetåtkomst i Infrastruktur, misslyckas uppdateringen av datamängden och användningsstatistikrapporten visar inga data.

Händelsehus

Event House stöder Private Link, vilket möjliggör säker datainmatning och frågor från ditt virtuella Azure-nätverk via en privat länk. Du kan mata in data från olika källor, inklusive Azure Storage-konton, lokala filer och Dataflow Gen2. Direktuppspelningsinmatning säkerställer omedelbar datatillgänglighet. Dessutom kan du använda KQL-frågor eller Spark för att komma åt data i ett händelsehus.

Begränsningar:

• Inmatning av data från OneLake stöds inte.
• Det går inte att skapa en genväg till ett händelsehus.
• Det går inte att ansluta till ett händelsehus i en datapipeline.
• Inmatning av data med köad inmatning stöds inte.
• Dataanslutningar som förlitar sig på köad inmatning stöds inte.
• Det går inte att köra frågor mot ett händelsehus med hjälp av T-SQL.

Andra infrastrukturobjekt

Andra infrastrukturobjekt, till exempel Eventstream, stöder för närvarande inte Private Link och inaktiveras automatiskt när du aktiverar inställningen Blockera offentlig Internetåtkomst för att skydda efterlevnadsstatus.

Microsoft Purview Information Protection

Microsoft Purview Information Protection stöder för närvarande inte Private Link. Det innebär att i Power BI Desktop som körs i ett isolerat nätverk är känslighetsknappen nedtonad, etikettinformationen visas inte och dekrypteringen av .pbix-filer misslyckas.

För att aktivera dessa funktioner i Desktop kan administratörer konfigurera tjänsttaggar för de underliggande tjänster som stöder Microsoft Purview Information Protection, Exchange Online Protection (EOP) och Azure Information Protection (AIP). Se till att du förstår konsekvenserna av att använda tjänsttaggar i ett isolerat nätverk med privata länkar.

Andra överväganden och begränsningar

Det finns flera saker att tänka på när du arbetar med privata slutpunkter i Infrastrukturresurser:

• Infrastrukturresurser stöder upp till 450 kapaciteter i en klientorganisation där Private Link är aktiverat.

• Klientmigrering blockeras när Private Link aktiveras i infrastrukturresursadministratörsportalen.

• Kunder kan inte ansluta till Infrastrukturresurser i flera klientorganisationer från ett enda virtuellt nätverk, utan bara den sista klientorganisationen som konfigurerar Private Link.

• Privat länk stöder inte utvärderingskapacitet. När du kommer åt Fabric via Private Link-trafik fungerar inte utvärderingskapaciteten.

• Användning av externa bilder eller teman är inte tillgänglig när du använder en privat länkmiljö.

• Varje privat slutpunkt kan endast anslutas till en klientorganisation. Du kan inte konfigurera en privat länk som ska användas av mer än en klientorganisation.

• För Fabric-användare: Lokala datagatewayer stöds inte och kan inte registreras när Private Link är aktiverat. Private Link måste inaktiveras för att gatewaykonfiguratorn ska kunna köras. Läs mer om det här scenariot. VNet-datagatewayer fungerar. Mer information finns i dessa överväganden.

• För icke-PowerBI-gatewayanvändare (PowerApps eller LogicApps): Den lokala datagatewayen fungerar inte korrekt när Private Link är aktiverat. Vi rekommenderar att du utforskar användningen av VNET-datagatewayen, som kan användas med privata länkar. En möjlig lösning är att inaktivera inställningen för Azure Private Link-klientorganisationen , konfigurera gatewayen i en fjärrregion (en annan region än den rekommenderade regionen) och sedan återaktivera Azure Private Link. När Private Link har återaktiverats använder gatewayen i fjärrregionen inte privata länkar. Vi tillhandahåller dock inte stöd för det här scenariot.

• REST-API:er för privata länkar stöder inte taggar.

• Följande URL:er måste vara tillgängliga från klientwebbläsaren:

  • Krävs för autentisering:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, även om detta kan vara annorlunda baserat på kontotyp.

  • Krävs för datateknik och datavetenskapsupplevelser:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (till exempel https://pypi.org/pypi/azure-storage-blob/json)
    • lokala statiska slutpunkter för condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Relaterat innehåll

• Konfigurera och använda säkra privata slutpunkter
• Hanterat virtuellt nätverk för infrastrukturresurser
• Villkorlig åtkomst
• Så här hittar du ditt Klient-ID för Microsoft Entra