หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
กฎไฟร์วอลล์ IP ของพื้นที่ทํางานช่วยให้ผู้ดูแลระบบพื้นที่ทํางานควบคุมการเข้าถึงพื้นที่ทํางาน Microsoft Fabric ของตนโดยอนุญาตให้เชื่อมต่อจากที่อยู่ IP สาธารณะที่เชื่อถือได้เท่านั้น ด้วยการตั้งค่ารายการที่อนุญาตอย่างง่าย คุณจะสามารถป้องกันไม่ให้การรับส่งข้อมูลที่ไม่ได้รับอนุญาตมาถึงพื้นที่ทํางานของคุณได้ การป้องกันนี้ช่วยลดการเปิดเผยอินเทอร์เน็ตสาธารณะและเพิ่มการป้องกันอีกชั้นหนึ่งนอกเหนือจากการควบคุมการเข้าถึงตามข้อมูลประจําตัวและบทบาท
บทความนี้แสดงภาพรวมของกฎไฟร์วอลล์ IP ของพื้นที่ทํางาน สําหรับขั้นตอนการกําหนดค่า โปรดดู ตั้งค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางาน
ภาพรวมไฟร์วอลล์ IP ระดับพื้นที่ทํางาน
Fabric ให้การรักษาความปลอดภัยเครือข่ายทั้งในระดับผู้เช่าและพื้นที่ทํางาน รวมถึง Microsoft Entra Conditional Access, Private Link ระดับผู้เช่า และ Private Link ระดับพื้นที่ทํางาน คุณลักษณะเหล่านี้ช่วยรักษาความปลอดภัยในการเข้าถึงพื้นที่ทํางานและทรัพยากรของผู้เช่า อย่างไรก็ตาม เมื่อพื้นที่ทํางานถูกเปิดเผยผ่านปลายทางสาธารณะ หลายองค์กรต้องการวิธีการที่ตรงไปตรงมาและใช้ IP เพื่อจํากัดการเข้าถึง วิธีนี้ช่วยเสริมการเชื่อมต่อส่วนตัวที่แข็งแกร่งและการควบคุมตามข้อมูลประจําตัวที่มีอยู่แล้ว
กฎไฟร์วอลล์ IP ของพื้นที่ทํางานจะตอบสนองความต้องการนี้โดยทําให้ผู้ดูแลระบบสามารถกําหนดรายการที่อนุญาต IP ได้โดยตรงที่ระดับพื้นที่ทํางาน วิธีนี้เป็นวิธีที่ตรงไปตรงมาในการจํากัดการเข้าถึงขาเข้าไปยังเครือข่ายสํานักงานที่เชื่อถือได้ เกตเวย์ VPN หรือช่วง IP ของคู่ค้า วิธีนี้มีประโยชน์เมื่อ Private Link ไม่สามารถทําได้ หรือเมื่อนโยบายข้อมูลประจําตัวเพียงอย่างเดียวไม่ได้ให้ขอบเขตของเลเยอร์เครือข่ายที่เพียงพอ
กฎไฟร์วอลล์ IP ของพื้นที่ทํางานทํางานควบคู่ไปกับคุณลักษณะความปลอดภัยของ Fabric ที่มีอยู่เพื่อให้ข้อจํากัดการเข้าถึงตาม IP เนื่องจากทํางานในระดับพื้นที่ทํางาน จึงไม่จําเป็นต้องมีการเปลี่ยนแปลงการกําหนดค่าทั่วทั้งผู้เช่าหรือการตั้งค่าเครือข่ายที่ซับซ้อน
Note
กฎไฟร์วอลล์ IP ใช้กับการรับส่งข้อมูลขาเข้าเท่านั้น พวกเขาไม่ได้ควบคุมหรือจํากัดการเชื่อมต่อขาออกจากพื้นที่ทํางาน
กฎไฟร์วอลล์ IP ระดับพื้นที่ทํางานทํางานอย่างไร
กฎไฟร์วอลล์ IP ระดับพื้นที่ทํางานจะจํากัดการเข้าถึงอินเทอร์เน็ตสาธารณะไปยังพื้นที่ทํางานโดยอนุญาตเฉพาะการเชื่อมต่อจากที่อยู่ IP ที่ระบุเท่านั้น เมื่อคุณกําหนดค่ากฎเหล่านี้ จะมีการเชื่อมต่อเพียงสองชนิดเท่านั้นที่สามารถเข้าถึงพื้นที่ทํางานของคุณได้:
- การเชื่อมต่อจากที่อยู่ IP ที่ได้รับอนุมัติซึ่งระบุไว้ในกฎไฟร์วอลล์ของคุณ
- การเชื่อมต่อจากทรัพยากรในเครือข่ายเสมือนที่ได้รับอนุมัติผ่านปลายทางส่วนตัวของพื้นที่ทํางานเมื่อคุณเปิดใช้งานกฎไฟร์วอลล์ IP Fabric จะตรวจสอบที่อยู่ IP สาธารณะของไคลเอ็นต์แต่ละรายกับรายการที่อนุญาตที่กําหนดค่าไว้ก่อนที่จะให้สิทธิ์การเข้าถึงรายการพื้นที่ทํางาน เฉพาะการเชื่อมต่อจากที่อยู่ IP ที่ได้รับอนุมัติเท่านั้นที่สามารถเข้าถึงรายการต่างๆ เช่น Lakehouses, Warehouses, ทางลัด OneLake, Notebooks และ Spark Job Definitions ความพยายามในการเชื่อมต่ออื่นๆ ทั้งหมดจะถูกปฏิเสธ
ไดอะแกรมต่อไปนี้แสดงให้เห็นว่ากฎไฟร์วอลล์ IP ระดับพื้นที่ทํางานทํางานอย่างไร:
ในแผนภาพนี้:
- พื้นที่ทํางาน A จํากัดการเข้าถึงสาธารณะขาเข้า และสามารถเข้าถึงได้จากที่อยู่ IP B ที่อนุญาตเท่านั้น
- ผู้ใช้ที่เชื่อมต่อจากที่อยู่ IP A ถูกปฏิเสธเนื่องจาก IP ไม่อยู่ในรายการที่อนุญาต
- ผู้ใช้ที่เชื่อมต่อจากที่อยู่ IP B สามารถเข้าถึงได้เนื่องจาก IP ตรงกับกฎขาเข้าของพื้นที่ทํางาน
สถานการณ์และข้อจํากัดที่รองรับ
ประเภทรายการที่รองรับ
ใช้กฎไฟร์วอลล์ IP ระดับพื้นที่ทํางานเพื่อควบคุมการเข้าถึงประเภทรายการ Fabric ต่อไปนี้:
- เลคเฮาส์ ปลายทาง SQL และทางลัด
- การเชื่อมต่อโดยตรงผ่านปลายทาง OneLake
- โน้ตบุ๊ก คําจํากัดความของงาน Spark และสภาพแวดล้อม
- การทดลองแมชชีนเลิร์นนิงและโมเดลแมชชีนเลิร์นนิ่ง
- Pipelines
- คัดลอกงาน
- โรงงานข้อมูลที่ติดตั้ง
- คลังสินค้า
- กระแสข้อมูล Gen2 (CI/CD)
- ไลบรารีตัวแปร
- ฐานข้อมูลมิเรอร์ (Open Mirroring, Cosmos DB)
- เหตุการณ์สตรีม
- อีเวนต์เฮาส์
ข้อควรพิจารณาและข้อจำกัด
- ความจุ Fabric ทุกประเภท รวมถึงความจุทดลองใช้ รองรับคุณลักษณะกฎไฟร์วอลล์ IP ระดับพื้นที่ทํางาน
- กฎเครือข่าย IP รองรับเฉพาะที่อยู่ IP อินเทอร์เน็ตสาธารณะเท่านั้น ช่วงที่อยู่ IP ที่สงวนไว้สําหรับเครือข่ายส่วนตัว (ตามที่กําหนดไว้ใน RFC 1918) ไม่ได้รับการสนับสนุน เครือข่ายส่วนตัวประกอบด้วยที่อยู่ที่ขึ้นต้นด้วย 10, 172.16 ถึง 172.31 และ 192.168
- คุณสามารถกําหนดค่ากฎไฟร์วอลล์ IP ได้สูงสุด 256 กฎต่อพื้นที่ทํางาน
- คุณไม่สามารถเพิ่มที่อยู่ IP สาธารณะจาก VM บนเครือข่ายเสมือนที่มีปลายทางส่วนตัว (ที่ระดับผู้เช่าหรือพื้นที่ทํางาน) เป็นกฎไฟร์วอลล์ IP
- ไม่อนุญาตให้ใช้ชื่อกฎที่ซ้ํากัน และไม่อนุญาตให้เว้นวรรคในที่อยู่ IP
- เมื่อต้องการเปิดใช้งานการรับส่งข้อมูลจากเครือข่ายภายในองค์กร ให้ระบุที่อยู่ IP ที่เชื่อมต่อกับอินเทอร์เน็ตที่เครือข่ายของคุณใช้ ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อขอความช่วยเหลือ
- หากคุณกําลังใช้ Azure ExpressRoute จากสถานที่ของคุณ ให้ระบุที่อยู่ IP ของ NAT ที่ใช้สําหรับการเพียร์ของ Microsoft ผู้ให้บริการหรือลูกค้าให้ที่อยู่ IP ของ NAT
- หากที่อยู่ IP สาธารณะที่อนุญาตไม่ถูกต้องหรือขาดหายไปทําให้พื้นที่ทํางานไม่สามารถเข้าถึงได้ ให้ใช้ API เพื่ออัปเดตกฎไฟร์วอลล์ IP
กฎไฟร์วอลล์ IP โต้ตอบกับการตั้งค่าความปลอดภัยเครือข่ายอื่นๆ อย่างไร
กฎไฟร์วอลล์ IP ของพื้นที่ทํางานจะโต้ตอบกับผู้เช่าที่มีอยู่และการตั้งค่าความปลอดภัยของเครือข่ายพื้นที่ทํางาน เช่น ลิงก์ส่วนตัวและการจํากัดการเข้าถึงแบบสาธารณะ การทําความเข้าใจการโต้ตอบเหล่านี้จะช่วยให้คุณกําหนดค่าและใช้กฎไฟร์วอลล์ IP ได้อย่างมีประสิทธิภาพ ส่วนนี้อธิบายว่าการกําหนดค่าเครือข่ายที่แตกต่างกันส่งผลต่อความสามารถในการจัดการและเข้าถึงพื้นที่ทํางานด้วยกฎไฟร์วอลล์ IP อย่างไร
การกําหนดค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางาน
คุณสามารถกําหนดค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางานผ่านพอร์ทัล Fabric ได้ก็ต่อเมื่อพื้นที่ทํางานอนุญาตให้เข้าถึงแบบสาธารณะได้ วิธีการกําหนดค่าขึ้นอยู่กับการตั้งค่าระดับผู้เช่าของคุณ ถ้าเปิดใช้งานการเข้าถึงสาธารณะในระดับผู้เช่า คุณสามารถกําหนดค่ากฎได้โดยตรงผ่านพอร์ทัล อย่างไรก็ตาม ถ้าผู้เช่าของคุณต้องการลิงก์ส่วนตัว คุณต้องเข้าถึงการตั้งค่าพื้นที่ทํางานจากเครือข่ายที่เชื่อมต่อผ่านลิงก์ส่วนตัวของผู้เช่า
โดยไม่คํานึงถึงข้อจํากัดเหล่านี้ การเข้าถึง API ยังคงใช้งานได้ แม้จะมีการตั้งค่าที่จํากัด คุณก็สามารถจัดการกฎไฟร์วอลล์ IP ของพื้นที่ทํางานผ่าน Fabric API ได้ตลอดเวลาโดยใช้ปลายทางและเส้นทางเครือข่ายที่เหมาะสม
ตารางต่อไปนี้แสดงให้เห็นว่าการรวมกันของการกําหนดค่าความปลอดภัยต่างๆ ส่งผลต่อความสามารถในการกําหนดค่าและเข้าถึงพื้นที่ทํางาน Microsoft Fabric อย่างไร
ตารางที่ 1: การกําหนดค่ากฎไฟร์วอลล์ IP ในสถานการณ์เครือข่ายต่างๆ
สําหรับแต่ละสถานการณ์ในตารางนี้ ผู้ใช้ต้องการเข้าถึงการตั้งค่าไฟร์วอลล์ IP สําหรับพื้นที่ทํางานผ่านพอร์ทัล Fabric หรือ Fabric API (การดําเนินการ GET และ SET)
| สถานการณ์สมมติ | ลิงค์ส่วนตัวของผู้เช่า | ผู้เช่าอินเทอร์เน็ตสาธารณะ | อนุญาตให้ใช้ลิงก์ส่วนตัวของพื้นที่ทํางานและการเข้าถึงแบบสาธารณะ | ลิงก์ส่วนตัวของพื้นที่ทํางาน (การเข้าถึงสาธารณะถูกบล็อก) | พอร์ทัลเข้าถึงการตั้งค่าไฟร์วอลล์ IP ของพื้นที่ทํางานหรือไม่ | การเข้าถึง API ไปยังการตั้งค่าไฟร์วอลล์ IP ของพื้นที่ทํางานหรือไม่ |
|---|---|---|---|---|---|---|
| 1 | ใช่ | ถูกบล็อก | ใช่ | - | ใช่ จากเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าเท่านั้น | ใช่ จากเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN api.fabric.microsoft.com หรือเฉพาะผู้เช่า |
| 2 | ใช่ | ถูกบล็อก | ใช่ | - | ใช่ การใช้เครือข่ายกับลิงก์ส่วนตัวของผู้เช่า | ใช่ จากเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN api.fabric.microsoft.com หรือเฉพาะผู้เช่า |
| 3 | ใช่ | ถูกบล็อก | - | ใช่ | ไม่ | ใช่ จากเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN api.fabric.microsoft.com หรือเฉพาะผู้เช่า |
| 4 | ใช่ | อนุญาต | ใช่ | - | ใช่ ผ่านอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่า | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN เฉพาะผู้เช่า |
| 5 | ใช่ | อนุญาต | - | ใช่ | ไม่ | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN เฉพาะผู้เช่า |
| 6 | ไม่ | ไม่มี | ใช่ | - | ใช่ ผ่านอินเทอร์เน็ตสาธารณะ | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะ |
| 7 | ไม่ | ไม่มี | - | ใช่ | ไม่ | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะ |
| 8 | ใช่ | ถูกบล็อก | - | - | ใช่ การใช้เครือข่ายกับลิงก์ส่วนตัวของผู้เช่า | ใช่ จากเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN api.fabric.microsoft.com หรือเฉพาะผู้เช่า |
| 9 | ใช่ | อนุญาต | - | - | ใช่ ผ่านอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่า | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะหรือเครือข่ายที่มีลิงก์ส่วนตัวของผู้เช่าโดยใช้ FQDN เฉพาะผู้เช่า |
| 10 | ไม่ | ไม่มี | - | - | ใช่ ผ่านอินเทอร์เน็ตสาธารณะ | ใช่ การใช้ api.fabric.microsoft.com ผ่านอินเทอร์เน็ตสาธารณะ |
พฤติกรรมการเข้าถึงด้วยกฎไฟร์วอลล์ IP
หลังจากที่คุณกําหนดค่ากฎไฟร์วอลล์ IP สําหรับพื้นที่ทํางาน เฉพาะการเชื่อมต่อจากที่อยู่ IP ในรายการที่อนุญาตของคุณเท่านั้นที่สามารถเข้าถึงพื้นที่ทํางานและรายการของพื้นที่ทํางานได้ ข้อจํากัดนี้มีผลบังคับใช้ไม่ว่าคุณจะใช้พอร์ทัล Fabric หรือ Fabric API
ตารางต่อไปนี้แสดงให้เห็นว่ากฎไฟร์วอลล์ IP ส่งผลต่อการเข้าถึงพื้นที่ทํางานอย่างไรเมื่อคําขอมาจากที่อยู่ IP สาธารณะที่อนุญาต ตารางครอบคลุมการกําหนดค่าความปลอดภัยระดับผู้เช่าที่แตกต่างกัน และแสดงให้เห็นว่าการเข้าถึงระหว่างพอร์ทัล Fabric และ Fabric API แตกต่างกันอย่างไร ในสถานการณ์เหล่านี้ พื้นที่ทํางานสามารถใช้กฎไฟร์วอลล์ IP เพียงอย่างเดียวหรือกับลิงก์ส่วนตัวของพื้นที่ทํางาน
ตารางที่ 2: พฤติกรรมการเข้าถึงด้วยกฎไฟร์วอลล์ IP ที่กําหนดค่าไว้
สําหรับแต่ละสถานการณ์ในตารางนี้:
- พื้นที่ทํางานมีกฎไฟร์วอลล์ IP ที่กําหนดค่าด้วยรายการที่อยู่ IP สาธารณะที่อนุญาต (ลิงก์ส่วนตัวของพื้นที่ทํางานอาจถูกใช้งานอยู่ แต่ไม่เกี่ยวข้องกับสถานการณ์ที่แสดง)
- ผู้ใช้พยายามเข้าถึงพื้นที่ทํางานและรายการจากที่อยู่ IP ที่อนุญาตในกฎไฟร์วอลล์ของพื้นที่ทํางาน
| การกําหนดค่าขาเข้าระดับผู้เช่า | เข้าถึงได้จาก | พอร์ทัลเข้าถึงพื้นที่ทํางานและรายการ? | การเข้าถึง API ไปยังพื้นที่ทํางานและรายการ? |
|---|---|---|---|
| ลิงค์ส่วนตัวของผู้เช่า: เปิดใช้งาน ผู้เช่าบล็อกการเข้าถึงสาธารณะ: เปิดใช้งาน |
IP ที่อนุญาต | ไม่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ลิงค์ส่วนตัวของผู้เช่า: เปิดใช้งาน ผู้เช่าบล็อกการเข้าถึงสาธารณะ: เปิดใช้งาน |
IP ที่อนุญาต | ไม่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ลิงค์ส่วนตัวของผู้เช่า: เปิดใช้งาน ผู้เช่าบล็อกการเข้าถึงสาธารณะ: ปิดใช้งาน |
IP ที่อนุญาต | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ลิงค์ส่วนตัวของผู้เช่า: เปิดใช้งาน ผู้เช่าบล็อกการเข้าถึงสาธารณะ: ปิดใช้งาน |
IP ที่อนุญาต | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ลิงค์ส่วนตัวของผู้เช่า: ปิดใช้งาน | IP ที่อนุญาต | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
| ลิงค์ส่วนตัวของผู้เช่า: ปิดใช้งาน | IP ที่อนุญาต | ใช่ | ใช่ โดยใช้ api.fabric.microsoft.com |
ขั้นตอนถัดไป
- เมื่อต้องการเรียนรู้วิธีตั้งค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางาน ให้ดูที่ ตั้งค่ากฎไฟร์วอลล์ IP ของพื้นที่ทํางาน
- เมื่อต้องการทําความเข้าใจว่าคุณลักษณะการป้องกันขาเข้าทํางานร่วมกันอย่างไร ให้ดูที่ การป้องกันเครือข่ายขาเข้าใน Microsoft Fabric