แชร์ผ่าน


ลิงก์ส่วนตัวสําหรับการเข้าถึง Fabric อย่างปลอดภัย

คุณสามารถใช้ลิงก์ส่วนตัวเพื่อให้การเข้าถึงที่ปลอดภัยสําหรับการรับส่งข้อมูลใน Fabric การเชื่อมโยงส่วนตัวของ Azure และจุดสิ้นสุดส่วนตัวของ Azure Networking จะใช้เพื่อส่งปริมาณการใช้งานข้อมูลแบบส่วนตัวโดยใช้โครงสร้างพื้นฐานเครือข่ายหลักของ Microsoft แทนที่จะข้ามอินเทอร์เน็ต

เมื่อมีการใช้การเชื่อมต่อลิงก์ส่วนตัว การเชื่อมต่อเหล่านั้นจะผ่านแกนกลางเครือข่ายส่วนตัวของ Microsoft เมื่อผู้ใช้ Fabric เข้าถึงแหล่งข้อมูลใน Fabric

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับลิงก์ส่วนตัวของ Azure โปรดดู ลิงก์ส่วนตัวของ Azure คืออะไร

การเปิดใช้งานจุดสิ้นสุดส่วนตัวมีผลกระทบกับหลายรายการ ดังนั้นคุณควรตรวจทานบทความนี้ทั้งหมดก่อนที่จะเปิดใช้งานจุดสิ้นสุดส่วนตัว

จุดสิ้นสุดส่วนตัวคืออะไร

จุดสิ้นสุดส่วนตัวจะรับประกันว่าปริมาณการใช้งานจะ ไปยัง รายการ Fabric ขององค์กรของคุณ (เช่น การอัปโหลดไฟล์ลงใน OneLake เป็นต้น) จะเป็นไปตามเส้นทางเครือข่ายการเชื่อมโยงส่วนตัวที่องค์กรของคุณกําหนดค่าไว้เสมอ คุณสามารถกําหนดค่า Fabric เพื่อปฏิเสธคําขอทั้งหมดที่ไม่ได้มาจากเส้นทางเครือข่ายที่กําหนดค่าไว้

จุด สิ้นสุดส่วนตัวไม่ รับประกันว่าปริมาณการใช้งานจาก Fabric ไปยังแหล่งข้อมูลภายนอกของคุณไม่ว่าจะอยู่ในระบบคลาวด์หรือภายในองค์กรจะมีความปลอดภัย กําหนดค่ากฎไฟร์วอลล์และเครือข่ายเสมือนเพื่อรักษาความปลอดภัยแหล่งข้อมูลของคุณเพิ่มเติม

จุดสิ้นสุดส่วนตัวเป็นเทคโนโลยีทางเดียวที่ช่วยให้ไคลเอ็นต์เริ่มต้นการเชื่อมต่อไปยังบริการที่ระบุ แต่ไม่อนุญาตให้บริการเริ่มต้นการเชื่อมต่อไปยังเครือข่ายลูกค้า รูปแบบการรวมจุดปลายทางส่วนตัวนี้มีการแยกการจัดการเนื่องจากบริการสามารถดําเนินการได้อย่างอิสระจากการกําหนดค่านโยบายเครือข่ายของลูกค้า สําหรับบริการแบบหลายผู้เช่า โมเดลปลายทางส่วนตัวนี้แสดงตัวระบุการเชื่อมโยงเพื่อป้องกันการเข้าถึงทรัพยากรของลูกค้าอื่น ๆ ที่โฮสต์ภายในบริการเดียวกัน

การบริการ Fabric ใช้จุดสิ้นสุดส่วนตัวและไม่ใช้จุดสิ้นสุดบริการ

ใช้จุดสิ้นสุดส่วนตัวกับผ้ามีประโยชน์ดังต่อไปนี้:

  • จํากัดปริมาณการใช้งานจากอินเทอร์เน็ตไปยัง Fabric และกําหนดเส้นทางผ่านเครือข่ายแกนหลักของ Microsoft
  • ตรวจสอบให้แน่ใจว่าเฉพาะเครื่องของลูกค้าที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง Fabric ได้
  • ปฏิบัติตามข้อกําหนดด้านข้อบังคับและการปฏิบัติตามข้อบังคับที่กําหนดการเข้าถึงข้อมูลและบริการวิเคราะห์ของคุณแบบส่วนตัว

ทําความเข้าใจการกําหนดค่าจุดสิ้นสุดส่วนตัว

มีการตั้งค่าผู้เช่าสองรายการในพอร์ทัลผู้ดูแลระบบ Fabric ที่เกี่ยวข้องในการกําหนดค่าลิงก์ส่วนตัว: ลิงก์ ส่วนตัวของ Azure และ บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ ปิดกั้นการเข้าถึง อินเทอร์เน็ตสาธารณะจะ เปิดใช้งาน:

  • หน่วยข้อมูล Fabric ที่รองรับสามารถเข้าถึงได้สําหรับองค์กรของคุณจากจุดสิ้นสุดส่วนตัวเท่านั้น และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ
  • การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
  • การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์ที่กําหนดเป้าหมายเครือข่ายเสมือนจริงที่ไม่รองรับลิงก์ส่วนตัวจะถูกบล็อกโดยบริการและจะไม่ทํางาน
  • อาจมีสถานการณ์ที่ไม่สนับสนุนลิงก์ส่วนตัว ดังนั้นจึงถูกบล็อกไว้ที่บริการเมื่อ เปิดใช้งานการเข้าถึง อินเทอร์เน็ตสาธารณะ

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ บล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะถูก ปิดใช้งาน:

  • ปริมาณการใช้งานจากอินเทอร์เน็ตสาธารณะจะได้รับอนุญาตโดยการบริการ Fabric
  • การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
  • ปริมาณการใช้งานจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่ไม่รองรับลิงก์ส่วนตัวจะถูกขนส่งผ่านอินเทอร์เน็ตสาธารณะและจะได้รับอนุญาตโดยบริการ Fabric
  • ถ้ามีการกําหนดค่าเครือข่ายเสมือนให้บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ สถานการณ์ที่ไม่รองรับลิงก์ส่วนตัวจะถูกบล็อกโดยเครือข่ายเสมือนและจะไม่ทํางาน

OneLake

OneLake สนับสนุนลิงก์ส่วนตัว คุณสามารถสํารวจ OneLake ในพอร์ทัล Fabric หรือจากเครื่องใดก็ได้ภายในเครือข่ายเสมือนที่คุณสร้างขึ้นโดยใช้ OneLake file explorer, Azure Storage Explorer, PowerShell และอื่น ๆ

การเรียกโดยตรงโดยใช้จุดสิ้นสุดภูมิภาคของ OneLake ไม่ทํางานผ่านลิงก์ส่วนตัวไปยัง Fabric สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อกับ OneLake และจุดสิ้นสุดภูมิภาค ดูที่ ฉันจะเชื่อมต่อกับ OneLake ได้อย่างไร

จุดสิ้นสุดคลังสินค้าและการวิเคราะห์ของเลคเฮ้าส์ SQL

การเข้าถึง Warehouse หรือจุดสิ้นสุดการวิเคราะห์ SQL ของ Lakehouse ในพอร์ทัล Fabric ได้รับการปกป้องโดย Private Link ลูกค้ายังสามารถใช้จุดสิ้นสุด Tabular Data Stream (TDS) (ตัวอย่างเช่น SQL Server Management Studio, Azure Data Studio) เพื่อเชื่อมต่อกับ Warehouse ผ่านลิงก์ส่วนตัว

คิวรีวิชวลใน Warehouse จะไม่ทํางานเมื่อ เปิดใช้งานการตั้งค่าผู้เช่าบล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะ

เลคเฮ้าส์, โน๊ตบุ๊ค, ข้อกําหนดงาน Spark, สภาพแวดล้อม

เมื่อคุณได้เปิดใช้งาน การตั้งค่าผู้เช่า Azure Private Link การเรียกใช้งาน Spark งานแรก (สมุดบันทึกหรือข้อกําหนดงาน Spark) หรือการดําเนินการของ Lakehouse (โหลดไปยังตาราง การดําเนินการบํารุงรักษาตาราง เช่น ปรับให้เหมาะสมหรือสูญญากาศ) จะส่งผลให้เกิดการสร้างเครือข่ายเสมือนที่ได้รับการจัดการสําหรับพื้นที่ทํางาน

เมื่อมีการเตรียมใช้งานเครือข่ายเสมือนที่มีการจัดการกลุ่มเริ่มต้น (ค่าเริ่มต้นตัวเลือกการคํานวณ) สําหรับ Spark จะถูกปิดใช้งาน เนื่องจากคลัสเตอร์เหล่านี้เป็นคลัสเตอร์ที่รับรองล่วงหน้าที่โฮสต์ในเครือข่ายเสมือนที่ใช้ร่วมกัน งาน Spark ทํางานบนกลุ่มแบบกําหนดเองที่สร้างขึ้นตามความต้องการในเวลาที่ส่งงานภายในเครือข่ายเสมือนที่มีการจัดการเฉพาะของพื้นที่ทํางาน การโยกย้ายพื้นที่ทํางานข้ามความจุในภูมิภาคต่าง ๆ ไม่ได้รับการรองรับเมื่อมีการจัดสรรเครือข่ายเสมือนที่ได้รับการจัดการไปยังพื้นที่ทํางานของคุณ

เมื่อเปิดใช้งานการตั้งค่าลิงก์ส่วนตัว งาน Spark จะไม่ทํางานสําหรับผู้เช่าที่ภูมิภาคบ้านไม่รองรับวิศวกรข้อมูล Fabric แม้ว่าพวกเขาใช้ความจุ Fabric จากภูมิภาคอื่นก็ตาม

สําหรับข้อมูลเพิ่มเติม ดูที่จัดการ VNet สําหรับ Fabric

Dataflow Gen2

คุณสามารถใช้ Dataflow gen2 เพื่อรับข้อมูล แปลงข้อมูล และเผยแพร่กระแสข้อมูลผ่านลิงก์ส่วนตัว เมื่อแหล่งข้อมูลของคุณอยู่หลังไฟร์วอลล์ คุณสามารถใช้ เกตเวย์ ข้อมูล VNet เพื่อเชื่อมต่อกับแหล่งข้อมูลของคุณได้ เกตเวย์ข้อมูล VNet จะเปิดใช้งานการแทรกของเกตเวย์ (คํานวณ) ลงในเครือข่ายเสมือนที่มีอยู่ของคุณ ดังนั้นจึงให้ประสบการณ์เกตเวย์ที่ได้รับการจัดการ คุณสามารถใช้การเชื่อมต่อเกตเวย์ VNet เพื่อเชื่อมต่อกับ Lakehouse หรือ Warehouse ในผู้เช่าที่ต้องใช้ลิงก์ส่วนตัวหรือเชื่อมต่อกับแหล่งข้อมูลอื่น ๆ ด้วยเครือข่ายเสมือนของคุณได้

ไปป์ไลน์

เมื่อคุณเชื่อมต่อกับไปป์ไลน์ผ่านลิงก์ส่วนตัว คุณสามารถใช้ไปป์ไลน์ข้อมูลเพื่อโหลดข้อมูลจากแหล่งข้อมูลใด ๆ ที่มีจุดสิ้นสุดสาธารณะลงในการเชื่อมโยงส่วนตัวที่เปิดใช้งาน Microsoft Fabric lakehouse ลูกค้ายังสามารถเขียนและดําเนินการไปป์ไลน์ข้อมูลด้วยกิจกรรม ต่าง ๆ รวมถึงกิจกรรมของสมุดบันทึกและกระแสข้อมูลโดยใช้ลิงก์ส่วนตัว อย่างไรก็ตาม การคัดลอกข้อมูลจากและลงในคลังข้อมูลไม่สามารถทําได้ในขณะนี้เมื่อเปิดใช้งานลิงก์ส่วนตัวของ Fabric

แบบจําลอง ML การทดลอง และทักษะ AI

แบบจําลอง ML การทดลอง และทักษะ AI สนับสนุนลิงก์ส่วนตัว

Power BI

  • หากปิดใช้งานการเข้าถึงอินเทอร์เน็ต และหากแบบจําลองความหมายของ Power BI, Datamart หรือ Dataflow Gen1 เชื่อมต่อกับแบบจําลองความหมายของ Power BI หรือกระแสข้อมูลเป็นแหล่งข้อมูล การเชื่อมต่อจะล้มเหลว

  • โหมด Direct Lake ในขณะนี้ยังไม่ได้รับการรองรับโดยใช้ลิงก์ส่วนตัว

  • ไม่รองรับการเผยแพร่ไปยังเว็บเมื่อเปิดใช้งานการตั้งค่า ผู้เช่าการเชื่อมโยง ส่วนตัวของ Azure ใน Fabric

  • การสมัครใช้งานทางอีเมลไม่ได้รับการสนับสนุนเมื่อการตั้งค่า ผู้เช่าบล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะเปิดใช้งานใน Fabric

  • ไม่รองรับการส่งออกรายงาน Power BI เป็น PDF หรือ PowerPoint เมื่อเปิดใช้งานการตั้งค่า ผู้เช่าลิงก์ ส่วนตัวของ Azure ใน Fabric

  • หากองค์กรของคุณกําลังใช้ Azure Private Link ใน Fabric รายงานเมตริกการใช้งานที่ทันสมัยจะมีข้อมูลบางส่วน (เฉพาะเหตุการณ์การเปิดรายงานเท่านั้น) ข้อจํากัดในปัจจุบันเมื่อถ่ายโอนข้อมูลไคลเอนต์ผ่านลิงก์ส่วนตัวจะป้องกันไม่ให้ Fabric จับภาพมุมมองหน้ารายงานและข้อมูลประสิทธิภาพผ่านลิงก์ส่วนตัว ถ้าองค์กรของคุณได้เปิดใช้งานลิงก์ส่วนตัวของ Azure และบล็อกการตั้งค่าผู้เช่าการเข้าถึงอินเทอร์เน็ตสาธารณะใน Fabric การรีเฟรชสําหรับชุดข้อมูลล้มเหลว และรายงานเมตริกการใช้งานไม่แสดงข้อมูลใด ๆ

อีเวนท์เฮ้าส์

Event house รองรับลิงก์ส่วนตัว ที่อนุญาตให้มีการนําเข้าข้อมูลที่ปลอดภัยและการคิวรีจาก Azure Virtual Network ของคุณผ่านลิงก์ส่วนตัว คุณสามารถนําเข้าข้อมูลจากแหล่งข้อมูลต่างๆ รวมถึงบัญชี Azure Storage ไฟล์ภายในเครื่อง และ Dataflow Gen2 การนําเข้าข้อมูลการสตรีมช่วยรับประกันความพร้อมใช้งานข้อมูลทันที นอกจากนี้ คุณสามารถใช้คิวรี KQL หรือ Spark เพื่อเข้าถึงข้อมูลภายในบ้านเหตุการณ์

ขีด จำกัด:

  • ไม่รองรับการนําเข้าข้อมูลจาก OneLake
  • การสร้างทางลัดไปยังบ้านเหตุการณ์ไม่สามารถทําได้
  • ไม่สามารถเชื่อมต่อกับบ้านเหตุการณ์ในไปป์ไลน์ข้อมูลได้
  • ไม่รองรับการนําเข้าข้อมูลโดยใช้การนําเข้าที่อยู่ในคิว
  • ตัวเชื่อมต่อข้อมูลที่ขึ้นอยู่กับการนําเข้าที่จัดคิวไว้ไม่ได้รับการสนับสนุน
  • ไม่สามารถทําการคิวรีบ้านเหตุการณ์โดยใช้ T-SQL ได้

โซลูชันข้อมูลสุขอนามัย (ตัวอย่าง)

ลูกค้าสามารถจัดเตรียมและใช้ประโยชน์จากโซลูชันข้อมูลการดูแลสุขภาพใน Microsoft Fabric ผ่านลิงก์ส่วนตัว ภายในผู้เช่าที่เปิดใช้งานด้วยลิงก์ส่วนตัว ลูกค้าสามารถปรับใช้ความสามารถในการแก้ปัญหาข้อมูลสุขอนามัยเพื่อดําเนินการนําเข้าข้อมูลที่ครอบคลุมและสถานการณ์การแปลงข้อมูลสําหรับข้อมูลทางคลินิกของพวกเขา ซึ่งรวมถึงความสามารถในการย่อยข้อมูลสุขอนามัยในรูปแบบข้อมูลต่างๆ เช่น บัญชีที่เก็บข้อมูล Azure และอื่น ๆ

ผ้าอื่นๆรายการ

รายการ Fabric อื่น ๆ เช่น Eventstream ปัจจุบันไม่สนับสนุนลิงก์ส่วนตัวและจะถูกปิดใช้งานโดยอัตโนมัติเมื่อคุณเปิดใช้งาน การตั้งค่าผู้เช่า Block Public Internet Access เพื่อปกป้องสถานะการปฏิบัติตามกฎระเบียบ

การป้องกันข้อมูลของ Microsoft Purview

ในขณะนี้ การป้องกันข้อมูลของ Microsoft Purview ไม่สนับสนุนลิงก์ส่วนตัว ซึ่งหมายความว่าใน Power BI Desktop ที่ทํางานในเครือข่าย ที่แยกจากกัน ปุ่มระดับความลับ จะเป็นสีเทา ข้อมูลป้ายชื่อจะไม่ปรากฏขึ้น และการถอดรหัส ไฟล์ .pbix จะล้มเหลว

หากต้องการเปิดใช้งานความสามารถเหล่านี้ในเดสก์ท็อป ผู้ดูแลระบบสามารถกําหนดค่าแท็กบริการสําหรับบริการเบื้องต้นที่สนับสนุนการป้องกันข้อมูลของ Microsoft Purview Exchange Online Protection (EOP) และ Azure Information Protection (AIP) ตรวจสอบให้แน่ใจว่าคุณเข้าใจความหมายของการใช้แท็กบริการในเครือข่ายที่แยกจากกันของลิงก์ส่วนตัว

ข้อควรพิจารณาและข้อจํากัดอื่น ๆ

มีข้อควรพิจารณาหลายประการที่ควรทราบขณะทํางานกับจุดสิ้นสุดส่วนตัวใน Fabric:

  • Fabric รองรับความจุสูงสุด 450 รายการในผู้เช่าที่มีการเปิดใช้งานลิงก์ส่วนตัว

  • เมื่อสร้างความจุใหม่ ความจุจะไม่สนับสนุนลิงก์ส่วนตัวจนกว่าจุดสิ้นสุดจะปรากฏในโซน DNS ส่วนตัว ซึ่งอาจใช้เวลาถึง 24 ชั่วโมง

  • การโยกย้ายผู้เช่าถูกบล็อกเมื่อลิงก์ส่วนตัวถูกเปิดใช้งานในพอร์ทัลผู้ดูแลระบบ Fabric

  • ลูกค้าไม่สามารถเชื่อมต่อกับทรัพยากร Fabric ในผู้เช่าหลายรายจากเครือข่ายเสมือนเพียงเครือข่ายเดียว แต่เฉพาะผู้เช่ารายสุดท้ายเท่านั้นที่จะตั้งค่าลิงก์ส่วนตัว

  • ลิงก์ส่วนตัวไม่รองรับในความจุรุ่นทดลองใช้ เมื่อเข้าถึง Fabric ผ่านการจราจรการเชื่อมโยงส่วนตัวความจุทดลองจะไม่ทํางาน

  • การใช้รูปภาพหรือธีมภายนอกใด ๆ ไม่พร้อมใช้งานเมื่อใช้สภาพแวดล้อมลิงก์ส่วนตัว

  • จุดสิ้นสุดส่วนตัวแต่ละจุดสามารถเชื่อมต่อกับผู้เช่าหนึ่งรายเท่านั้น คุณไม่สามารถตั้งค่าลิงก์ส่วนตัวที่จะใช้โดยผู้เช่ามากกว่าหนึ่งราย

  • สําหรับผู้ใช้ Fabric: เกตเวย์ข้อมูลภายในองค์กรไม่ได้รับการสนับสนุน และไม่สามารถลงทะเบียนได้เมื่อเปิดใช้งานลิงก์ส่วนตัว เมื่อต้องการเรียกใช้ตัวตั้งค่าเกตเวย์ให้สําเร็จ ต้องปิดใช้งานลิงก์ส่วนตัว เรียนรู้เพิ่มเติมเกี่ยวกับสถานการณ์นี้ เกตเวย์ข้อมูล VNet จะทํางาน สําหรับข้อมูลเพิ่มเติม โปรดดู ข้อควรพิจารณาเหล่านี้

  • สําหรับผู้ใช้เกตเวย์ที่ไม่ใช่ PowerBI (PowerApps หรือ LogicApps): เกตเวย์ข้อมูลภายในองค์กรทํางานไม่ถูกต้องเมื่อเปิดใช้งานลิงก์ส่วนตัว เราขอแนะนําให้สํารวจการใช้ เกตเวย์ข้อมูล VNET ซึ่งสามารถใช้กับลิงก์ส่วนตัวได้ การแก้ไขปัญหาชั่วคราวคือการปิดใช้งาน การตั้งค่าผู้เช่า Azure Private Link กําหนดค่าเกตเวย์ในภูมิภาคระยะไกล (ภูมิภาคอื่นนอกเหนือจากภูมิภาคที่แนะนํา) จากนั้นจึงเปิดใช้งานลิงก์ส่วนตัวของ Azure อีกครั้ง หลังจากเปิดใช้งานลิงก์ส่วนตัวอีกครั้ง เกตเวย์ในภูมิภาคระยะไกลจะไม่ใช้ลิงก์ส่วนตัว อย่างไรก็ตาม เราไม่ได้ให้การสนับสนุนสําหรับสถานการณ์นี้

  • ลิงก์ส่วนตัวทรัพยากร REST API ไม่สนับสนุนแท็ก

  • URL ต่อไปนี้ต้องสามารถเข้าถึงได้จากเบราว์เซอร์ไคลเอ็นต์:

    • จําเป็นสําหรับการรับรองความถูกต้อง:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comแม้ว่าการดําเนินการนี้อาจแตกต่างกันไปตามชนิดบัญชี
    • จําเป็นสําหรับประสบการณ์การวิศวกรข้อมูลและวิทยาศาสตร์ข้อมูล:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (ตัวอย่างเช่น https://pypi.org/pypi/azure-storage-blob/json)
      • จุดสิ้นสุดแบบคงที่ภายในเครื่องสําหรับ condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*