Share via


Dokuya güvenli erişim için özel bağlantılar (önizleme)

Doku'da veri trafiğine güvenli erişim sağlamak için özel bağlantıları kullanabilirsiniz. Azure Özel Bağlantı ve Azure Ağ özel uç noktaları, İnternet üzerinden gitmek yerine Microsoft'un omurga ağ altyapısını kullanarak veri trafiğini özel olarak göndermek için kullanılır.

Özel bağlantı bağlantıları kullanıldığında, Doku kullanıcıları Doku'daki kaynaklara eriştiğinde bu bağlantılar Microsoft özel ağ omurgası üzerinden gider.

Azure Özel Bağlantı hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı nedir?

Özel uç noktaların etkinleştirilmesi birçok öğeyi etkiler, bu nedenle özel uç noktaları etkinleştirmeden önce bu makalenin tamamını gözden geçirmelisiniz.

Özel uç nokta nedir?

Özel uç nokta, kuruluşunuzun Doku öğelerine giden trafiğin (örneğin OneLake'e dosya yükleme gibi) her zaman kuruluşunuzun yapılandırılmış özel bağlantı ağ yolunu izlemesini garanti eder. Yapılandırılmış ağ yolundan gelmeyen tüm istekleri reddetmek için Doku'ya yapılandırabilirsiniz.

Özel uç noktalar , ister bulutta ister şirket içinde olsun, Doku'dan dış veri kaynaklarınıza gelen trafiğin güvenliğini sağlamaz . Veri kaynaklarınızın güvenliğini daha da sağlamak için güvenlik duvarı kurallarını ve sanal ağları yapılandırın.

Özel uç nokta, istemcilerin belirli bir hizmete bağlantı başlatmasına olanak tanıyan ancak hizmetin müşteri ağına bağlantı başlatmasına izin veren tek, yönlü bir teknolojidir. Bu özel uç nokta tümleştirme düzeni, hizmet müşteri ağ ilkesi yapılandırmasından bağımsız olarak çalışabildiğinden yönetim yalıtımı sağlar. Çok kiracılı hizmetler için bu özel uç nokta modeli, aynı hizmette barındırılan diğer müşterilerin kaynaklarına erişimi engellemek için bağlantı tanımlayıcıları sağlar.

Doku hizmeti, hizmet uç noktalarını değil özel uç noktaları uygular.

Doku ile özel uç noktaların kullanılması aşağıdaki avantajları sağlar:

  • İnternet'ten Fabric'e giden trafiği kısıtlayın ve Microsoft omurga ağı üzerinden yönlendirin.
  • Dokuya yalnızca yetkili istemci makinelerinin erişebildiğinden emin olun.
  • Verilerinize ve analiz hizmetlerinize özel erişim gerektiren mevzuat ve uyumluluk gereksinimlerine uyun.

Özel uç nokta yapılandırmasını anlama

Doku yönetim portalında Özel Bağlantı yapılandırmasıyla ilgili iki kiracı ayarı vardır: Azure Özel Bağlantı veGenel İnternet Erişimini Engelle.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelle etkinleştirildiyse:

  • Desteklenen Doku öğelerine yalnızca özel uç noktalardan kuruluşunuz için erişilebilir ve genel İnternet'ten erişilemez.
  • Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
  • Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik hizmet tarafından engellenir ve çalışmaz.
  • Özel bağlantıları desteklemeyen senaryolar olabilir, bu nedenle Genel İnternet Erişimini Engelle etkinleştirildiğinde hizmette engellenir.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelle devre dışı bırakıldıysa:

  • Doku hizmetleri genel İnternet'ten gelen trafiğe izin verecek.
  • Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
  • Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik genel İnternet üzerinden taşınır ve Doku hizmetleri tarafından izin verilir.
  • Sanal ağ genel İnternet erişimini engelleyecek şekilde yapılandırılmışsa, özel bağlantıları desteklemeyen senaryolar sanal ağ tarafından engellenir ve çalışmaz.

Onelake

Onelake Özel Bağlantı destekler. OneLake dosya gezgini, Azure Depolama Gezgini, PowerShell ve daha fazlasını kullanarak Doku portalında veya yerleşik sanal ağınızdaki herhangi bir makineden Onelake'i keşfedebilirsiniz.

OneLake bölgesel uç noktalarını kullanan doğrudan çağrılar, Doku'ya özel bağlantı aracılığıyla çalışmaz. OneLake'e ve bölgesel uç noktalara bağlanma hakkında daha fazla bilgi için bkz. OneLake'e bağlanmak Nasıl yaparım??

Ambar ve Lakehouse SQL uç noktası

Portalda Ambar öğelerine ve Lakehouse SQL uç noktalarına erişim Özel Bağlantı tarafından korunur. Müşteriler Ayrıca Özel bağlantı aracılığıyla Ambar'a bağlanmak için Tablosal Veri Akışı (TDS) uç noktalarını (örneğin SQL Server Management Studio, Azure Data Studio) kullanabilir.

Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde Ambar'daki görsel sorgu çalışmaz.

Lakehouse, Not Defteri, Spark iş tanımı, Ortam

Azure Özel Bağlantı kiracı ayarını etkinleştirdikten sonra, ilk Spark işini (Not Defteri veya Spark iş tanımı) çalıştırmanız veya bir Lakehouse işlemi gerçekleştirmeniz (Tabloya Yükle, İyileştirme veya Vakum gibi tablo bakım işlemleri) çalışma alanı için yönetilen bir sanal ağ oluşturulmasına neden olur.

Yönetilen sanal ağ sağlandıktan sonra Spark için başlangıç havuzları (varsayılan İşlem seçeneği) devre dışı bırakılır; bunlar paylaşılan bir sanal ağda barındırılan önceden hazırlanan kümelerdir. Spark işleri, çalışma alanının ayrılmış yönetilen sanal ağı içinde iş gönderimi sırasında isteğe bağlı olarak oluşturulan özel havuzlarda çalıştırılır. Yönetilen bir sanal ağ çalışma alanınıza ayrıldığında farklı bölgelerdeki kapasiteler arasında çalışma alanı geçişi desteklenmez.

Özel bağlantı ayarı etkinleştirildiğinde Spark işleri, diğer bölgelerdeki Doku kapasitelerini kullansalar bile, ana bölgesi Doku Veri Madenciliği desteklemeyen kiracılar için çalışmaz.

Daha fazla bilgi için bkz . Doku için Yönetilen Sanal Ağ.

Veri Akışı 2. Nesil

Veri akışı 2. Nesil'i kullanarak özel bağlantı aracılığıyla veri alabilir, verileri dönüştürebilir ve yayımlayabilirsiniz. Veri kaynağınız güvenlik duvarının arkasında olduğunda, veri kaynaklarınıza bağlanmak için sanal ağ veri ağ geçidini kullanabilirsiniz. Sanal ağ veri ağ geçidi, ağ geçidinin (işlem) mevcut sanal ağınıza eklenmesini sağlar ve böylece yönetilen bir ağ geçidi deneyimi sağlar. Kiracıda özel bağlantı gerektiren bir Lakehouse veya Warehouse'a bağlanmak veya sanal ağınızla diğer veri kaynaklarına bağlanmak için VNet ağ geçidi bağlantılarını kullanabilirsiniz.

İşlem Hattı

Özel bağlantı üzerinden İşlem Hattı'na bağlandığınızda, genel uç noktaları olan herhangi bir veri kaynağından özel bağlantı etkinleştirilmiş bir Microsoft Fabric lakehouse'a veri yüklemek için veri işlem hattını kullanabilirsiniz. Müşteriler ayrıca özel bağlantıyı kullanarak Not Defteri ve Veri Akışı etkinlikleri dahil olmak üzere etkinliklerle veri işlem hatlarını yazabilir ve kullanıma hazırlayabilir. Ancak Doku'nun özel bağlantısı etkinleştirildiğinde Veri Ambarı'ndan ve Veri Ambarı'na veri kopyalamak şu anda mümkün değildir.

ML Modeli, Deneme ve Yapay Zeka becerisi

ML Modeli, Deneme ve yapay zeka becerileri özel bağlantıyı destekler.

Power BI

  • İnternet erişimi devre dışı bırakılırsa ve Power BI anlam modeli, Datamart veya Dataflow 1. Nesil bir Power BI anlam modeline veya Veri Akışı'na veri kaynağı olarak bağlanırsa bağlantı başarısız olur.

  • Doku'da kiracı ayarı Azure Özel Bağlantı etkinleştirildiğinde Web'de yayımlama desteklenmez.

  • Dokuda Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde e-posta abonelikleri desteklenmez.

  • Doku'da kiracı ayarı Azure Özel Bağlantı etkinleştirildiğinde Power BI raporunu PDF veya PowerPoint olarak dışarı aktarma desteklenmez.

  • Kuruluşunuz Doku'da Azure Özel Bağlantı kullanıyorsa, modern kullanım ölçümleri raporları kısmi veriler (yalnızca Rapor Açma olayları) içerir. İstemci bilgilerini özel bağlantılar üzerinden aktarırken geçerli bir sınırlama, Fabric'in özel bağlantılar üzerinden Rapor Sayfası Görünümlerini ve performans verilerini yakalamasını engeller. Kuruluşunuz Doku'da Azure Özel Bağlantı ve Genel İnternet Erişimini Engelle kiracı ayarlarını etkinleştirmişse, veri kümesi yenilemesi başarısız olur ve kullanım ölçümleri raporunda veri gösterilmez.

Diğer Doku öğeleri

KQL Veritabanı ve EventStream gibi diğer Doku öğeleri şu anda Özel Bağlantı desteklemez ve uyumluluk durumunu korumak için Genel İnternet Erişimini Engelle kiracı ayarını açtığınızda otomatik olarak devre dışı bırakılır.

Microsoft Purview Bilgi Koruması

Microsoft Purview Bilgi Koruması şu anda Özel Bağlantı desteklemez. Bu, yalıtılmış bir ağda çalışan Power BI Desktop'ta Duyarlılık düğmesinin gri olacağı, etiket bilgilerinin görünmeyeceği ve .pbix dosyalarının şifresinin çözülmeyeceği anlamına gelir.

Masaüstü'nde bu özellikleri etkinleştirmek için, yöneticiler Microsoft Purview Bilgi Koruması, Exchange Online Protection (EOP) ve Azure Information Protection'ı (AIP) destekleyen temel hizmetler için hizmet etiketlerini yapılandırabilir. Özel bağlantılar yalıtılmış bir ağda hizmet etiketlerini kullanmanın etkilerini anladığınızdan emin olun.

Diğer önemli noktalar ve sınırlamalar

Doku'da özel uç noktalarla çalışırken dikkat edilmesi gereken birkaç nokta vardır:

  • Doku, Özel Bağlantı etkinleştirildiği bir kiracıda en fazla 200 kapasiteyi destekler.

  • Doku yönetici portalında Özel Bağlantı açıldığında kiracı geçişi engellenir.

  • Müşteriler tek bir sanal ağdan birden çok kiracıdaki Doku kaynaklarına bağlanamaz, yalnızca Özel Bağlantı ayarlayacak son kiracıdır.

  • Özel bağlantı Deneme kapasitesini desteklemez. Dokuya Özel Bağlantı trafik üzerinden erişilirken deneme kapasitesi çalışmaz.

  • Özel bağlantı ortamı kullanılırken dış görüntülerin veya temaların kullanımı kullanılamaz.

  • Her özel uç nokta yalnızca bir kiracıya bağlanabilir. Birden fazla kiracı tarafından kullanılacak özel bir bağlantı ayarlayamazsınız.

  • Doku kullanıcıları için: Şirket içi veri ağ geçitleri desteklenmez ve Özel Bağlantı etkinleştirildiğinde kaydedilemez. Ağ geçidi yapılandırıcısını başarıyla çalıştırmak için Özel Bağlantı devre dışı bırakılmalıdır. Sanal ağ veri ağ geçitleri çalışır.

  • PowerBI (PowerApps veya LogicApps) olmayan Ağ Geçidi kullanıcıları için: Özel Bağlantı etkinleştirildiğinde ağ geçidi düzgün çalışmaz. Olası bir geçici çözüm, Azure Özel Bağlantı kiracı ayarını devre dışı bırakmak, ağ geçidini uzak bir bölgede (önerilen bölge dışında bir bölge) yapılandırmak ve ardından Azure Özel Bağlantı yeniden etkinleştirmektir. Özel Bağlantı yeniden etkinleştirildikten sonra uzak bölgedeki ağ geçidi özel bağlantıları kullanmaz.

  • Özel bağlantılar kaynağı REST API'leri etiketleri desteklemez.

  • Aşağıdaki URL'lere istemci tarayıcısından erişilebilir olmalıdır:

    • Kimlik doğrulaması için gerekli:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, ancak bu hesap türüne göre farklı olabilir.
    • Veri Madenciliği ve Veri Bilimi deneyimleri için gereklidir:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (örnek, https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages için yerel statik uç noktalar
      • https://cdn.jsdelivr.net/npm/monaco-editor*