用于安全访问 Fabric 的专用链接

可以使用专用链接提供对 Fabric 中的数据流量的安全访问。 Azure 专用链接和 Azure 网络专用终结点用于使用 Microsoft 的主干网络基础结构私密发送数据流量,而不是通过 Internet 发送。

使用专用链接连接时,这些连接将在 Fabric 用户访问 Fabric 中的资源时通过 Microsoft 专用网络主干。

要详细了解 Azure 专用链接,请参阅什么是 Azure 专用链接

启用专用终结点会影响许多项目,因此在启用专用终结点之前,应查看全文。

什么是专用终结点?

专用终结点可确保进入组织的 Fabric 项的流量(例如将文件上传到 OneLake)始终遵循组织配置的专用链接网络路径。 可以将 Fabric 配置为拒绝所有不是来自配置的网络路径的请求。

专用终结点不能保证从 Fabric 到外部数据源(无论是在云中还是在本地)的流量受到保护。 配置防火墙规则和虚拟网络,以便进一步保护数据源。

专用终结点是一种单一定向技术,允许客户端启动到给定服务的连接,但不允许服务启动到客户网络的连接。 此专用终结点集成模式提供了管理隔离,因为服务可以独立于客户网络策略配置进行操作。 对于多租户服务,此专用终结点模型提供链接标识符,防止访问同一服务中托管的其他客户资源。

Fabric 服务实施专用终结点,而不是服务终结点。

对 Fabric 使用专用终结点提供以下优势:

  • 限制从 Internet 到 Fabric 的流量,并通过 Microsoft 主干网络路由流量。
  • 确保只有经过授权的客户端计算机才能访问 Fabric。
  • 遵守要求对数据和分析服务进行专用访问的法规和合规性要求。

了解专用终结点配置

Fabric 管理门户中有两个租户设置涉及专用链接配置:Azure 专用链接阻止公共 Internet 访问

如果正确配置了 Azure 专用链接并启用了“阻止公共 Internet 访问”:

  • 组织只能从专用终结点访问受支持的 Fabric 项,而无法从公共 Internet 访问。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 虚拟网络(面向目标终结点和不支持专用链接的方案)中的流量将受到服务阻止,并且不起作用。
  • 可能存在不支持专用链接的方案,为此,启用“阻止公共 Internet 访问”时,服务将阻止专用链接。

如果正确配置了 Azure 专用链接并禁用了“阻止公共 Internet 访问”:

  • Fabric 服务将允许来自公共 Internet 的流量。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过公共 Internet 进行传输,Fabric 服务将允许这些流量。
  • 如果虚拟网络配置为阻止公共 Internet 访问,则不支持专用链接的方案将受到虚拟网络的阻止,并且不起作用。

OneLake

Onelake 支持专用链接。 可以在 Fabric 门户中或使用 OneLake 文件资源管理器、Azure 存储资源管理器、PowerShell 等在已建立的虚拟网络内的任何计算机上探索 Onelake。

使用 OneLake 区域终结点的直接调用无法通过 Fabric 专用链接进行。 有关连接到 OneLake 和区域终结点的更多信息,请参阅如何连接到 OneLake?

仓库和湖屋 SQL 分析终结点

在 Fabric 门户中访问仓库或湖屋 SQL 分析终结点受专用链接保护。 客户还可以使用表格格式数据流 (TDS) 终结点(例如 SQL Server Management Studio、Azure Data Studio)通过专用链接连接到仓库。

当启用“阻止公共 Internet 访问”租户设置时,仓库中的可视化查询不起作用。

湖屋、笔记本、Spark 作业定义、环境

启用“Azure 专用链接”租户设置后,运行第一个 Spark 作业(笔记本或 Spark 作业定义),或执行湖屋操作(加载到表,或表维护操作,如优化或清空)将导致为工作区创建托管虚拟网络。

预配托管虚拟网络后,Spark 的初学者池(默认计算选项)将被禁用,因为这些是托管在共享虚拟网络中的预热群集。 Spark 作业在自定义池上运行,这些池是在工作区的专用托管虚拟网络内提交作业时按需创建的。 将托管虚拟网络分配给工作区时,不支持跨不同区域的容量进行工作区迁移。

当启用专用链接设置时,即使租户使用其他区域的 Fabric 容量,但其所在区域不支持 Fabric 数据工程,Spark 作业也无法运行。

有关详细信息,请参阅适用于 Fabric 的托管 VNet

数据流 Gen2

可以使用 Dataflow Gen2 获取数据、转换数据,并通过专用链接发布数据流。 当数据源位于防火墙后面时,可以使用 VNet 数据网关连接到数据源。 VNet 数据网关支持将网关(计算)注入到现有虚拟网络中,从而提供托管网关体验。 可使用 VNet 网关连接来连接到租户中需要专用链接的湖屋或仓库,或通过虚拟网络连接到其他数据源。

管道

通过专用链接连接到管道时,可使用数据管道将数据从具有公共终结点的任何数据源,加载到启用了专用链接的 Microsoft Fabric 湖屋中。 客户还可以使用专用链接通过活动(包括笔记本和数据流活动)创作和操作数据管道。 但是,当前无法在启用 Fabric 的专用链接时,从数据仓库复制数据或将数据复制到数据仓库。

机器学习模型、试验和 AI 技能

机器学习模型、试验和 AI 技能支持专用链接。

Power BI

  • 如果禁用 Internet 访问,并且 Power BI 语义模型、Datamart 或 Dataflow Gen1 连接到 Power BI 语义模型或 Dataflow 作为数据源,则连接将失败。

  • 目前不支持使用专用链接的 Direct Lake 模式。

  • 在 Fabric 中启用租户设置“Azure 专用链接”时,不支持发布到 Web。

  • 在 Fabric 中启用租户设置“阻止公共 Internet 访问”时,不支持电子邮件订阅。

  • 在 Fabric 中启用租户设置“Azure 专用链接”时,不支持将 Power BI 报表导出为 PDF 或 PowerPoint。

  • 如果组织在 Fabric 中使用的是 Azure 专用链接,则新式使用指标报表将包含部分数据(仅限“报表打开”事件)。 在通过专用链接传输客户端信息时,当前限制会使 Fabric 无法通过专用链接捕获报表页面视图和性能数据。 如果组织在 Fabric 中启用了“Azure 专用链接”和“阻止公共 Internet 访问”租户设置,则数据集的刷新将失败,并且使用指标报表不会显示任何数据。

Eventhouse

Eventhouse 支持专用链接,允许通过专用链接从 Azure 虚拟网络安全地引入和查询数据。 可以从各种源引入数据,包括 Azure 存储帐户、本地文件和数据流 Gen2。 流式引入可确保即时数据可用性。 此外,还可以利用 KQL 查询或 Spark 来访问 Eventhouse 中的数据。

限制:

  • 不支持从 OneLake 引入数据。
  • 无法创建 Eventhouse 的快捷方式。
  • 无法连接到数据管道中的 Eventhouse。
  • 不支持使用排队引入方式引入数据。
  • 不支持依赖于排队引入的数据连接器。
  • 无法使用 T-SQL 查询 Eventhouse。

医疗保健数据解决方案(预览版)

客户可通过专用链接在 Microsoft Fabric 中预配和使用医疗保健数据解决方案。 在启用了专用链接的租户中,客户可以部署医疗保健数据解决方案功能,对其临床数据执行全面的数据引入和转换方案。 这包括从各种来源(例如 Azure 存储帐户等)引入医疗保健数据的能力。

其他 Fabric 项

其他 Fabric 项(例如 Eventstream)当前不支持专用链接,并且当你打开“阻止公共 Internet 访问”租户设置来保护合规性状态时,会自动禁用这些项。

Microsoft Purview 信息保护

Microsoft Purview 信息保护当前不支持专用链接。 这意味着,Power BI Desktop 在隔离的网络中运行时,“敏感度”按钮将显示为灰色,标签信息将不会显示,并且 .pbix 文件解密操作将失败。

要在桌面中启用这些功能,管理员可为支持 Microsoft Purview 信息保护、Exchange Online Protection (EOP) 和 Azure 信息保护 (AIP) 的基础服务配置服务标记。 确保你理解在专用链接隔离的网络中使用服务标记的含义。

其他注意事项和限制

使用 Fabric 中的专用终结点时需要牢记几个注意事项:

  • 在启用专用链接的租户中,Fabric 支持最多 450 个容量。

  • 新建容量时,在终结点反映在专用 DNS 区域中之前,它不支持专用链接。 这最多可能需要 24 小时。

  • 在 Fabric 管理门户中打开专用链接时,租户迁移将被阻止。

  • 客户无法从单个虚拟网络连接到多个租户中的 Fabric 资源,而只能连接到最后一个设置专用链接的租户。

  • 试用版容量不支持专用链接。 通过专用链接流量访问 Fabric 时,试用版容量将不起作用。

  • 使用专用链接环境时,不能使用外部图像或主题。

  • 每个专用终结点只能连接到一个租户。 无法设置可供多个租户使用的专用链接。

  • 对于 Fabric 用户:不支持本地数据网关,并且在启用专用链接时无法注册。 为了成功运行网关配置器,必须禁用专用链接。 了解有关此应用场景的更多信息。 VNet 数据网关将起正常工作。 有关详细信息,请参阅这些注意事项

  • 对于非 PowerBI(PowerApps 或 LogicApps)网关用户:专用链接启用时不支持本地数据网关。 建议尝试使用 VNET 数据网关,该网关可与专用链接一起使用。

  • 专用链接不适用于 VNet 数据网关下载诊断。

  • 专用链接资源 REST API 不支持标记。

  • 必须可以从客户端浏览器访问以下 URL:

    • 身份验证所需:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com,但这可能因帐户类型而异。
    • 数据工程师和数据科学体验所需:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/*(例如 https://pypi.org/pypi/azure-storage-blob/json
      • condaPackages 的本地静态终结点
      • https://cdn.jsdelivr.net/npm/monaco-editor*