您可以在 Fabric 中使用私人連結以提供資料流量的安全存取。 Azure Private Link 和 Azure 網路私人端點可用來使用 Microsoft 的骨幹網路基礎結構以私人方式傳送資料流量,而不是透過因特網。 使用私人連結連線時,這些連線會在 Fabric 使用者存取 Fabric 中的資源時通過 Microsoft 私人網路骨幹。
Fabric 支援租用戶層級和工作區層級的私人連結:
租用戶層級私人連結會 為整個租用戶提供網路原則。 本文著重於租用戶層級私人連結。
工作區層級私人連結 提供精細控制,可讓您限制對特定工作區的存取,同時允許其餘工作區保持開放以供公用存取。 若要深入瞭解,請參閱 Fabric 工作區的私人連結。
啟用私人端點會影響許多專案,因此您應該先檢閱整篇文章,再為您的租使用者啟用私人端點。
什麼是私人端點?
私人連結可保證進入組織的 Fabric 項目 (例如上傳檔案到 OneLake) 的流量一律會遵循組織設定的私人連結網路路徑。 您可以將 Fabric 設定為拒絕非來自設定網路路徑的所有要求。
私人端點不保證從 Fabric 到外部資料來源 (不論是在雲端還是內部部署) 的流量都受到保護。 請設定防火牆規則和虛擬網路,以進一步保護資料來源。
私人端點是單一方向的技術,可讓用戶端起始與指定服務的連線,但不允許服務起始連線到客戶網路。 由於服務可獨立於客戶網路原則設定運作,因此這個私人端點整合模式提供管理隔離。 針對多租戶服務,此私人端點模型提供鏈接識別碼,以防止存取相同服務中其他客戶的資源。
Fabric 服務會實作私人端點,而不是服務端點。
透過 Fabric 使用私人端點可提供下列優點:
- 限制從網際網路到 Fabric 的流量,並透過 Microsoft 骨幹網路路由傳送。
- 請確定只有授權的用戶端計算機可以存取 Fabric。
- 遵循法規與合規要求,確保您的資料和分析服務僅供私人存取。
了解私人端點設定
在 Fabric 管理員入口網站中,有兩個租用戶設定涉及私人連結設定:Azure Private Link 和封鎖公用網際網路存取。
如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已啟用]:
- 您的組織僅能透過私人端點存取支援的 Fabric 項目,無法透過公用網際網路存取。
- 來自虛擬網路並針對支援私人連結的端點和場景的流量,將透過私人連結進行傳輸。
- 服務會封鎖來自以端點為目標的虛擬網路流量,以及 不 支援私人連結的案例。
- 可能有不支援私人連結的案例,當啟用 [封鎖公用因特網存取] 時,會在服務中封鎖這些連結。
如果已正確設定 Azure Private Link,且封鎖公用網際網路存取功能被停用:
- Fabric 服務允許來自公用因特網的流量。
- 來自虛擬網路並針對支援私人連結的端點和場景的流量,將透過私人連結進行傳輸。
- 來自以 不支援私人 連結之端點和案例為目標的虛擬網路流量會透過公用因特網傳輸,並由 Fabric 服務允許。
- 如果虛擬網路設定為封鎖公用因特網存取,則虛擬網路會封鎖不支援私人連結的案例。
Fabric 使用體驗中的 Private Link(私人連結)
OneLake
OneLake 支援私人連結。 您可以在 Fabric 入口網站中,或從已建立的虛擬網路內的任何電腦使用 OneLake 檔案總管、Azure 儲存體 Explorer、PowerShell 等工具探索 OneLake。
使用 OneLake 區域端點的直接呼叫無法透過 Fabric 的私人連結運作。 如需連線到 OneLake 和區域端點的詳細資訊,請參閱如何連線到 OneLake?。
資料倉儲和 Lakehouse SQL 分析端點
在 Fabric 入口網站中,存取 Lakehouse 的 Warehouse 或 SQL 分析端點會受到專用連結的保護。 客戶也可以使用表格資料串流(TDS)端點(例如 SQL Server Management Studio(SSMS) 或 Visual Studio Code 的 MSSQL 擴充功能)透過私有連結連接倉庫。
啟用 [封鎖公用網際網路存取] 租用戶設定時,倉儲中的視覺查詢無法運作。
SQL 資料庫
存取網狀架構入口網站中的 SQL 資料庫或 SQL 分析端點會受到私人鏈接的保護。 客戶也可以使用表格式數據流 (TDS) 端點(例如 SQL Server Management Studio 或 Visual Studio Code)來 透過私人連結連線到 SQL 資料庫。 如需連線到 SQL 資料庫的詳細資訊,請參閱 Microsoft Fabric 中的 SQL 資料庫中驗證。
Lakehouse、Notebook、Spark 工作定義、環境
啟用 Azure Private Link 租用戶設定之後,執行第一個 Spark 作業 (筆記本或 Spark 作業定義) 或執行 Lakehouse 作業 (載入資料表、資料表維護作業,例如 [最佳化] 或 [清空]) 會導致建立工作區的受控虛擬網路。
佈建受控虛擬網路之後,Spark 的入門集區 (預設計算選項) 就會停用,因為它們是裝載在共用虛擬網路中的預熱叢集。 Spark 工作會在工作區的專用受控虛擬網路內,於工作提交時視需要建立的自訂集區上執行。 當將受控虛擬網路配置到您的工作區時,不支援在不同區域的容量之間進行工作區遷移。
啟用私人連結設定時,Spark 作業不適用於主區域不支援 Fabric 資料工程的租用戶,即使它們使用其他區域的 Fabric 容量也一樣。
如需詳細資訊,請參閱適用於 Fabric 的管理的虛擬網路。
數據流 Gen2
您可以使用 Dataflow gen2 來取得資料、轉換資料,以及透過私人連結發佈資料流程。 當您的資料來源位於防火牆後方時,您可以使用 虛擬網路資料閘道 連線到資料來源。 VNet 資料閘道可讓您將閘道插 (計算) 入現有的虛擬網路中,進而提供受控閘道體驗。 您可以使用虛擬網路閘道連線,連線到租使用者中需要私人連結的 Lakehouse 或倉儲,或使用虛擬網路連線到其他資料來源。
管線
當您透過私人連結連線到管線時,您可以使用管線將資料從任何具有公用端點的資料來源載入已啟用私人連結的 Microsoft Fabric 湖庫。 客戶也可以透過私人連結,撰寫和操作含有活動(如筆記本與資料流程活動)的管線。 不過,目前無法在啟用 Fabric 的私人連結時從資料倉儲中複製資料或向其寫入資料。
ML 模型、實驗和數據代理程式
ML 模型、實驗和數據代理程序支援私人連結。
Power BI
如果停用網際網路存取,且 Power BI 語意模型、資料市集或資料流程 Gen1 連線到 Power BI 語意模型或資料流程作為資料來源,則連線會失敗。
在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援發佈至 Web。
當 Fabric 中啟用租用戶設定 [封鎖公用網際網路存取] 時,不支援電子郵件訂閱。
當您在 Fabric 中啟用租用戶設定 Azure Private Link 時,不支援將 Power BI 報表匯出為 PDF 或 PowerPoint。
如果您的組織在 Fabric 中使用 Azure Private Link,則新式使用量計量報告會包含部分資料 (僅限報告開啟事件)。 目前透過私人連結傳送用戶端資訊仍有所限制,使 Fabric 無法透過私人連結擷取報表頁面檢視與效能資料。 如果您的組織在 Fabric 中啟用 Azure Private Link 和 [封鎖公用因特網存取] 租用戶設定,則資料集的重新整理會失敗,而且使用量計量報告不會顯示任何資料。
Private Link 或已關閉的網路環境目前不支援 Copilot。
Eventstream
Eventstream 支援 Private Link,可從多個來源進行安全、即時的資料擷取,而不會將流量暴露給公共網際網路。 它也支援即時資料轉換,例如篩選和擴充傳入資料串流,然後再將傳入資料串流路由傳送至 Fabric 內的目的地。
不支援的案例:
- 不支援自訂端點作為來源。
- 不支援自訂端點作為目的地。
- 不支援將 Eventhouse 做為目的地 (具有直接擷取模式)。
- 不支援 Activator 作為目的地。
Eventhouse
Eventhouse 支援 Private Link,允許透過私人連結從 Azure 虛擬網絡 安全地擷取和查詢數據。 您可以從各種來源擷取資料,包括 Azure 儲存體帳戶、本機檔案和 Dataflow Gen2。 串流擷取可確保立即實現資料可用性。 此外,您可以使用 KQL 查詢或 Spark 來存取 Eventhouse 內的數據。
限制:
- 不支援從 OneLake 匯入資料。
- 無法建立通往 Eventhouse 的捷徑。
- 無法連線到數據管道中的 Eventhouse。
- 不支援使用佇列佇送來擷取資料。
- 不支援依賴佇列擷取的資料連接器。
- 無法使用 T-SQL 查詢 Eventhouse。
醫療保健資料解決方案 (預覽版)
客戶可以透過私人連結,在 Microsoft Fabric 中佈建及利用醫療保健資料解決方案。 在啟用私人連結的租用戶中,客戶可以部署醫療保健資料解決方案功能,以執行其臨床資料的全面資料擷取和轉換案例。 還包括從各種來源(例如 Azure 儲存體帳戶等)擷取醫療保健資料的能力。
Fabric 事件
網狀架構事件支援 Private Link,而不會影響事件傳遞,因為事件源自租用戶內部。
Azure 活動
Azure 事件支援 Private Link,並在啟用 [封鎖公用因特網存取] 租用戶設定時,具有下列行為:
- 取用 Azure 事件的新設定 (例如 Azure Blob 儲存體事件) 將會遭到封鎖,無法傳遞。
- 取用 Azure 事件的現有設定會停止傳遞新事件。
Microsoft Purview 資訊保護
Microsoft Purview 資訊保護目前不支援私人連結。 這表示在隔離網路中執行的 Power BI Desktop 中,[ 敏感度] 按鈕會呈現灰色、標籤資訊不會出現,而且 .pbix 檔案的解密會失敗。
若要在桌面中啟用這些功能,管理員可以為支援 Microsoft Purview 資訊保護、Exchange Online Protection (EOP) 和 Azure 資訊保護 (AIP) 的基礎服務設定服務標籤。 請務必了解在私人連結隔離網路中使用服務標籤的影響。
鏡像資料庫
私有連結支援 開放鏡像、 Azure Cosmos 資料庫鏡像、 Azure SQL 管理實例鏡像 及 SQL Server 2025 鏡像。 針對其他類型的資料庫鏡像,如果已啟用[封鎖公用因特網存取租用戶] 設定,作用中鏡像資料庫會進入暫停狀態,而且無法啟動鏡像。
針對開放式鏡像,當啟用 [封鎖公用因特網存取 租用戶] 設定 時,請確定發行者會透過私人連結將資料寫入 OneLake 登陸區域。
其他考量與限制
在 Fabric 中使用私人端點時,有幾件需要牢記的考量事項:
在啟用私人連結的租用戶中,Fabric 最多可支援 450 個容量。
新建立容量時,它不支援私人連結,直到其端點反映在私人 DNS 區域中為止,這最多可能需要 24 小時。
當在 Fabric 管理入口網站中開啟私人連結時,將阻止租用戶移轉。
客戶無法從相同的網路位置連線到多個租戶中的 Fabric 資源(取決於您設定 DNS 記錄的位置),而只能連線到最後一個租戶來設定 Private Link。
試用版不支援私人連結。 透過 Private Link 流量存取 Fabric 時,試用容量無法運作。
使用私人連結環境時,將無法使用任何外部影像或佈景主題。
每個私人端點僅可以連線至一個租用戶。 您無法將私人連結設定為由多個租用戶使用。
不支援跨租用戶案例。 這表示不支援在一個 Azure 租用戶中設定租用戶層級私人端點,以直接連線到另一個租用戶中的 Private Link 服務。
針對 Fabric 使用者:不支援內部部署的資料閘道,且無法在啟用私人連結時註冊。 若要成功執行閘道設定程式,則必須停用私人連結。 進一步了解此案例。 虛擬網路資料閘道運作。 如需詳細資訊,請參閱以下考量。
針對非 PowerBI (PowerApps 或 LogicApps) 閘道使用者:啟用 Private Link 時不支援內部部署數據閘道。 建議您探索 虛擬網路資料閘道的使用,其可與私人連結搭配使用。
私人鏈接不適用於 VNet 數據閘道下載診斷。
Microsoft網狀架構容量計量應用程式不支援 Private Link。
啟用 [私人連結] 時,[OneLake 目錄 - 控管] 索引標籤無法使用。
私人連結資源 REST API 不支援標籤。
您必須從用戶端瀏覽器存取下列 URL:
驗證所需:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com,但根據帳戶類型可能會有所不同。
Data Engineering 和 Data Science 經驗所需的必要項目:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/-
https://pypi.org/*(例如https://pypi.org/pypi/azure-storage-blob/json) - condaPackages 的本機靜態端點
https://cdn.jsdelivr.net/npm/monaco-editor*