Megosztás a következőn keresztül:

Privát hivatkozások a Fabrichez való biztonságos hozzáféréshez

  • Cikk

Privát hivatkozások használatával biztonságos hozzáférést biztosíthat az adatforgalomhoz a Fabricben. Az Azure Private Link és az Azure Networking privát végpontjai az adatforgalom privát küldésére szolgálnak a Microsoft gerinchálózati infrastruktúrájával, nem pedig az interneten keresztül.

A privát kapcsolati kapcsolatok használatakor ezek a kapcsolatok a Microsoft magánhálózati gerinchálózatán haladnak át, amikor a Fabric felhasználói hozzáférnek a Fabric erőforrásaihoz.

Az Azure Private Linkről további információt az Azure Private Link ismertetése című témakörben talál.

A privát végpontok engedélyezése számos elemre hatással van, ezért a privát végpontok engedélyezése előtt érdemes áttekinteni ezt a teljes cikket.

Mi az a privát végpont?

A privát végpont garantálja, hogy a szervezet Fabric-elemeibe irányuló forgalom (például egy fájl feltöltése a OneLake-be) mindig a szervezet konfigurált privát kapcsolat hálózati útvonalát követi. A Hálót úgy konfigurálhatja, hogy megtagadja az összes olyan kérést, amely nem a konfigurált hálózati útvonalból származik.

A privát végpontok nem garantálják, hogy a Fabricből a külső adatforrásokra irányuló forgalom biztonságos legyen, akár a felhőben, akár a helyszínen. Konfigurálja a tűzfalszabályokat és a virtuális hálózatokat az adatforrások további védelméhez.

A privát végpontok egyetlen, irányított technológia, amely lehetővé teszi az ügyfelek számára, hogy kapcsolatokat kezdeményezhessenek egy adott szolgáltatáshoz, de nem teszik lehetővé a szolgáltatás számára, hogy kapcsolatot indítson az ügyfélhálózattal. Ez a privát végpontintegrációs minta felügyeleti elkülönítést biztosít, mivel a szolgáltatás az ügyfél hálózati házirend-konfigurációtól függetlenül működhet. A több-bérlős szolgáltatások esetében ez a privát végpontmodell hivatkozásazonosítókat biztosít, amelyek megakadályozzák az ugyanazon szolgáltatásban üzemeltetett más ügyfelek erőforrásaihoz való hozzáférést.

A Fabric szolgáltatás privát végpontokat implementál, nem pedig szolgáltatásvégpontokat.

Privát végpontok használata a Fabric használatával a következő előnyöket biztosítja:

  • Korlátozza az internetről a Fabric felé irányuló forgalmat, és irányítsa át a Microsoft gerinchálózatán.
  • Győződjön meg arról, hogy csak a jogosult ügyfélgépek férhetnek hozzá a Fabrichez.
  • Az adat- és elemzési szolgáltatásokhoz való privát hozzáférést biztosító jogszabályi és megfelelőségi követelményeknek való megfelelés.

A privát végpont konfigurációjának ismertetése

A Háló felügyeleti portálján két bérlői beállítás szerepel a Private Link konfigurációjában: Az Azure Private Links és a Nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:

  • A támogatott hálóelemek csak privát végpontokról érhetők el a szervezet számára, és nem érhetők el a nyilvános internetről.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat a szolgáltatás letiltja, és nem fog működni.
  • Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, ezért a szolgáltatás letiltja, ha engedélyezve van a nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:

  • A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a nyilvános interneten keresztül továbbítja, és a Fabric-szolgáltatások engedélyezik.
  • Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat, és nem működnek.

OneLake

A OneLake támogatja a Private Linket. A OneLake-t a Fabric portálon vagy a létrehozott virtuális hálózat bármely gépéről megismerheti a OneLake fájlkezelő, az Azure Storage Explorer, a PowerShell és egyebek használatával.

A OneLake regionális végpontjait használó közvetlen hívások nem működnek a Fabrichez való privát kapcsolaton keresztül. További információ a OneLake-hez és a regionális végpontokhoz való csatlakozásról: Hogyan csatlakozás a OneLake-hez?

Warehouse és Lakehouse SQL Analytics-végpont

A Fabric portálon egy Lakehouse-beli raktár vagy SQL Analytics-végpont elérése privát hivatkozással védett. Az ügyfelek a Tabular Data Stream (TDS) végpontjaival (például SQL Server Management Studio, Azure Data Studio) is csatlakozhatnak a Warehouse-hoz privát kapcsolaton keresztül.

A Visual Query a Warehouse-ban nem működik, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van.

SQL-adatbázis

Az SQL-adatbázis vagy az SQL Analytics-végpont elérése a Háló portálon privát hivatkozással védett. Az ügyfelek táblázatos adatfolyam-(TDS-) végpontokkal (például SQL Server Management Studio vagy Visual Studio Code) is csatlakozhatnak az SQL-adatbázishoz privát kapcsolaton keresztül. További információ az SQL-adatbázishoz való csatlakozásról: Hitelesítés az SQL-adatbázisban a Microsoft Fabric.

Tóházas, Jegyzetfüzet, Spark-feladat meghatározás, Környezet

Miután engedélyezte az Azure Private Link bérlői beállítását, az első Spark-feladat (jegyzetfüzet vagy Spark-feladatdefiníció) futtatása vagy egy Lakehouse-művelet (Betöltés táblázatba, táblakarbantartási műveletek, például optimalizálás vagy vákuum) végrehajtása egy felügyelt virtuális hálózat létrehozását eredményezi a munkaterület számára.

Miután a felügyelt virtuális hálózatot kiépítettük, a Spark kezdeményező csoportjai (alapértelmezett számítási lehetőség) letiltásra kerülnek, mivel ezek előre elkészített fürtök, amelyeket egy megosztott virtuális hálózaton üzemeltetnek. A Spark-feladatok olyan egyéni készleteken futnak, amelyek a munkaterület dedikált felügyelt virtuális hálózatában történő feladatbeküldéskor jönnek létre igény szerint. A különböző régiókban lévő kapacitások közötti munkaterület-migrálás nem támogatott, ha egy felügyelt virtuális hálózat van lefoglalva a munkaterülethez.

Ha a privát kapcsolat beállítása engedélyezve van, a Spark-feladatok nem fognak működni azon bérlők esetében, akiknek az otthoni régiója nem támogatja a Fabric adatmérnök inget, még akkor sem, ha más régiókból származó Fabric-kapacitásokat használnak.

További információ: Managed VNet for Fabric.

Adatfolyam Gen2

A Dataflow gen2 használatával adatokat kérhet le, átalakíthat adatokat, és privát kapcsolaton keresztül közzéteheti az adatfolyamot. Ha az adatforrás a tűzfal mögött található, a virtuális hálózati adatátjáróval csatlakozhat az adatforrásokhoz. A virtuális hálózati adatátjáró lehetővé teszi az átjáró (számítás) injektálását a meglévő virtuális hálózatba, így felügyelt átjáró-élményt biztosít. VNet átjárókapcsolatok használatával csatlakozhat a bérlőn belüli Lakehouse-hoz vagy tárolóhoz, amelyhez privát kapcsolat szükséges, vagy a virtuális hálózatával más adatforrásokhoz is kapcsolódhat.

Pipeline

Amikor privát kapcsolaton keresztül csatlakozik a Folyamathoz, az adatfolyam használatával bármilyen nyilvános végponttal rendelkező adatforrásból adatokat tölthet be egy privát kapcsolattal kompatibilis Microsoft Fabric lakehouse-ba. Az ügyfelek a privát hivatkozás használatával olyan tevékenységekkel is létrehozhatják és üzembe helyezhetik az adatfolyamokat, mint a jegyzetfüzet- és adatfolyam-tevékenységek. Az adatok adattárházból és adattárházba való másolása azonban jelenleg nem lehetséges, ha a Fabric privát kapcsolata engedélyezve van.

ML-modell, kísérletezés és AI-képesség

Az ML-modell, kísérletezés és AI-képesség támogatja a privát kapcsolatot.

Power BI

  • Ha az internet-hozzáférés le van tiltva, és a Power BI szemantikai modell, a Datamart vagy az Adatfolyam Gen1 egy Power BI szemantikai modellhez vagy adatfolyamhoz csatlakozik adatforrásként, a kapcsolat sikertelen lesz.

  • A webes közzététel nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Az e-mail-előfizetések nem támogatottak, ha a Bérlői beállítás a Nyilvános internet-hozzáférés letiltása beállítást engedélyezi a Fabricben.

  • A Power BI-jelentések PDF-ként vagy PowerPointként való exportálása nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Ha a szervezet az Azure Private Linket használja a Fabricben, a modern használati metrikák jelentései részleges adatokat tartalmaznak (csak a jelentésmegnyitási eseményeket). Az ügyféladatok privát hivatkozásokon keresztüli átvitelének jelenlegi korlátozása megakadályozza, hogy a Fabric privát hivatkozásokon keresztül rögzítse a jelentésoldal-nézeteket és a teljesítményadatokat. Ha a szervezet engedélyezte az Azure Private Link és a Nyilvános internet-hozzáférés letiltása bérlői beállításait a Fabricben, az adathalmaz frissítése meghiúsul, és a használati metrikák jelentése nem jelenít meg adatokat.

  • A Copilot jelenleg nem támogatott Privát kapcsolat vagy zárt hálózati környezetek esetén.

Eventhouse

Az Eventhouse támogatja a Private Linket, így biztonságos adatbetöltést és lekérdezést tesz lehetővé az Azure-beli virtuális hálózatról egy privát kapcsolaton keresztül. Különböző forrásokból, például Azure Storage-fiókokból, helyi fájlokból és Adatfolyam Gen2-ből is betölthet adatokat. A streamelés biztosítja az adatok azonnali rendelkezésre állását. Emellett KQL-lekérdezéseket vagy Sparkot is használhat az Eventhouse-adatok eléréséhez.

Korlátozások:

  • A OneLake-ből történő adatbetöltés nem támogatott.
  • Nem lehet parancsikont létrehozni egy Eventhouse-hoz.
  • Egy adatfolyamon belül nem lehet csatlakozni egy eventhouse-hoz.
  • Az adatok várólistás betöltéssel való betöltése nem támogatott.
  • A sorban álló adatbetöltésre támaszkodó adatcsatlakozók nem támogatottak.
  • Eseményház lekérdezése T-SQL használatával nem lehetséges.

Egészségügyi adatmegoldások (előzetes verzió)

Az ügyfelek privát kapcsolaton keresztül hozhatnak létre és használhatnak egészségügyi adatmegoldásokat a Microsoft Fabricben. Egy privát kapcsolattal rendelkező bérlőn belül az ügyfelek egészségügyi adatmegoldási képességeket helyezhetnek üzembe a klinikai adataik átfogó adatbetöltési és átalakítási forgatókönyveinek végrehajtásához. Ez magában foglalja az egészségügyi adatok betöltésének lehetőségét különböző forrásokból, például Azure Storage-fiókokból és egyebekből.

Azure- és Fabric-események

Az Azure- és Fabric-események támogatják a privát kapcsolatot, így ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van:

  • Az Azure-eseményeket, például az Azure Blob Storage-eseményeket használó új konfigurációk le lesznek tiltva.
  • Az Azure-eseményeket használó meglévő konfigurációk elveszítik az új eseményeket.

Egyéb hálóelemek

Az egyéb hálóelemek( például az Eventstream) jelenleg nem támogatják a Privát kapcsolat funkciót, és a megfelelőségi állapot védelme érdekében automatikusan le lesz tiltva a Nyilvános internet-hozzáférés letiltása bérlői beállítás bekapcsolásakor.

Microsoft Purview Információvédelem

Microsoft Purview információvédelem jelenleg nem támogatja a Private Linket. Ez azt jelenti, hogy az elkülönített hálózaton futó Power BI Desktopban a Bizalmasság gomb szürkén jelenik meg, a címkeadatok nem jelennek meg, és a .pbix-fájlok visszafejtése sikertelen lesz.

Ha engedélyezni szeretné ezeket a képességeket a Desktopban, a rendszergazdák konfigurálhatják a Microsoft Purview információvédelem, az Exchange Online Védelmi szolgáltatás (EOP) és az Azure Information Protection (AIP) szolgáltatást támogató mögöttes szolgáltatásokhoz tartozó szolgáltatáscímkéket. Győződjön meg arról, hogy tisztában van a szolgáltatáscímkék magánhálózati kapcsolatokban való használatának következményeivel.

Egyéb szempontok és korlátozások

A Fabric privát végpontjaival végzett munka során több szempontot is figyelembe kell venni:

  • A Fabric legfeljebb 450 kapacitást támogat olyan bérlőkben, ahol engedélyezve van a Private Link.

  • Az újonnan létrehozott kapacitás nem támogatja a privát kapcsolatot, amíg a végpontja nem jelenik meg a privát DNS-zónában. Ez akár 24 órát is igénybe vehet.

  • A bérlői migrálás le lesz tiltva, ha a Private Link be van kapcsolva a Háló felügyeleti portálján.

  • Az ügyfelek egyetlen virtuális hálózat több bérlőjében nem tudnak csatlakozni a Fabric-erőforrásokhoz, hanem csak az utolsó bérlőhöz, amely beállítja a Private Linket.

  • A privát kapcsolat nem támogatja a próbaverziós kapacitást. Ha a Fabric rendszerhez Private Link forgalmon keresztül fér hozzá, a próba kapacitás nem fog működni.

  • A külső képek vagy témák bármilyen felhasználása nem érhető el privát kapcsolati környezetek használatakor.

  • Minden privát végpont csak egy bérlőhöz csatlakoztatható. Nem állíthat be olyan privát hivatkozást, amelyet egynél több bérlő használhat.

  • Fabric felhasználók számára: A helyszíni adatátjárók nem működnek és nem regisztrálhatók, ha a Private Link engedélyezve van. Az átjárókonfiguráló sikeres futtatásához le kell tiltani a Private Linket. További információ erről a forgatókönyvről. A virtuális hálózati adatátjárók működni fognak. További információkért tekintse meg ezeket a szempontokat.

  • Nem PowerBI (PowerApps vagy LogicApps) átjáró felhasználói: A helyszíni adatátjáró nem támogatott, ha engedélyezve van a privát kapcsolat. Javasoljuk, hogy vizsgálja meg a VNET adatátjáró használatát, amely privát hivatkozásokkal használható.

  • A privát hivatkozások nem működnek a VNet Data Gateway letöltési diagnosztikáival.

  • A privát kapcsolatok erőforrás REST API-k nem támogatják a címkéket.

  • A következő URL-címeknek elérhetőnek kell lenniük az ügyfélböngészőből:

    • Hitelesítéshez szükséges:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comfióktípustól függően azonban ez eltérő lehet.

    • Az adatmérnöki és adattudomány tapasztalatokhoz szükséges:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (például: https://pypi.org/pypi/azure-storage-blob/json)
      • a condaPackages helyi statikus végpontjai
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Kapcsolódó tartalom