Tautan privat untuk akses aman ke Fabric

Anda dapat menggunakan tautan privat untuk menyediakan akses aman untuk lalu lintas data di Fabric. Titik akhir privat Azure Private Link dan Azure Networking digunakan untuk mengirim lalu lintas data secara privat menggunakan infrastruktur jaringan backbone Microsoft alih-alih melintasi internet.

Saat koneksi tautan privat digunakan, koneksi tersebut melalui backbone jaringan privat Microsoft saat pengguna Fabric mengakses sumber daya di Fabric.

Untuk mempelajari selengkapnya tentang Azure Private Link, lihat Apa itu Azure Private Link.

Mengaktifkan titik akhir privat berdampak pada banyak item, jadi Anda harus meninjau seluruh artikel ini sebelum mengaktifkan titik akhir privat.

Apa itu titik akhir privat?

Titik akhir privat menjamin bahwa lalu lintas yang masuk ke item Fabric organisasi Anda (seperti mengunggah file ke OneLake, misalnya) selalu mengikuti jalur jaringan tautan privat organisasi Anda yang dikonfigurasi. Anda dapat mengonfigurasi Fabric untuk menolak semua permintaan yang tidak berasal dari jalur jaringan yang dikonfigurasi.

Endpoint privat tidak menjamin bahwa lalu lintas dari Fabric ke sumber data eksternal Anda, baik di cloud atau di tempat, aman. Mengonfigurasi aturan firewall dan jaringan virtual untuk lebih mengamankan sumber data Anda.

Titik akhir privat adalah teknologi terarah tunggal yang memungkinkan klien memulai koneksi ke layanan tertentu tetapi tidak memungkinkan layanan untuk memulai koneksi ke jaringan pelanggan. Pola integrasi titik akhir privat ini menyediakan isolasi manajemen karena layanan dapat beroperasi secara independen dari konfigurasi kebijakan jaringan pelanggan. Untuk layanan multipenyewa, model titik akhir privat ini menyediakan pengidentifikasi tautan untuk mencegah akses ke sumber daya pelanggan lain yang dihosting dalam layanan yang sama.

Layanan Fabric mengimplementasikan titik akhir privat dan bukan titik akhir layanan.

Menggunakan titik akhir privat dengan Fabric memberikan manfaat berikut:

• Batasi lalu lintas dari internet ke Fabric dan rutekan melalui jaringan backbone Microsoft.
• Pastikan hanya komputer klien resmi yang dapat mengakses Fabric.
• Mematuhi persyaratan peraturan dan kepatuhan yang mengamanatkan akses privat ke layanan data dan analitik Anda.

Memahami konfigurasi titik akhir privat

Ada dua pengaturan penyewa di portal admin Fabric yang terlibat dalam konfigurasi Private Link: Azure Private Links dan Blokir Akses Internet Publik.

Jika Azure Private Link dikonfigurasi dengan benar dan Blokir akses Internet publikdiaktifkan:

• Item Fabric yang didukung hanya dapat diakses untuk organisasi Anda dari titik akhir privat, dan tidak dapat diakses dari Internet publik.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat akan diblokir oleh layanan, dan tidak akan berfungsi.
• Mungkin ada skenario yang tidak mendukung tautan privat, yang oleh karena itu akan diblokir di layanan ketika Blokir Akses Internet Publik diaktifkan.

Jika Azure Private Link dikonfigurasi dengan benar dan Blokir Akses Internet publikdinonaktifkan:

• Lalu lintas dari Internet publik akan diizinkan oleh layanan Fabric.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat diangkut melalui Internet publik, dan akan diizinkan oleh layanan Fabric.
• Jika jaringan virtual dikonfigurasi untuk memblokir akses Internet publik, skenario yang tidak mendukung tautan privat akan diblokir oleh jaringan virtual, dan tidak akan berfungsi.

Pengalaman Private Link dalam Fabric

OneLake

OneLake mendukung Private Link. Anda dapat menjelajahi OneLake di portal Fabric atau dari komputer apa pun dalam jaringan virtual yang Anda buat menggunakan penjelajah file OneLake, Azure Storage Explorer, PowerShell, dan banyak lagi.

Panggilan langsung menggunakan endpoint regional OneLake tidak dapat dilakukan melalui tautan privat ke Fabric. Untuk informasi selengkapnya tentang menyambungkan ke OneLake dan titik akhir regional, lihat Bagaimana cara menyambungkan ke OneLake?.

Sistem Analitik SQL untuk Gudang dan Lakehouse

Mengakses Gudang atau titik akhir analitik SQL dari Lakehouse di portal Fabric dilindungi oleh tautan privat. Pelanggan juga dapat menggunakan titik akhir Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio, Azure Data Studio) untuk terhubung ke Gudang melalui tautan privat.

Kueri visual di Gudang tidak berfungsi saat pengaturan penyewa Blokir Akses Internet Publik diaktifkan.

Database SQL

Mengakses database SQL atau titik akhir analitik SQL di portal Fabric dilindungi oleh tautan privat. Pelanggan juga dapat menggunakan endpoint Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio atau Visual Studio Code) untuk terhubung ke database SQL lewat sambungan privat. Untuk informasi selengkapnya tentang menyambungkan ke database SQL, lihat Autentikasi di database SQL di Microsoft Fabric.

Lakehouse, Notebook, Definisi kerja Spark, Lingkungan

Setelah Anda mengaktifkan pengaturan penyewa Azure Private Link, menjalankan pekerjaan Spark pertama (definisi pekerjaan NoteBook atau Spark) atau melakukan operasi Lakehouse (operasi Muat ke Tabel, operasi pemeliharaan tabel seperti Optimize atau Vacuum) akan menghasilkan pembuatan jaringan virtual terkelola untuk ruang kerja.

Setelah jaringan virtual terkelola disediakan, kumpulan starter (opsi Komputasi default) untuk Spark dinonaktifkan, karena ini adalah kluster yang telah dipersiapkan sebelumnya di dalam jaringan virtual bersama. Pekerjaan Spark berjalan pada kumpulan kustom yang dibuat sesuai permintaan pada saat pengiriman pekerjaan dalam jaringan virtual terkelola khusus ruang kerja. Migrasi ruang kerja antar kapasitas dalam wilayah yang berbeda tidak didukung saat jaringan virtual terkelola dialokasikan ke ruang kerja Anda.

Saat pengaturan tautan privat diaktifkan, pekerjaan Spark tidak akan berfungsi untuk penyewa yang wilayah asalnya tidak mendukung Rekayasa Data Fabric, bahkan jika mereka menggunakan kapasitas Fabric dari wilayah lain yang mendukungnya.

Untuk informasi selengkapnya, lihat Jaringan Virtual Terkelola untuk Fabric.

Aliran Data Gen2

Anda dapat menggunakan Dataflow gen2 untuk mendapatkan data, mengubah data, dan menerbitkan aliran data melalui tautan privat. Saat sumber data berada di belakang firewall, Anda dapat menggunakan VNet data gateway untuk menyambungkan ke sumber data Anda. Gateway data VNet memungkinkan injeksi gateway (komputasi) ke jaringan virtual Anda yang ada, sehingga memberikan pengalaman gateway terkelola. Anda dapat menggunakan koneksi gateway VNet untuk menyambungkan ke Lakehouse atau Gudang Data dalam lingkungan penyewa yang memerlukan pranala privat atau menyambungkan ke sumber data lain dengan jaringan virtual Anda.

Rangkaian

Saat tersambung ke Pipeline melalui tautan privat, Anda dapat menggunakan alur data untuk memuat data dari sumber data apa pun dengan titik akhir publik ke microsoft Fabric lakehouse yang mendukung tautan privat. Pelanggan juga dapat menulis dan mengoperasikan alur data dengan aktivitas, termasuk aktivitas Notebook dan Dataflow, menggunakan tautan privat. Namun, menyalin data dari dan ke Gudang Data saat ini tidak dimungkinkan saat tautan privat Fabric diaktifkan.

Keterampilan AI, Model ML, dan Eksperimen

Model ML, Eksperimen, dan fungsi AI mendukung tautan privat.

Power BI

• Jika akses internet dinonaktifkan, dan jika model semantik Power BI, Datamart, atau Dataflow Gen1 tersambung ke model semantik Power BI atau Aliran Data sebagai sumber data, koneksi akan gagal.

• Publikasikan ke Web tidak didukung ketika pengaturan penyewa Azure Private Link diaktifkan di Fabric.

• Langganan email tidak didukung saat pengaturan Blokir Akses Internet Publik diaktifkan untuk penyewa di Fabric.

• Mengekspor laporan Power BI sebagai PDF atau PowerPoint tidak didukung ketika fitur Azure Private Link diaktifkan di Fabric.

• Jika organisasi Anda menggunakan Azure Private Link di Fabric, laporan metrik penggunaan modern akan berisi data parsial (hanya laporkan peristiwa Terbuka). Batasan saat ini saat mentransfer informasi klien melalui tautan privat mencegah Fabric menangkap Tampilan Halaman Laporan dan data performa melalui tautan privat. Jika organisasi Anda telah mengaktifkan pengaturan penyewa Azure Private Link dan Block Public Internet Access di Fabric, refresh untuk himpunan data gagal dan laporan metrik penggunaan tidak menampilkan data apa pun.

• Copilot saat ini tidak didukung untuk Private Link atau lingkungan jaringan tertutup.

Eventhouse

Eventhouse mendukung Private Link, memungkinkan pengolahan dan pengkuerian data yang aman dari Azure Virtual Network Anda melalui tautan privat. Anda dapat menyerap data dari berbagai sumber, termasuk akun Azure Storage, file lokal, dan Dataflow Gen2. Pengambilan data streaming memastikan ketersediaan data secara langsung. Selain itu, Anda dapat menggunakan kueri KQL atau Spark untuk mengakses data dalam Eventhouse.

Batasan:

• Pengambilan data dari OneLake tidak didukung.
• Membuat pintasan ke Eventhouse tidak memungkinkan.
• Tidak mungkin untuk menyambungkan ke Eventhouse dalam sebuah alur data.
• Memasukkan data menggunakan pengambilan antrian tidak didukung.
• Konektor data yang mengandalkan ingesti yang diantrekan tidak didukung.
• Mengkueri Eventhouse menggunakan T-SQL tidak dimungkinkan.

Solusi data layanan kesehatan (pratinjau)

Pelanggan dapat menyediakan dan menggunakan solusi data Healthcare di Microsoft Fabric melalui tautan privat. Dalam penyewa layanan yang telah diaktifkan dengan fitur tautan pribadi, pelanggan dapat menyebarkan kemampuan solusi data perawatan kesehatan untuk menjalankan skenario komprehensif untuk pemasukan dan transformasi data klinis mereka. Ini termasuk kemampuan untuk menyerap data layanan kesehatan dari berbagai sumber, seperti akun Azure Storage, dan banyak lagi.

Acara Azure dan Fabric

Acara Azure dan Fabric mendukung tautan privat sehingga saat pengaturan penyewa Block Public Internet Access diaktifkan:

• Konfigurasi baru apa pun untuk menggunakan peristiwa Azure, seperti peristiwa Azure Blob Storage, akan diblokir.
• Konfigurasi yang ada yang menggunakan peristiwa Azure akan mulai kehilangan setiap peristiwa baru.

Barang kain lainnya

Item Fabric lainnya, seperti Eventstream, belum mendukung Private Link saat ini, dan secara otomatis dinonaktifkan ketika Anda mengaktifkan pengaturan penyewa Blokir Akses Internet Publik untuk menjaga status kepatuhan.

Perlindungan Informasi Microsoft Purview

Perlindungan Informasi Microsoft Purview saat ini tidak mendukung Private Link. Ini berarti bahwa di Power BI Desktop yang berjalan di jaringan terisolasi, tombol Sensitivitas berwarna abu-abu, informasi label tidak akan muncul, dan dekripsi file .pbix akan gagal.

Untuk mengaktifkan kemampuan ini di Desktop, admin dapat mengonfigurasi tag layanan untuk layanan dasar yang mendukung Perlindungan Informasi Microsoft Purview, Proteksi Exchange Online (EOP), dan Azure Information Protection (AIP). Pastikan Anda memahami implikasi penggunaan tag layanan dalam jaringan terisolasi tautan privat.

Pertimbangan dan batasan lainnya

Ada beberapa pertimbangan yang perlu diingat saat bekerja dengan titik akhir privat di Fabric:

• Fabric mendukung hingga 450 kapasitas untuk penyewa yang diaktifkan Private Link.

• Ketika kapasitas baru dibuat, kapasitas tersebut tidak akan mendukung Private Link hingga titik akhirnya tercermin di zona DNS privat. Proses ini dapat memakan waktu hingga 24 jam.

• Migrasi penyewa diblokir saat Private Link diaktifkan di portal admin Fabric.

• Pelanggan tidak dapat terhubung ke sumber daya Fabric di beberapa penyewa dari satu jaringan virtual, melainkan hanya penyewa terakhir yang menyiapkan Private Link.

• Tautan privat tidak didukung pada kapasitas Uji Coba. Saat mengakses Fabric melalui lalu lintas Private Link, kapasitas uji coba tidak akan berfungsi.

• Penggunaan gambar atau tema eksternal apa pun tidak dapat digunakan saat berada di lingkungan tautan pribadi.

• Setiap titik akhir privat hanya dapat dihubungkan ke satu penyewa. Anda tidak dapat menyiapkan tautan privat untuk digunakan oleh lebih dari satu penyewa.

• Untuk pengguna Fabric: Gateway data lokal tidak didukung dan gagal mendaftar saat Private Link diaktifkan. Agar berhasil menjalankan konfigurasi gateway, Private Link harus dinonaktifkan. Pelajari selengkapnya tentang skenario ini. Gateway VNet akan berfungsi. Untuk informasi selengkapnya, lihat pertimbangan ini.

• Untuk pengguna Gateway non-PowerBI (PowerApps atau LogicApps): Gateway data lokal tidak didukung saat Private Link diaktifkan. Sebaiknya jelajahi penggunaan gateway data VNET, yang dapat digunakan dengan tautan privat.

• Private Link tidak akan berfungsi dengan diagnostik unduhan VNet Data Gateway.

• REST API sumber daya tautan privat tidak mendukung tag.

• URL berikut harus dapat diakses dari browser klien:

  • Diperlukan untuk autentikasi:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, meskipun ini mungkin berbeda berdasarkan jenis akun.

  • Diperlukan untuk pengalaman Rekayasa Data dan Ilmu Data:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (misalnya, https://pypi.org/pypi/azure-storage-blob/json)
    • titik akhir statis lokal untuk condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Konten terkait

• Menyiapkan dan menggunakan titik akhir privat yang aman
• VNet terkelola untuk Fabric
• Akses Bersyarat
• Cara menemukan ID penyewa Microsoft Entra Anda