Fabric için güvenli erişim sağlayan özel bağlantılar

Doku'da veri trafiğine güvenli erişim sağlamak için özel bağlantıları kullanabilirsiniz. Azure Özel Bağlantı ve Azure Ağ özel uç noktaları, İnternet üzerinden gitmek yerine Microsoft'un omurga ağ altyapısını kullanarak veri trafiğini özel olarak göndermek için kullanılır.

Özel bağlantı bağlantıları kullanıldığında, Doku kullanıcıları Doku'daki kaynaklara eriştiğinde bu bağlantılar Microsoft özel ağ omurgası üzerinden gider.

Azure Özel Bağlantı hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı nedir?

Özel uç noktaların etkinleştirilmesi birçok öğeyi etkiler, bu nedenle özel uç noktaları etkinleştirmeden önce bu makalenin tamamını gözden geçirmelisiniz.

Özel uç nokta nedir?

Özel uç nokta, kuruluşunuzun Doku öğelerine giden trafiğin (örneğin OneLake'e dosya yükleme gibi) her zaman kuruluşunuzun yapılandırılmış özel bağlantı ağ yolunu izlemesini garanti eder. Yapılandırılmış ağ yolundan gelmeyen tüm istekleri reddedecek şekilde Fabric'i yapılandırabilirsiniz.

Özel uç noktalar, bulutta veya şirket içinde Fabric'ten dış veri kaynaklarınıza gelen trafiğin güvenliğini garanti etmez. Veri kaynaklarınızın güvenliğini daha da sağlamak için güvenlik duvarı kurallarını ve sanal ağları yapılandırın.

Özel uç nokta, istemcilerin belirli bir hizmete bağlantı başlatmasına olanak tanıyan ancak hizmetin müşteri ağına bağlantı başlatmasına izin vermeyen tek yönlü bir teknolojidir. Bu özel uç nokta tümleştirme düzeni, hizmet müşteri ağ ilkesi yapılandırmasından bağımsız olarak çalışabildiğinden yönetim yalıtımı sağlar. Çok kiracılı hizmetler için bu özel uç nokta modeli, aynı hizmette barındırılan diğer müşterilerin kaynaklarına erişimi engellemek için bağlantı tanımlayıcıları sağlar.

Fabric hizmeti, hizmet uç noktalarını değil, özel uç noktaları uygular.

Fabric ile özel uç noktaların kullanılması aşağıdaki avantajları sağlar:

• İnternet'ten Fabric'e giden trafiği kısıtlayın ve Microsoft omurga ağı üzerinden yönlendirin.
• Yalnızca yetkili istemci makinelerinin Fabric'e erişebildiğinden emin olun.
• Verilerinize ve analiz hizmetlerinize özel erişim gerektiren mevzuat ve uyumluluk gereksinimlerine uyun.

Özel uç nokta yapılandırmasını anlama

Fabric yönetim portalında Özel Bağlantı yapılandırmasıyla ilgili iki kiracı ayarı vardır: Azure Özel Bağlantıları ve Genel İnternet Erişimini Engelleme.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelle etkinleştirildiyse:

• Desteklenen Fabric öğelerine yalnızca özel uç noktalardan kuruluşunuzdan erişilebilir ve genel İnternet'ten erişilemez.
• Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
• Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik hizmet tarafından engellenir ve çalışmaz.
• Özel bağlantıları desteklemeyen senaryolar olabilir, bu nedenle Genel İnternet Erişimini Engelle etkinleştirildiğinde hizmette engellenir.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelledevre dışı bırakıldıysa:

• Kumaş hizmetleri, genel İnternet'ten gelen trafiğe izin verecek.
• Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
• Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik genel İnternet üzerinden taşınır ve Doku hizmetleri tarafından izin verilir.
• Sanal ağ genel İnternet erişimini engelleyecek şekilde yapılandırılmışsa, özel bağlantıları desteklemeyen senaryolar sanal ağ tarafından engellenir ve çalışmaz.

Doku deneyimlerinde Özel Bağlantı

OneLake

OneLake Özel Bağlantı destekler. OneLake dosya gezgini, Azure Depolama Gezgini, PowerShell ve daha fazlasını kullanarak Doku portalında veya yerleşik sanal ağınızdaki herhangi bir makineden OneLake'i keşfedebilirsiniz.

OneLake bölgesel uç noktalarını kullanan doğrudan çağrılar, Fabric'e özel bağlantı üzerinden çalışmaz. OneLake'e ve bölgesel uç noktalara bağlanma hakkında daha fazla bilgi için bkz. OneLake'e bağlanmak Nasıl yaparım??

Warehouse ve Lakehouse SQL analitik uç noktası

Fabric portalında bir Lakehouse'un Veri Ambarı'na veya SQL analiz uç noktasına erişimi özel bağlantı ile korunur. Müşteriler ayrıca Özel bağlantı aracılığıyla Ambar'a bağlanmak için Tablosal Veri Akışı (TDS) uç noktalarını (örneğin SQL Server Management Studio, Azure Data Studio) kullanabilir.

Ambar'daki görsel sorgu, Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde çalışmaz.

SQL veritabanı

Yapı portalında bir SQL veritabanına veya SQL analiz uç noktasına erişim özel bağlantıyla korunur. Müşteriler, SQL veritabanına bağlanmak için özel bağlantı aracılığıyla Tablosal Veri Akışı (TDS) uç noktalarını (örneğin, SQL Server Management Studio veya Visual Studio Code) de kullanabilir. SQL veritabanına bağlanma hakkında daha fazla bilgi için bkz. Microsoft Fabric 'da SQL veritabanında kimlik doğrulaması.

Lakehouse, Notebook, Spark görev tanımı, Ortam

Azure Özel Bağlantı kiracı ayarını etkinleştirdikten sonra, ilk Spark işini (Not Defteri veya Spark iş tanımı) çalıştırmanız veya bir Lakehouse işlemi gerçekleştirmeniz (Tabloya Yükle, İyileştirme veya Vakum gibi tablo bakım işlemleri) çalışma alanı için yönetilen bir sanal ağ oluşturulmasına neden olur.

Yönetilen sanal ağ sağlandıktan sonra Spark için başlangıç havuzları (varsayılan İşlem seçeneği) devre dışı bırakılır; bunlar paylaşılan bir sanal ağda barındırılan önceden hazırlanan kümelerdir. Spark işleri, çalışma alanının ayrılmış yönetilen sanal ağı içinde iş gönderimi sırasında isteğe bağlı olarak oluşturulan özel havuzlarda çalıştırılır. Yönetilen bir sanal ağ çalışma alanınıza ayrıldığında farklı bölgelerdeki kapasiteler arasında çalışma alanı geçişi desteklenmez.

Özel bağlantı ayarı etkinleştirildiğinde, Spark görevleri, ana bölgesi Doku Veri Mühendisliği'ni desteklemeyen kiracılar için, diğer bölgelerdeki Doku kapasitelerini kullansalar bile çalışmaz.

Daha fazla bilgi için Yönetilen Sanal Ağ (VNet) for Fabric konusuna bakın.

Veri Akışı 2. Nesil

Veri akışı 2. Nesil'i kullanarak özel bağlantı aracılığıyla veri alabilir, verileri dönüştürebilir ve yayımlayabilirsiniz. Veri kaynağınız güvenlik duvarının arkasında olduğunda, veri kaynaklarınıza bağlanmak için sanal ağ veri ağ geçidini kullanabilirsiniz. VNet veri ağ geçidi, ağ geçidinin (hesaplama) mevcut sanal ağınıza entegre edilmesini sağlayarak yönetilen bir ağ geçidi deneyimi sunar. Kiracıda özel bağlantı gerektiren bir Lakehouse veya Warehouse'a bağlanmak veya sanal ağınızla diğer veri kaynaklarına bağlanmak için VNet ağ geçidi bağlantılarını kullanabilirsiniz.

İşlem Hattı

Özel bağlantı üzerinden İşlem Hattı'na bağlandığınızda, genel uç noktaları olan herhangi bir veri kaynağından özel bağlantı etkinleştirilmiş bir Microsoft Fabric lakehouse'a veri yüklemek için veri işlem hattını kullanabilirsiniz. Müşteriler ayrıca özel bağlantıyı kullanarak Not Defteri ve Veri Akışı etkinlikleri dahil olmak üzere etkinliklerle veri işlem hatlarını yazabilir ve kullanıma hazırlayabilir. Ancak Fabric'in özel bağlantısı etkinleştirildiğinde Veri Ambarı'ndan ve Veri Ambarı'na veri kopyalamak şu anda mümkün değildir.

ML Modeli, Deneme ve Yapay Zeka becerisi

ML Modeli, Deneme ve yapay zeka becerileri özel bağlantıyı destekler.

Power BI

• İnternet erişimi devre dışı bırakılırsa ve Power BI anlam modeli, Datamart veya Dataflow 1. Nesil bir Power BI anlam modeline veya Veri Akışı'na veri kaynağı olarak bağlanırsa bağlantı başarısız olur.

• Fabric'de kiracı ayarları Azure Özel Bağlantı etkinleştirildiğinde Web'de yayımlama desteklenmez.

• Fabric'de Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde e-posta abonelikleri desteklenmez.

• Fabric'te Azure Özel Bağlantı tenant ayarı etkinleştirildiğinde, bir Power BI raporunu PDF veya PowerPoint olarak dışa aktarmak desteklenmez.

• Kuruluşunuz Fabric'de Azure Özel Bağlantı kullanıyorsa, modern kullanım metrikleri raporları kısmi veriler (yalnızca Rapor Açma olayları) içerir. İstemci bilgilerini özel bağlantılar üzerinden aktarırken geçerli bir sınırlama, Fabric'in özel bağlantılar üzerinden Rapor Sayfası Görünümlerini ve performans verilerini yakalamasını engeller. Kuruluşunuz Doku'da Azure Özel Bağlantı ve Genel İnternet Erişimini Engelle kiracı ayarlarını etkinleştirmişse, veri kümesi yenilemesi başarısız olur ve kullanım ölçümleri raporunda veri gösterilmez.

• Copilot şu anda Özel Bağlantı veya kapalı ağ ortamları için desteklenmiyor.

Eventhouse

Eventhouse, Azure Sanal Ağınızdaki özel bir bağlantı üzerinden güvenli veri alımı ve sorgulama yapılmasına olanak tanıyan Private Link'i destekler. Azure Depolama hesapları, yerel dosyalar ve Dataflow 2. Nesil gibi çeşitli kaynaklardan veri alabilirsiniz. Akış alımı, verilerin anında kullanılabilirliğini sağlar. Ayrıca, Bir Eventhouse içindeki verilere erişmek için KQL sorgularını veya Spark'ı kullanabilirsiniz.

Sınırlamalar:

• OneLake'ten veri alımı desteklenmez.
• Eventhouse'a kısayol oluşturmak mümkün değildir.
• Veri işlem hattındaki bir Eventhouse'a bağlanmak mümkün değildir.
• Kuyruklu alma kullanılarak veri alınması desteklenmez.
• Kuyruğa alınmış veri alma yöntemini kullanan bağlayıcılar desteklenmez.
• T-SQL kullanarak bir Eventhouse'un sorgulanması mümkün değildir.

Sağlık verileri çözümleri (önizleme)

Müşteriler özel bir bağlantı aracılığıyla Microsoft Fabric'te Healthcare veri çözümleri sağlayabilir ve kullanabilir. Özel bağlantıyla etkinleştirilen bir kiracıda müşteriler, klinik verileri için kapsamlı veri alımı ve dönüşüm senaryoları yürütmek üzere Healthcare veri çözümü özelliklerini dağıtabilir. Bu, Azure Depolama hesapları gibi çeşitli kaynaklarda sağlık verilerini alma özelliğini ve daha fazlasını içerir.

Azure ve Fabric Etkinlikleri

Azure ve Fabric etkinlikleri, Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde özel bağlantıyı destekler.

• Azure Blob Depolama olayları gibi Azure olaylarını kullanacak yeni yapılandırmalar engellenir.
• Azure olaylarını tüketen mevcut yapılandırmalar yeni olayları kaybetmeye başlayacak.

Diğer Doku öğeleri

Eventstream gibi diğer Doku öğeleri şu anda Özel Bağlantı desteklemez ve uyumluluk durumunu korumak için Genel İnternet Erişimini Engelle kiracı ayarını açtığınızda otomatik olarak devre dışı bırakılır.

Microsoft Purview Bilgi Koruması

Microsoft Purview Bilgi Koruması şu anda Özel Bağlantı desteklemez. Bu, yalıtılmış bir ağda çalışan Power BI Desktop'ta Duyarlılık düğmesinin gri olduğu, etiket bilgilerinin görünmeyeceği ve .pbix dosyalarının şifresinin çözülmeyeceği anlamına gelir.

Masaüstü'nde bu özellikleri etkinleştirmek için, yöneticiler Microsoft Purview Bilgi Koruması, Exchange Online Protection (EOP) ve Azure Information Protection'ı (AIP) destekleyen temel hizmetler için hizmet etiketlerini yapılandırabilir. Özel bağlantılar yalıtılmış bir ağda hizmet etiketlerini kullanmanın etkilerini anladığınızdan emin olun.

Diğer önemli noktalar ve sınırlamalar

Fabric ile özelleştirilmiş uç noktalar üzerinde çalışırken göz önünde bulundurulması gereken birkaç nokta vardır.

• Kumaş, Özel Bağlantı etkinleştirildiğinde bir kiracıda en fazla 450 kapasiteyi destekler.

• Kapasite yeni oluşturulduğunda, uç noktası özel DNS bölgesine yansıtılana kadar özel bağlantıyı desteklemez. Bu işlem 24 saate kadar sürebilir.

• Yönetim portalında Private Link açıldığında kiracı geçişi engellenir.

• Müşteriler birden çok kiracıdaki Doku kaynaklarına tek bir sanal ağdan bağlanamaz, yalnızca Özel Bağlantı ayarlayan son kiracının kaynaklarına bağlanabilirler.

• Özel bağlantı Deneme kapasitesini desteklemez. Özel Bağlantı trafiği kullanılarak Fabrik'e erişilirken, deneme kapasitesi geçerli olmayacaktır.

• Özel bağlantı ortamı kullanılırken dış görüntüler veya temalar kullanılamaz.

• Her özel uç nokta yalnızca bir kiracıya bağlanabilir. Birden fazla kiracı tarafından kullanılacak özel bir bağlantı ayarlayamazsınız.

• Fabric kullanıcıları için: Şirket içi veri ağ geçitleri desteklenmez ve Özel Bağlantı etkinleştirildiğinde kaydolamaz. Ağ geçidi yapılandırıcısını başarıyla çalıştırmak için Özel Bağlantı devre dışı bırakılmalıdır. Bu senaryo hakkında daha fazla bilgi edinin. VNet veri ağ geçitleri çalışacak. Daha fazla bilgi için bu önemli noktalara bakın.

• PowerBI dışındaki (PowerApps veya LogicApps) Ağ Geçidi kullanıcıları: Özel Bağlantı etkinleştirildiğinde şirket içi veri ağ geçidi desteklenmemektedir. Özel bağlantılarla kullanılabilen sanal ağ veri ağ geçidinin kullanımını keşfetmenizi öneririz.

• Özel Bağlantılar, VNet Data Gateway indirme tanılama bilgileriyle çalışmaz.

• Özel bağlantılar kaynağı REST API'leri etiketleri desteklemez.

• Aşağıdaki URL'lere istemci tarayıcısından erişilebilir olmalıdır:

  • Kimlik doğrulaması için gerekli:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, ancak bu hesap türüne göre farklı olabilir.

  • Veri Madenciliği ve Veri Bilimi deneyimleri için gereklidir:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (örneğin, https://pypi.org/pypi/azure-storage-blob/json)
    • condaPackages için yerel statik uç noktalar
    • https://cdn.jsdelivr.net/npm/monaco-editor*

İlgili içerik

• Güvenli özel uç noktaları ayarlama ve kullanma
• Kumaş için Yönetilen VNet
• Koşullu Erişim
• Microsoft Entra kiracı kimliğinizi bulma