Privátní propojení pro zabezpečený přístup k prostředkům infrastruktury (Preview)

Privátní propojení můžete použít k zajištění zabezpečeného přístupu k datovému provozu v prostředcích Fabric. Privátní koncové body Služby Azure Private Link a sítě Azure se používají k privátnímu odesílání datového provozu pomocí páteřní síťové infrastruktury Microsoftu, a ne přes internet.

Když se použijí připojení privátního propojení, tato připojení procházejí páteřní sítí Microsoftu, když uživatelé infrastruktury přistupují k prostředkům v Prostředcích infrastruktury.

Další informace o službě Azure Private Link najdete v tématu Co je Azure Private Link.

Povolení privátních koncových bodů má vliv na mnoho položek, takže před povolením privátních koncových bodů byste si měli projít celý článek.

Co je privátní koncový bod

Privátní koncový bod zaručuje, že provoz procházející do položek infrastruktury vaší organizace (například nahrání souboru do OneLake) vždy sleduje nakonfigurovanou síťovou cestu privátního propojení vaší organizace. Prostředky infrastruktury můžete nakonfigurovat tak, aby odepřely všechny požadavky, které nepocházejí z nakonfigurované síťové cesty.

Privátní koncové body nezaručují , že provoz z Prostředků infrastruktury do externích zdrojů dat, ať už v cloudu nebo v místním prostředí, je zabezpečený. Nakonfigurujte pravidla brány firewall a virtuální sítě pro další zabezpečení zdrojů dat.

Privátní koncový bod je jednosměrná technologie, která umožňuje klientům inicializovat připojení k dané službě, ale neumožňuje službě inicializovat připojení k síti zákazníka. Tento model integrace privátního koncového bodu poskytuje izolaci správy, protože služba může fungovat nezávisle na konfiguraci zásad sítě zákazníka. U víceklientských služeb poskytuje tento model privátního koncového bodu identifikátory propojení, které brání přístupu k prostředkům jiných zákazníků hostovaným ve stejné službě.

Služba Fabric implementuje privátní koncové body, nikoli koncové body služby.

Použití privátních koncových bodů s prostředky infrastruktury poskytuje následující výhody:

• Omezte provoz z internetu do Fabric a směrujte ho přes páteřní síť Microsoftu.
• Ujistěte se, že k prostředkům Infrastruktury mají přístup jenom autorizované klientské počítače.
• Dodržování zákonných požadavků a požadavků na dodržování předpisů, které vyžadují soukromý přístup k vašim datům a analytickým službám.

Principy konfigurace privátního koncového bodu

Na portálu pro správu Prostředků infrastruktury jsou součástí konfigurace Private Linku dvě nastavení tenanta: Azure Private Links a Blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:

• Podporované položky prostředků infrastruktury jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
• Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
• Provoz z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, budou službou blokovány a nebudou fungovat.
• Můžou existovat scénáře, které nepodporují privátní propojení, které proto budou ve službě blokované, když je povolený blokovat veřejný přístup k internetu.

Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:

• Provoz z veřejného internetu povolí služby Fabric.
• Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
• Přenosy z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, se přenášejí přes veřejný internet a budou povoleny službami Fabric.
• Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, budou scénáře, které nepodporují privátní propojení, blokovány virtuální sítí a nebudou fungovat.

Prostředí Private Link v prostředcích infrastruktury

Onelake

Onelake podporuje Private Link. Onelake můžete prozkoumat na portálu Fabric nebo z libovolného počítače ve vytvořené virtuální síti pomocí Průzkumníka souborů OneLake, Průzkumník služby Azure Storage, PowerShellu a dalších.

Přímé hovory využívající regionální koncové body OneLake nefungují prostřednictvím privátního propojení s prostředky infrastruktury. Další informace o připojení ke koncovým bodům OneLake a oblastí najdete v tématu Návody připojení k OneLake?.

Koncový bod SQL warehouse a Lakehouse

Přístup k položkám skladu a koncovým bodům SQL Lakehouse na portálu je chráněný službou Private Link. Zákazníci můžou také používat koncové body TDS (Tabular Data Stream) (například SQL Server Management Studio, Azure Data Studio) pro připojení ke službě Warehouse přes Private Link.

Vizuální dotaz ve službě Warehouse nefunguje, pokud je povolené nastavení Blokovat veřejný přístup k internetu.

Lakehouse, Notebook, Definice úlohy Spark, Prostředí

Jakmile povolíte nastavení tenanta Azure Private Link , spustíte první úlohu Sparku (poznámkový blok nebo definici úlohy Sparku) nebo provedete operaci Lakehouse (načtení do tabulky, operace údržby tabulek, jako je optimalizace nebo úklid), způsobí vytvoření spravované virtuální sítě pro pracovní prostor.

Po zřízení spravované virtuální sítě jsou počáteční fondy (výchozí možnost Compute) pro Spark zakázané, protože se jedná o předem připravené clustery hostované ve sdílené virtuální síti. Úlohy Sparku běží na vlastních fondech vytvořených na vyžádání v době odeslání úlohy ve vyhrazené spravované virtuální síti pracovního prostoru. Migrace pracovních prostorů mezi kapacitami v různých oblastech se nepodporuje, pokud je spravovaný virtuální síť přidělená vašemu pracovnímu prostoru.

Pokud je povolené nastavení privátního propojení, úlohy Sparku nebudou fungovat pro tenanty, jejichž domovská oblast nepodporuje prostředky infrastruktury Datoví technici, i když používají kapacity Fabric z jiných oblastí, které to dělají.

Další informace najdete v tématu Spravovaná virtuální síť pro Prostředky infrastruktury.

Tok dat Gen2

Tok dat Gen2 můžete použít k získání dat, transformaci dat a publikování toku dat prostřednictvím privátního propojení. Pokud je zdroj dat za bránou firewall, můžete se pomocí brány dat virtuální sítě připojit ke zdrojům dat. Brána dat virtuální sítě umožňuje injektáž brány (výpočetních prostředků) do vaší stávající virtuální sítě, čímž poskytuje prostředí spravované brány. Připojení brány virtuální sítě můžete použít k připojení ke službě Lakehouse nebo Warehouse v tenantovi, který vyžaduje privátní propojení nebo připojení k jiným zdrojům dat s vaší virtuální sítí.

Kanál

Když se připojíte ke kanálu přes privátní propojení, můžete pomocí datového kanálu načíst data z libovolného zdroje dat s veřejnými koncovými body do služby Microsoft Fabric Lakehouse s podporou privátního propojení. Zákazníci můžou také vytvářet a zprovozňovat datové kanály s aktivitami, včetně aktivit poznámkového bloku a toku dat, pomocí privátního propojení. Kopírování dat z datového skladu a do datového skladu ale v současné době není možné, pokud je povolené privátní propojení Fabric.

Dovednosti modelu ML, experimentu a umělé inteligence

Model STROJOVÉho učení, experimentování a dovednosti AI podporují privátní propojení.

Power BI

• Pokud je přístup k internetu zakázaný a pokud se sémantický model Power BI, Datamart nebo Dataflow Gen1 připojí k sémantickému modelu Power BI nebo toku dat jako zdroj dat, připojení se nezdaří.

• Publikování na webu se nepodporuje, pokud je v prostředcích infrastruktury povolené nastavení služby Azure Private Link .

• E-mailová předplatná nejsou podporována, pokud je v prostředcích infrastruktury povoleno nastavení Blokovat veřejný přístup k internetu.

• Export sestavy Power BI jako PDF nebo PowerPointu se nepodporuje, pokud je v prostředcích infrastruktury povolené nastavení tenanta Azure Private Link .

• Pokud vaše organizace používá Azure Private Link v prostředcích infrastruktury, budou moderní sestavy metrik využití obsahovat částečná data (pouze události Otevření sestavy). Aktuální omezení při přenosu informací o klientovi přes privátní odkazy brání v zachytávání zobrazení stránek sestavy a dat o výkonu prostřednictvím privátních propojení. Pokud vaše organizace povolila nastavení tenanta Azure Private Link a Blokovat nastavení tenanta veřejného internetového přístupu v prostředcích infrastruktury, aktualizace datové sady selže a sestava metrik využití nezobrazuje žádná data.

Další položky infrastruktury

Ostatní položky infrastruktury, jako je databáze KQL a EventStream, aktuálně nepodporují službu Private Link a jsou automaticky zakázány, když zapnete nastavení Blokovat veřejný přístup k internetu, aby bylo možné chránit stav dodržování předpisů.

Microsoft Purview – ochrana informací

Microsoft Purview Information Protection v současné době nepodporuje službu Private Link. To znamená, že v Power BI Desktopu spuštěném v izolované síti se tlačítko Citlivost zobrazí šedě, informace o popisku se nezobrazí a dešifrování souborů .pbix selže.

Správci můžou tyto funkce povolit v Desktopu tak, že nakonfigurují značky služeb pro podkladové služby, které podporují Microsoft Purview Information Protection, Exchange Online Protection (EOP) a Azure Information Protection (AIP). Ujistěte se, že rozumíte důsledkům používání značek služeb v izolované síti privátních propojení.

Další důležité informace a omezení

Při práci s privátními koncovými body v prostředcích infrastruktury je potřeba mít na paměti několik aspektů:

• Prostředky infrastruktury podporují až 200 kapacit v tenantovi, kde je povoleno private Link.

• Migrace tenanta se zablokuje, když je na portálu pro správu Prostředků infrastruktury zapnutá služba Private Link.

• Zákazníci se nemůžou připojit k prostředkům Infrastruktury ve více tenantech z jedné virtuální sítě, ale jenom k poslednímu tenantovi pro nastavení služby Private Link.

• Private Link nepodporuje zkušební kapacitu.

• Při použití prostředí privátního propojení nejsou k dispozici žádné použití externích obrázků nebo motivů.

• Každý privátní koncový bod je možné připojit pouze k jednomu tenantovi. Nemůžete nastavit privátní propojení, které bude používat více než jeden tenant.

• Uživatelé prostředků infrastruktury: Místní brány dat se nepodporují a po povolení služby Private Link se neregistrují. Pokud chcete úspěšně spustit konfigurátor brány, musí být private Link zakázaný. Brány dat virtuální sítě budou fungovat.

• Pro uživatele brány mimo PowerBI (PowerApps nebo LogicApps): Brána nefunguje správně, pokud je povolená služba Private Link. Potenciálním alternativním řešením je zakázat nastavení tenanta Azure Private Link , nakonfigurovat bránu ve vzdálené oblasti (jinou než doporučenou oblast) a pak znovu povolit Azure Private Link. Po opětovném povolení služby Private Link brána ve vzdálené oblasti nebude používat privátní propojení.

• Rozhraní REST API prostředků privátních propojení nepodporují značky.

• Následující adresy URL musí být přístupné z klientského prohlížeče:

  • Požadováno pro ověřování:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, i když se může lišit v závislosti na typu účtu.

  • Vyžaduje se pro prostředí Datoví technici a Datová Věda:

    • http://res.cdn.office.net/
    • https://pypi.org/* (například https://pypi.org/pypi/azure-storage-blob/json)
    • místní statické koncové body pro balíčky CondaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Související obsah

• Nastavení a používání zabezpečených privátních koncových bodů
• Spravovaná virtuální síť pro Prostředky infrastruktury
• Podmíněný přístup
• Jak najít ID tenanta Microsoft Entra