Private links til sikker adgang til Fabric (prøveversion)

Du kan bruge private links til at give sikker adgang til datatrafik i Fabric. Private slutpunkter for Azure Private Link og Azure Networking bruges til at sende datatrafik privat ved hjælp af Microsofts backbone-netværksinfrastruktur i stedet for at gå over internettet.

Når der bruges private linkforbindelser, går disse forbindelser gennem Microsofts private netværks backbone, når Fabric-brugere tilgår ressourcer i Fabric.

Du kan få mere at vide om Azure Private Link under Hvad er Azure Private Link.

Aktivering af private slutpunkter påvirker mange elementer, så du bør gennemse hele denne artikel, før du aktiverer private slutpunkter.

Hvad er et privat slutpunkt

Private slutpunkter garanterer, at trafik, der går ind i din organisations Fabric-elementer (f.eks. upload af en fil til OneLake), altid følger organisationens konfigurerede netværkssti til private links. Du kan konfigurere Fabric til at afvise alle anmodninger, der ikke kommer fra den konfigurerede netværkssti.

Private slutpunkter garanterer ikke , at trafikken fra Fabric til dine eksterne datakilder, uanset om det er i cloudmiljøet eller i det lokale miljø, er sikret. Konfigurer firewallregler og virtuelle netværk for at sikre dine datakilder yderligere.

Et privat slutpunkt er en enkelt retningsbestemt teknologi, der gør det muligt for klienter at starte forbindelser til en given tjeneste, men ikke tillader tjenesten at starte en forbindelse til kundenetværket. Dette mønster for integration af private slutpunkter giver administrationsisolering, da tjenesten kan fungere uafhængigt af konfigurationen af kundens netværkspolitik. I forbindelse med multitenanttjenester indeholder denne private slutpunktsmodel link-id'er for at forhindre adgang til andre kunders ressourcer, der hostes i den samme tjeneste.

Fabric-tjenesten implementerer private slutpunkter og ikke tjenesteslutpunkter.

Brug af private slutpunkter med Fabric giver følgende fordele:

• Begræns trafikken fra internettet til Fabric, og distribuer den via Microsofts backbone-netværk.
• Sørg for, at det kun er autoriserede klientcomputere, der har adgang til Fabric.
• Overhold lovmæssige og overholdelseskrav, der giver privat adgang til dine data- og analysetjenester.

Om konfiguration af private slutpunkter

Der er to lejerindstillinger i Fabric-administrationsportalen, der er involveret i konfiguration af private links: Azure Private Links og Block Public Internet Access.

Hvis Azure Private Link er konfigureret korrekt, og Bloker offentlig internetadgang er aktiveret:

• Understøttede Fabric-elementer er kun tilgængelige for din organisation fra private slutpunkter og er ikke tilgængelige fra det offentlige internet.
• Trafik fra det virtuelle netværk, der er målrettet til slutpunkter og scenarier, der understøtter private links, transporteres via det private link.
• Trafik fra det virtuelle netværk, der er målrettet til slutpunkter og scenarier, der ikke understøtter private links, blokeres af tjenesten og fungerer ikke.
• Der kan være scenarier, der ikke understøtter private links, som derfor blokeres i tjenesten, når Bloker offentlig internetadgang er aktiveret.

Hvis Azure Private Link er konfigureret korrekt, og Bloker offentlig internetadgang er deaktiveret:

• Trafik fra det offentlige internet tillades af Fabric-tjenester.
• Trafik fra det virtuelle netværk, der er målrettet til slutpunkter og scenarier, der understøtter private links, transporteres via det private link.
• Trafik fra det virtuelle netværk, der er målrettet til slutpunkter og scenarier, der ikke understøtter private links, transporteres via det offentlige internet og tillades af Fabric-tjenester.
• Hvis det virtuelle netværk er konfigureret til at blokere offentlig internetadgang, blokeres scenarier, der ikke understøtter private links, af det virtuelle netværk og fungerer ikke.

Privat link i Fabric-oplevelser

Onelake

Onelake understøtter Privat link. Du kan udforske Onelake på Fabric-portalen eller fra en hvilken som helst maskine i dit etablerede VNet ved hjælp af OneLake-stifinder, Azure Storage Explorer, PowerShell og meget mere.

Direkte opkald ved hjælp af regionale OneLake-slutpunkter fungerer ikke via et privat link til Fabric. Du kan finde flere oplysninger om oprettelse af forbindelse til OneLake og regionale slutpunkter under Hvordan gør jeg oprette forbindelse til OneLake?.

SQL-slutpunktet Warehouse og Lakehouse

Adgang til Lagerelementer og Lakehouse SQL-slutpunkter på portalen er beskyttet af Privat link. Kunder kan også bruge TDS-slutpunkter (Tabular Data Stream) (f.eks. SQL Server Management Studio, Azure Data Studio) til at oprette forbindelse til Warehouse via privat link.

Visualiseringsforespørgslen i Warehouse fungerer ikke, når lejerindstillingen Bloker offentlig internetadgang er aktiveret.

Lakehouse, Notesbog, Spark-jobdefinition, Miljø

Når du har aktiveret lejerindstillingen for Azure Private Link , kører det første Spark-job (definition af notesbog eller Spark-job) eller udfører en Lakehouse-handling (Indlæs til tabel, vedligeholdelseshandlinger for tabeller, f.eks. Optimer eller Vakuum), vil det resultere i oprettelse af et administreret virtuelt netværk for arbejdsområdet.

Når det administrerede virtuelle netværk er klargjort, er startpuljerne (standardindstillingen Beregning) for Spark deaktiveret, da disse er forudadministrerede klynger, der hostes i et delt virtuelt netværk. Spark-job kører på brugerdefinerede puljer, der oprettes efter behov på tidspunktet for indsendelse af job i det dedikerede administrerede virtuelle netværk i arbejdsområdet. Overflytning af arbejdsområder på tværs af kapaciteter i forskellige områder understøttes ikke, når et administreret virtuelt netværk tildeles til dit arbejdsområde.

Når indstillingen for private links er aktiveret, fungerer Spark-job ikke for lejere, hvis hjemmeområde ikke understøtter Fabric Dataudvikler ing, selvom de bruger Fabric-kapaciteter fra andre områder, der gør.

Du kan få flere oplysninger under Administreret VNet for Fabric.

Dataflow Gen2

Du kan bruge Dataflow gen2 til at hente data, transformere data og publicere dataflow via et privat link. Når din datakilde er bag firewallen, kan du bruge VNet-datagatewayen til at oprette forbindelse til dine datakilder. VNet-datagatewayen gør det muligt at indsætte gatewayen (beregning) i dit eksisterende virtuelle netværk, hvilket giver en administreret gatewayoplevelse. Du kan bruge VNet-gatewayforbindelser til at oprette forbindelse til et Lakehouse eller Warehouse i lejeren, der kræver et privat link, eller oprette forbindelse til andre datakilder med dit virtuelle netværk.

Pipeline

Når du opretter forbindelse til Pipeline via et privat link, kan du bruge datapipelinen til at indlæse data fra en hvilken som helst datakilde med offentlige slutpunkter i et privat linkaktiveret Microsoft Fabric lakehouse. Kunder kan også oprette og drifte datapipelines med aktiviteter, herunder aktiviteter i notesbog og dataflow, ved hjælp af det private link. Det er dog ikke muligt at kopiere data fra og til et Data Warehouse i øjeblikket, når Fabrics private link er aktiveret.

Ml-model, eksperiment og AI-færdigheder

ML Model, Experiment og AI-færdigheder understøtter privat link.

Power BI

• Hvis internetadgang er deaktiveret, og hvis den semantiske Power BI-model, Datamart eller Dataflow Gen1 opretter forbindelse til en semantisk Power BI-model eller dataflow som en datakilde, mislykkes forbindelsen.

• Publicer på internettet understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

• Mailabonnementer understøttes ikke, når lejerindstillingen Bloker offentlig internetadgang er aktiveret i Fabric.

• Eksport af en Power BI-rapport som PDF eller PowerPoint understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

• Hvis din organisation bruger Azure Private Link i Fabric, indeholder moderne rapporter med forbrugsdata delvise data (kun report Open-hændelser). En aktuel begrænsning ved overførsel af klientoplysninger via private links forhindrer Fabric i at registrere rapportsidevisninger og ydeevnedata via private links. Hvis din organisation havde aktiveret lejerindstillingerne for Azure Private Link og Block Public Internet Access i Fabric, mislykkes opdateringen af datasættet, og rapporten med forbrugsdata viser ingen data.

Andre stofelementer

Andre Fabric-elementer, f.eks. KQL-database og EventStream, understøtter i øjeblikket ikke Privat link og deaktiveres automatisk, når du aktiverer lejerindstillingen Bloker offentlig internetadgang for at beskytte overholdelsesstatus.

Microsoft Purview Information Protection

Microsoft Purview Information Protection understøtter i øjeblikket ikke Privat link. Det betyder, at knappen Følsomhed i Power BI Desktop, der kører i et isoleret netværk, er nedtonet, mærkatoplysninger vises ikke, og dekryptering af .pbix-filer mislykkes.

For at aktivere disse funktioner i Desktop kan administratorer konfigurere tjenestekoder for de underliggende tjenester, der understøtter Microsoft Purview Information Protection, Exchange Online Protection (EOP) og Azure Information Protection (AIP). Sørg for at forstå konsekvenserne af at bruge tjenestekoder i et isoleret netværk med private links.

Andre overvejelser og begrænsninger

Der er flere overvejelser, du skal være opmærksom på, når du arbejder med private slutpunkter i Fabric:

• Fabric understøtter op til 200 kapaciteter i en lejer, hvor Privat link er aktiveret.

• Lejeroverførslen blokeres, når Privat link er slået til på Fabric-administrationsportalen.

• Kunder kan ikke oprette forbindelse til Fabric-ressourcer i flere lejere fra et enkelt VNet, men kun den sidste lejer, der har konfigureret Privat link.

• Privat link understøtter ikke i prøveversionskapacitet.

• Brug af eksterne billeder eller temaer er ikke tilgængelige, når du bruger et miljø med private links.

• Hvert private slutpunkt kan kun forbindes til én lejer. Du kan ikke konfigurere et privat link, der skal bruges af mere end én lejer.

• For Fabric-brugere: Datagateways i det lokale miljø understøttes ikke og registreres ikke, når Privat link er aktiveret. Hvis du vil køre gatewaykonfiguratoren, skal Privat link være deaktiveret. VNet-datagateways fungerer.

• For brugere, der ikke bruger PowerBI (PowerApps eller LogicApps): Gatewayen fungerer ikke korrekt, når Privat link er aktiveret. En mulig løsning er at deaktivere lejerindstillingen Azure Private Link , konfigurere gatewayen i et eksternt område (et andet område end det anbefalede område) og derefter aktivere Azure Private Link igen. Når Privat link er aktiveret igen, bruger gatewayen i fjernområdet ikke private links.

• Ressource-REST API'er til private links understøtter ikke mærker.

• Følgende URL-adresser skal være tilgængelige fra klientbrowseren:

  • Påkrævet for godkendelse:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, selvom dette kan være anderledes baseret på kontotypen.

  • Påkrævet til Dataudvikler- og datavidenskabsoplevelser:

    • http://res.cdn.office.net/
    • https://pypi.org/* (f.eks. https://pypi.org/pypi/azure-storage-blob/json)
    • lokale statiske slutpunkter for condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Relateret indhold

• Konfigurer og brug sikre private slutpunkter
• Administreret VNet for Fabric
• Betinget adgang
• Sådan finder du dit Microsoft Entra-lejer-id