Vínculos privados para el acceso seguro a Fabric (versión preliminar)

Puede usar vínculos privados a fin de proporcionar acceso seguro para el tráfico de datos en Fabric. Azure Private Link y los puntos de conexión privados de Redes de Azure se usan para enviar tráfico de datos de forma privada mediante la infraestructura de red troncal de Microsoft en lugar de transmitirse por Internet.

Cuando se usan conexiones de vínculo privado, esas conexiones pasan por la red troncal de red privada de Microsoft cuando los usuarios de Fabric acceden a los recursos de Fabric.

Para más información sobre Azure Private Link, vea ¿Qué es Azure Private Link?

La habilitación de puntos de conexión privados tiene un impacto en muchos elementos, por lo que debería revisar este artículo antes de habilitarlos.

Qué es un punto de conexión privado

El punto de conexión privado garantiza que el tráfico que va a los elementos de Fabric de la organización (como cargar un archivo en OneLake, por ejemplo) siga siempre la ruta de acceso de red del vínculo privado configurada para la organización. Puede configurar Fabric para que deniegue todas las solicitudes que no provengan de la ruta de red configurada.

Los puntos de conexión privados no garantizan que el tráfico procedente de Fabric a los orígenes de datos externos, ya sea en la nube o en el entorno local, esté protegido. Configure reglas de firewall y redes virtuales para proteger aún más los orígenes de datos.

Un punto de conexión privado es una tecnología única y direccional que permite a los clientes iniciar conexiones a un servicio determinado, pero que no permite al servicio iniciar una conexión en la red del cliente. Este patrón de integración del punto de conexión privado proporciona aislamiento de administración, ya que el servicio puede funcionar de manera independiente a la configuración de la directiva de red del cliente. En el caso de los servicios multiinquilino, este modelo de punto de conexión privado proporciona identificadores de vínculo para impedir el acceso a los recursos de otros clientes hospedados en el mismo servicio.

El servicio Fabric implementa puntos de conexión privados y no puntos de conexión de servicio.

El uso de puntos de conexión privados con Fabric proporciona las ventajas siguientes:

• Restrinja el tráfico de Internet a Fabric y enrútelo por la red troncal de Microsoft.
• Asegúrese de que solo las máquinas cliente autorizadas puedan acceder a Fabric.
• Cumpla con los requisitos normativos y de cumplimiento que exigen el acceso privado a los datos y servicios de análisis.

Descripción de la configuración de puntos de conexión privados

Hay dos valores de inquilino en el portal de administración de Fabric implicados en la configuración de Private Link: Azure Private Links y Bloqueo del acceso a través de una red de Internet pública.

Si Azure Private Link está configurado correctamente y la opción Bloquear el acceso público a Internet está habilitada:

• Los elementos de Fabric admitidos solo son accesibles para la organización desde puntos de conexión privados, y no desde la red pública de Internet.
• El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
• El servicio bloqueará el tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que no admiten vínculos privados y no funcionará.
• Es posible que haya escenarios en los que no se admitan vínculos privados, por lo que se bloqueará en el servicio cuando la opción Bloqueo del acceso a través de una red de Internet pública esté habilitada.

Si Azure Private Link está configurado correctamente y la opciónBloquear el acceso público a Internet está deshabilitada:

• Los servicios Fabric permitirán el tráfico desde la red pública de Internet.
• El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
• El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que no admiten vínculos privados se transporta por la red pública de Internet y los servicios Fabric lo permitirán.
• Si la red virtual está configurada para bloquear el acceso público a Internet, la red virtual bloqueará los escenarios que no admiten vínculos privados y no funcionarán.

Private Link en experiencias de Fabric

OneLake

OneLake es compatible con Private Link. Puede explorar OneLake en el portal de Fabric o desde cualquier máquina de la red virtual establecida mediante el Explorador de archivos de OneLake, el Explorador de Azure Storage, PowerShell, etc.

Las llamadas directas que usan puntos de conexión regionales de OneLake no funcionan desde un vínculo privado a Fabric. Para más información sobre cómo conectarse a OneLake y los puntos de conexión regionales, vea Procedimiento para conectarse a OneLake.

Punto de conexión de SQL del almacén y almacén de lago (Lakehouse)

El acceso a los elementos del almacén de datos y los puntos de conexión de SQL del lago de datos en el portal está protegido mediante Private Link. Los clientes también pueden usar puntos de conexión de flujo de datos tabulares (TDS), por ejemplo, SQL Server Management Studio o Azure Data Studio, para conectarse al almacén de datos mediante Private Link.

La consulta visual del almacén de datos no funciona cuando está habilitado el valor de inquilino Bloqueo del acceso a través de una red de Internet pública.

Almacén de lago, cuaderno, definición de trabajo de Spark, entorno

Una vez que haya habilitado el valor de inquilino Azure Private Link, al ejectuar el primer trabajo de Spark (cuaderno o definición de trabajo Spark), o bien realizar una operación de Lakehouse (cargar en tabla, operaciones de mantenimiento de tablas como Optimize o Vacuum) se creará una red virtual administrada para el área de trabajo.

Una vez que se ha aprovisionado la red virtual administrada, los grupos de inicio (opción de proceso predeterminada) para Spark se deshabilitan, ya que se hospedan en clústeres preprocesados hospedados en una red virtual compartida. Los trabajos de Spark se ejecutan en grupos personalizados que se crean a petición en el momento del envío del trabajo dentro de la red virtual administrada dedicada del área de trabajo. La migración del área de trabajo entre capacidades en distintas regiones no se admite cuando se asigna una red virtual administrada al área de trabajo.

Cuando la opción de vínculo privado está habilitada, los trabajos de Spark no funcionarán para los inquilinos cuya región principal no admita la ingeniería de datos de Fabric, incluso si usan capacidades de Fabric de otras regiones que sí lo hacen.

Para más información, vea VNet administrada para Fabric.

Dataflow Gen2

Puede usar Dataflow Gen2 para obtener datos, transformarlos y publicar el flujo de datos mediante el vínculo privado. Cuando el origen de datos está detrás del firewall, puede usar la puerta de enlace de datos de VNet para conectarse a los orígenes de datos. La puerta de enlace de datos de VNet permite la inserción de la puerta de enlace (proceso) en la red virtual existente, lo que proporciona una experiencia de puerta de enlace administrada. Puede usar conexiones de puerta de enlace de VNet para conectaste a una instancia del lago o almacén de datos en el inquilino que necesita un vínculo privado, o bien para conectarse a otros orígenes de datos con la red virtual.

Canalización

Al conectarse a la canalización mediante un vínculo privado, puede usar la canalización de datos para cargar datos desde cualquier origen de datos con puntos de conexión públicos en una instancia del lago de datos de Microsoft Fabric habilitada para vínculo privado. Los clientes también pueden crear y poner en funcionamiento canalizaciones de datos con actividades, incluidas las actividades de cuaderno y flujo de datos, mediante el vínculo privado. Pero la copia de datos desde y hacia un almacén de datos no es posible actualmente cuando el vínculo privado de Fabric está habilitado.

Modelo de ML, experimento y capacidad de IA

El modelo de ML, el experimento y la capacidad de IA admiten el vínculo privado.

Power BI

• Si el acceso a Internet está deshabilitado, y el modelo semántico de Power BI, Datamart o flujo de datos Gen1 se conecta a un modelo semántico de Power BI o flujo de datos como un origen de datos, se producirá un error en la conexión.

• La publicación en web no se admite cuando el valor del inquilino Azure Private Link está habilitado en Fabric.

• Las suscripciones de correo electrónico no se admiten cuando el valor del inquilino Bloqueo del acceso a través de una red de Internet pública está habilitado en Fabric.

• No se admite la exportación de un informe de Power BI como PDF o PowerPoint al habilitar la configuración de inquilino Azure Private Link en Fabric.

• Si la organización usa Azure Private Link en Fabric, los informes de métricas de uso modernos contienen datos parciales (solo eventos abiertos de informe). Una limitación actual a la hora de transferir información del cliente por medio de vínculos privados evita que Fabric capture vistas de página de informe y datos de rendimiento mediante vínculos privados. Si en la organización se han habilitado los valores de inquilino Azure Private Link y Bloqueo del acceso a través de una red de Internet pública en Fabric, se produce un error en la actualización del conjunto de datos y el informe de métricas de uso no muestra ningún dato.

Otros elementos de Fabric

Otros elementos de Fabric, como KQL Database y EventStream, no admiten actualmente el vínculo privado y se deshabilitan de manera automática al activar el valor de inquilino Bloqueo del acceso a través de una red de Internet pública para proteger el estado de cumplimiento.

Microsoft Purview Information Protection

Microsoft Purview Information Protection no admite actualmente Private Link. Esto significa que en Power BI Desktop, que se ejecuta en una red aislada, el botón de confidencialidad estará atenuado, la información de etiqueta no aparecerá y se producirá un error al descifrar los archivos .pbix.

Para habilitar estas funcionalidades en el escritorio, los administradores pueden configurar etiquetas de servicio para los servicios subyacentes que admiten Microsoft Purview Information Protection, Exchange Online Protection (EOP) y Azure Information Protection (AIP). Asegúrese de comprender las implicaciones del uso de etiquetas de servicio en una red aislada de vínculo privado.

Otras consideraciones y limitaciones

Hay varias consideraciones que se deben tener en cuenta al trabajar con puntos de conexión privados en Fabric:

• Fabric admite hasta 200 capacidades en el inquilino habilitado para vínculo privado.

• Cuando Private Link está activado en el portal de administración de Fabric, se bloquea la migración de inquilinos.

• Los clientes no se pueden conectar a recursos de Fabric en varios inquilinos desde una sola VNet, sino solo el último inquilino para configurar el vínculo privado.

• Private Link no admite la capacidad de prueba.

• El uso de imágenes o temas externos no está disponible cuando se utiliza un entorno de vínculos privados.

• Cada punto de conexión privado solo se puede conectar a un inquilino. No se puede configurar un vínculo privado para que lo use más de un inquilino.

• Para los usuarios de Fabric: no se admiten puertas de enlace de datos locales y no se pueden registrar cuando Private Link está habilitado. Para ejecutar el configurador de la puerta de enlace correctamente, se debe deshabilitar Private Link. Las puertas de enlace de datos de VNet funcionarán.

• Para usuarios de puerta de enlace que no son de Power BI (PowerApps o LogicApps): la puerta de enlace no funciona correctamente cuando se habilita Private Link. Una posible solución alternativa consiste en desactivar la configuración de inquilino Azure Private Link, configurar la puerta de enlace en una región remota (distinta de la región recomendada) y volver a habilitar Azure Private Link. Una vez que se vuelva a habilitar Private Link, la puerta de enlace de la región remota no usará vínculos privados.

• Las API REST de recursos de vínculos privados no admiten etiquetas.

• Las siguientes direcciones URL deben ser accesibles desde el explorador cliente:

  • Obligatorio para la autenticación:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, aunque esto puede ser diferente en función del tipo de cuenta.

  • Necesario para las experiencias de Ingeniería de datos y Ciencia de datos:

    • http://res.cdn.office.net/
    • https://pypi.org/* (por ejemplo, https://pypi.org/pypi/azure-storage-blob/json)
    • Puntos de conexión estáticos locales para condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Contenido relacionado

• Configuración y uso de puntos de conexión privados seguros
• VNet administrada para Fabric
• Acceso condicional
• Búsqueda del identificador de inquilino de Microsoft Entra