Yksityiset linkit Fabricin suojattuun käyttöön (esiversio)

  • Artikkeli

Voit käyttää yksityisiä linkkejä, jotka tarjoavat suojatun käytön tietoliikenteelle Fabricissa. Azure-Yksityinen linkki ja Azure-verkkopalveluiden yksityisiä päätepisteitä käytetään tietoliikenteen lähettämiseen yksityisesti Microsoftin runkoverkon infrastruktuurin avulla Internetin sijaan.

Kun yksityisiä linkkiyhteyksiä käytetään, kyseiset yhteydet kulkevat Microsoftin yksityisen runkoverkon kautta, kun Fabric-käyttäjät käyttävät Fabric-resursseja.

Lisätietoja Azure-Yksityinen linkki on artikkelissa Mikä on Azure Yksityinen linkki.

Yksityisten päätepisteiden ottaminen käyttöön vaikuttaa moniin kohteisiin, joten lue tämä koko artikkeli ennen yksityisten päätepisteiden käyttöönottoa.

Mikä on yksityinen päätepiste?

Yksityiset päätepisteet takaavat, että liikenne, joka kulkee organisaatiosi Fabric-kohteisiin (esimerkiksi tiedoston lataaminen OneLakeen), noudattaa aina organisaatiosi määrittämää yksityisen linkin verkkopolkua. Voit määrittää Fabricin hylkäämään kaikki pyynnöt, jotka eivät ole peräisin määritetystä verkkopolusta.

Yksityiset päätepisteet eivät takaa, että Fabricista ulkoisiin tietolähteisiin ulottuva liikenne pilvessä tai paikallisesti on suojattua. Määritä palomuurisäännöt ja näennäisverkot tietolähteiden lisäturvaa varten.

Yksityinen päätepiste on yksittäinen suuntaistekniikka, joka antaa asiakkaiden luoda yhteyksiä tiettyyn palveluun, mutta ei salli palvelun aloittaa yhteyttä asiakkaan verkkoon. Tämä yksityisen päätepisteen integrointirakenne varmistaa hallinnan eristämisen, sillä palvelu voi toimia riippumatta asiakkaan verkkokäytännön määrityksistä. Tämä yksityisen päätepisteen malli tarjoaa useille palveluille linkkitunnisteita, joiden avulla estetään pääsy samassa palvelussa isännöityihin muiden asiakkaiden resursseihin.

Fabric-palvelu toteuttaa yksityisiä päätepisteitä, ei palvelupäätepisteitä.

Yksityisten päätepisteiden käyttö Fabricilla tarjoaa seuraavat edut:

  • Rajoita liikenne Internetistä Fabriciin ja reititystä Microsoftin runkoverkon kautta.
  • Varmista, että vain valtuutetut asiakaskoneet voivat käyttää Fabricia.
  • Noudata lakisääteisiä ja vaatimustenmukaisuusvaatimuksia, jotka valtuuttavat tietojen ja analytiikkapalvelujen yksityisen käytön.

Tutustu yksityiseen päätepisteen määrityksiin

Fabric-hallintaportaalissa on kaksi vuokraaja-asetusta, jotka liittyvät Yksityinen linkki kokoonpanoon: Azure Yksityinen linkki s ja Block Public Internet Access.

Jos Azuren Yksityinen linkki on määritetty oikein ja Estä julkinen Internet-yhteys on käytössä:

  • Tuetut Fabric-kohteet ovat organisaatiollesi käytettävissä vain yksityisistä päätepisteistä, eivätkä ne ole käytettävissä julkisesta Internetistä.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja yksityisiä linkkejä tukeviin skenaarioihin, kuljetetaan yksityisen linkin kautta.
  • Palvelu estää näennäisverkon liikenteen kohdistamisen päätepisteisiin ja skenaarioihin, jotka eivät tue yksityisiä linkkejä. Tämä ei toimi.
  • On olemassa tilanteita, jotka eivät tue yksityisiä linkkejä, jotka siksi estetään palvelussa, kun Estä julkinen Internet-yhteys on käytössä.

Jos Azuren Yksityinen linkki on määritetty oikein ja Estä julkinen Internet-yhteys on poistettu käytöstä:

  • Fabric-palvelut mahdollistavat liikenteen julkisesta Internetistä.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja yksityisiä linkkejä tukeviin skenaarioihin, kuljetetaan yksityisen linkin kautta.
  • Näennäisverkon liikenne, joka kohdistuu päätepisteisiin ja skenaarioihin, jotka eivät tue yksityisiä linkkejä, kuljetetaan julkisen Internetin kautta, ja se sallitaan Fabric-palveluille.
  • Jos näennäisverkko on määritetty estämään julkinen Internet-yhteys, näennäisverkko estää skenaariot, jotka eivät tue yksityisiä linkkejä, eivätkä ne toimi.

Onelake

Onelake tukee Yksityinen linkki. Voit tutustua Onelakeen Fabric-portaalissa tai missä tahansa tietokoneessa vakiintuneessa VNetissä käyttämällä OneLake-resurssienhallintaa, Azure-tallennus Exploreria, PowerShelliä ja paljon muuta.

OneLaken alueellisia päätepisteitä käyttävät suorat kutsut eivät toimi yksityisen Fabric-linkin kautta. Lisätietoja yhteyden muodostamisesta OneLakeen ja alueellisiin päätepisteisiin on artikkelissa yhteyden muodostaminen OneLakeen Ohjevalikko?.

Warehousen ja Lakehouse SQL:n päätepiste

Portaalin Warehouse-kohteiden ja Lakehouse SQL -päätepisteiden käyttöä suojaavat Yksityinen linkki. Asiakkaat voivat käyttää myös TDS-päätepisteitä (esimerkiksi SQL Server Management Studio ja Azure Data Studio) yhteyden muodostamiseen Varastoon yksityisen linkin kautta.

Visuaalinen kysely Warehousessa ei toimi, kun Estä julkisen Internet-käytön vuokraaja - asetus on käytössä.

Lakehouse, Notebook, Spark-työn määritelmä, Ympäristö

Kun olet ottanut Azure Yksityinen linkki -vuokraaja-asetuksen käyttöön, ensimmäisen Spark-työn (muistikirja tai Spark-työmääritys) suorittaminen tai Lakehouse-toiminnon suorittaminen (Lataa taulukkoon, taulukon ylläpitotoiminnot, kuten Optimointi tai Tyhjiö) johtavat hallitun näennäisverkon luomiseen työtilalle.

Kun hallittu näennäisverkko on valmistelty, Sparkin aloitusvarannot (oletusarvoinen Käsittely-asetus) poistetaan käytöstä, koska ne ovat ennalta määritettyjä klustereita, joita isännöidään jaetussa näennäisverkossa. Spark-työt suoritetaan mukautetuissa varannoissa, jotka luodaan pyydettäessä työn lähettämisen yhteydessä työtilan erillisessä hallitussa näennäisverkossa. Työtilan siirtämistä eri alueiden kapasiteettien välillä ei tueta, kun hallittu näennäisverkko varataan työtilallesi.

Kun yksityinen linkkiasetus on käytössä, Spark-työt eivät toimi vuokraajille, joiden kotialue ei tue Fabric-Data-asiantuntija, vaikka he käyttäisivät Fabric-kapasiteetteja muilta, paljon samalta alueilta.

Katso lisätietoja artikkelista Managed VNet for Fabric.

Tietovuo Gen2

Voit käyttää Tietovuo gen2 -funktiota tietojen noutamiseen, tietojen muuntamiseen ja tietovuon julkaisemiseen yksityisen linkin kautta. Kun tietolähteesi on palomuurin takana, voit muodostaa yhteyden tietolähteisiin VNet-tietoyhdyskäytävän avulla. VNet-tietoyhdyskäytävä mahdollistaa yhdyskäytävän (käsittelyn) lisäämisen olemassa olevaan näennäisverkkoosi, mikä tarjoaa hallitun yhdyskäytäväkokemuksen. Voit käyttää VNet-yhdyskäytäväyhteyksiä muodostaaksesi yhteyden vuokraajan Lakehouse- tai Warehouse-yhteyksiin, jotka edellyttävät yksityistä linkkiä tai muodostavat yhteyden muihin tietolähteisiin näennäisverkossasi.

Jakso

Kun muodostat yhteyden Pipelineen yksityisen linkin kautta, voit tietoputken avulla ladata tietoja mistä tahansa tietolähteestä, jolla on julkiset päätepisteet, yksityiseen linkkiä käyttävään Microsoft Fabric lakehouse -yhdystilaan. Asiakkaat voivat myös luoda ja operationalisoida tietoputkia toimintojen avulla, mukaan lukien muistikirja- ja tietovuotoiminnot, käyttämällä yksityistä linkkiä. Tällä hetkellä tietojen kopiointi tietovarastosta ja tietovarastoon ei ole tällä hetkellä mahdollista, kun Fabricin yksityinen linkki on käytössä.

Koneoppimismalli, kokeilu ja tekoälytaidot

Koneoppimismalli, kokeilu ja tekoälytaidot tukevat yksityistä linkkiä.

Power BI

  • Jos Internet-yhteys on poistettu käytöstä ja jos Power BI:n semanttinen malli, tietovuo tai tietovuo Gen1 muodostaa yhteyden Power BI:n semanttiseen malliin tai tietovuohon tietolähteenä, yhteys epäonnistuu.

  • Julkaise verkkoon -toimintoa ei tueta, kun Vuokraaja-asetus Azure Yksityinen linkki on käytössä Fabricissa.

  • Sähköpostitilauksia ei tueta, kun vuokraajan Estä julkinen Internet-yhteys -asetus on käytössä Fabricissa.

  • Power BI -raportin viemistä PDF-tiedostona tai PowerPointina ei tueta, kun Azure Yksityinen linkki -vuokraaja-asetus otetaan käyttöön Fabricissa.

  • Jos organisaatiosi käyttää Azure Yksityinen linkki Fabricissa, nykyaikaiset käyttötietoraportit sisältävät osittaiset tiedot (vain Raportin avoimet tapahtumat). Nykyinen rajoitus asiakastietojen siirtämisessä yksityisten linkkien kautta estää Fabricia kaappaamasta raporttisivujen näkymiä ja suorituskykytietoja yksityisten linkkien kautta. Jos organisaatiosi olisi ottanut Käyttöön Azure-Yksityinen linkki ja Estä julkisen Internet-käytön vuokraajan asetukset Fabricissa, tietojoukon päivitys epäonnistuu eikä käyttötietoraportissa näy mitään tietoja.

Muut Fabric-kohteet

Muut Fabric-kohteet, kuten KQL-tietokanta ja EventStream, eivät tällä hetkellä tue Yksityinen linkki, ja ne poistetaan automaattisesti käytöstä, kun otat käyttöön Estä julkisen Internet-yhteyden vuokraaja-asetuksen vaatimustenmukaisuuden tilan suojaamiseksi.

Microsoft Purview Information Protection

Microsoft Purview Information Protection ei tällä hetkellä tue Yksityinen linkki. Tämä tarkoittaa sitä, että eristetyssä verkossa suoritettavassa Power BI Desktopissa Luottamuksellisuus-painike näkyy harmaana, tunnistetiedot eivät tule näkyviin ja .pbix-tiedostojen salauksen purkaminen epäonnistuu.

Järjestelmänvalvojat voivat ottaa nämä toiminnot käyttöön Desktopissa määrittämällä palvelutunnisteet pohjana oleviin palveluihin, jotka tukevat Microsoft Purview Information Protectionia, Exchange Online Protectionia (EOP) ja Azure Information Protectionia (AIP). Varmista, että ymmärrät palvelutunnisteiden käyttämisen vaikutukset yksityisissä linkeissä, jotka on eristetty verkkoon.

Muita huomioitavia seikkoja ja rajoituksia

Sinun on huomioitava useita seikkoja, kun käytät Fabricissa yksityisiä päätepisteitä:

  • Fabric tukee jopa 200 kapasiteettia vuokraajassa, jossa Yksityinen linkki on käytössä.

  • Vuokraajan siirto estetään, kun Yksityinen linkki otetaan käyttöön Fabric-hallintaportaalissa.

  • Asiakkaat eivät voi muodostaa yhteyttä Useiden vuokraajien Fabric-resursseihin yhdestä VNetistä, vaan vain viimeisestä vuokraajasta, joka on määrittänyt Yksityinen linkki.

  • Yksityinen linkki ei tue kokeiluversion kapasiteettia.

  • Ulkoiset kuvat tai teemat eivät ole käytettävissä käytettäessä yksityistä linkkiympäristöä.

  • Jokainen yksityinen päätepiste voidaan yhdistää vain yhteen vuokraajaan. Et voi määrittää yksityistä linkkiä usean vuokraajan käytettäväksi.

  • Fabric-käyttäjät: paikallisia tietoyhdyskäytäviä ei tueta eikä niiden rekisteröinti epäonnistuu, kun Yksityinen linkki on käytössä. Jotta yhdyskäytävän määritystoiminnon suorittaminen onnistuu, Yksityinen linkki on oltava poissa käytöstä. VNet-tietoyhdyskäytävät toimivat.

  • Muille kuin PowerBI:n (PowerApps tai LogicApps) yhdyskäytävän käyttäjille: Yhdyskäytävä ei toimi oikein, kun Yksityinen linkki on käytössä. Mahdollinen vaihtoehtoinen menetelmä on poistaa Azure Yksityinen linkki -vuokraaja-asetus käytöstä, määrittää yhdyskäytävä etäalueella (muu kuin suositeltu alue) ja ottaa sitten Azure-Yksityinen linkki uudelleen käyttöön. Kun Yksityinen linkki on otettu uudelleen käyttöön, etäalueen yhdyskäytävä ei käytä yksityisiä linkkejä.

  • Yksityiset linkit resurssin REST-ohjelmointirajapinnat eivät tue tunnisteita.

  • Seuraavien URL-osoitteiden on oltava käytettävissä asiakasselaimessa:

    • Todennus vaaditaan:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, vaikka tämä voi olla erilaista tilityypin mukaan.

    • Pakollinen Data-asiantuntija- ja datatieteen käyttökokemuksille:

      • http://res.cdn.office.net/
      • https://pypi.org/* (esimerkiksi https://pypi.org/pypi/azure-storage-blob/json)
      • paikalliset staattiset päätepisteet condaPackagesille
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Liittyvä sisältö