Privát hivatkozások a Hálóhoz való biztonságos hozzáféréshez (előzetes verzió)

  • Cikk

Privát hivatkozások használatával biztonságos hozzáférést biztosíthat az adatforgalomhoz a Fabricben. Az Azure Private Link és az Azure Networking privát végpontjai az adatforgalom privát küldésére szolgálnak a Microsoft gerinchálózati infrastruktúrájával, nem pedig az interneten keresztül.

A privát kapcsolati kapcsolatok használatakor ezek a kapcsolatok a Microsoft magánhálózati gerinchálózatán haladnak át, amikor a Fabric felhasználói hozzáférnek a Fabric erőforrásaihoz.

Az Azure Private Linkről további információt az Azure Private Link ismertetése című témakörben talál.

A privát végpontok engedélyezése számos elemre hatással van, ezért a privát végpontok engedélyezése előtt érdemes áttekinteni ezt a teljes cikket.

Mi az a privát végpont?

A privát végpont garantálja, hogy a szervezet Fabric-elemeibe irányuló forgalom (például egy fájl feltöltése a OneLake-be) mindig a szervezet konfigurált privát kapcsolat hálózati útvonalát követi. A Hálót úgy konfigurálhatja, hogy megtagadja az összes olyan kérést, amely nem a konfigurált hálózati útvonalból származik.

A privát végpontok nem garantálják, hogy a Fabricből a külső adatforrásokra irányuló forgalom biztonságos legyen, akár a felhőben, akár a helyszínen. Konfigurálja a tűzfalszabályokat és a virtuális hálózatokat az adatforrások további védelméhez.

A privát végpontok egyetlen, irányított technológia, amely lehetővé teszi az ügyfelek számára, hogy kapcsolatokat kezdeményezhessenek egy adott szolgáltatáshoz, de nem teszik lehetővé a szolgáltatás számára, hogy kapcsolatot indítson az ügyfélhálózattal. Ez a privát végpontintegrációs minta felügyeleti elkülönítést biztosít, mivel a szolgáltatás az ügyfél hálózati házirend-konfigurációtól függetlenül működhet. A több-bérlős szolgáltatások esetében ez a privát végpontmodell hivatkozásazonosítókat biztosít, amelyek megakadályozzák az ugyanazon szolgáltatásban üzemeltetett más ügyfelek erőforrásaihoz való hozzáférést.

A Fabric szolgáltatás privát végpontokat implementál, nem pedig szolgáltatásvégpontokat.

Privát végpontok használata a Fabric használatával a következő előnyöket biztosítja:

  • Korlátozza az internetről a Fabric felé irányuló forgalmat, és irányítsa át a Microsoft gerinchálózatán.
  • Győződjön meg arról, hogy csak a jogosult ügyfélgépek férhetnek hozzá a Fabrichez.
  • Az adat- és elemzési szolgáltatásokhoz való privát hozzáférést biztosító jogszabályi és megfelelőségi követelményeknek való megfelelés.

A privát végpont konfigurációjának ismertetése

A Háló felügyeleti portálján két bérlői beállítás szerepel a Private Link konfigurációjában: Az Azure Private Links és a Nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:

  • A támogatott hálóelemek csak privát végpontokról érhetők el a szervezet számára, és nem érhetők el a nyilvános internetről.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat a szolgáltatás letiltja, és nem fog működni.
  • Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, ezért a szolgáltatás letiltja, ha engedélyezve van a nyilvános internet-hozzáférés letiltása.

Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:

  • A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a nyilvános interneten keresztül továbbítja, és a Fabric-szolgáltatások engedélyezik.
  • Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat, és nem működnek.

Onelake

A Onelake támogatja a Private Linket. A Onelake-t a Fabric portálon vagy a meglévő virtuális hálózat bármely gépéről megismerheti a OneLake fájlkezelő, az Azure Storage Explorer, a PowerShell stb. használatával.

A OneLake regionális végpontjait használó közvetlen hívások nem működnek a Fabrichez való privát kapcsolaton keresztül. További információ a OneLake-hez és a regionális végpontokhoz való csatlakozásról: Hogyan csatlakozás a OneLake-hez?

Warehouse és Lakehouse SQL-végpont

A portálon a Warehouse-elemek és a Lakehouse SQL-végpontok elérése privát kapcsolattal védett. Az ügyfelek a Tabular Data Stream (TDS) végpontjaival (például SQL Server Management Studio, Azure Data Studio) is csatlakozhatnak a Warehouse-hoz privát kapcsolaton keresztül.

A Visual Query a Warehouse-ban nem működik, ha a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezve van.

Lakehouse, Notebook, Spark-feladatdefiníció, Környezet

Miután engedélyezte az Azure Private Link bérlői beállítását, az első Spark-feladat (jegyzetfüzet vagy Spark-feladatdefiníció) futtatása vagy egy Lakehouse-művelet (Betöltés táblázatba, táblakarbantartási műveletek, például optimalizálás vagy vákuum) végrehajtása egy felügyelt virtuális hálózat létrehozását eredményezi a munkaterület számára.

A felügyelt virtuális hálózat kiépítése után a Spark kezdőkészletei (alapértelmezett számítási lehetőség) le lesznek tiltva, mivel ezek egy megosztott virtuális hálózaton üzemeltetett előre elkészített fürtök. A Spark-feladatok olyan egyéni készleteken futnak, amelyek a munkaterület dedikált felügyelt virtuális hálózatában történő feladatbeküldéskor jönnek létre igény szerint. A különböző régiókban lévő kapacitások közötti munkaterület-migrálás nem támogatott, ha egy felügyelt virtuális hálózat van lefoglalva a munkaterülethez.

Ha a privát kapcsolat beállítása engedélyezve van, a Spark-feladatok nem fognak működni azon bérlők esetében, akiknek az otthoni régiója nem támogatja a Fabric adatmérnök inget, még akkor sem, ha más régiókból származó Fabric-kapacitásokat használnak.

További információ: Managed VNet for Fabric.

Adatfolyam Gen2

A Dataflow gen2 használatával adatokat kérhet le, átalakíthat adatokat, és privát kapcsolaton keresztül közzéteheti az adatfolyamot. Ha az adatforrás a tűzfal mögött található, a virtuális hálózati adatátjáróval csatlakozhat az adatforrásokhoz. A virtuális hálózati adatátjáró lehetővé teszi az átjáró (számítás) injektálását a meglévő virtuális hálózatba, így felügyelt átjáró-élményt biztosít. VNet-átjárókapcsolatok használatával csatlakozhat egy olyan Lakehouse-hoz vagy -raktárhoz a bérlőben, amelyhez privát kapcsolat szükséges, vagy kapcsolódhat más adatforrásokhoz a virtuális hálózattal.

Folyamat

Amikor privát kapcsolaton keresztül csatlakozik a Folyamathoz, az adatfolyam használatával bármilyen nyilvános végponttal rendelkező adatforrásból adatokat tölthet be egy privát kapcsolattal kompatibilis Microsoft Fabric lakehouse-ba. Az ügyfelek a privát hivatkozás használatával olyan tevékenységekkel is létrehozhatják és üzembe helyezhetik az adatfolyamokat, mint a jegyzetfüzet- és adatfolyam-tevékenységek. Az adatok adattárházból és adattárházba való másolása azonban jelenleg nem lehetséges, ha a Fabric privát kapcsolata engedélyezve van.

ML-modell, kísérletezés és AI-képesség

Az ML Modell, Kísérlet és AI képesség támogatja a privát kapcsolatot.

Power BI

  • Ha az internet-hozzáférés le van tiltva, és a Power BI szemantikai modell, a Datamart vagy az Adatfolyam Gen1 egy Power BI szemantikai modellhez vagy adatfolyamhoz csatlakozik adatforrásként, a kapcsolat sikertelen lesz.

  • A webes közzététel nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Az e-mail-előfizetések nem támogatottak, ha a Bérlői beállítás a Nyilvános internet-hozzáférés letiltása beállítást engedélyezi a Fabricben.

  • A Power BI-jelentések PDF-ként vagy PowerPointként való exportálása nem támogatott, ha az Azure Private Link bérlőbeállítása engedélyezve van a Fabricben.

  • Ha a szervezet az Azure Private Linket használja a Fabricben, a modern használati metrikák jelentései részleges adatokat tartalmaznak (csak a jelentésmegnyitási eseményeket). Az ügyféladatok privát hivatkozásokon keresztüli átvitelének jelenlegi korlátozása megakadályozza, hogy a Fabric privát hivatkozásokon keresztül rögzítse a jelentésoldal-nézeteket és a teljesítményadatokat. Ha a szervezet engedélyezte az Azure Private Link és a Nyilvános internet-hozzáférés letiltása bérlői beállításait a Fabricben, az adathalmaz frissítése meghiúsul, és a használati metrikák jelentése nem jelenít meg adatokat.

Egyéb hálóelemek

Más hálóelemek, például a KQL-adatbázis és az EventStream jelenleg nem támogatják a Privát kapcsolat funkciót, és a megfelelőségi állapot védelme érdekében automatikusan le lesz tiltva, amikor bekapcsolja a Nyilvános internet-hozzáférés letiltása bérlői beállítást.

Microsoft Purview Információvédelem

Microsoft Purview információvédelem jelenleg nem támogatja a Private Linket. Ez azt jelenti, hogy az elkülönített hálózaton futó Power BI Desktopban a Bizalmasság gomb szürkén jelenik meg, a címkeadatok nem jelennek meg, és a .pbix-fájlok visszafejtése sikertelen lesz.

Ha engedélyezni szeretné ezeket a képességeket a Desktopban, a rendszergazdák konfigurálhatják a Microsoft Purview információvédelem, az Exchange Online Védelmi szolgáltatás (EOP) és az Azure Information Protection (AIP) szolgáltatást támogató mögöttes szolgáltatásokhoz tartozó szolgáltatáscímkéket. Győződjön meg arról, hogy tisztában van a szolgáltatáscímkék magánhálózati kapcsolatokban való használatának következményeivel.

Egyéb szempontok és korlátozások

A Fabric privát végpontjaival végzett munka során több szempontot is figyelembe kell venni:

  • A Fabric legfeljebb 200 kapacitást támogat olyan bérlőkben, ahol engedélyezve van a Private Link.

  • A bérlői migrálás le lesz tiltva, ha a Private Link be van kapcsolva a Háló felügyeleti portálján.

  • Az ügyfelek egyetlen virtuális hálózatból nem tudnak több bérlőben csatlakozni a Fabric-erőforrásokhoz, hanem csak az utolsó bérlőhöz, amely beállítja a Private Linket.

  • A privát kapcsolat nem támogatja a próbaverziós kapacitást.

  • A külső képek vagy témák bármilyen felhasználása nem érhető el privát kapcsolati környezetek használatakor.

  • Minden privát végpont csak egy bérlőhöz csatlakoztatható. Nem állíthat be olyan privát hivatkozást, amelyet egynél több bérlő használhat.

  • Hálófelhasználók számára: A helyszíni adatátjárók nem támogatottak, és nem regisztrálhatók, ha a Private Link engedélyezve van. Az átjárókonfiguráló sikeres futtatásához le kell tiltani a Private Linket. A virtuális hálózati adatátjárók működni fognak.

  • Nem PowerBI (PowerApps vagy LogicApps) átjárófelhasználók esetén: Az átjáró nem működik megfelelően, ha a Private Link engedélyezve van. Lehetséges megkerülő megoldás az Azure Private Link bérlői beállításának letiltása, az átjáró konfigurálása egy távoli régióban (a javasolt régiótól eltérő régióban), majd az Azure Private Link újbóli engedélyezése. A Private Link újbóli engedélyezése után a távoli régióban lévő átjáró nem használ privát hivatkozásokat.

  • A privát kapcsolatok erőforrás REST API-k nem támogatják a címkéket.

  • A következő URL-címeknek elérhetőnek kell lenniük az ügyfélböngészőből:

    • Hitelesítéshez szükséges:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comfióktípustól függően azonban ez eltérő lehet.

    • A adatmérnök és Adattudomány szolgáltatásokhoz szükséges:

      • http://res.cdn.office.net/
      • https://pypi.org/* (például: https://pypi.org/pypi/azure-storage-blob/json)
      • a condaPackages helyi statikus végpontjai
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Kapcsolódó tartalom