Tautan privat untuk akses aman ke Fabric (pratinjau)

Anda dapat menggunakan tautan privat untuk menyediakan akses aman untuk lalu lintas data di Fabric. Titik akhir privat Azure Private Link dan Azure Networking digunakan untuk mengirim lalu lintas data secara privat menggunakan infrastruktur jaringan backbone Microsoft alih-alih melintasi internet.

Saat koneksi tautan privat digunakan, koneksi tersebut melalui backbone jaringan privat Microsoft saat pengguna Fabric mengakses sumber daya di Fabric.

Untuk mempelajari selengkapnya tentang Azure Private Link, lihat Apa itu Azure Private Link.

Mengaktifkan titik akhir privat berdampak pada banyak item, jadi Anda harus meninjau seluruh artikel ini sebelum mengaktifkan titik akhir privat.

Apa itu titik akhir privat

Titik akhir privat menjamin bahwa lalu lintas yang masuk ke item Fabric organisasi Anda (seperti mengunggah file ke OneLake, misalnya) selalu mengikuti jalur jaringan tautan privat organisasi Anda yang dikonfigurasi. Anda dapat mengonfigurasi Fabric untuk menolak semua permintaan yang tidak berasal dari jalur jaringan yang dikonfigurasi.

Titik akhir privat tidak menjamin bahwa lalu lintas dari Fabric ke sumber data eksternal Anda, baik di cloud atau lokal, diamankan. Mengonfigurasi aturan firewall dan jaringan virtual untuk lebih mengamankan sumber data Anda.

Titik akhir privat adalah teknologi terarah tunggal yang memungkinkan klien memulai koneksi ke layanan tertentu tetapi tidak memungkinkan layanan untuk memulai koneksi ke jaringan pelanggan. Pola integrasi titik akhir privat ini menyediakan isolasi manajemen karena layanan dapat beroperasi secara independen dari konfigurasi kebijakan jaringan pelanggan. Untuk layanan multipenyewa, model titik akhir privat ini menyediakan pengidentifikasi tautan untuk mencegah akses ke sumber daya pelanggan lain yang dihosting dalam layanan yang sama.

Layanan Fabric mengimplementasikan titik akhir privat dan bukan titik akhir layanan.

Menggunakan titik akhir privat dengan Fabric memberikan manfaat berikut:

• Batasi lalu lintas dari internet ke Fabric dan rutekan melalui jaringan backbone Microsoft.
• Pastikan hanya komputer klien resmi yang dapat mengakses Fabric.
• Mematuhi persyaratan peraturan dan kepatuhan yang mengamanatkan akses privat ke layanan data dan analitik Anda.

Memahami konfigurasi titik akhir privat

Ada dua pengaturan penyewa di portal admin Fabric yang terlibat dalam konfigurasi Private Link: Azure Private Links dan Blokir Akses Internet Publik.

Jika Azure Private Link dikonfigurasi dengan benar dan AksesInternet publik Blokir diaktifkan:

• Item Fabric yang didukung hanya dapat diakses untuk organisasi Anda dari titik akhir privat, dan tidak dapat diakses dari Internet publik.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat akan diblokir oleh layanan, dan tidak akan berfungsi.
• Mungkin ada skenario yang tidak mendukung tautan privat, yang oleh karena itu akan diblokir di layanan ketika Blokir Akses Internet Publik diaktifkan.

Jika Azure Private Link dikonfigurasi dengan benar dan Akses Internet publik Blokir dinonaktifkan:

• Lalu lintas dari Internet publik akan diizinkan oleh layanan Fabric.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang mendukung tautan privat diangkut melalui tautan privat.
• Lalu lintas dari jaringan virtual yang menargetkan titik akhir dan skenario yang tidak mendukung tautan privat diangkut melalui Internet publik, dan akan diizinkan oleh layanan Fabric.
• Jika jaringan virtual dikonfigurasi untuk memblokir akses Internet publik, skenario yang tidak mendukung tautan privat akan diblokir oleh jaringan virtual, dan tidak akan berfungsi.

Private Link dalam pengalaman Fabric

Onelake

Onelake mendukung Private Link. Anda dapat menjelajahi Onelake di portal Fabric atau dari komputer apa pun dalam VNet yang Anda buat menggunakan melalui penjelajah file OneLake, Azure Storage Explorer, PowerShell, dan banyak lagi.

Panggilan langsung menggunakan titik akhir regional OneLake tidak berfungsi melalui tautan privat ke Fabric. Untuk informasi selengkapnya tentang menyambungkan ke OneLake dan titik akhir regional, lihat Bagaimana cara menyambungkan ke OneLake?.

Titik akhir SQL Gudang dan Lakehouse

Mengakses item Gudang dan titik akhir Lakehouse SQL di portal dilindungi oleh Private Link. Pelanggan juga dapat menggunakan titik akhir Tabular Data Stream (TDS) (misalnya, SQL Server Management Studio, Azure Data Studio) untuk terhubung ke Gudang melalui tautan Privat.

Kueri visual di Gudang tidak berfungsi saat pengaturan Blokir penyewa Akses Internet Publik diaktifkan.

Lakehouse, Notebook, Definisi kerja Spark, Lingkungan

Setelah Anda mengaktifkan pengaturan penyewa Azure Private Link , menjalankan pekerjaan Spark pertama (Definisi kerja Notebook atau Spark) atau melakukan operasi Lakehouse (Muat ke Tabel, operasi pemeliharaan tabel seperti Optimize atau Vacuum) akan menghasilkan pembuatan jaringan virtual terkelola untuk ruang kerja.

Setelah jaringan virtual terkelola disediakan, kumpulan pemula (opsi Komputasi default) untuk Spark dinonaktifkan, karena ini adalah kluster yang telah dihosting sebelumnya di jaringan virtual bersama. Pekerjaan Spark berjalan pada kumpulan kustom yang dibuat sesuai permintaan pada saat pengiriman pekerjaan dalam jaringan virtual terkelola khusus ruang kerja. Migrasi ruang kerja di seluruh kapasitas di berbagai wilayah tidak didukung saat jaringan virtual terkelola dialokasikan ke ruang kerja Anda.

Saat pengaturan tautan privat diaktifkan, pekerjaan Spark tidak akan berfungsi untuk penyewa yang wilayah asalnya tidak mendukung Fabric Rekayasa Data, bahkan jika mereka menggunakan kapasitas Fabric dari wilayah lain yang melakukannya.

Untuk informasi selengkapnya, lihat VNet Terkelola untuk Fabric.

Aliran Data Gen2

Anda dapat menggunakan Dataflow gen2 untuk mendapatkan data, mengubah data, dan menerbitkan aliran data melalui tautan privat. Saat sumber data Berada di belakang firewall, Anda dapat menggunakan gateway data VNet untuk menyambungkan ke sumber data Anda. Gateway data VNet memungkinkan injeksi gateway (komputasi) ke jaringan virtual Anda yang ada, sehingga memberikan pengalaman gateway terkelola. Anda dapat menggunakan koneksi gateway VNet untuk menyambungkan ke Lakehouse atau Gudang di penyewa yang memerlukan tautan privat atau menyambungkan ke sumber data lain dengan jaringan virtual Anda.

Alur

Saat tersambung ke Pipeline melalui tautan privat, Anda dapat menggunakan alur data untuk memuat data dari sumber data apa pun dengan titik akhir publik ke microsoft Fabric lakehouse yang mendukung tautan privat. Pelanggan juga dapat menulis dan mengoprasikan alur data dengan aktivitas, termasuk aktivitas Notebook dan Aliran Data, menggunakan tautan privat. Namun, menyalin data dari dan ke Gudang Data saat ini tidak dimungkinkan saat tautan privat Fabric diaktifkan.

Keterampilan Model, Eksperimen, dan AI ML

Keterampilan Model, Eksperimen, dan AI ML mendukung tautan privat.

Power BI

• Jika akses internet dinonaktifkan, dan jika model semantik Power BI, Datamart, atau Dataflow Gen1 tersambung ke model semantik Power BI atau Aliran Data sebagai sumber data, koneksi akan gagal.

• Publikasikan ke Web tidak didukung saat pengaturan penyewa Azure Private Link diaktifkan di Fabric.

• Langganan email tidak didukung saat pengaturan penyewa Blokir Akses Internet Publik diaktifkan di Fabric.

• Mengekspor laporan Power BI sebagai PDF atau PowerPoint tidak didukung saat pengaturan penyewa Azure Private Link diaktifkan di Fabric.

• Jika organisasi Anda menggunakan Azure Private Link di Fabric, laporan metrik penggunaan modern akan berisi data parsial (hanya laporkan peristiwa Terbuka). Batasan saat ini saat mentransfer informasi klien melalui tautan privat mencegah Fabric menangkap Tampilan Halaman Laporan dan data performa melalui tautan privat. Jika organisasi Anda telah mengaktifkan pengaturan penyewa Azure Private Link dan Block Public Internet Access di Fabric, refresh untuk himpunan data gagal dan laporan metrik penggunaan tidak menampilkan data apa pun.

Item Fabric lainnya

Item Fabric lainnya, seperti KQL Database, dan EventStream, saat ini tidak mendukung Private Link, dan secara otomatis dinonaktifkan saat Anda mengaktifkan pengaturan Blokir penyewa Akses Internet Publik untuk melindungi status kepatuhan.

Perlindungan Informasi Microsoft Purview

Perlindungan Informasi Microsoft Purview saat ini tidak mendukung Private Link. Ini berarti bahwa di Power BI Desktop yang berjalan di jaringan terisolasi, tombol Sensitivitas akan berwarna abu-abu, informasi label tidak akan muncul, dan dekripsi file .pbix akan gagal.

Untuk mengaktifkan kemampuan ini di Desktop, admin dapat mengonfigurasi tag layanan untuk layanan dasar yang mendukung Perlindungan Informasi Microsoft Purview, Proteksi Exchange Online (EOP), dan Azure Information Protection (AIP). Pastikan Anda memahami implikasi penggunaan tag layanan dalam jaringan terisolasi tautan privat.

Pertimbangan dan batasan lainnya

Ada beberapa pertimbangan yang perlu diingat saat bekerja dengan titik akhir privat di Fabric:

• Fabric mendukung hingga 200 kapasitas dalam penyewa tempat Private Link diaktifkan.

• Migrasi penyewa diblokir saat Private Link diaktifkan di portal admin Fabric.

• Pelanggan tidak dapat terhubung ke sumber daya Fabric di beberapa penyewa dari satu VNet, melainkan hanya penyewa terakhir yang menyiapkan Private Link.

• Tautan privat tidak mendukung dalam kapasitas Uji Coba.

• Setiap penggunaan gambar atau tema eksternal tidak tersedia saat menggunakan lingkungan tautan privat.

• Setiap titik akhir privat hanya dapat dihubungkan ke satu penyewa. Anda tidak dapat menyiapkan tautan privat untuk digunakan oleh lebih dari satu penyewa.

• Untuk pengguna Fabric: Gateway data lokal tidak didukung dan gagal mendaftar saat Private Link diaktifkan. Agar berhasil menjalankan konfigurasi gateway, Private Link harus dinonaktifkan. Gateway data VNet akan berfungsi.

• Untuk pengguna gateway non-PowerBI (PowerApps atau LogicApps) : Gateway tidak berfungsi dengan baik saat Private Link diaktifkan. Solusi potensial adalah menonaktifkan pengaturan penyewa Azure Private Link , mengonfigurasi gateway di wilayah jarak jauh (wilayah selain wilayah yang direkomendasikan), lalu mengaktifkan kembali Azure Private Link. Setelah Private Link diaktifkan kembali, gateway di wilayah jarak jauh tidak akan menggunakan tautan privat.

• REST API sumber daya tautan privat tidak mendukung tag.

• URL berikut harus dapat diakses dari browser klien:

  • Diperlukan untuk autentikasi:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, meskipun ini mungkin berbeda berdasarkan jenis akun.

  • Diperlukan untuk pengalaman Rekayasa Data dan Ilmu Data:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (misalnya, https://pypi.org/pypi/azure-storage-blob/json)
    • titik akhir statis lokal untuk condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Konten terkait

• Menyiapkan dan menggunakan titik akhir privat yang aman
• VNet terkelola untuk Fabric
• Akses Bersyarat
• Cara menemukan ID penyewa Microsoft Entra Anda