Частные ссылки для безопасного доступа к Fabric (предварительная версия)

  • Статья

Частные ссылки можно использовать для обеспечения безопасного доступа к трафику данных в Fabric. Приватный канал Azure и частные конечные точки сети Azure используются для частных отправки трафика данных с помощью магистральной сетевой инфраструктуры Майкрософт, а не через Интернет.

Если используются подключения приватного канала, эти подключения проходят через магистраль частной сети Майкрософт, когда пользователи Fabric получают доступ к ресурсам в Fabric.

Дополнительные сведения о Приватный канал Azure см. в статье "Что такое Приватный канал Azure".

Включение частных конечных точек влияет на многие элементы, поэтому перед включением частных конечных точек необходимо ознакомиться со всей этой статьей.

Что такое частная конечная точка

Частная конечная точка гарантирует, что трафик в элементы Fabric вашей организации (например, отправка файла в OneLake) всегда следует настроенной сети приватного канала вашей организации. Вы можете настроить Fabric, чтобы запретить все запросы, которые не приходят из настроенного сетевого пути.

Частные конечные точки не гарантируют, что трафик из Fabric в внешние источники данных, будь то в облаке или локальной среде, защищен. Настройте правила брандмауэра и виртуальные сети для дальнейшего защиты источников данных.

Частная конечная точка — это единая направленная технология, которая позволяет клиентам инициировать подключения к данной службе, но не позволяет службе инициировать подключение к клиентской сети. Этот шаблон интеграции с частной конечной точкой обеспечивает изоляцию управления, так как служба может работать независимо от конфигурации политики сети клиента. Для мультитенантных служб эта модель частной конечной точки предоставляет идентификаторы ссылок, чтобы предотвратить доступ к ресурсам других клиентов, размещенным в той же службе.

Служба Fabric реализует частные конечные точки, а не конечные точки службы.

Использование частных конечных точек с Fabric обеспечивает следующие преимущества:

  • Ограничьте трафик из Интернета в Fabric и перенаправьте его через магистральную сеть Майкрософт.
  • Убедитесь, что доступ к Fabric может получить только авторизованные клиентские компьютеры.
  • Соблюдайте нормативные требования и требования соответствия требованиям, которым требуется частный доступ к вашим службам данных и аналитики.

Общие сведения о конфигурации частной конечной точки

На портале администрирования Fabric есть два параметра клиента, участвующих в настройке Приватный канал: Приватный канал Azure иблокировка общедоступного доступа к Интернету.

Если Приватный канал Azure настроена правильно и включена блокировка общедоступного доступа к Интернету:

  • Поддерживаемые элементы Fabric доступны только для вашей организации из частных конечных точек и недоступны из общедоступного Интернета.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, будут заблокированы службой и не будут работать.
  • Могут возникнуть сценарии, которые не поддерживают частные ссылки, поэтому они будут заблокированы в службе при включении общедоступного доступа к Интернету.

Если Приватный канал Azure настроена правильно, и блокировка общедоступного доступа кИнтернету отключена:

  • Трафик из общедоступного Интернета будет разрешен службами Fabric.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, передаются через общедоступный Интернет и будут разрешены службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, будут заблокированы виртуальной сетью и не будут работать.

Onelake

Onelake поддерживает Приватный канал. Вы можете просматривать Onelake на портале Fabric или на любом компьютере в установленной виртуальной сети с помощью проводника OneLake, служба хранилища Azure Обозреватель, PowerShell и т. д.

Прямые вызовы с помощью региональных конечных точек OneLake не работают с помощью приватного канала в Fabric. Дополнительные сведения о подключении к OneLake и региональным конечным точкам см. в Разделы справки подключении к OneLake?.

Конечная точка хранилища и Lakehouse SQL

Доступ к элементам хранилища и конечным точкам SQL Lakehouse на портале защищен Приватный канал. Клиенты также могут использовать конечные точки табличного потока данных (TDS) (например, SQL Server Management Studio, Azure Data Studio) для подключения к хранилищу с помощью приватного канала.

Визуальный запрос в хранилище не работает, если включен параметр клиента "Блокировать общедоступный доступ к Интернету".

Lakehouse, Notebook, Определение задания Spark, среда

После включения параметра клиента Приватный канал Azure выполнение первого задания Spark (записная книжка или определение задания Spark) или выполнение операции Lakehouse (загрузка в таблицу, операции обслуживания таблиц, такие как Оптимизация или вакуум) приведет к созданию управляемой виртуальной сети для рабочей области.

После подготовки управляемой виртуальной сети начальные пулы (параметр вычислений по умолчанию) для Spark отключены, так как это предварительно подготовленные кластеры, размещенные в общей виртуальной сети. Задания Spark выполняются в пользовательских пулах, созданных по запросу во время отправки заданий в выделенной управляемой виртуальной сети рабочей области. Миграция рабочей области между емкостями в разных регионах не поддерживается, если в рабочей области выделена управляемая виртуальная сеть.

Если параметр приватного канала включен, задания Spark не будут работать для клиентов, домашний регион которого не поддерживает Инжиниринг данных Fabric, даже если они используют емкости Fabric из других регионов, которые делают.

Дополнительные сведения см. в разделе "Управляемая виртуальная сеть для Fabric".

Поток данных 2-го поколения

Поток данных 2-го поколения можно использовать для получения данных, преобразования данных и публикации потока данных через приватный канал. Если источник данных находится за брандмауэром, вы можете использовать шлюз данных виртуальной сети для подключения к источникам данных. Шлюз данных виртуальной сети обеспечивает внедрение шлюза (вычислений) в существующую виртуальную сеть, обеспечивая таким образом управляемый шлюз. Подключения шлюза виртуальной сети можно использовать для подключения к Lakehouse или хранилищу в клиенте, требующего приватного канала или подключения к другим источникам данных с виртуальной сетью.

Pipeline

При подключении к Конвейеру через приватный канал можно использовать конвейер данных для загрузки данных из любого источника данных с общедоступными конечными точками в microsoft Fabric lakehouse с поддержкой приватного канала. Клиенты также могут создавать и операционные конвейеры данных с действиями, включая действия записных книжек и потоков данных, используя приватный канал. Однако копирование данных из хранилища данных в хранилище данных в настоящее время невозможно, когда включена приватная ссылка Fabric.

Навык модели машинного обучения, эксперимента и искусственного интеллекта

Модель машинного обучения, эксперимент и навык искусственного интеллекта поддерживает приватный канал.

Power BI

  • Если доступ к Интернету отключен, а если семантическая модель Power BI, Datamart или Dataflow 1-го поколения подключается к семантической модели Power BI или потоку данных в качестве источника данных, подключение завершится ошибкой.

  • Публикация в Интернете не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Подписки электронной почты не поддерживаются, если параметр клиента block Public Internet Access включен в Fabric.

  • Экспорт отчета Power BI в формате PDF или PowerPoint не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Если ваша организация использует Приватный канал Azure в Fabric, современные отчеты метрик использования будут содержать частичные данные (только события открытия отчета). Текущее ограничение при передаче сведений о клиенте через частные каналы не позволяет Структуре записывать представления страниц отчетов и данные о производительности по закрытым ссылкам. Если ваша организация включила параметры клиента Приватный канал Azure и блокировать общедоступный доступ к Интернету в Fabric, обновление набора данных завершается сбоем, а отчет о метриках использования не отображает никаких данных.

Другие элементы Fabric

Другие элементы Fabric, такие как база данных KQL и EventStream, в настоящее время не поддерживают Приватный канал и автоматически отключаются при включении параметра клиента Block Public Internet Access для защиты состояния соответствия.

Защита информации Microsoft Purview

Защита информации Microsoft Purview в настоящее время не поддерживает Приватный канал. Это означает, что в Power BI Desktop, работающем в изолированной сети, кнопка конфиденциальности будет неактивна, сведения о метке не будут отображаться, а расшифровка PBIX-файлов завершится ошибкой.

Чтобы включить эти возможности в Desktop, администраторы могут настроить теги служб для базовых служб, поддерживающих Защита информации Microsoft Purview, Exchange Online Protection (EOP) и Azure Information Protection (AIP). Убедитесь, что вы понимаете последствия использования тегов служб в изолированной сети частных каналов.

Другие рекомендации и ограничения

При работе с частными конечными точками в Fabric следует учитывать несколько соображений.

  • Fabric поддерживает до 200 емкостей в клиенте, где включена Приватный канал.

  • Миграция клиента блокируется при включении Приватный канал на портале администрирования Fabric.

  • Клиенты не могут подключаться к ресурсам Fabric в нескольких клиентах из одной виртуальной сети, а только последний клиент для настройки Приватный канал.

  • Приватный канал не поддерживается в емкости пробной версии.

  • Любое использование внешних изображений или тем недоступно при использовании среды приватного канала.

  • Каждая частная конечная точка может быть подключена только к одному клиенту. Вы не можете настроить приватную ссылку для использования несколькими клиентами.

  • Для пользователей Fabric: локальные шлюзы данных не поддерживаются и не регистрируются при включении Приватный канал. Чтобы настроить шлюз успешно, Приватный канал необходимо отключить. Шлюзы данных виртуальной сети будут работать.

  • Для пользователей шлюза, отличных от PowerBI (PowerApps или LogicApps), шлюз работает неправильно при включении Приватный канал. Возможное решение — отключить параметр клиента Приватный канал Azure, настроить шлюз в удаленном регионе (регионе, отличном от рекомендуемого региона), а затем повторно включить Приватный канал Azure. После повторного включения Приватный канал шлюз в удаленном регионе не будет использовать частные каналы.

  • ИНТЕРФЕЙСы REST API ресурсов приватных ссылок не поддерживают теги.

  • Следующие URL-адреса должны быть доступны в клиентском браузере:

    • Требуется для проверки подлинности:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, хотя это может отличаться в зависимости от типа учетной записи.

    • Требуется для работы Инжиниринг данных и Обработка и анализ данных:

      • http://res.cdn.office.net/
      • https://pypi.org/* (например, https://pypi.org/pypi/azure-storage-blob/json)
      • локальные статические конечные точки для condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Связанный контент