ลิงก์ส่วนตัวสําหรับการเข้าถึง Fabric ที่ปลอดภัย (ตัวอย่าง)

คุณสามารถใช้ลิงก์ส่วนตัวเพื่อให้การเข้าถึงที่ปลอดภัยสําหรับการรับส่งข้อมูลใน Fabric การเชื่อมโยงส่วนตัวของ Azure และจุดสิ้นสุดส่วนตัวของ Azure Networking จะใช้เพื่อส่งปริมาณการใช้งานข้อมูลแบบส่วนตัวโดยใช้โครงสร้างพื้นฐานเครือข่ายหลักของ Microsoft แทนที่จะข้ามอินเทอร์เน็ต

เมื่อมีการใช้การเชื่อมต่อลิงก์ส่วนตัว การเชื่อมต่อเหล่านั้นจะผ่านแกนกลางเครือข่ายส่วนตัวของ Microsoft เมื่อผู้ใช้ Fabric เข้าถึงแหล่งข้อมูลใน Fabric

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับลิงก์ส่วนตัวของ Azure โปรดดู ลิงก์ส่วนตัวของ Azure คืออะไร

การเปิดใช้งานจุดสิ้นสุดส่วนตัวมีผลกระทบกับหลายรายการ ดังนั้นคุณควรตรวจทานบทความนี้ทั้งหมดก่อนที่จะเปิดใช้งานจุดสิ้นสุดส่วนตัว

จุดสิ้นสุดส่วนตัวคืออะไร

จุดสิ้นสุดส่วนตัวจะรับประกันว่าปริมาณการใช้งานจะ ไปยัง รายการ Fabric ขององค์กรของคุณ (เช่น การอัปโหลดไฟล์ลงใน OneLake เป็นต้น) จะเป็นไปตามเส้นทางเครือข่ายการเชื่อมโยงส่วนตัวที่องค์กรของคุณกําหนดค่าไว้เสมอ คุณสามารถกําหนดค่า Fabric เพื่อปฏิเสธคําขอทั้งหมดที่ไม่ได้มาจากเส้นทางเครือข่ายที่กําหนดค่าไว้

จุด สิ้นสุดส่วนตัวไม่ รับประกันว่าปริมาณการใช้งานจาก Fabric ไปยังแหล่งข้อมูลภายนอกของคุณไม่ว่าจะอยู่ในระบบคลาวด์หรือภายในองค์กรจะมีความปลอดภัย กําหนดค่ากฎไฟร์วอลล์และเครือข่ายเสมือนเพื่อรักษาความปลอดภัยแหล่งข้อมูลของคุณเพิ่มเติม

จุดสิ้นสุดส่วนตัวเป็นเทคโนโลยีทางเดียวที่ช่วยให้ไคลเอ็นต์เริ่มต้นการเชื่อมต่อไปยังบริการที่ระบุ แต่ไม่อนุญาตให้บริการเริ่มต้นการเชื่อมต่อไปยังเครือข่ายลูกค้า รูปแบบการรวมจุดปลายทางส่วนตัวนี้มีการแยกการจัดการเนื่องจากบริการสามารถดําเนินการได้อย่างอิสระจากการกําหนดค่านโยบายเครือข่ายของลูกค้า สําหรับบริการแบบหลายผู้เช่า โมเดลปลายทางส่วนตัวนี้แสดงตัวระบุการเชื่อมโยงเพื่อป้องกันการเข้าถึงทรัพยากรของลูกค้าอื่น ๆ ที่โฮสต์ภายในบริการเดียวกัน

การบริการ Fabric ใช้จุดสิ้นสุดส่วนตัวและไม่ใช้จุดสิ้นสุดบริการ

ใช้จุดสิ้นสุดส่วนตัวกับผ้ามีประโยชน์ดังต่อไปนี้:

• จํากัดปริมาณการใช้งานจากอินเทอร์เน็ตไปยัง Fabric และกําหนดเส้นทางผ่านเครือข่ายแกนหลักของ Microsoft
• ตรวจสอบให้แน่ใจว่าเฉพาะเครื่องของลูกค้าที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง Fabric ได้
• ปฏิบัติตามข้อกําหนดด้านข้อบังคับและการปฏิบัติตามข้อบังคับที่กําหนดการเข้าถึงข้อมูลและบริการวิเคราะห์ของคุณแบบส่วนตัว

ทําความเข้าใจการกําหนดค่าจุดสิ้นสุดส่วนตัว

มีการตั้งค่าผู้เช่าสองรายการในพอร์ทัลผู้ดูแลระบบ Fabric ที่เกี่ยวข้องในการกําหนดค่าลิงก์ส่วนตัว: ลิงก์ ส่วนตัวของ Azure และ บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ ปิดกั้นการเข้าถึง อินเทอร์เน็ตสาธารณะจะ เปิดใช้งาน:

• หน่วยข้อมูล Fabric ที่รองรับสามารถเข้าถึงได้สําหรับองค์กรของคุณจากจุดสิ้นสุดส่วนตัวเท่านั้น และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ
• การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
• การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์ที่กําหนดเป้าหมายเครือข่ายเสมือนจริงที่ไม่รองรับลิงก์ส่วนตัวจะถูกบล็อกโดยบริการและจะไม่ทํางาน
• อาจมีสถานการณ์ที่ไม่สนับสนุนลิงก์ส่วนตัว ดังนั้นจึงถูกบล็อกไว้ที่บริการเมื่อ เปิดใช้งานการเข้าถึง อินเทอร์เน็ตสาธารณะ

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ บล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะถูก ปิดใช้งาน:

• ปริมาณการใช้งานจากอินเทอร์เน็ตสาธารณะจะได้รับอนุญาตโดยการบริการ Fabric
• การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
• ปริมาณการใช้งานจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่ไม่รองรับลิงก์ส่วนตัวจะถูกขนส่งผ่านอินเทอร์เน็ตสาธารณะและจะได้รับอนุญาตโดยบริการ Fabric
• ถ้ามีการกําหนดค่าเครือข่ายเสมือนให้บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ สถานการณ์ที่ไม่รองรับลิงก์ส่วนตัวจะถูกบล็อกโดยเครือข่ายเสมือนและจะไม่ทํางาน

การเชื่อมโยงส่วนตัวในประสบการณ์ Fabric

Onelake

Onelake สนับสนุนลิงก์ส่วนตัว คุณสามารถสํารวจ Onelake ในพอร์ทัล Fabric หรือจากเครื่องใดก็ได้ภายใน VNet ที่สร้างขึ้นของคุณโดยใช้ OneLake file explorer, Azure Storage Explorer, PowerShell และอื่น ๆ ได้

การเรียกโดยตรงโดยใช้จุดสิ้นสุดภูมิภาคของ OneLake ไม่ทํางานผ่านลิงก์ส่วนตัวไปยัง Fabric สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อกับ OneLake และจุดสิ้นสุดภูมิภาค ดูที่ ฉันจะเชื่อมต่อกับ OneLake ได้อย่างไร

คลังสินค้าและจุดสิ้นสุดของเลคเฮ้าส์ SQL

การเข้าถึงรายการ Warehouse และจุดสิ้นสุดของ Lakehouse SQL ในพอร์ทัลได้รับการปกป้องโดย Private Link ลูกค้ายังสามารถใช้จุดสิ้นสุด Tabular Data Stream (TDS) (ตัวอย่างเช่น SQL Server Management Studio, Azure Data Studio) เพื่อเชื่อมต่อกับ Warehouse ผ่านลิงก์ส่วนตัว

คิวรีวิชวลใน Warehouse จะไม่ทํางานเมื่อ เปิดใช้งานการตั้งค่าผู้เช่าบล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะ

เลคเฮ้าส์, โน๊ตบุ๊ค, ข้อกําหนดงาน Spark, สภาพแวดล้อม

เมื่อคุณได้เปิดใช้งาน การตั้งค่าผู้เช่า Azure Private Link การเรียกใช้งาน Spark งานแรก (สมุดบันทึกหรือข้อกําหนดงาน Spark) หรือการดําเนินการของ Lakehouse (โหลดไปยังตาราง การดําเนินการบํารุงรักษาตาราง เช่น ปรับให้เหมาะสมหรือสูญญากาศ) จะส่งผลให้เกิดการสร้างเครือข่ายเสมือนที่ได้รับการจัดการสําหรับพื้นที่ทํางาน

เมื่อมีการเตรียมใช้งานเครือข่ายเสมือนที่มีการจัดการกลุ่มเริ่มต้น (ค่าเริ่มต้นตัวเลือกการคํานวณ) สําหรับ Spark จะถูกปิดใช้งาน เนื่องจากคลัสเตอร์เหล่านี้เป็นคลัสเตอร์ที่รับรองล่วงหน้าที่โฮสต์ในเครือข่ายเสมือนที่ใช้ร่วมกัน งาน Spark ทํางานบนกลุ่มแบบกําหนดเองที่สร้างขึ้นตามความต้องการในเวลาที่ส่งงานภายในเครือข่ายเสมือนที่มีการจัดการเฉพาะของพื้นที่ทํางาน การโยกย้ายพื้นที่ทํางานข้ามความจุในภูมิภาคต่าง ๆ ไม่ได้รับการรองรับเมื่อมีการจัดสรรเครือข่ายเสมือนที่ได้รับการจัดการไปยังพื้นที่ทํางานของคุณ

เมื่อเปิดใช้งานการตั้งค่าลิงก์ส่วนตัว งาน Spark จะไม่ทํางานสําหรับผู้เช่าที่ภูมิภาคบ้านไม่รองรับวิศวกรข้อมูล Fabric แม้ว่าพวกเขาใช้ความจุ Fabric จากภูมิภาคอื่นก็ตาม

สําหรับข้อมูลเพิ่มเติม ดูที่จัดการ VNet สําหรับ Fabric

Dataflow Gen2

คุณสามารถใช้ Dataflow gen2 เพื่อรับข้อมูล แปลงข้อมูล และเผยแพร่กระแสข้อมูลผ่านลิงก์ส่วนตัว เมื่อแหล่งข้อมูลของคุณอยู่หลังไฟร์วอลล์ คุณสามารถใช้ เกตเวย์ ข้อมูล VNet เพื่อเชื่อมต่อกับแหล่งข้อมูลของคุณได้ เกตเวย์ข้อมูล VNet จะเปิดใช้งานการแทรกของเกตเวย์ (คํานวณ) ลงในเครือข่ายเสมือนที่มีอยู่ของคุณ ดังนั้นจึงให้ประสบการณ์เกตเวย์ที่ได้รับการจัดการ คุณสามารถใช้การเชื่อมต่อเกตเวย์ VNet เพื่อเชื่อมต่อกับ Lakehouse หรือ Warehouse ในผู้เช่าที่ต้องใช้ลิงก์ส่วนตัวหรือเชื่อมต่อกับแหล่งข้อมูลอื่น ๆ ด้วยเครือข่ายเสมือนของคุณได้

ไปป์ไลน์

เมื่อคุณเชื่อมต่อกับไปป์ไลน์ผ่านลิงก์ส่วนตัว คุณสามารถใช้ไปป์ไลน์ข้อมูลเพื่อโหลดข้อมูลจากแหล่งข้อมูลใด ๆ ที่มีจุดสิ้นสุดสาธารณะลงในการเชื่อมโยงส่วนตัวที่เปิดใช้งาน Microsoft Fabric lakehouse ลูกค้ายังสามารถเขียนและดําเนินการไปป์ไลน์ข้อมูลด้วยกิจกรรม ต่าง ๆ รวมถึงกิจกรรมของสมุดบันทึกและกระแสข้อมูลโดยใช้ลิงก์ส่วนตัว อย่างไรก็ตาม การคัดลอกข้อมูลจากและลงในคลังข้อมูลไม่สามารถทําได้ในขณะนี้เมื่อเปิดใช้งานลิงก์ส่วนตัวของ Fabric

แบบจําลอง ML การทดลอง และทักษะ AI

แบบจําลอง ML การทดลองและทักษะ AI สนับสนุนลิงก์ส่วนตัว

Power BI

• หากปิดใช้งานการเข้าถึงอินเทอร์เน็ต และหากแบบจําลองความหมายของ Power BI, Datamart หรือ Dataflow Gen1 เชื่อมต่อกับแบบจําลองความหมายของ Power BI หรือกระแสข้อมูลเป็นแหล่งข้อมูล การเชื่อมต่อจะล้มเหลว

• ไม่รองรับการเผยแพร่ไปยังเว็บเมื่อเปิดใช้งานการตั้งค่า ผู้เช่าการเชื่อมโยง ส่วนตัวของ Azure ใน Fabric

• การสมัครใช้งานทางอีเมลไม่ได้รับการสนับสนุนเมื่อการตั้งค่า ผู้เช่าบล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะเปิดใช้งานใน Fabric

• ไม่รองรับการส่งออกรายงาน Power BI เป็น PDF หรือ PowerPoint เมื่อเปิดใช้งานการตั้งค่า ผู้เช่าลิงก์ ส่วนตัวของ Azure ใน Fabric

• หากองค์กรของคุณกําลังใช้ Azure Private Link ใน Fabric รายงานเมตริกการใช้งานที่ทันสมัยจะมีข้อมูลบางส่วน (เฉพาะเหตุการณ์การเปิดรายงานเท่านั้น) ข้อจํากัดในปัจจุบันเมื่อถ่ายโอนข้อมูลไคลเอนต์ผ่านลิงก์ส่วนตัวจะป้องกันไม่ให้ Fabric จับภาพมุมมองหน้ารายงานและข้อมูลประสิทธิภาพผ่านลิงก์ส่วนตัว ถ้าองค์กรของคุณได้เปิดใช้งานลิงก์ส่วนตัวของ Azure และบล็อกการตั้งค่าผู้เช่าการเข้าถึงอินเทอร์เน็ตสาธารณะใน Fabric การรีเฟรชสําหรับชุดข้อมูลล้มเหลว และรายงานเมตริกการใช้งานไม่แสดงข้อมูลใด ๆ

ผ้าอื่นๆรายการ

รายการ Fabric อื่น ๆ เช่น ฐานข้อมูล KQL และ EventStream ปัจจุบันไม่รองรับ ลิงก์ส่วนตัว และจะถูกปิดใช้งานโดยอัตโนมัติเมื่อคุณเปิด การตั้งค่าบล็อกผู้เช่าการเข้าถึง อินเทอร์เน็ตสาธารณะเพื่อปกป้องสถานะการปฏิบัติตามกฎระเบียบ

การป้องกันข้อมูลของ Microsoft Purview

ในขณะนี้ การป้องกันข้อมูลของ Microsoft Purview ไม่สนับสนุนลิงก์ส่วนตัว ซึ่งหมายความว่าใน Power BI Desktop ที่ทํางานในเครือข่าย ที่แยกจากกัน ปุ่มระดับความลับ จะเป็นสีเทา ข้อมูลป้ายชื่อจะไม่ปรากฏขึ้นและการถอดรหัส ไฟล์ .pbix จะล้มเหลว

หากต้องการเปิดใช้งานความสามารถเหล่านี้ในเดสก์ท็อป ผู้ดูแลระบบสามารถกําหนดค่าแท็กบริการสําหรับบริการเบื้องต้นที่สนับสนุนการป้องกันข้อมูลของ Microsoft Purview Exchange Online Protection (EOP) และ Azure Information Protection (AIP) ตรวจสอบให้แน่ใจว่าคุณเข้าใจความหมายของการใช้แท็กบริการในเครือข่ายที่แยกจากกันของลิงก์ส่วนตัว

ข้อควรพิจารณาและข้อจํากัดอื่น ๆ

มีข้อควรพิจารณาหลายประการที่ควรทราบขณะทํางานกับจุดสิ้นสุดส่วนตัวใน Fabric:

• Fabric รองรับความจุสูงสุด 200 รายการในผู้เช่าที่มีการเปิดใช้งานลิงก์ส่วนตัว

• การโยกย้ายผู้เช่าถูกบล็อกเมื่อลิงก์ส่วนตัวถูกเปิดใช้งานในพอร์ทัลผู้ดูแลระบบ Fabric

• ลูกค้าไม่สามารถเชื่อมต่อกับทรัพยากร Fabric ในผู้เช่าหลายรายจาก VNet เดียว แต่เป็นเพียงผู้เช่ารายสุดท้ายเท่านั้นที่จะตั้งค่าลิงก์ส่วนตัว

• ลิงก์ส่วนตัวไม่รองรับในความจุรุ่นทดลองใช้

• การใช้รูปภาพหรือธีมภายนอกใด ๆ ไม่พร้อมใช้งานเมื่อใช้สภาพแวดล้อมลิงก์ส่วนตัว

• จุดสิ้นสุดส่วนตัวแต่ละจุดสามารถเชื่อมต่อกับผู้เช่าหนึ่งรายเท่านั้น คุณไม่สามารถตั้งค่าลิงก์ส่วนตัวที่จะใช้โดยผู้เช่ามากกว่าหนึ่งราย

• สําหรับผู้ใช้ Fabric: เกตเวย์ข้อมูลภายในองค์กรไม่ได้รับการสนับสนุน และไม่สามารถลงทะเบียนได้เมื่อเปิดใช้งานลิงก์ส่วนตัว เมื่อต้องการเรียกใช้ตัวตั้งค่าเกตเวย์ให้สําเร็จ ต้องปิดใช้งานลิงก์ส่วนตัว เกตเวย์ข้อมูล VNet จะทํางาน

• สําหรับผู้ใช้เกตเวย์ที่ไม่ใช่ PowerBI (PowerApps หรือ LogicApps): เกตเวย์ทํางานไม่ถูกต้องเมื่อเปิดใช้งานลิงก์ส่วนตัว การแก้ไขปัญหาชั่วคราวคือการปิดใช้งาน การตั้งค่าผู้เช่า Azure Private Link กําหนดค่าเกตเวย์ในภูมิภาคระยะไกล (ภูมิภาคอื่นนอกเหนือจากภูมิภาคที่แนะนํา) จากนั้นจึงเปิดใช้งานลิงก์ส่วนตัวของ Azure อีกครั้ง หลังจากเปิดใช้งานลิงก์ส่วนตัวอีกครั้ง เกตเวย์ในภูมิภาคระยะไกลจะไม่ใช้ลิงก์ส่วนตัว

• ลิงก์ส่วนตัวทรัพยากร REST API ไม่สนับสนุนแท็ก

• URL ต่อไปนี้ต้องสามารถเข้าถึงได้จากเบราว์เซอร์ไคลเอ็นต์:

  • จําเป็นสําหรับการรับรองความถูกต้อง:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.comแม้ว่าการดําเนินการนี้อาจแตกต่างกันไปตามชนิดบัญชี

  • จําเป็นสําหรับประสบการณ์การวิศวกรข้อมูลและวิทยาศาสตร์ข้อมูล:

    • http://res.cdn.office.net/
    • https://pypi.org/* (ตัวอย่างเช่น https://pypi.org/pypi/azure-storage-blob/json)
    • จุดสิ้นสุดแบบคงที่ภายในเครื่องสําหรับ condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

เนื้อหาที่เกี่ยวข้อง

• ตั้งค่าและใช้จุดสิ้นสุดส่วนตัวที่ปลอดภัย
• การจัดการ VNet สําหรับ Fabric
• การเข้าถึงแบบมีเงื่อนไข
• วิธีการค้นหารหัสผู้เช่า Microsoft Entra ของคุณ