分享方式:

安全存取 Fabric 的私人連結

  • 文章

您可以使用私人連結,為 Fabric 中的數據流量提供安全存取。 Azure Private Link 和 Azure 網路私人端點是用來使用 Microsoft 的骨幹網路基礎結構私下傳送數據流量,而不是透過因特網傳送。

使用私人連結連線時,當 Fabric 使用者存取 Fabric 中的資源時,這些聯機會通過 Microsoft 專用網骨幹。

若要深入瞭解 Azure Private Link,請參閱 什麼是 Azure Private Link

啟用私人端點會影響許多專案,因此您應該先檢閱整篇文章,再啟用私人端點。

什麼是私人端點

私人端點可確保進入您組織網狀架構專案的流量(例如將檔案上傳至 OneLake,例如)一律遵循您組織的已設定私人鏈接網路路徑。 您可以將 Fabric 設定為拒絕未來自已設定網路路徑的所有要求。

私人端點 保證從 Fabric 到外部數據源的流量,無論是在雲端還是內部部署,都受到保護。 設定防火牆規則和虛擬網路,以進一步保護您的數據源。

私人端點是單一方向技術,可讓用戶端起始與指定服務的連線,但不允許服務起始對客戶網路的連線。 此私人端點整合模式提供管理隔離,因為服務可以獨立於客戶網路原則設定運作。 對於多租用戶服務,此私人端點模型會提供鏈接標識碼,以防止存取裝載在相同服務內的其他客戶資源。

Fabric 服務會實作私人端點,而不是服務端點。

搭配 Fabric 使用私人端點可提供下列優點:

  • 限制從因特網到 Fabric 的流量,並透過 Microsoft 骨幹網路進行路由傳送。
  • 請確定只有授權的用戶端計算機可以存取 Fabric。
  • 符合法規和合規性需求,以授權私人存取您的數據和分析服務。

瞭解私人端點組態

在 Fabric 管理入口網站中,有兩個租使用者設定涉及 Private Link 設定: Azure Private Link封鎖公用因特網存取

如果已正確設定 Azure Private Link 並啟用封鎖公用因特網存取

  • 支援的網狀架構專案只能從私人端點存取您的組織,而且無法從公用因特網存取。
  • 來自以端點為目標的虛擬網路流量,以及支援私人連結的案例,會透過私人鏈接傳輸。
  • 來自以端點和 不支援 私人連結之案例為目標的虛擬網路流量將會遭到服務封鎖,而且無法運作。
  • 在某些情況下不支援私人連結,因此在啟用封鎖公用因特網存取,服務將會封鎖。

如果已正確設定 Azure Private Link 並停用封鎖公用因特網存取

  • 網狀架構服務將允許來自公用因特網的流量。
  • 來自以端點為目標的虛擬網路流量,以及支援私人連結的案例,會透過私人鏈接傳輸。
  • 來自以端點和 不支援 私人連結之案例為目標的虛擬網路流量會透過公用因特網傳輸,而且網狀架構服務會允許。
  • 如果虛擬網路設定為封鎖公用因特網存取,則不支援私人連結的案例將會遭到虛擬網路封鎖,而且無法運作。

OneLake

OneLake 支援 Private Link。 您可以在網狀架構入口網站中,或透過 OneLake 檔案總管、Azure 儲存體 Explorer、PowerShell 等方式,從已建立虛擬網路內的任何電腦探索 OneLake。

使用 OneLake 區域端點的直接呼叫無法透過 Fabric 的私人鏈接運作。 如需連線到 OneLake 和區域端點的詳細資訊,請參閱 如何? 連線到 OneLake?

倉儲和 Lakehouse SQL 端點

在入口網站中存取倉儲專案和 Lakehouse SQL 端點受到 Private Link 的保護。 客戶也可以使用表格式數據流 (TDS) 端點(例如 SQL Server Management Studio、Azure Data Studio)透過私人連結連線到倉儲。

啟用 [ 封鎖公用因特網存取 租使用者] 設定時,倉儲中的視覺查詢無法運作。

Lakehouse、Notebook、Spark 作業定義、環境

啟用 Azure Private Link 租使用者設定之後,執行第一個 Spark 作業(Notebook 或 Spark 作業定義)或執行 Lakehouse 作業(載入至數據表、優化或真空等數據表維護作業)會導致建立工作區的受控虛擬網路。

布建受控虛擬網路之後,Spark 的入門集區(預設計算選項)會停用,因為這些是裝載在共用虛擬網路中的預先設定叢集。 Spark 作業會在工作區的專用受控虛擬網路內,於作業提交時視需要建立的自定義集區執行。 當受控虛擬網路配置給工作區時,不支援跨不同區域容量的工作區移轉。

啟用私人連結設定時,即使其使用來自其他區域的 Fabric 容量,Spark 作業也無法用於主區域不支援網狀架構 資料工程師 的租使用者。

如需詳細資訊,請參閱 Managed VNet for Fabric

數據流 Gen2

您可以使用數據流 gen2 來取得資料、轉換數據,以及透過私人連結發佈資料流。 當您的數據源位於防火牆後方時,您可以使用 VNet 數據閘道 來連線到您的資料來源。 VNet 數據閘道可讓您將閘道插入現有的虛擬網路中,進而提供受控閘道體驗。 您可以使用 VNet 網關聯機來連線到租使用者中需要私人連結的 Lakehouse 或 Warehouse,或使用虛擬網路連線到其他數據源。

管線

當您透過私人連結連線到管線時,您可以使用資料管線,將數據從具有公用端點的任何數據源載入至已啟用私人連結的 Microsoft Fabric Lakehouse。 客戶也可以使用私人連結,透過活動來撰寫及運作數據管線,包括筆記本和數據流活動。 不過,當啟用 Fabric 的私人連結時,目前無法將數據從和 複製到數據倉儲。

ML 模型、實驗和 AI 技能

ML 模型、實驗和 AI 技能支援私人連結。

Power BI

  • 如果已停用因特網存取,而且如果Power BI語意模型、Datamart或Dataflow Gen1 連接到Power BI語意模型或數據流做為數據源,連線將會失敗。

  • 在 Fabric 中啟用 Azure Private Link 的租用戶設定時,不支援發佈至 Web。

  • 當網狀架構中啟用 [封鎖公用因特網存取] 設定時,不支援電子郵件訂閱。

  • 在 Fabric 中啟用 Azure Private Link 的租用戶設定時,不支援將 Power BI 報表導出為 PDF 或 PowerPoint。

  • 如果您的組織使用 Fabric 中的 Azure Private Link,新式使用計量報表會包含部分數據(僅限報表開啟事件)。 透過私人連結傳輸客戶端資訊時的目前限制可防止 Fabric 透過私人連結擷取報表頁面檢視和效能數據。 如果您的組織已在 Fabric 中啟用 Azure Private Link封鎖公用因特網存取 租使用者設定,數據集的重新整理會失敗,且使用計量報表不會顯示任何數據。

活動屋

事件存放區支援 Private Link,允許透過私人連結從 Azure 虛擬網絡 安全地擷取和查詢數據。 您可以從各種來源擷取數據,包括 Azure 儲存體 帳戶、本機檔案和數據流 Gen2。 串流擷取可確保立即的數據可用性。 此外,您可以使用 KQL 查詢或 Spark 來存取事件存放區中的數據。

限制:

  • 不支援從 OneLake 擷取數據。
  • 無法建立事件存放庫的快捷方式。
  • 無法 連線 至數據管線中的事件存放區。
  • 不支援使用佇列擷取來擷取數據。
  • 不支援依賴佇列擷取的數據連接器。
  • 無法使用 T-SQL 查詢事件存放區。

其他網狀架構專案

其他網狀架構專案,例如事件數據流,目前不支援 Private Link,而且當您開啟 [封鎖公用因特網存取 租使用者] 設定以保護合規性狀態時,會自動停用。

Microsoft Purview 資訊保護

Microsoft Purview 資訊保護 目前不支援 Private Link。 這表示在隔離網路中執行的Power BI Desktop中,[敏感度] 按鈕呈現灰色、標籤資訊不會出現,而 .pbix 檔案的解密將會失敗。

若要在桌面中啟用這些功能,系統管理員可以為支援 Microsoft Purview 資訊保護、Exchange Online Protection (EOP) 和 Azure 資訊保護 (AIP) 的基礎服務設定服務標籤。 請務必瞭解在私人連結隔離網路中使用服務標籤的影響。

其他考慮和限制

在 Fabric 中使用私人端點時,請記住幾個考慮:

  • 在啟用 Private Link 的租使用者中,Fabric 最多可支援 450 個容量。

  • 在 Fabric 管理入口網站中開啟 Private Link 時,會封鎖租用戶移轉。

  • 客戶無法從單一 VNet 連線到多個租使用者中的 Fabric 資源,而只能連線到最後一個租用戶來設定 Private Link。

  • 試用容量不支援私人連結。 透過 Private Link 流量存取網狀架構時,試用容量將無法運作。

  • 使用私人鏈接環境時,無法使用任何外部影像或主題的使用。

  • 每個私人端點只能連線到一個租使用者。 您無法設定多個租使用者要使用的私人連結。

  • 針對網狀架構使用者:不支持內部部署數據閘道,且無法在啟用 Private Link 時註冊。 若要成功執行閘道設定器,必須停用 Private Link。 VNet 數據閘道將會運作。

  • 針對非 PowerBI (PowerApps 或 LogicApps) 閘道使用者:啟用 Private Link 時,閘道無法正常運作。 可能的因應措施是停用 Azure Private Link 租使用者設定、在遠端區域中設定網關(建議區域以外的區域),然後重新啟用 Azure Private Link。 重新啟用 Private Link 之後,遠端區域中的閘道將不會使用私人連結。

  • 私人鏈接資源 REST API 不支援標記。

  • 您必須從用戶端瀏覽器存取下列 URL:

    • 驗證必須有:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com,但這可能會根據帳戶類型而有所不同。

    • 資料工程師 和 資料科學 體驗的必要專案:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (例如 https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages 的本機靜態端點
      • https://cdn.jsdelivr.net/npm/monaco-editor*

相關內容