Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć linków prywatnych, aby zapewnić bezpieczny dostęp do ruchu danych w Fabric. Prywatne punkty końcowe usługi Azure Private Link i Azure Networking służą do wysyłania ruchu danych prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft zamiast przechodzenia przez Internet. Gdy używane są połączenia łącza prywatnego, przechodzą one przez prywatny szkielet sieci Microsoft, gdy użytkownicy Fabric uzyskują dostęp do zasobów w Fabric.
Sieć szkieletowa obsługuje łącza prywatne zarówno na poziomie dzierżawy, jak i na poziomie obszaru roboczego:
Linki prywatne na poziomie dzierżawy udostępniają zasady sieciowe całej dzierżawie. Ten artykuł koncentruje się na linkach prywatnych na poziomie dzierżawy.
Linki prywatne na poziomie obszaru roboczego zapewniają szczegółową kontrolę, dzięki czemu można ograniczyć dostęp do niektórych obszarów roboczych, pozwalając pozostałym obszarom roboczym na pozostanie otwartym na potrzeby dostępu publicznego. Aby dowiedzieć się więcej, zobacz Linki prywatne dla obszarów roboczych sieci Szkieletowej.
Włączenie prywatnych punktów końcowych ma wpływ na wiele elementów, dlatego przed włączeniem prywatnych punktów końcowych dla dzierżawy należy przejrzeć cały artykuł.
Co to jest prywatny punkt końcowy?
Prywatny punkt końcowy gwarantuje, że ruch kierowany do elementów Fabric organizacji (na przykład przesyłania pliku do usługi OneLake) zawsze podąża zgodnie z konfiguracją organizacji po prywatnych ścieżkach sieciowych. Sieć szkieletowa można skonfigurować tak, aby odrzucała wszystkie żądania, które nie pochodzą ze skonfigurowanej ścieżki sieciowej.
Prywatne punkty końcowe nie gwarantują, że ruch z sieci szkieletowej do zewnętrznych źródeł danych ( zarówno w chmurze, jak i lokalnie) jest zabezpieczony. Skonfiguruj reguły zapory i sieci wirtualne, aby dodatkowo zabezpieczyć źródła danych.
Prywatny punkt końcowy to pojedyncza technologia kierunkowa, która umożliwia klientom inicjowanie połączeń z daną usługą, ale nie zezwala usłudze na inicjowanie połączenia z siecią klienta. Ten wzorzec integracji prywatnego punktu końcowego zapewnia izolację zarządzania, ponieważ usługa może działać niezależnie od konfiguracji zasad sieci klienta. W przypadku usług wielodostępnych ten prywatny model punktu końcowego udostępnia identyfikatory linków, aby uniemożliwić dostęp do zasobów innych klientów hostowanych w ramach tej samej usługi.
Usługa Fabric implementuje prywatne punkty końcowe, a nie punkty końcowe usługi.
Korzystanie z prywatnych punktów końcowych z usługą Fabric zapewnia następujące korzyści:
- Ogranicz ruch z Internetu do Fabric i przekieruj go przez globalną sieć szkieletową firmy Microsoft.
- Upewnij się, że tylko autoryzowane maszyny klienckie mogą uzyskiwać dostęp do Fabric.
- Zgodność z wymaganiami dotyczącymi przepisów i zgodności, które nakazują prywatny dostęp do Twoich usług danych i analiz.
Omówienie konfiguracji prywatnego punktu końcowego
Istnieją dwa ustawienia dzierżawy w portalu administracyjnym Fabric związane z konfiguracją usługi Private Link: Łącza prywatne Azure i Blokuj publiczny dostęp do Internetu.
Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i włączono opcję Blokuj publiczny dostęp doInternetu:
- Obsługiwane elementy Fabric są dostępne tylko dla organizacji poprzez prywatne punkty końcowe i nie są dostępne z publicznego Internetu.
- Ruch z sieci wirtualnej przeznaczonej dla punktów końcowych i scenariuszy obsługujących łącza prywatne jest transportowany za pośrednictwem łącza prywatnego.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, są blokowane przez usługę.
- Mogą istnieć scenariusze, które nie obsługują łączy prywatnych, które są blokowane w usłudze po włączeniu opcji Blokuj publiczny dostęp do Internetu .
Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i opcja Blokuj publiczny dostęp do Internetu jest wyłączona:
- Ruch z publicznego Internetu jest dozwolony przez usługi sieci Szkieletowej.
- Ruch z sieci wirtualnej przeznaczonej dla punktów końcowych i scenariuszy obsługujących łącza prywatne jest transportowany za pośrednictwem łącza prywatnego.
- Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, jest transportowany za pośrednictwem publicznego Internetu i jest dozwolony przez usługi sieci szkieletowej.
- Jeśli sieć wirtualna jest skonfigurowana do blokowania publicznego dostępu do Internetu, scenariusze, które nie obsługują łączy prywatnych, są blokowane przez sieć wirtualną.
Doświadczenia związane z Private Link w środowisku Fabric
OneLake
Usługa OneLake obsługuje usługę Private Link. Możesz eksplorować OneLake w portalu Fabric lub z dowolnej maszyny w utworzonej sieci wirtualnej za pomocą Eksploratora plików OneLake, Eksploratora Azure Storage, PowerShell i innych narzędzi.
Bezpośrednie wywołania przy użyciu regionalnych punktów końcowych usługi OneLake nie działają za pośrednictwem łącza prywatnego do Fabric. Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą OneLake i regionalnymi punktami końcowymi, zobacz Jak mogę połączyć się z OneLake?.
Punkt końcowy analizy SQL dla magazynu i Lakehouse
Uzyskiwanie dostępu do magazynu lub punktu końcowego analizy SQL w Lakehouse w portalu Fabric jest chronione za pomocą prywatnego łącza. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (na przykład programu SQL Server Management Studio (SSMS) lub rozszerzenia MSSQL dla programu Visual Studio Code, aby nawiązać połączenie z magazynem za pośrednictwem łącza prywatnego.
Zapytanie wizualne w magazynie nie działa, gdy ustawienie Blokowanie publicznego dostępu do Internetu jest włączone.
baza danych SQL
Uzyskiwanie dostępu do bazy danych SQL lub punktu końcowego analizy SQL w portalu sieci szkieletowej jest chronione za pomocą łącza prywatnego. Klienci mogą również używać punktów końcowych strumienia danych tabelarycznych (TDS) (na przykład programu SQL Server Management Studio lub Visual Studio Code) do nawiązywania połączenia z bazą danych SQL za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat nawiązywania połączenia z bazą danych SQL, zobacz Authentication in SQL Database in Microsoft Fabric (Uwierzytelnianie w usłudze SQL Database w usłudze Microsoft Fabric).
Lakehouse, Notebook, Definicja zadania platformy Spark, Środowisko
Po włączeniu ustawienia dzierżawy usługi Azure Private Link uruchomienie pierwszego zadania platformy Spark (definicja zadania notesu lub platformy Spark) lub wykonanie operacji lakehouse (ładowanie do tabeli, operacje konserwacji tabeli, takie jak Optymalizacja lub opróżnienie), powoduje utworzenie zarządzanej sieci wirtualnej dla obszaru roboczego.
Po aprowizacji zarządzanej sieci wirtualnej pule początkowe (domyślna opcja obliczeniowa) dla platformy Spark są wyłączone, ponieważ są wstępnie obsługiwane klastry hostowane w udostępnionej sieci wirtualnej. Zadania Spark są uruchamiane w pulach niestandardowych utworzonych na żądanie w momencie przesłania zadania w dedykowanej zarządzanej sieci wirtualnej obszaru roboczego. Migracja obszaru roboczego między pojemnościami w różnych regionach nie jest obsługiwana, gdy do obszaru roboczego jest przydzielona zarządzana sieć wirtualna.
Po włączeniu ustawienia linku prywatnego, zadania platformy Spark nie działają w przypadku dzierżawców, których region macierzysty nie obsługuje Fabric Data Engineering, nawet jeśli korzystają z pojemności Fabric z innych regionów, które to robią.
Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna (VNet) dla Fabric.
Przepływ danych Gen2
Możesz użyć usługi Dataflow Gen2, aby pobrać dane, przekształcić dane i opublikować przepływ danych za pośrednictwem łącza prywatnego. Gdy źródło danych znajduje się za zaporą, możesz użyć bramy danych sieci wirtualnej , aby nawiązać połączenie ze źródłami danych. Brama danych VNet umożliwia wstrzyknięcie bramy (obliczeniowej) do istniejącej sieci wirtualnej, zapewniając w ten sposób zarządzane środowisko bramowe. Za pomocą połączeń bramy sieci wirtualnej można nawiązać połączenie z usługą Lakehouse lub Warehouse w dzierżawie, która wymaga łącza prywatnego lub połączyć się z innymi źródłami danych z siecią wirtualną.
rurociąg
Po nawiązaniu połączenia z potokiem za pośrednictwem łącza prywatnego możesz użyć potoku, aby załadować dane z dowolnego źródła danych z publicznymi punktami końcowymi do usługi Microsoft Fabric typu lakehouse z obsługą łącza prywatnego. Klienci mogą również tworzyć i wdrażać potoki przy użyciu aktywności, takich jak aktywności notatnika i przepływu danych, korzystając z łącza prywatnego. Jednak kopiowanie danych z i do hurtowni danych nie jest obecnie możliwe, gdy łącze prywatne Fabric jest włączone.
Model uczenia maszynowego, eksperyment i agent danych
Model uczenia maszynowego, eksperyment i agent danych obsługuje link prywatny.
Power BI
Jeśli dostęp do Internetu jest wyłączony, a semantyczny model usługi Power BI, datamart lub przepływ danych Gen1 łączy się z semantycznym modelem usługi Power BI lub przepływem danych jako źródłem danych, połączenie nie powiedzie się.
Publikowanie w sieci Web nie jest obsługiwane, gdy ustawienie dzierżawy Azure Private Link jest włączone w Fabric.
Subskrypcje poczty e-mail nie są obsługiwane, gdy w dzierżawie jest włączone ustawienie Blokuj publiczny dostęp do Internetu w Fabric.
Eksportowanie raportu Power BI jako PDF lub PowerPoint nie jest obsługiwane, gdy ustawienie dzierżawy Azure Private Link jest włączone w Fabric.
Jeśli Twoja organizacja korzysta z usługi Azure Private Link w sieci szkieletowej, nowoczesne raporty metryk użycia zawierają dane częściowe (tylko raporty dotyczące otwartych zdarzeń). Bieżące ograniczenie podczas przesyłania informacji klienta za pomocą łączy prywatnych uniemożliwia Fabric przechwytywanie widoków stron raportu i danych wydajności. Jeśli Twoja organizacja włączyła ustawienia dzierżawy usługi Azure Private Link i Blokuj publiczny dostęp do Internetu w sieci szkieletowej, odświeżanie zestawu danych zakończy się niepowodzeniem, a raport metryk użycia nie zawiera żadnych danych.
Rozwiązanie Copilot nie jest obecnie obsługiwane w środowiskach sieciowych z Private Link lub sieciach zamkniętych.
Eventstream
Usługa Eventstream obsługuje usługę Private Link, umożliwiając bezpieczne pozyskiwanie danych w czasie rzeczywistym z wielu źródeł bez ujawniania ruchu do publicznego Internetu. Obsługuje również przekształcanie danych w czasie rzeczywistym, takie jak filtrowanie i wzbogacanie przychodzących strumieni danych, przed kierowaniem ich do miejsc docelowych w usłudze Fabric.
Nieobsługiwane scenariusze:
- Niestandardowy punkt końcowy jako źródło nie jest obsługiwany.
- Niestandardowy punkt końcowy jako miejsce docelowe nie jest obsługiwany.
- Usługa Eventhouse jako miejsce docelowe (z trybem bezpośredniego pozyskiwania) nie jest obsługiwana.
- Aktywacja jako miejsce docelowe nie jest obsługiwana.
Eventhouse
Usługa Eventhouse obsługuje usługę Private Link, umożliwiając bezpieczne pozyskiwanie danych i wykonywanie zapytań z sieci wirtualnej platformy Azure za pośrednictwem łącza prywatnego. Dane można pozyskiwać z różnych źródeł, w tym kont usługi Azure Storage, plików lokalnych i usługi Dataflow Gen2. Strumieniowe przesyłanie danych zapewnia natychmiastową dostępność danych. Ponadto możesz użyć zapytań KQL lub platformy Spark, aby uzyskać dostęp do danych w Eventhouse.
Ograniczenia:
- Wczytywanie danych z usługi OneLake nie jest obsługiwane.
- Tworzenie skrótu do Eventhouse nie jest możliwe.
- Nawiązywanie połączenia z usługą Eventhouse w potoku nie jest możliwe.
- Pobieranie danych przy użyciu kolejkowanego pobierania nie jest obsługiwane.
- Łączniki danych korzystające z kolejkowego przetwarzania nie są obsługiwane.
- Wykonywanie zapytań dotyczących Eventhouse przy użyciu języka T-SQL nie jest możliwe.
Rozwiązania do danych opieki zdrowotnej (wersja zapoznawcza)
Klienci mogą aprowizować i korzystać z rozwiązań danych opieki zdrowotnej w usłudze Microsoft Fabric za pośrednictwem łącza prywatnego. W dzierżawie, w której włączono link prywatny, klienci mogą wdrażać funkcje rozwiązania danych opieki zdrowotnej w celu wykonywania kompleksowych scenariuszy pozyskiwania i przekształcania danych dla swoich danych klinicznych. Uwzględniana jest również możliwość pozyskiwania danych opieki zdrowotnej z różnych źródeł, takich jak konta usługi Azure Storage i nie tylko.
Zdarzenia sieci fabric
Zdarzenia fabric obsługują Private Link bez wpływu na dostarczanie zdarzeń, ponieważ zdarzenia mają swoje źródło w dzierżawie.
Zdarzenia platformy Azure
Zdarzenia platformy Azure obsługują usługę Private Link z następującym zachowaniem, gdy ustawienie Blokuj publiczny dostęp do Internetu jest włączone:
- Nowe konfiguracje do korzystania ze zdarzeń platformy Azure (np. zdarzeń usługi Azure Blob Storage) nie będą dostarczane.
- Istniejące konfiguracje korzystające ze zdarzeń platformy Azure uniemożliwią dostarczanie nowych zdarzeń.
Ochrona informacji Microsoft Purview
Usługa Microsoft Purview Information Protection nie obsługuje obecnie usługi Private Link. Oznacza to, że w programie Power BI Desktop uruchomionym w izolowanej sieci przycisk Czułość jest wyszarzony, informacje o etykietach nie są wyświetlane, a odszyfrowywanie plików .pbix nie powodzi się.
Aby włączyć te możliwości w programie Desktop, administratorzy mogą konfigurować tagi usług dla podstawowych usług, które obsługują usługę Microsoft Purview Information Protection, Exchange Online Protection (EOP) i Azure Information Protection (AIP). Upewnij się, że rozumiesz konsekwencje używania tagów usługi w sieci izolowanej przez łącza prywatne.
Dublowana baza danych
Usługa Private Link jest obsługiwana w przypadku funkcji dublowania otwartego, dublowania usługi Azure Cosmos DB, dublowania usługi Azure SQL Managed Instance i dublowania programu SQL Server 2025. W przypadku innych typów dublowania baz danych, jeśli ustawienie Blokuj publiczny dostęp do Internetu jest włączone, aktywne dublowane bazy danych wchodzą w stan wstrzymania i nie można uruchomić dublowania.
W przypadku otwartego mirroringu, gdy ustawienie Blokuj publiczny dostęp do Internetu jest włączone, upewnij się, że wydawca zapisuje dane w strefie docelowej OneLake za pośrednictwem łącza prywatnego.
Inne zagadnienia i ograniczenia
Podczas pracy z prywatnymi punktami końcowymi w Fabric należy wziąć pod uwagę kilka zagadnień:
Usługa Fabric obsługuje maksymalnie 450 pojemności w tenantcie, w którym włączono Private Link.
Gdy pojemność zostanie nowo utworzona, nie obsługuje łącza prywatnego, dopóki punkt końcowy nie zostanie odzwierciedlony w prywatnej strefie DNS, co może potrwać do 24 godzin.
Migracja dzierżawy jest blokowana, gdy Private Link jest włączony w portalu administracyjnym Fabric.
Klienci nie mogą łączyć się z zasobami Fabric w wielu dzierżawach z tej samej lokalizacji sieciowej (zależy to od tego, gdzie konfigurujesz rekordy DNS), ale mogą łączyć się tylko z zasobami w tej dzierżawie, która ostatnia skonfigurowała usługę Private Link.
Usługa Private Link nie jest obsługiwana w zakresie pojemności wersji próbnej. Podczas uzyskiwania dostępu do Fabric za pomocą ruchu usługi Private Link pojemność próbna nie działa.
Podczas korzystania ze środowiska z prywatnym linkiem nie można używać zewnętrznych obrazów ani motywów.
Każdy prywatny punkt końcowy może być połączony tylko z jednym użytkownikiem. Nie można skonfigurować łącza prywatnego do użycia przez więcej niż jednego klienta.
Scenariusze między dzierżawami nie są obsługiwane. Oznacza to, że skonfigurowanie prywatnego punktu końcowego na poziomie dzierżawy w jednej dzierżawie platformy Azure w celu nawiązania bezpośredniego połączenia z usługą Private Link w innej dzierżawie nie jest obsługiwane.
W przypadku użytkowników Fabric: lokalne bramy danych nie są obsługiwane i nie można ich zarejestrować, gdy Private Link jest włączony. Aby pomyślnie uruchomić konfigurator bramy, należy wyłączyć usługę Private Link. Dowiedz się więcej o tym scenariuszu. Bramy danych sieci wirtualnej działają. Aby uzyskać więcej informacji, zobacz te zagadnienia.
Dla użytkowników korzystających z bram danych w aplikacjach innych niż Power BI (takich jak PowerApps lub LogicApps): gdy usługa Private Link jest włączona, brama danych lokalna nie jest obsługiwana. Zalecamy zapoznanie się z użyciem bramy danych sieci wirtualnej, która może być używana z linkami prywatnymi.
Łącza prywatne nie działają z diagnostyką pobierania bramy danych VNet.
Aplikacja Microsoft Fabric Capacity Metrics nie obsługuje usługi Private Link.
Zakładka OneLake Catalog — Zarządzaj nie jest dostępna po aktywacji Private Link.
Zasoby prywatnych łączy w API REST nie obsługują tagów.
Następujące adresy URL muszą być dostępne w przeglądarce klienta:
Wymagane do uwierzytelniania:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com, chociaż może się różnić w zależności od typu konta.
Wymagane kompetencje w zakresie inżynierii danych i nauki o danych:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/-
https://pypi.org/*(na przykładhttps://pypi.org/pypi/azure-storage-blob/json) - lokalne statyczne punkty końcowe dla condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*