หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
Fabric ช่วยให้คุณสามารถเข้าถึงบัญชี Azure Data Lake Storage (ADLS) Gen2 ที่เปิดใช้งานไฟร์วอลล์ได้ในลักษณะที่ปลอดภัย พื้นที่ทํางานพื้นที่ทํางานที่มีข้อมูลประจําตัวของพื้นที่ทํางานสามารถเข้าถึงบัญชี ADLS Gen2 ได้อย่างปลอดภัยด้วยการเข้าถึงเครือข่ายสาธารณะที่เปิดใช้งานจากเครือข่ายเสมือนที่เลือกและที่อยู่ IP หรือปิดใช้งานการเข้าถึงเครือข่ายสาธารณะ คุณสามารถจํากัดการเข้าถึง ADLS Gen2 สําหรับพื้นที่ทํางาน Fabric ที่เฉพาะเจาะจง
พื้นที่ทํางานผ้าที่เข้าถึงบัญชีเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ต้องมีการอนุญาตที่เหมาะสมสําหรับคําขอ การรับรองความถูกต้องได้รับการสนับสนุนด้วยข้อมูลประจําตัวของ Microsoft Entra สําหรับบัญชีองค์กรหรือบริการหลัก หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับกฎของอินสแตนซ์ของทรัพยากร โปรดดู ให้สิทธิ์การเข้าถึงจากอินสแตนซ์ของทรัพยากร Azure
หากต้องการจํากัดและป้องกันการเข้าถึงบัญชีที่เก็บข้อมูลที่เปิดใช้งานไฟร์วอลล์จากพื้นที่ทํางาน Fabric บางรายการ คุณสามารถตั้งค่ากฎอินสแตนซ์ทรัพยากรเพื่ออนุญาตการเข้าถึงจากพื้นที่ทํางาน Fabric เฉพาะได้
Note
การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้พร้อมใช้งาน โดยทั่วไป แต่สามารถใช้ได้เฉพาะในความจุ F SKU เท่านั้น สําหรับข้อมูลเกี่ยวกับการซื้อการสมัครใช้งาน Fabric ให้ดู ซื้อการสมัครใช้งาน Microsoft Fabric การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ไม่ได้รับการสนับสนุนในความจุการทดลองใช้
บทความนี้แสดงให้คุณรู้จักวิธี:
กําหนดค่าการเข้าถึง พื้นที่ทํางานที่เชื่อถือได้ในบัญชีที่เก็บข้อมูล ADLS Gen2
สร้างทางลัด OneLake ใน Fabric Lakehouse ที่เชื่อมต่อกับบัญชีเก็บข้อมูล ADLS Gen2 ที่เปิดใช้งานการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
สร้างไปป์ไลน์ เพื่อเชื่อมต่อโดยตรงกับบัญชี ADLS Gen2 ที่เปิดใช้งานไฟร์วอลล์ซึ่งเปิดใช้งานการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
ใช้คําสั่ง T-SQL COPY เพื่อนําเข้าข้อมูลไปยังคลังสินค้าของคุณจากบัญชี ADLS Gen2 ที่เปิดใช้งานไฟร์วอลล์ซึ่งเปิดใช้งานการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
สร้างแบบจําลองความหมาย ในโหมดนําเข้าเพื่อเชื่อมต่อกับบัญชี ADLS Gen2 ที่เปิดใช้งานไฟร์วอลล์ซึ่งเปิดใช้งานการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
โหลดข้อมูลด้วย AzCopy จากบัญชี Azure Storage ที่เปิดใช้งานไฟร์วอลล์ไปยัง OneLake
กําหนดค่าการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ใน ADLS Gen2
Prerequisites
- พื้นที่ทํางาน Fabric ที่เชื่อมโยงกับความจุ Fabric
- สร้างข้อมูลประจําตัวของพื้นที่ทํางานที่เชื่อมโยงกับพื้นที่ทํางาน Fabric ดูข้อมูลประจําตัวพื้นที่ทํางาน ตรวจสอบให้แน่ใจว่าข้อมูลประจําตัวของพื้นที่ทํางานมีสิทธิ์เข้าถึงพื้นที่ทํางานของผู้สนับสนุนโดยไปที่ จัดการการเข้าถึง (ถัดจาก การตั้งค่าพื้นที่ทํางาน) และเพิ่มข้อมูลประจําตัวของพื้นที่ทํางานลงในรายการในฐานะผู้สนับสนุน
- หลักที่ใช้สําหรับการรับรองความถูกต้องในทางลัดควรมีบทบาท Azure RBAC บนบัญชีเก็บข้อมูล องค์ประกอบหลักต้องมีผู้สนับสนุนข้อมูล Blob Storage, เจ้าของ Blob Data Storage หรือบทบาทตัวอ่านข้อมูล Blob ที่เก็บข้อมูล ที่ขอบเขตบัญชีเก็บข้อมูล หรือบทบาทตัวมอบสิทธิ์ Blob Storage ที่ขอบเขตบัญชีเก็บข้อมูลร่วมกับการเข้าถึงในระดับโฟลเดอร์ภายในคอนเทนเนอร์ การเข้าถึงในระดับโฟลเดอร์สามารถระบุได้ผ่านบทบาท RBAC ในระดับคอนเทนเนอร์หรือผ่านการเข้าถึงระดับโฟลเดอร์เฉพาะ
- กําหนดค่ากฎอินสแตนซ์ของทรัพยากรสําหรับบัญชีเก็บข้อมูล
กฎอินสแตนซ์ของทรัพยากรผ่านเทมเพลต ARM
คุณสามารถกําหนดค่าพื้นที่ทํางาน Fabric เฉพาะเพื่อเข้าถึงบัญชีที่เก็บข้อมูลของคุณโดยยึดตามข้อมูลประจําตัวของพื้นที่ทํางาน คุณสามารถสร้างกฎของอินสแตนซ์ทรัพยากรได้โดยการปรับใช้เทมเพลต ARM ด้วยกฎของอินสแตนซ์ของทรัพยากร วิธีการสร้างกฎอินสแตนซ์ของทรัพยากร:
ลงชื่อเข้าใช้พอร์ทัล Azure และไปที่ การปรับใช้แบบกําหนดเอง
เลือกสร้างเทมเพลตของคุณเองในตัวแก้ไข สําหรับตัวอย่างเทมเพลต ARM ที่สร้างกฎอินสแตนซ์ของทรัพยากร โปรดดู ตัวอย่างเทมเพลต ARM
สร้างกฎอินสแตนซ์ของทรัพยากรในตัวแก้ไข เมื่อทําเสร็จแล้ว เลือก ตรวจสอบ + สร้าง
บนแท็บ พื้นฐาน ที่ปรากฏขึ้น ให้ระบุรายละเอียดโครงการและอินสแตนซ์ที่จําเป็น เมื่อทําเสร็จแล้ว เลือก ตรวจสอบ + สร้าง
บนแท็บ ตรวจสอบ + สร้าง ที่ปรากฏขึ้น ให้ตรวจสอบสรุป จากนั้นเลือก สร้าง กฎถูกส่งเพื่อปรับใช้
เมื่อการปรับใช้เสร็จสมบูรณ์ คุณจะสามารถไปที่ทรัพยากรได้
Note
- กฎอินสแตนซ์ของทรัพยากรสําหรับพื้นที่ทํางาน Fabric สามารถสร้างขึ้นผ่านเทมเพลต ARM หรือ PowerShell เท่านั้น การสร้างผ่านพอร์ทัล Azure ไม่ได้รับการสนับสนุน
- subscriptionId "0000000-0000-0000-0000-0000000000" ต้องใช้สําหรับ resourceId ของพื้นที่ทํางาน Fabric
- คุณสามารถรับรหัสพื้นที่ทํางานสําหรับพื้นที่ทํางาน Fabric ผ่าน URL ของแถบที่อยู่
นี่คือตัวอย่างของกฎอินสแตนซ์ของทรัพยากรที่สามารถสร้างขึ้นผ่านเทมเพลต ARM สําหรับตัวอย่างที่สมบูรณ์ ดู ตัวอย่างเทมเพลต ARM
"resourceAccessRules": [
{ "tenantId": " aaaabbbb-0000-cccc-1111-dddd2222eeee",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}
]
กฎอินสแตนซ์ของทรัพยากรผ่านสคริปต์ PowerShell
คุณสามารถสร้างกฎของอินสแตนซ์ทรัพยากรผ่าน PowerShell โดยใช้สคริปต์ต่อไปนี้
$resourceId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<YOUR_WORKSPACE_GUID>"
$tenantId = "<YOUR_TENANT_ID>"
$resourceGroupName = "<RESOURCE_GROUP_OF_STORAGE_ACCOUNT>"
$accountName = "<STORAGE_ACCOUNT_NAME>"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $accountName -TenantId $tenantId -ResourceId $resourceId
ข้อยกเว้นบริการที่เชื่อถือได้
ถ้าคุณเลือกข้อยกเว้นบริการที่เชื่อถือได้สําหรับบัญชี ADLS Gen2 ที่มีการเข้าถึงเครือข่ายสาธารณะที่เปิดใช้งานจากเครือข่ายเสมือนและที่อยู่ IP ที่เลือก พื้นที่ทํางาน Fabric ที่มีข้อมูลประจําตัวพื้นที่ทํางานสามารถเข้าถึงบัญชีที่เก็บข้อมูลได้ เมื่อเลือกกล่องกาเครื่องหมายข้อยกเว้นของบริการที่เชื่อถือได้ พื้นที่ทํางานใด ๆ ในความจุ Fabric ของผู้เช่าของคุณที่มีข้อมูลประจําตัวของพื้นที่ทํางานสามารถเข้าถึงข้อมูลที่จัดเก็บไว้ในบัญชีเก็บข้อมูลได้
ไม่แนะนําให้ใช้การกําหนดค่านี้ และอาจยกเลิกการสนับสนุนในอนาคต เราขอแนะนําให้คุณใช้ กฎอินสแตนซ์ของทรัพยากรเพื่อให้สิทธิ์เข้าถึงทรัพยากรที่เฉพาะเจาะจง
ใครสามารถกําหนดค่าบัญชีที่เก็บข้อมูลสําหรับการเข้าถึงบริการที่เชื่อถือได้
ผู้สนับสนุนบัญชีเก็บข้อมูล (บทบาท Azure RBAC) สามารถกําหนดค่ากฎของอินสแตนซ์ของทรัพยากรหรือข้อยกเว้นของบริการที่เชื่อถือได้
วิธีใช้การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ใน Fabric
มีหลายวิธีในการใช้การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้เพื่อเข้าถึงข้อมูลของคุณจาก Fabric ในลักษณะที่ปลอดภัย:
คุณสามารถสร้าง ทางลัด ADLS ใหม่ใน Fabric Lakehouse เพื่อเริ่มวิเคราะห์ข้อมูลของคุณด้วย Spark, SQL และ Power BI ได้
คุณสามารถ สร้างไปป์ไลน์ ที่ใช้การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้เพื่อเข้าถึงบัญชี ADLS Gen2 ที่เปิดใช้งานไฟร์วอลล์ได้โดยตรง
คุณสามารถใช้คําสั่ง T-SQL Copy ที่ใช้การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้เพื่อนําเข้าข้อมูลลงใน Fabric Warehouse
คุณสามารถใช้แบบจําลองความหมาย (โหมดการนําเข้า) เพื่อใช้ประโยชน์จากการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้และสร้างแบบจําลองและรายงานเกี่ยวกับข้อมูลได้
คุณสามารถใช้ AzCopy เพื่อโหลดข้อมูลจากบัญชี Azure Storage ที่เปิดใช้งานไฟร์วอลล์ไปยัง OneLake ได้อย่างมีประสิทธิภาพ
ส่วนต่อไปนี้แสดงวิธีการใช้วิธีการเหล่านี้
สร้างทางลัด OneLake ไปยังบัญชีเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
ด้วยข้อมูลประจําตัวของพื้นที่ทํางานที่กําหนดค่าไว้ใน Fabric และเปิดใช้งานการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในบัญชีที่เก็บข้อมูล ADLS Gen2 ของคุณ คุณสามารถสร้างทางลัด OneLake เพื่อเข้าถึงข้อมูลของคุณจาก Fabric ได้ คุณเพิ่งสร้างทางลัด ADLS ใหม่ใน Fabric Lakehouse และคุณสามารถเริ่มวิเคราะห์ข้อมูลของคุณด้วย Spark, SQL และ Power BI ได้
Note
- ทางลัดที่มีอยู่แล้วในพื้นที่ทํางานที่ตรงตามข้อกําหนดเบื้องต้นจะเริ่มสนับสนุนการเข้าถึงบริการที่เชื่อถือได้โดยอัตโนมัติ
- คุณต้องใช้ ID URL ของ DFS สําหรับบัญชีเก็บข้อมูล ตัวอย่างมีดังนี้:
https://StorageAccountName.dfs.core.windows.net - บริการหลักยังสามารถสร้างทางลัดไปยังบัญชีเก็บข้อมูลด้วยการเข้าถึงที่เชื่อถือได้
Steps
เริ่มต้นด้วยการสร้างทางลัดใหม่ในเลคเฮ้าส์
ตัวช่วยสร้าง ทางลัดใหม่ จะเปิดขึ้น
ภายใต้ แหล่งข้อมูลภายนอก ให้เลือก Azure Data Lake Storage Gen2
ใส่ URL ของบัญชีเก็บข้อมูลที่ได้รับการกําหนดค่าด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ และเลือกชื่อสําหรับการเชื่อมต่อ สําหรับชนิดการรับรองความถูกต้อง ให้เลือก บัญชีองค์กร หรือ บริการหลัก
เมื่อเสร็จแล้ว ให้เลือก ถัดไป
ใส่ชื่อทางลัดและเส้นทางย่อย
เมื่อเสร็จแล้ว ให้เลือก สร้าง
ทางลัดของเลคเฮ้าส์ถูกสร้างขึ้นและคุณควรสามารถแสดงตัวอย่างข้อมูลที่เก็บข้อมูลในทางลัดได้
ใช้ทางลัด OneLake ไปยังบัญชีเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในรายการ Fabric
ด้วย OneCopy ใน Fabric คุณสามารถเข้าถึงทางลัด OneLake ของคุณด้วยการเข้าถึงที่เชื่อถือได้จากปริมาณงาน Fabric ทั้งหมด
Spark: คุณสามารถใช้ Spark เพื่อเข้าถึงข้อมูลจากทางลัด OneLake ของคุณได้ เมื่อใช้ทางลัดใน Spark ทางลัดจะปรากฏเป็นโฟลเดอร์ใน OneLake คุณเพียงแค่ต้องอ้างอิงชื่อโฟลเดอร์เพื่อเข้าถึงข้อมูล คุณสามารถใช้ทางลัด OneLake ไปยังบัญชีเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในสมุดบันทึก Spark
จุดสิ้นสุดการวิเคราะห์ SQL: ทางลัดที่สร้างขึ้นในส่วน "ตาราง" ของ lakehouse ของคุณจะพร้อมใช้งานในจุดสิ้นสุดการวิเคราะห์ SQL คุณสามารถเปิดจุดสิ้นสุดการวิเคราะห์ SQL และคิวรีข้อมูลของคุณเช่นเดียวกับตารางอื่น ๆ ได้
ไปป์ไลน์: ไปป์ไลน์สามารถเข้าถึงทางลัดที่มีการจัดการไปยังบัญชีพื้นที่จัดเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ ไปป์ไลน์สามารถใช้เพื่ออ่านหรือเขียนไปยังบัญชีที่เก็บข้อมูลผ่านทางลัด OneLake
กระแสข้อมูล v2: กระแสข้อมูล Gen2 สามารถใช้เพื่อเข้าถึงทางลัดที่มีการจัดการไปยังบัญชีที่เก็บข้อมูลที่มีการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ กระแสข้อมูล Gen2 สามารถอ่านจากหรือเขียนไปยังบัญชีที่เก็บข้อมูลผ่านทางลัด OneLake ได้
แบบจําลองความหมายและรายงาน: แบบจําลองความหมายเริ่มต้นที่เกี่ยวข้องกับจุดสิ้นสุดการวิเคราะห์ SQL ของ Lakehouse สามารถอ่านทางลัดที่มีการจัดการไปยังบัญชีเก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ เมื่อต้องการดูตารางที่มีการจัดการในแบบจําลองความหมายเริ่มต้น ให้ไปที่รายการปลายทางการวิเคราะห์ SQL เลือก การรายงาน และเลือก อัปเดตแบบจําลองความหมายโดยอัตโนมัติ
คุณยังสามารถสร้างแบบจําลองความหมายใหม่ที่อ้างอิงทางลัดตารางไปยังบัญชีที่เก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ ไปที่จุดสิ้นสุดการวิเคราะห์ SQL เลือก การรายงาน และเลือก แบบจําลองความหมายใหม่
คุณสามารถสร้างรายงานที่ด้านบนของแบบจําลองความหมายเริ่มต้นและแบบจําลองความหมายแบบกําหนดเอง
ฐานข้อมูล KQL: คุณยังสามารถสร้างทางลัด OneLake ไปยัง ADLS Gen2 ในฐานข้อมูล KQL ขั้นตอนในการสร้างทางลัดที่มีการจัดการที่มีการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ยังคงเหมือนเดิม
สร้างไปป์ไลน์ไปยังบัญชีที่เก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
ด้วยข้อมูลประจําตัวของพื้นที่ทํางานที่กําหนดค่าใน Fabric และการเข้าถึงที่เชื่อถือได้ที่เปิดใช้งานในบัญชีที่เก็บข้อมูล ADLS Gen2 ของคุณ คุณสามารถสร้างไปป์ไลน์เพื่อเข้าถึงข้อมูลของคุณจาก Fabric ได้ คุณสามารถสร้างไปป์ไลน์ใหม่เพื่อคัดลอกข้อมูลไปยังเลคเฮาส์ Fabric จากนั้นคุณสามารถเริ่มวิเคราะห์ข้อมูลของคุณด้วย Spark, SQL และ Power BI
Prerequisites
- พื้นที่ทํางาน Fabric ที่เชื่อมโยงกับความจุ Fabric ดูข้อมูลประจําตัวพื้นที่ทํางาน
- สร้างข้อมูลประจําตัวของพื้นที่ทํางานที่เชื่อมโยงกับพื้นที่ทํางาน Fabric
- หลักที่ใช้สําหรับการรับรองความถูกต้องในไปป์ไลน์ควรมีบทบาท Azure RBAC บนบัญชีเก็บข้อมูล องค์ประกอบหลักต้องมีบทบาทตัวสนับสนุนข้อมูล Blob Data Storage, เจ้าของ Blob Data Storage หรือ บทบาทตัวอ่าน Blob Data Storage ที่ขอบเขตบัญชีเก็บข้อมูล
- กําหนดค่ากฎอินสแตนซ์ของทรัพยากรสําหรับบัญชีเก็บข้อมูล
Steps
เริ่มต้นด้วยการเลือก รับข้อมูล ในเลคเฮาส์
เลือก ไปป์ไลน์ใหม่ ระบุชื่อสําหรับไปป์ไลน์ แล้วเลือก สร้าง
เลือก Azure Data Lake Gen2 เป็นแหล่งข้อมูล
ใส่ URL ของบัญชีเก็บข้อมูลที่ได้รับการกําหนดค่าด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ และเลือกชื่อสําหรับการเชื่อมต่อ สําหรับชนิดการรับรองความถูกต้อง ให้เลือกบัญชีองค์กรหรือบริการหลัก
เมื่อเสร็จแล้ว ให้เลือก ถัดไป
เลือกไฟล์ที่คุณจําเป็นต้องคัดลอกลงใน lakehouse
เมื่อเสร็จแล้ว ให้เลือก ถัดไป
บนหน้าจอ ตรวจสอบ + บันทึก ให้เลือก เริ่มการถ่ายโอนข้อมูลทันที เมื่อทําเสร็จแล้ว เลือก บันทึก + เรียกใช้
เมื่อสถานะไปป์ไลน์เปลี่ยนจาก เข้าคิว เป็น สําเร็จ ให้ไปที่เลคเฮาส์และตรวจสอบว่ามีการสร้างตารางข้อมูลแล้ว
ใช้คําสั่ง T-SQL COPY เพื่อนําเข้าข้อมูลลงในคลังสินค้า
ด้วยข้อมูลประจําตัวของพื้นที่ทํางานที่กําหนดค่าไว้ใน Fabric และเปิดใช้งานการเข้าถึงที่เชื่อถือได้ในบัญชีที่เก็บข้อมูล ADLS Gen2 ของคุณ คุณสามารถใช้คําสั่ง COPY T-SQL เพื่อนําเข้าข้อมูลลงใน Fabric Warehouse ของคุณได้ เมื่อเก็บข้อมูลลงในคลังสินค้าแล้ว คุณสามารถเริ่มวิเคราะห์ข้อมูลของคุณด้วย SQL และ Power BI ได้ ผู้ใช้ที่มีบทบาทผู้ดูแลระบบ สมาชิก ผู้สนับสนุน พื้นที่ทํางานของผู้ชม หรือสิทธิ์การอ่านบนคลังสินค้า สามารถใช้การเข้าถึงที่เชื่อถือได้พร้อมกับคําสั่ง T-SQL COPY
สร้างแบบจําลองความหมายด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
แบบจําลองความหมายในโหมดนําเข้าสนับสนุนการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ไปยังบัญชีที่เก็บข้อมูล คุณสามารถใช้คุณลักษณะนี้เพื่อสร้างแบบจําลองและรายงานสําหรับข้อมูลในบัญชีเก็บข้อมูล ADLS Gen2 ที่เปิดใช้งานไฟร์วอลล์
Prerequisites
- พื้นที่ทํางาน Fabric ที่เชื่อมโยงกับความจุ Fabric ดูข้อมูลประจําตัวพื้นที่ทํางาน
- สร้างข้อมูลประจําตัวของพื้นที่ทํางานที่เชื่อมโยงกับพื้นที่ทํางาน Fabric
- การเชื่อมต่อกับบัญชีเก็บข้อมูล ADLS Gen2 หลักที่ใช้สําหรับการรับรองความถูกต้องในการเชื่อมต่อที่ผูกกับแบบจําลองความหมายควรมีบทบาท Azure RBAC บนบัญชีเก็บข้อมูล องค์ประกอบหลักต้องมีบทบาทตัวสนับสนุนข้อมูล Blob Data Storage, เจ้าของ Blob Data Storage หรือ บทบาทตัวอ่าน Blob Data Storage ที่ขอบเขตบัญชีเก็บข้อมูล
- กําหนดค่ากฎอินสแตนซ์ของทรัพยากรสําหรับบัญชีเก็บข้อมูล
Steps
- สร้างแบบจําลองความหมายใน Power BI Desktop ที่เชื่อมต่อกับบัญชีที่เก็บข้อมูล ADLS Gen2 โดยใช้ขั้นตอนที่แสดงใน วิเคราะห์ข้อมูลใน Azure Data Lake Storage Gen2 โดยใช้ Power BI คุณสามารถใช้บัญชีองค์กรเพื่อเชื่อมต่อกับ Azure Data Lake Storage Gen2 ในเดสก์ท็อปได้
- นําเข้าแบบจําลองไปยังพื้นที่ทํางานที่กําหนดค่าด้วยข้อมูลประจําตัวของพื้นที่ทํางาน
- นําทางไปยังการตั้งค่าแบบจําลองและขยายส่วนการเชื่อมต่อเกตเวย์และระบบคลาวด์
- ภายใต้การเชื่อมต่อระบบคลาวด์ เลือกการเชื่อมต่อข้อมูลสําหรับบัญชีที่เก็บข้อมูล ADLS Gen2 (การเชื่อมต่อนี้สามารถมีข้อมูลประจําตัวของพื้นที่ทํางาน บริการหลัก และบัญชีองค์กรเป็นวิธีการรับรองความถูกต้อง)
- เลือก นําไปใช้ แล้วรีเฟรชแบบจําลองเพื่อสิ้นสุดการกําหนดค่า
โหลดข้อมูลโดยใช้ AzCopy และการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
ด้วยการกําหนดค่าการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ งานคัดลอก AzCopy สามารถเข้าถึงข้อมูลที่จัดเก็บไว้ในบัญชี Azure Storage ที่เปิดใช้งานไฟร์วอลล์ ซึ่งช่วยให้คุณโหลดข้อมูลจาก Azure Storage ไปยัง OneLake ได้อย่างมีประสิทธิภาพ
Prerequisites
- พื้นที่ทํางาน Fabric ที่เชื่อมโยงกับความจุ Fabric ดูข้อมูลประจําตัวพื้นที่ทํางาน
- ติดตั้ง AzCopy และลงชื่อเข้าใช้ด้วยหลักการที่ใช้สําหรับการรับรองความถูกต้อง ดู เริ่มต้นใช้งาน AzCopy
- สร้างข้อมูลประจําตัวของพื้นที่ทํางานที่เชื่อมโยงกับพื้นที่ทํางาน Fabric
- หลักที่ใช้สําหรับการรับรองความถูกต้องในทางลัดควรมีบทบาท Azure RBAC บนบัญชีเก็บข้อมูล องค์ประกอบหลักต้องมีผู้สนับสนุนข้อมูล Blob Storage, เจ้าของ Blob Data Storage หรือบทบาทตัวอ่านข้อมูล Blob ที่เก็บข้อมูล ที่ขอบเขตบัญชีเก็บข้อมูล หรือบทบาทตัวมอบสิทธิ์ Blob Storage ที่ขอบเขตบัญชีเก็บข้อมูลร่วมกับการเข้าถึงในระดับโฟลเดอร์ภายในคอนเทนเนอร์ การเข้าถึงในระดับโฟลเดอร์สามารถระบุได้ผ่านบทบาท RBAC ในระดับคอนเทนเนอร์หรือผ่านการเข้าถึงระดับโฟลเดอร์เฉพาะ
- กําหนดค่ากฎอินสแตนซ์ของทรัพยากรสําหรับบัญชีเก็บข้อมูล
Steps
- เข้าสู่ระบบ AzCopy ด้วยหลักการที่มีสิทธิ์เข้าถึงบัญชี Azure Storage และรายการ Fabric เลือกการสมัครใช้งานที่มีบัญชี Azure Storage ที่เปิดใช้งานไฟร์วอลล์ของคุณ
azcopy login
- สร้างคําสั่ง AzCopy ของคุณ คุณต้องมีแหล่งที่มาของสําเนาปลายทางและพารามิเตอร์อย่างน้อยหนึ่งรายการ
- source-path: ไฟล์หรือไดเรกทอรีในบัญชี Azure Storage ที่เปิดใช้งานไฟร์วอลล์ของคุณ
- destination-path: โซน Landing Zone ใน OneLake สําหรับข้อมูลของคุณ ตัวอย่างเช่น โฟลเดอร์ /Files ในเลคเฮาส์
- --trusted-microsoft-suffixes: ต้องมี "fabric.microsoft.com"
azcopy copy "https://<source-account-name>.blob.core.windows.net/<source-container>/<source-path>" "https://onelake.dfs.fabric.microsoft.com/<destination-workspace>/<destination-path>" --trusted-microsoft-suffixes "fabric.microsoft.com"
- เรียกใช้คําสั่งคัดลอก AzCopy ใช้ข้อมูลประจําตัวที่คุณเข้าสู่ระบบเพื่อเข้าถึงทั้ง OneLake และ Azure Storage การดําเนินการคัดลอกเป็นแบบซิงโครนัส ดังนั้นเมื่อคําสั่งกลับมา ไฟล์ทั้งหมดจะถูกคัดลอก สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้ AzCopy กับ OneLake โปรดดู AzCopy
ข้อจํากัดและข้อควรพิจารณา
สถานการณ์และข้อจํากัดที่รองรับ
- การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ได้รับการสนับสนุนสําหรับพื้นที่ทํางานในความจุ Fabric F SKU ใด ๆ
- คุณสามารถใช้การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในทางลัด OneLake, ไปป์ไลน์, แบบจําลองความหมาย, คําสั่ง T-SQL COPY และ AzCopy เท่านั้น หากต้องการเข้าถึงบัญชีที่เก็บข้อมูลอย่างปลอดภัยจาก Fabric Spark โปรดดูจุดสิ้นสุดส่วนตัวที่มีการจัดการสําหรับ Fabric
- ไปป์ไลน์ไม่สามารถเขียนทางลัดตาราง OneLake บนบัญชีที่เก็บข้อมูลด้วยการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ นี่เป็นข้อจํากัดชั่วคราว
- ถ้าคุณใช้การเชื่อมต่อที่สนับสนุนการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในรายการ Fabric นอกเหนือจากทางลัด ไปป์ไลน์ และแบบจําลองความหมาย หรือในพื้นที่ทํางานอื่น ๆ การเชื่อมต่อดังกล่าวอาจไม่ทํางาน
- การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ไม่เข้ากันกับคําขอข้ามผู้เช่า
วิธีการรับรองความถูกต้องและการจัดการการเชื่อมต่อ
- การเชื่อมต่อสําหรับการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้สามารถสร้างขึ้นได้ใน จัดการการเชื่อมต่อและเกตเวย์ อย่างไรก็ตาม ข้อมูลประจําตัวของพื้นที่ทํางานเป็นวิธีการรับรองความถูกต้องที่ได้รับการสนับสนุนเท่านั้น การทดสอบการเชื่อมต่อล้มเหลวหากมีการใช้วิธีการรับรองความถูกต้องของบัญชีองค์กรหรือบริการหลัก
- เฉพาะ บัญชีองค์กร บริการ หลัก และวิธีการรับรองความถูกต้อง ของข้อมูลประจําตัวพื้นที่ทํางาน เท่านั้นที่สามารถใช้สําหรับการรับรองความถูกต้องกับบัญชีที่เก็บข้อมูลสําหรับการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ในทางลัด ไปป์ไลน์ และทางลัด
- ถ้าคุณต้องการใช้บริการหลักหรือบัญชีองค์กรเป็นวิธีการรับรองความถูกต้องในการเชื่อมต่อไปยังบัญชีที่เก็บข้อมูลที่เปิดใช้งานไฟร์วอลล์ คุณสามารถใช้ประสบการณ์การสร้างทางลัดหรือไปป์ไลน์ หรือประสบการณ์รายงานด่วนของ Power BI เพื่อสร้างการเชื่อมต่อได้ หลังจากนั้น คุณสามารถผูกการเชื่อมต่อนี้กับโมเดลความหมาย และทางลัดและไปป์ไลน์อื่นๆ ได้
- ถ้าแบบจําลองความหมายใช้การเชื่อมต่อระบบคลาวด์ส่วนบุคคล คุณสามารถใช้ข้อมูลประจําตัวของพื้นที่ทํางานเป็นวิธีการรับรองความถูกต้องสําหรับการเข้าถึงที่เก็บข้อมูลที่เชื่อถือได้เท่านั้น เราขอแนะนําให้แทนที่การเชื่อมต่อระบบคลาวด์ส่วนบุคคลด้วยการเชื่อมต่อระบบคลาวด์ที่ใช้ร่วมกัน
- การเชื่อมต่อกับบัญชีที่เก็บข้อมูลที่เปิดใช้งานไฟร์วอลล์มีสถานะ ออฟไลน์ ใน จัดการการเชื่อมต่อและเกตเวย์
การโยกย้ายและทางลัดที่มีอยู่แล้ว
- หากพื้นที่ทํางานที่มีข้อมูลประจําตัวของพื้นที่ทํางานถูกย้ายไปยังความจุที่ไม่ใช่ Fabric หรือไปยังความจุที่ไม่ใช่ F SKU Fabric การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้จะหยุดทํางานหลังจากหนึ่งชั่วโมง
- ทางลัดที่มีอยู่แล้วที่สร้างขึ้นก่อนวันที่ 10 ตุลาคม 2023 ไม่รองรับการเข้าถึงพื้นที่ทํางานที่เชื่อถือได้
- ทางลัดที่มีอยู่ก่อนหน้าในพื้นที่ทํางานที่ตรงตามข้อกําหนดเบื้องต้นจะเริ่มต้นโดยอัตโนมัติเพื่อสนับสนุนการเข้าถึงบริการที่เชื่อถือได้
การกําหนดค่าความปลอดภัย เครือข่าย และทรัพยากร
- การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้จะทํางานเฉพาะเมื่อมีการเปิดใช้งานการเข้าถึงสาธารณะจากเครือข่ายเสมือนที่เลือกและที่อยู่ IP หรือเมื่อปิดใช้งานการเข้าถึงสาธารณะ
- ต้องสร้างกฎอินสแตนซ์ของทรัพยากรสําหรับพื้นที่ทํางาน Fabric ผ่านเทมเพลต ARM ไม่รองรับกฎอินสแตนซ์ของทรัพยากรที่สร้างขึ้นผ่าน UI พอร์ทัล Azure
- คุณสามารถกําหนดค่ากฎของอินสแตนซ์ทรัพยากรได้สูงสุด 200 กฎ สําหรับข้อมูลเพิ่มเติม ดูขีดจํากัดการสมัครใช้งาน Azure และโควตา - Azure Resource Manager
- ถ้าองค์กรของคุณมีนโยบายการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra สําหรับข้อมูลประจําตัวปริมาณงานที่มีบริการหลักทั้งหมด ในกรณีดังกล่าว คุณจําเป็นต้องยกเว้นข้อมูลประจําตัวพื้นที่ทํางาน Fabric เฉพาะจากนโยบายการเข้าถึงแบบมีเงื่อนไขสําหรับข้อมูลประจําตัวของปริมาณงาน
ตัวอย่างเทมเพลต ARM
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Storage/storageAccounts",
"apiVersion": "2023-01-01",
"name": "<storage account name>",
"id": "/subscriptions/<subscription id of storage account>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>",
"location": "<region>",
"kind": "StorageV2",
"properties": {
"networkAcls": {
"resourceAccessRules": [
{
"tenantId": "<tenantid>",
"resourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/Fabric/providers/Microsoft.Fabric/workspaces/<workspace-id>"
}]
}
}
}
]
}