Частные ссылки для клиентов Fabric

Вы можете использовать частные ссылки для обеспечения безопасного доступа к трафику данных в Fabric. Приватный канал Azure и частные конечные точки Azure Networking используются для отправки трафика данных в частном порядке с помощью магистральной сетевой инфраструктуры Microsoft вместо передачи через Интернет. Если используются подключения приватной сети, эти подключения проходят через частную сеть Microsoft, когда пользователи Fabric получают доступ к ресурсам в Fabric. Приватный канал защищает входящий доступ в пределах одной границы клиента и не включает подключение между клиентами. Для управления доступом к данным между клиентами используйте вместо этого общий доступ к данным OneLake.

Fabric поддерживает частные ссылки как на уровне клиента, так и на уровне рабочей области:

  • Частные каналы уровня клиента предоставляют политику сети для всего клиента. В этой статье рассматриваются частные ссылки на уровне клиента.

  • Частные ссылки на уровне рабочей области обеспечивают детальный контроль, что позволяет ограничить доступ к определенным рабочим областям, позволяя остальным рабочим областям оставаться открытым для общедоступного доступа. Дополнительные сведения см. в разделе Частные ссылки для рабочих областей Fabric.

Включение частных конечных точек влияет на множество элементов, поэтому перед включением частных конечных точек для клиента необходимо ознакомиться со всей этой статьей.

Что собой представляет частная конечная точка?

Частная конечная точка гарантирует, что трафик, направляющийся в элементы Fabric вашей организации (например, отправка файла в OneLake), всегда следует пути сети частного соединения, настроенной вашей организацией. Вы можете настроить Fabric запретить все запросы, которые не приходят из настроенного сетевого пути.

Частные конечные точки не гарантируют, что трафик от Fabric к вашим внешним источникам данных, будь то в облаке или в локальной среде, защищён. Настройте правила брандмауэра и виртуальные сети для дальнейшего защиты источников данных.

Частная конечная точка — это единая направленная технология, которая позволяет клиентам инициировать подключения к данной службе, но не позволяет службе инициировать подключение к клиентской сети. Этот шаблон интеграции с частной конечной точкой обеспечивает изоляцию управления, так как служба может работать независимо от конфигурации политики сети клиента. Для мультитенантных служб эта модель частной конечной точки предоставляет идентификаторы ссылок, чтобы предотвратить доступ к ресурсам других клиентов, размещенным в той же службе.

Служба Fabric реализует частные конечные точки, а не конечные точки службы.

Использование частных конечных точек с Fabric обеспечивает следующие преимущества:

  • Ограничьте трафик из Интернета в Fabric и перенаправьте его через магистральную сеть Microsoft.
  • Убедитесь, что доступ к Fabric могут получить только авторизованные клиентские компьютеры.
  • Соблюдайте нормативные и требования соответствия, которые предусматривают частный доступ к вашим данным и аналитическим службам.

Общие сведения о конфигурации частной конечной точки

На портале администрирования Fabric есть два параметра клиента, участвующих в настройке Приватный канал: Azure Приватные ссылки и Block Public Internet Access.

Если Приватный канал Azure настроен правильно и Блокировка доступа к общедоступному Интернетувключена:

  • Поддерживаемые Fabric элементы доступны только для вашей организации из частных конечных точек и недоступны из общедоступного Интернета.
  • Трафик в виртуальной сети, нацеленный на конечные точки и сценарии, поддерживающие частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, направленный на конечные точки и сценарии, которые не поддерживают частные каналы, блокируется службой.
  • Могут возникнуть сценарии, которые не поддерживают частные ссылки, которые блокируются в службе при включении блокировки общедоступного доступа к Интернету .

Если Приватный канал Azure настроен правильно и блокировка общедоступного доступа к Интернетуотключена:

  • Трафик из общедоступного Интернета разрешен службами Fabric.
  • Трафик в виртуальной сети, нацеленный на конечные точки и сценарии, поддерживающие частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, нацеленный на конечные точки и сценарии, которые не поддерживают частные каналы, передается через общедоступный Интернет и разрешен службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, блокируются виртуальной сетью.

OneLake

OneLake поддерживает Приватный канал. Вы можете просматривать OneLake на портале Fabric или на любом компьютере в установленной виртуальной сети с помощью проводника OneLake, Обозреватель службы хранилища Azure, PowerShell и т. д.

Прямые вызовы с помощью региональных конечных точек OneLake не работают через приватный канал для Fabric. Дополнительные сведения о подключении к OneLake и региональным конечным точкам см. в разделе Как подключиться к OneLake?.

Ярлыки

Ярлыки OneLake поддерживаются с использованием Приватный канал, если источник ярлыка и его цель находятся в одном арендаторе. При доступе к данным через ярлык через частное подключение трафик между OneLake и указанной учетной записью хранения проходит через магистраль частной сети Microsoft. Ярлыки, ссылающиеся на внешнее облачное хранилище (например, Azure Data Lake Storage или Amazon S3), требуют, чтобы внешняя учетная запись хранения также разрешала доступ к частной конечной точке или иначе доступ к ней из частной сети.

Кросс-клиентские ярлыки (ярлыки, которые ссылаются на данные, которыми делится другой клиент Fabric) не поддерживаются через Приватный канал. Для доступа к данным между клиентами используйте общий доступ к данным OneLake без Приватный канал.

Точка доступа аналитики SQL для Warehouse и Lakehouse

Доступ к конечной точке хранилища или SQL-аналитики в Lakehouse на портале Fabric защищен приватной ссылкой. Клиенты также могут использовать конечные точки табличного потока данных (TDS) (например, SQL Server Management Studio (SSMS) или расширение MSSQL для Visual Studio Code) для подключения к хранилищу через приватный канал.

Визуальный запрос в хранилище не работает, если включен параметр клиента "Блокировать общедоступный доступ к Интернету".

База данных SQL

Доступ к базе данных SQL или конечной точке аналитики SQL на портале Fabric защищен приватным каналом. Клиенты также могут использовать конечные точки табличного потока данных (например, SQL Server Management Studio или Visual Studio Code), чтобы подключиться к базе данных SQL через приватный канал. Дополнительные сведения о подключении к базе данных SQL см. в разделе Authentication в базе данных SQL в Microsoft Fabric.

Лейкхаус, Ноутбук, Определение задания Spark, среда разработки

После включения параметра клиента Приватный канал Azure выполнение первого задания Spark (определение задания Notebook или Spark) или выполнение операции Lakehouse (загрузка в таблицу, операции обслуживания таблиц, такие как Оптимизация или вакуум) приводит к созданию управляемой виртуальной сети для рабочей области.

После подготовки управляемой виртуальной сети начальные пулы (параметр вычислений по умолчанию) для Spark отключены, так как они предварительно развернуты в общей виртуальной сети. Задания Spark выполняются в пользовательских пулах, созданных по запросу во время отправки заданий в выделенной управляемой виртуальной сети рабочей области. Миграция рабочей области между емкостями в разных регионах не поддерживается, если для рабочей области выделена управляемая виртуальная сеть.

Если параметр приватного канала включен, Spark-задания не работают для тенантов, чей домашний регион не поддерживает Data Engineering Fabric, даже если они используют емкости Fabric из других регионов, которые это поддерживают.

Дополнительные сведения см. в статье Управляемая виртуальная сеть для Fabric.

Поток данных 2-го поколения

Поток данных 2-го поколения можно использовать для получения данных, преобразования данных и публикации потока данных через приватный канал. Если источник данных находится за брандмауэром, вы можете использовать шлюз данных виртуальной сети для подключения к источникам данных. Шлюз данных VNet позволяет внедрить компонент шлюза (вычислительный) в вашу существующую виртуальную сеть, предоставляя управляемый шлюз. Подключения шлюза виртуальной сети можно использовать для подключения к Lakehouse или Хранилищу в клиенте, которые требуют частного соединения, или для подключения к другим источникам данных с помощью вашей виртуальной сети.

Конвейер

При подключении к Конвейеру через частный канал вы можете использовать конвейер для загрузки данных из любого источника данных с публичными конечными точками в Microsoft Fabric lakehouse с поддержкой частного канала. Клиенты также могут создавать конвейеры и вводить их в эксплуатацию с действиями, включая записные книжки и потоки данных, используя приватный канал. Тем не менее, копирование данных из и в Data Warehouse в настоящее время невозможно при активированном приватном подключении Fabric.

Агент данных

Агенты данных могут подключаться к lakehouse, хранилищу и источникам данных SQL в рабочей области с включенными частными ссылками на уровне рабочей области (публичный доступ отключен). Доступ между рабочими областями поддерживается при явном установлении сетевого подключения (например, с помощью управляемой частной конечной точки), а также с учетом ограничений региона и токенов.

Текущие ограничения: Kusto, семантические модели и зеркальные источники данных не поддерживаются в сценариях частного подключения. Эти ограничения присущи самим типам артефактов, а не ограничению агентов данных. Доступ через частную ссылку между регионами для источников SQL также не поддерживается.

Power BI

  • Если доступ к Интернету отключен и если семантическая модель Power BI, Datamart или Dataflow 1-го поколения подключается к семантической модели Power BI или Dataflow в качестве источника данных, подключение завершается ошибкой.

  • Публикация в Интернете не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Подписки электронной почты не поддерживаются, если параметр клиента Block Public Internet Access включен в Fabric.

  • Экспорт отчета Power BI в формате PDF или PowerPoint не поддерживается, если параметр клиента Приватный канал Azure включен в Fabric.

  • Если ваша организация использует Приватный канал Azure в Fabric, современные метрики использования содержат частичные данные (только события открытия отчета). Текущее ограничение при передаче сведений о клиенте через закрытые каналы препятствует Fabric собирать просмотры страниц отчетов и данные о производительности через закрытые каналы. Если ваша организация включила настройки клиента Приватный канал Azure и Block Public Internet Access в Fabric, обновление набора данных происходит неудачно, а отчет о метриках использования не отображает никаких данных.

  • Copilot в настоящее время не поддерживается для Приватный канал или закрытых сетевых сред.

  • Доступ к данным OneLake через сочетания клавиш или общий доступ к данным OneLake не поддерживается через Приватный канал. Пользователи, которым требуется доступ к общим данным из другого клиента, должны подключаться за пределами пути Приватный канал.

Поток событий

Eventstream поддерживает Приватный канал, обеспечивая безопасный прием данных в режиме реального времени из нескольких источников без предоставления трафика в общедоступный Интернет. Он также поддерживает преобразование данных в режиме реального времени, например фильтрацию и обогащение входящих потоков данных, прежде чем направлять их в назначения в Fabric.

Неподдерживаемые сценарии:

  • Пользовательская конечная точка в качестве источника не поддерживается.
  • Пользовательская конечная точка в качестве назначения не поддерживается.
  • Eventhouse в качестве назначения (с режимом прямого приема) не поддерживается.
  • Активатор в качестве назначения не поддерживается.

Активатор данных

Активатор данных поддерживает прием событий из KQL/Eventhouse, Power BI и Fabric событий для Real-Time Hub для частных ссылок уровня арендатора. Для уровня рабочей области активатор данных поддерживает прием событий из KQL/Eventhouse и Real-Time Hub Fabric Events.

Ограничения:

  • В настоящее время Data Activator не поддерживает прием из Eventstream с включенными приватными ссылками.

Eventhouse

Eventhouse поддерживает Приватный канал, предоставляя безопасную передачу данных и выполнение запросов из Azure Virtual Network через частную ссылку. Вы можете получать данные из различных источников, включая служба хранилища Azure учетные записи, локальные файлы и поток данных 2-го поколения. Прием потоковой передачи обеспечивает немедленную доступность данных. Кроме того, можно использовать запросы KQL или Spark для доступа к данным в хранилище событий.

Ограничения:

  • Прием данных из OneLake не поддерживается.
  • Создание ярлыка к хранилищу событий невозможно.
  • Подключение к Eventhouse в конвейере невозможно.
  • Прием данных с помощью приема в очереди не поддерживается.
  • Соединители данных, использующие прием в очереди, не поддерживаются.
  • Запрос к хаусу событий с помощью T-SQL невозможен.

Решения для медицинских данных (предварительная версия)

Клиенты могут подготавливать и использовать решения для обработки данных здравоохранения в Microsoft Fabric через приватный канал. В арендаторе, где включен Private Link, клиенты могут развертывать возможности решения для обработки данных в здравоохранении, чтобы выполнять комплексные сценарии приема и преобразования их клинических данных. Кроме того, включена возможность приема данных здравоохранения из различных источников, таких как учетные записи служба хранилища Azure, и многое другое.

события Azure и Fabric

События Fabric (например, события заданий, события элементов рабочей области и события OneLake) поддерживают Приватный канал на уровне арендатора, не влияя на доставку событий, поскольку они происходят из арендатора. Однако если частные ссылки на уровне рабочей области настроены для блокировки общедоступного доступа к рабочей области, в которой происходят события (исходная рабочая область), потребители событий, такие как оповещения активатора или потоки событий в других рабочих областях, блокируются, если частная ссылка не устанавливается из сети потребителя в исходную рабочую область.

Azure события (например, события Хранилище BLOB-объектов Azure) влияют как на частные связи на уровне клиента, так и на частные каналы на уровне рабочей области. Если включен параметр клиента Block Public Internet Access, Azure источники событий за пределами клиента блокируют доставку событий в Fabric полностью:

  • Новые конфигурации для обработки событий Azure блокируются.
  • Существующие конфигурации, которые используют события Azure, перестают предоставлять события. Система обнаруживает изменение конфигурации и помещает потребителя в приостановленное состояние.

Кроме того, при настройке потребителя на получение событий Azure элемент потока событий создается в рабочей области Fabric для представления источника Azure. Частные ссылки уровня рабочей области влияют на потребление событий Azure таким же образом, как и события Fabric, если рабочая область, содержащая этот элемент потока событий, блокирует доступ к общедоступной сети, потребители в других рабочих областях блокируются, если не установлена частная ссылка.

Для получения дополнительной информации см. Частные ссылки для Azure и Fabric Events.

Microsoft Purview – Защита информации

Защита информации Microsoft Purview в настоящее время не поддерживает Приватный канал. Это означает, что в Power BI Desktop, работающем в изолированной сети, кнопка Sensitivity неактивна, сведения о метках не отображаются, и расшифровка файлов .pbix терпит неудачу.

Чтобы включить эти возможности в Desktop, администраторы могут настроить теги служб для базовых служб, поддерживающих Защита информации Microsoft Purview, Exchange Online Protection (EOP) и Azure Information Protection (AIP). Убедитесь, что вы понимаете последствия использования тегов служб в изолированной сети частных каналов.

Зеркальная база данных

Поддерживается приватный канал для open mirroring, зеркального отображения Azure Cosmos DB, Управляемый экземпляр SQL Azure и SQL Server 2025. Для других типов зеркального отображения базы данных, если включен параметр клиента "Блокировать общедоступный доступ к Интернету", активные зеркальные базы данных вступают в приостановленное состояние, а зеркальное отображение невозможно запустить.

Для открытого зеркального отображения, если включен параметр клиента блокировки общедоступного доступа к Интернету, убедитесь, что издатель записывает данные в целевую зону OneLake через приватный канал.

API для GraphQL

API для GraphQL поддерживает приватное соединение, позволяя безопасный доступ и выполнение запросов к API из вашей виртуальной сети Azure через приватное соединение.

Limitations:

  • Панель мониторинга API и ведение журнала на основе мониторинга рабочих областей не поддерживается.
  • Субъекты-службы (SPN) поддерживаются как клиенты, однако невозможно использовать субъект-службу для создания сохраненных учетных данных для доступа между API и источником данных.
  • Использование API для артефакта GraphQL и артефакта источника данных в двух разных регионах ресурсов не поддерживается, когда отключен публичный доступ. В этом сценарии появится ошибка проверки подлинности.

Другие рекомендации и ограничения

При работе с частными конечными точками в Fabric следует учитывать несколько соображений.

  • Fabric поддерживает до 450 емкостей в клиенте, где включена Приватный канал.

  • При создании емкости она не поддерживает частное соединение, пока ее конечная точка не будет отражена в частной зоне DNS, что может занять до 24 часов.

  • Миграция клиента блокируется, когда функция Приватный канал включена в портале администратора Fabric.

  • Пользователи не могут подключаться к ресурсам Fabric в нескольких арендаторах из одного сетевого расположения (что зависит от того, где настроены DNS-записи), а могут только к последнему арендатору, который настроил Приватный канал.

  • Частная ссылка не поддерживается в пробном режиме. При доступе к Fabric через трафик Приватный канал пробная емкость не работает.

  • Использование внешних изображений или тем недоступно в среде с приватными ссылками.

  • Каждая частная конечная точка может быть подключена только к одному клиенту. Вы не можете настроить приватную ссылку для использования несколькими клиентами.

  • Сценарии между арендаторами не поддерживаются. Это означает, что настройка частной конечной точки на уровне клиента в одном клиенте Azure для подключения непосредственно к службе Приватный канал в другом клиенте не поддерживается.

  • Приватный канал работает в пределах одной границы клиента. функции совместного доступа к данным Fabric (такие как общий доступ к данным OneLake и сочетания клавиш между клиентами) используют отдельные элементы управления доступом и не требуют или поддерживают Приватный канал. Чтобы поделиться данными между арендаторами, настройте разрешения на обмен данными в OneLake.

  • For Fabric users: локальные шлюзы данных не поддерживаются и не регистрируются при включении Приватный канал. Чтобы успешно запустить настроитель шлюза, необходимо отключить Приватный канал. Дополнительные сведения об этом сценарии. Работают шлюзы данных виртуальной сети. Для получения дополнительной информации см. эти рекомендации.

  • Для пользователей шлюза, отличных от PowerBI (PowerApps или LogicApps: локальный шлюз данных не поддерживается при включении Приватный канал. Мы рекомендуем изучить использование шлюза данных виртуальной сети, который можно использовать с частными каналами.

  • Приватные ссылки не работают с диагностикой шлюза данных VNet в отношении загрузки.

  • Приложение для метрик ёмкости Microsoft Fabric не поддерживает Приватный канал.

  • Каталог OneLake — вкладка "Управление" недоступна при активации функции "Приватный канал".

  • REST API ресурсов частных ссылок не поддерживают теги.

  • Элементы плана (предварительная версия) в Fabric IQ (предварительная версия) не поддерживаются в рабочих областях или клиентах, использующих закрытые ссылки.

  • Следующие URL-адреса должны быть доступны в клиентском браузере:

    • Требуется для проверки подлинности:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, хотя это может отличаться в зависимости от типа учетной записи.

    • Требования для специалистов в области инженерии данных и науки о данных.

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (например, https://pypi.org/pypi/azure-storage-blob/json)
      • локальные статические конечные точки для condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Связанный контент

  • Last updated on