Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Правила брандмауэра IP-адресов рабочей области позволяют администраторам рабочей области управлять доступом к рабочей области Microsoft Fabric, разрешая подключения только с доверенных общедоступных IP-адресов. Настроив простой список разрешений, вы можете предотвратить несанкционированный трафик для доступа к рабочей области. Эта функция добавляет дополнительный уровень защиты в дополнение к элементам управления доступом на основе ролей и удостоверений.
В этой статье представлен обзор брандмауэрных правил IP для рабочей области. Инструкции по настройке см. в разделе "Настройка правил брандмауэра IP-адресов рабочей области".
Обзор брандмауэра IP уровня рабочей области
Fabric обеспечивает сетевую безопасность как на уровне арендатора, так и на уровне рабочей области, включая Microsoft Entra Conditional Access, Private Link на уровне арендатора и Private Link на уровне рабочей области. Правила брандмауэра IP уровня рабочей области дополняют частные подключения и элементы управления на основе удостоверений, которые уже существуют.
Правила брандмауэра IP-адресов рабочей области позволяют администраторам определять список разрешений IP-адресов непосредственно на уровне рабочей области. Этот метод предоставляет простой способ ограничить входящий доступ к доверенным сетям office, VPN-шлюзам или диапазонам IP-адресов партнеров.
Замечание
Правила брандмауэра IP применяются только к входящего трафика. Они не управляют и не ограничивают исходящие подключения из рабочей области.
Как работают правила брандмауэра IP на уровне рабочей области
Правила брандмауэра IP уровня рабочей области ограничивают доступ к общедоступному Интернету рабочей области, разрешая только подключения из указанных IP-адресов. При настройке этих правил только два типа подключений могут достичь рабочей области:
- Подключения из утвержденных IP-адресов, перечисленных в правилах брандмауэра
- Подключения из ресурсов в утвержденной виртуальной сети через частные конечные точки рабочей области При включении правил брандмауэра IP-адресов Fabric проверяет общедоступный IP-адрес каждого клиента в соответствии с настроенным списком разрешений перед предоставлением доступа к элементам рабочей области. Только подключения из утвержденных IP-адресов имеют доступ к таким элементам, как Lakehouses, Warehouses, шорткаты OneLake, ноутбуки и определения заданий Spark. Все остальные попытки подключения запрещены.
На следующей схеме показано, как работают правила брандмауэра IP на уровне рабочей области:
На этой схеме:
- Рабочая область A ограничивает входящий общедоступный доступ и может быть доступ только из разрешенного IP-адреса B.
- Пользователь, подключающийся из IP-адреса A, запрещен, так как IP-адрес отсутствует в списке разрешений.
- Пользователь, подключающийся из IP-адреса B, получает доступ, так как IP-адрес соответствует правилам входящего трафика рабочей области.
Поддерживаемые сценарии и ограничения
Поддерживаемые типы элементов
Используйте правила брандмауэра IP уровня рабочей области для управления доступом к следующим типам элементов Fabric:
- Lakehouse, конечная точка SQL и ярлыки
- Прямые подключения через конечную точку OneLake
- Ноутбуки, определения заданий Spark и среды
- Эксперименты машинного обучения и модели машинного обучения
- Трубопроводы
- Копирование заданий (процессов)
- Смонтированные фабрики данных
- Склады
- Потоки данных 2-го поколения (CI/CD)
- Библиотеки переменных
- Зеркальные базы данных (открытое зеркальное отображение, Cosmos DB)
- Потоки событий
- Ивентхаусы
Соображения и ограничения
- Все типы емкости Fabric, включая пробную емкость, поддерживают функцию правил брандмауэра IP на уровне рабочей области.
- Правила IP-сети поддерживают только общедоступные IP-адреса. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в RFC 1918), не поддерживаются. Частные сети включают адреса, начинающиеся с 10, 172.16 до 172.31 и 192.168.
- В каждой рабочей области можно настроить до 256 правил IP-брандмауэра.
- Нельзя добавлять общедоступные IP-адреса из виртуальных машин в виртуальных сетях с частными конечными точками (на уровне арендатора или рабочей области) в качестве правил IP-брандмауэра.
- Повторяющиеся имена правил не допускаются, а пробелы не допускаются в IP-адресах.
- Чтобы включить трафик из локальной сети, определите IP-адреса, которые использует ваша сеть. Обратитесь за помощью к администратору сети.
- Если вы используете Azure ExpressRoute из локальной среды, определите IP-адреса NAT, используемые для пиринга Майкрософт. Поставщик услуг или клиент предоставляют IP-адреса NAT.
- Если рабочая область недоступна из-за неправильной настройки правил IP- адресов, используйте API для обновления правил брандмауэра IP-адресов.
- Следующие элементы Fabric не поддерживаются:
- Зеркальный элемент каталога Databricks Unity
- Безопасность OneLake
- Возможности Power BI и Copilot
Взаимодействие правил брандмауэра IP с другими настройками безопасности сети
Правила брандмауэра IP-адресов рабочей области взаимодействуют с существующими параметрами безопасности сети клиента и рабочей области, такими как частные каналы и ограничения общедоступного доступа. Понимание этих взаимодействий помогает эффективно настраивать и использовать правила брандмауэра IP. В этом разделе описывается, как различные конфигурации сети влияют на возможность управления рабочими областями и доступом к ним с помощью правил брандмауэра IP-адресов.
Настройка правил брандмауэра IP-адресов рабочей области
Правила брандмауэра IP-адресов рабочей области можно настроить на портале Fabric только в том случае, если рабочая область разрешает общедоступный доступ. Метод конфигурации зависит от параметров уровня клиента. Если общедоступный доступ включен на уровне клиента, можно настроить правила непосредственно на портале. Однако если для клиента требуется приватный канал, необходимо получить доступ к параметрам рабочей области из сети, подключенной через приватный канал клиента.
Независимо от этих ограничений доступ к API остается доступным. Даже с ограничивающими параметрами можно всегда управлять правилами брандмауэра IP-адресов рабочей области через API Fabric с помощью соответствующей конечной точки и сетевого пути.
В следующей таблице показано, как различные сочетания конфигураций безопасности влияют на возможность настройки и доступа к рабочим областям Microsoft Fabric.
Таблица 1. Настройка правил брандмауэра IP в различных сетевых сценариях
Для каждого сценария в этой таблице пользователь хочет получить доступ к параметрам брандмауэра IP-адресов для рабочей области через портал Fabric или API Fabric (операции GET и SET).
| Scenario | Приватное подключение клиента | Интернет арендатора для общего доступа | Приватная ссылка рабочей области и разрешённый общий доступ | Приватная ссылка рабочей области (публичный доступ заблокирован) | Доступ через портал к настройкам IP-брандмауэра рабочей области? | Доступ API к настройкам IP-брандмауэра рабочей области? |
|---|---|---|---|---|---|---|
| 1 | Да | Заблокировано | Да | - | Да, из сети только с частным каналом клиента | Да, из сети с приватным каналом клиента с помощью api.fabric.microsoft.com или полного доменного имени для конкретного клиента |
| 2 | Да | Заблокировано | - | Да | нет | Да, из сети с приватным каналом клиента с помощью api.fabric.microsoft.com или полного доменного имени для конкретного клиента |
| 3 | Да | Допустимо | Да | - | Да, через общедоступный Интернет или сеть с частной ссылкой арендатора | Да, api.fabric.microsoft.com может использоваться в общедоступной сети или сети с использованием приватной ссылки арендатора с помощью полного доменного имени, специфичного для арендатора. |
| 4 | Да | Допустимо | - | Да | нет | Да, api.fabric.microsoft.com может использоваться в общедоступной сети или сети с использованием приватной ссылки арендатора с помощью полного доменного имени, специфичного для арендатора. |
| 5 | нет | N/A | Да | - | Да, через общедоступный Интернет | Да, использование api.fabric.microsoft.com через общедоступный Интернет |
| 6 | нет | N/A | - | Да | нет | Да, использование api.fabric.microsoft.com через общедоступный Интернет |
| 7 | Да | Заблокировано | - | - | Да, использование сети с приватным каналом клиента | Да, из сети с приватным каналом клиента с помощью api.fabric.microsoft.com или полного доменного имени для конкретного клиента |
| 8 | Да | Допустимо | - | - | Да, через общедоступный Интернет или сеть с частной ссылкой арендатора | Да, api.fabric.microsoft.com может использоваться в общедоступной сети или сети с использованием приватной ссылки арендатора с помощью полного доменного имени, специфичного для арендатора. |
| 9 | нет | N/A | - | - | Да, через общедоступный Интернет | Да, использование api.fabric.microsoft.com через общедоступный Интернет |
Поведение доступа с помощью правил брандмауэра IP
После настройки правил межсетевого экрана IP для рабочей области только подключения с IP-адресов, указанных в списке разрешённых, могут получить доступ к рабочей области и ее содержимому. Это ограничение применяется к использованию портала Fabric или API Fabric.
В следующей таблице показано, как правила брандмауэра IP-адресов влияют на доступ к рабочей области, когда запросы приходят с разрешенного общедоступного IP-адреса. В таблице рассматриваются различные конфигурации безопасности на уровне клиента и показано, как доступ отличается между порталом Fabric и API Fabric. В любом из этих сценариев рабочая область может использовать только правила IP-брандмауэра или совместно с приватными ссылками рабочей области.
Таблица 2. Поведение доступа с настроенными правилами брандмауэра IP
Для каждого сценария в этой таблице:
- В рабочей области имеются правила брандмауэра IP, настроенные с использованием списка разрешенных общедоступных IP-адресов. (Частные ссылки рабочего пространства также могут быть использованы, но они не имеют отношения к приведённым сценариям.)
- Пользователь пытается получить доступ к рабочей области и его элементам из разрешенного IP-адреса в правилах брандмауэра рабочей области.
| Конфигурация входящего трафика на уровне арендатора | Доступ из | Доступ к рабочей области и элементам портала? | Доступ к рабочей области и элементам через API? |
|---|---|---|---|
| Частное соединение арендатора: включено Общедоступный доступ к блоку клиента: включен |
Разрешенный IP-адрес | нет | Да, использование API api.fabric.microsoft.com |
| Частное соединение арендатора: включено Доступ арендатора к общедоступному блоку: отключен |
Разрешенный IP-адрес | Да | Да, использование API api.fabric.microsoft.com |
| Приватное подключение арендатора: не активен | Разрешенный IP-адрес | Да | Да, использование API api.fabric.microsoft.com |
Дальнейшие шаги
- Сведения о настройке правил брандмауэра IP-адресов рабочей области см. в разделе "Настройка правил брандмауэра IP-адресов рабочей области".
- Чтобы понять, как работают функции защиты входящего трафика, см. «Защита входящего сетевого трафика в Microsoft Fabric».