Защита исходящего доступа рабочей области для службы Microsoft Azure Data Factory

Защита исходящего доступа рабочей области помогает защитить ваши данные, контролируя исходящие подключения от элементов Data Factory в вашей рабочей области к внешним источникам данных. Если эта функция включена, элементы фабрики данных ограничиваются выполнением исходящих подключений, если доступ не предоставляется явным образом с помощью утвержденных правил подключения к данным.

Понимание защиты исходящего доступа с помощью Data Factory

Администратор рабочей области сначала включает защиту исходящего доступа для рабочей области, которая блокирует все исходящие подключения из потоков данных по умолчанию.

Схема, показывающая процесс настройки защиты исходящего доступа для потока данных.

Затем администратор рабочей области настраивает правила подключения к данным для политик подключения к облаку или шлюзу. Эти правила определяют, какие внешние источники разрешены, такие как SQL Server и хранилище Azure Data Lake Storage (ADLS) 2-го поколения. После установки политик потоки данных могут подключаться только к утвержденным назначениям (в этом примере SQL Server и хранилище ADLS 2-го поколения), а все остальные исходящие подключения остаются заблокированными.

Снимок экрана соединений потоков данных, показывающий разрешенные подключения к SQL Server и ADLS G2 Storage.

Настройка защиты исходящего доступа для фабрики данных

Список разрешений можно создать только с помощью правил подключения к данным; управляемые частные конечные точки не поддерживаются для рабочих нагрузок фабрики данных. Чтобы настроить защиту исходящего доступа для фабрики данных, выполните приведенные действия.

  1. Выполните действия, чтобы включить защиту исходящего доступа.

  2. После включения защиты исходящего доступа можно настроить правила подключения к данным для политик подключения к облаку или шлюзу , чтобы разрешить исходящий доступ к другим рабочим областям или внешним ресурсам по мере необходимости.

После настройки элементы Data Factory могут подключаться только к утвержденным назначениям, указанным в правилах подключения к данным, а все другие исходящие соединения остаются заблокированными.

Поддерживаемые типы элементов фабрики данных

Следующие типы элементов фабрики данных поддерживаются с защитой исходящего доступа:

  • Поток данных 2-го поколения (с CI/CD)
  • Трубопроводы
  • Копирование заданий

В следующем разделе объясняется, как защита исходящего доступа влияет на несколько распространенных сценариев фабрики данных.

Распространенные сценарии

Защита исходящего доступа рабочей области влияет на то, как элементы фабрики данных подключаются к другим рабочим областям и внешним источникам данных. В этом разделе описаны распространенные сценарии, демонстрирующие, как защита исходящего доступа влияет на эти подключения.

Внутренние соединители Fabric

В следующих таблицах приведена сводка о том, как защита исходящего доступа в рабочей области применяется к соединителям Fabric с и без детализации на уровне рабочей области.

соединители Fabric с степенью детализации на уровне рабочей области

Типы соединителей Fabric, поддерживающие степень детализации на уровне рабочей области, включают озерохранилище, хранилище данных, базу данных Fabric SQL, поток данных, ноутбук и определение задачи Spark. Для этих соединителей Fabric можно указать, какие рабочие области назначения разрешены для каждого соединителя.

Исходная рабочая область Рабочая область назначения Тип соединителя Параметр соединителя Result
A A Lakehouse Разрешено или заблокировано Подключение разрешено к A, так как оно находится в той же рабочей области
A Б Lakehouse Коннектор разрешен к использованию Подключение разрешено к B и всем остальным лейкхаусам в тенанте
A Б Lakehouse Заблокирован коннектор (разрешена только рабочая область B) Подключение разрешено только к лейкхаусам в рабочей области B
A Б Lakehouse Заблокирован соединитель (только рабочая область C) Подключение к рабочей области B заблокировано

Соединители Fabric без подробностей на уровне рабочей области.

Коннекторы Fabric, которые не поддерживают гранулярность на уровне рабочей области, включают все коннекторы Fabric, кроме типов, описанных в предыдущем разделе (например, Datamarts и KQL Database). Для этих соединителей список разрешений применяется ко всем типам элементов и разрешает или блокирует все подключения без исключений, относящихся к рабочей области.

Исходная рабочая область Рабочая область назначения Тип соединителя Параметр соединителя (разрешено или заблокировано) Result
A Любой (включая A) Datamart Допустимо Конвейер данных может подключаться к datamart
A Любое Datamart Заблокировано Конвейер данных не может подключиться ни к одному хранилищу данных

Внешние источники данных

В следующих таблицах показано, как защита исходящего доступа рабочей области применяется к внешним соединителям, поддерживающим детализированные исключения конечных точек. Настраивая исключения, администраторы могут разрешать или блокировать определенные внешние назначения.

Внешний соединитель с исключением детализированных конечных точек

Для внешних соединителей, поддерживающих степень детализации на уровне конечной точки, например хранилище ADLS 2-го поколения, можно указать отдельные конечные точки назначения в качестве исключений для ограничений исходящего доступа.

Рабочая область потока данных Место назначения Тип соединителя Параметр соединителя Result
A SQL Server 1 SQL Server Блокировка на уровне соединителя Подключение заблокировано для SQL Server 1
A SQL Server 1 SQL Server Заблокировано на уровне соединения с исключением для SQL Server 1 Подключение к серверу SQL 1 разрешено
A SQL Server 1 SQL Server Разрешено на уровне соединителя Подключение разрешено всем экземплярам SQL Server

Исключение при подключении к внешнему источнику данных с использованием детализированных конечных точек

Для внешних соединителей, поддерживающих детализированные исключения конечных точек для Azure Cosmos DB, можно разрешить или заблокировать подключения к Azure Cosmos DB назначениям.

Рабочая область потока данных назначение Azure Cosmos DB Тип соединителя Параметр соединителя (разрешено или заблокировано) Result
A Любое Azure Cosmos DB Допустимо Поток данных может подключаться к любой Azure Cosmos DB
A Любое Azure Cosmos DB Заблокировано Поток данных не может подключиться к базе данных Azure Cosmos DB.

Шлюз и сетевые подключения

В следующей таблице показано, как защита исходящего доступа рабочей области применяется к виртуальной сети и локальным подключениям шлюза данных.

Подключения к виртуальной сети и локальному шлюзу данных

Если вы разрешаете шлюз, потоки данных могут подключаться к любому источнику данных, доступного через этот шлюз. Разрешены все исходящие подключения, сделанные через разрешенный шлюз.

Рабочая область потока данных Тип подключения Тип назначения Параметр подключения (разрешено или заблокировано) Result
A VNet/OPDG Любое Допустимо Поток данных подключается ко всем виртуальным сетям (ВЛС) и локальным шлюзам данных (ЛШД - OPDG).
A VNet/OPDG Любое Заблокировано (без исключений) Поток данных не может подключиться ни к одной виртуальной сети (VNet) или OPDG.
A VNet/OPDG Виртуальная сеть V1 Блокированный; Только виртуальная сеть V1 является исключением Поток данных подключается только к источникам за виртуальной сетью V1
A VNet/OPDG OPDG O1 Блокированный; Только OPDG O1 является исключением Поток данных подключается только к источникам, находящимся за OPDG O1

Соображения и ограничения

  • Только следующие соединители Fabric поддерживают степень детализации уровня рабочей области.

    • Lakehouse
    • Склад
    • база данных SQL Fabric
    • Dataflows
    • Notebook
    • Определение задания Spark

Замечание

Другие соединители Fabric, такие как Datamarts и база данных KQL, не поддерживают степень детализации на уровне рабочей области.

  • Pipelines: конвейеры поддерживают только следующие соединители Fabric:

    • FabricDataPipeline
    • Задание на копирование
    • UserDataFunction
    • PowerBIDataset
    • Notebook
    • Определение задания Spark
  • действия Pipeline: действия Teams и действия Office 365 Outlook не поддерживают защиту при исходящем доступе.

  • Dataflows: для потоков данных назначения типа Data Warehouse между разными рабочими областями не поддерживаются.

  • Озерохранилища с семантическими моделями по умолчанию: защита исходящего доступа рабочей области не поддерживается для озерохранилищ с семантическими моделями по умолчанию.

    • Чтобы обеспечить совместимость Lakehouse с защитой исходящего доступа, рекомендуется включить защиту исходящего доступа в рабочей области перед созданием Lakehouse для обеспечения совместимости.
    • Включение защиты исходящего доступа в существующей рабочей области, которая уже содержит Lakehouse и связанную с ним семантическую модель, не поддерживается.
  • Стадирование рабочей области в конвейерах: внутренние сценарии стадирования с использованием рабочей области не действуют. Вместо этого используйте внешний промежуточный режим. Промежуточные параметры настраиваются в параметрах копирования конвейера.

  • Сведения о других ограничениях см. в статье Workspace outbound access protection — Microsoft Fabric.