Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита исходящего доступа рабочей области помогает защитить данные, управляя исходящими подключениями из элементов OneLake в рабочей области к внешним источникам данных. Если эта функция включена, элементы Onelake ограничиваются выполнением исходящих подключений, если доступ не предоставлен явным образом.
Общие сведения о защите исходящего доступа с помощью OneLake
Если включена защита исходящего доступа, все исходящие подключения из рабочей области блокируются по умолчанию. Администраторы рабочей области могут создавать исключения для предоставления доступа только к утвержденным назначениям, настраивая управляемые частные конечные точки или правила подключения к данным.
Настройка защиты исходящего доступа для OneLake
Чтобы настроить защиту исходящего доступа для OneLake, выполните действия, описанные в разделе "Настройка защиты исходящего доступа рабочей области". После включения защиты исходящего доступа можно настроить управляемую частную конечную точку или использовать правило подключения к данным, чтобы разрешить исходящий доступ к другим рабочим областям или внешним ресурсам по мере необходимости.
Поддерживаемые типы элементов OneLake
Следующие типы и операции элементов OneLake поддерживаются с защитой исходящего доступа:
- Сочетания клавиш OneLake
- Операции копирования OneLake (AzCopy, PutBlockFromURL, CopyBlobFromURL)
В следующих разделах объясняется, как защита исходящего доступа влияет на сочетания клавиш и операции копирования данных в рабочей области.
Сочетания клавиш
Если в рабочей области включена защита исходящего доступа, lakehouses в рабочей области могут иметь только ярлыки для lakehouses в другой рабочей области, если между рабочими областями настроена частная конечная точка, управляемая между рабочими областями.
| Исходный материал | Место назначения | Является ли пункт назначения в разрешённом списке? | Состояние ярлыка |
|---|---|---|---|
| Lakehouse (Рабочая область A) | Lakehouse (Рабочая область B) | Да, с помощью управляемой частной конечной точки или списка разрешений соединителя. | Пропуск |
| Lakehouse (Рабочая область A) | Lakehouse (Рабочая область B) | нет | Неудача |
| Lakehouse (Рабочая область A) | Внешний источник данных Azure Data Lake Storage (ADLS) G2/другой источник данных | Да | Разрешено |
Если ярлыки напрямую связаны с другим ярлыком или содержат другой ярлык, ограничения исходящего трафика оцениваются последовательно по каждому ярлыку. Например, предположим, что ярлык в рабочей области A указывает на ярлык в рабочей области B, указывающий на ярлык в Рабочей области C. Необходимо утвердить подключение из рабочей области A к рабочей области B и рабочей области B к рабочей области C для разрешения всей цепочки ярлыков. Утверждение исходящих запросов из рабочей области A в рабочую область C не требуется.
Копирование данных в OneLake
При копировании данных между двумя рабочими областями OneLake с помощью API копирования службы хранилища Azure OneLake выполняет исходящий вызов из исходной рабочей области в целевую рабочую область. Если в исходной рабочей области включена защита исходящего доступа, этот исходящий вызов блокируется, а операция копирования завершается ошибкой. Чтобы разрешить перемещение данных, необходимо разрешить исходящие запросы из исходной рабочей области в целевую рабочую область через список разрешений соединителя или управляемую частную конечную точку.
Следующая операция копирования из рабочей области A в рабочую область B блокируется при включенной защите исходящего доступа, если вы не утвердите исходящие запросы из рабочей области A в рабочую область B. Как напоминание, операции AzCopy всегда следуют формату azcopy copy <source> <destination>.
Синтаксис
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceB/LakehouseB.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Защита исходящего доступа не блокирует операции копирования, которые перемещают данные в рабочей области.
Копирование данных между службой хранилища Azure и OneLake
При копировании данных между службой хранилища Azure и OneLake направление исходящих запросов будет отменено. Целевая учетная запись выполняет исходящий вызов исходной учетной записи. Это поведение применяется к операциям копирования, выполненным непосредственно с API-интерфейсами Azure Storage Copy Blob from URL и Put Block from URL. Она также применяется к управляемому интерфейсу копирования с помощью AzCopy и обозревателя службы хранилища Azure. Защита исходящего доступа ограничивает этот исходящий вызов из назначения в источник. Однако это означает, что защита исходящего доступа не ограничивает рабочую область источником операции копирования, так как исходящий вызов не выполняется из исходной рабочей области.
Например, следующий пример AzCopy перемещает данные из исходной учетной записи хранения Azure "source" в целевой lakehouse в OneLake. Если рабочая область A включена внешняя защита от исходящего трафика, то исходящий вызов из рабочей области A во внешнюю учетную запись хранения Azure блокируется, а данные не загружаются, если только внешняя учетная запись хранения Azure не разрешена.
Синтаксис
azcopy copy "https://source.blob.core.windows.net/myContainer/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Однако в следующем сценарии рабочая область A теперь является источником операции копирования с внешней учетной записью хранения Azure в качестве назначения. В этом сценарии защита исходящего доступа не блокирует этот вызов, так как только входящий вызов выполняется в рабочую область A. Сведения об ограничении этих типов операций см. в разделе "Защита входящего трафика".
Синтаксис
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://source.blob.core.windows.net/myContainer/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Разрешение запросов к внешним ресурсам
Вы можете создавать и использовать сочетания клавиш для внешних расположений, даже если защита исходящего доступа включена, создав правило подключения к данным с помощью соответствующего соединителя для целевого объекта ярлыка. При добавлении целевого расположения в разрешенный список, можно создавать ярлыки и считывать данные через ярлыки в этом расположении, даже если включена защита на исходящие соединения.
Вы также можете скопировать данные из внешней учетной записи хранения Azure, если включена защита исходящего доступа, создав правило подключения к данным для этой учетной записи хранения. Помните, что OneLake выполняет исходящий запрос к учетной записи хранения Azure, когда она является источником операции копирования. Служба хранилища Azure поддерживает как конечные точки BLOB-объектов, так и конечные точки DFS, поэтому обязательно используйте правильный соединитель для конечной точки. Если вы внесены в белый список с использованием соединителя Azure Data Lake Storage, обязательно используйте конечную точку .dfs в вашей команде AzCopy, и конечную точку .blob, если вы внесены в белый список через соединитель Azure Blob Storage.
Соображения и ограничения
- Защита исходящего доступа не защищает от кражи данных через входящие запросы, такие как запросы GET, сделанные в рамках внешних операций AzCopy для перемещения данных из рабочей области. Сведения о защите данных от несанкционированных входящих запросов см. в разделе "Защита входящего трафика".