Del via

Private links til Fabric-lejere

Du kan bruge private links til at levere sikre access for datatrafik i Fabric. Azure Private Link og Azure Netværksprivate endpoints bruges til at sende datatrafik privat via Microsofts backbone-netværksinfrastruktur i stedet for at krydse internettet. Når private link forbindelser bruges, går disse forbindelser gennem Microsofts private netværksbackbone, når Fabric-brugere access ressourcer i Fabric. Private Link sikrer indgående adgang inden for en enkelt lejergrænse og muliggør ikke kryds-lejerforbindelse. For deling af regulerede data på tværs af lejere, brug i stedet OneLake datadeling.

Fabric understøtter private links på både lejerniveau og arbejdsområdeniveau:

  • Private links på lejerniveau giver netværkspolitik til hele lejeren. Denne artikel fokuserer på private links på lejerniveau.

  • Workspace-niveau private links giver granulær kontrol, hvilket gør det muligt at begrænse access til bestemte arbejdsområder, mens resten af arbejdsområderne forbliver åbne for offentlig access. Du kan få mere at vide under Private links til Fabric-arbejdsområder.

Aktivering af private slutpunkter påvirker mange elementer, så du bør gennemse hele denne artikel, før du aktiverer private slutpunkter for din lejer.

Hvad er et privat slutpunkt?

Privat endpoint garanterer, at trafikken, der går ind i din organisations Fabric-elementer (for eksempel upload af en fil til OneLake) altid følger organisationens konfigurerede private link netværkssti. Du kan konfigurere Fabric til at afvise alle anmodninger, der ikke kommer fra den konfigurerede netværkssti.

Private slutpunkter garanterer ikke , at trafikken fra Fabric til dine eksterne datakilder, uanset om det er i cloudmiljøet eller i det lokale miljø, er sikret. Konfigurer firewallregler og virtuelle netværk for at sikre dine datakilder yderligere.

Et privat slutpunkt er en enkelt retningsbestemt teknologi, der gør det muligt for klienter at starte forbindelser til en given tjeneste, men ikke tillader tjenesten at starte en forbindelse til kundenetværket. Dette mønster for integration af private slutpunkter giver administrationsisolering, da tjenesten kan fungere uafhængigt af konfigurationen af kundens netværkspolitik. For multitenant-tjenester giver denne private endpoint-model linkidenticatorer for at forhindre access til andre kunders ressourcer, der hostes inden for samme tjeneste.

Fabric-tjenesten implementerer private slutpunkter og ikke tjenesteslutpunkter.

Brug af private slutpunkter med Fabric giver følgende fordele:

  • Begræns trafikken fra internettet til Fabric, og distribuer den via Microsofts backbone-netværk.
  • Sørg for, at kun autoriserede klientmaskiner kan accessere Fabric.
  • Overhold lovgivningsmæssige og compliance-krav, der kræver privat access til dine data- og analysetjenester.

Om konfiguration af private slutpunkter

Der er to lejerindstillinger i Fabric-administrationsportalen involveret i Private Link konfiguration: Azure Private Links og Blokér offentligt internet Access.

Hvis Azure Private Link er korrekt konfigureret og Blokér offentligt internet access er aktiveret:

  • Understøttede Fabric-elementer er kun tilgængelige for din organisation fra private slutpunkter og er ikke tilgængelige fra det offentlige internet.
  • Trafik fra det virtuelle netværk, der målretter endepunkter og scenarier, der understøtter private forbindelser, transporteres gennem det private link.
  • Trafik fra virtual network målretter endepunkter og scenarier, som ikke understøtter private forbindelser, blokeres af tjenesten.
  • Der kan være scenarier, der ikke understøtter private forbindelser, som blokeres på tjenesten, når Blokér offentligt internet Access er aktiveret.

Hvis Azure Private Link er korrekt konfigureret og Blokér offentligt internet access er deaktiveret:

  • Trafik fra det offentlige internet er tilladt af Fabric-tjenester.
  • Trafik fra det virtuelle netværk, der målretter endepunkter og scenarier, der understøtter private forbindelser, transporteres gennem det private link.
  • Trafik fra virtual network målrettede endepunkter og scenarier, som ikke understøtter private forbindelser, transporteres gennem det offentlige internet og er tilladt af Fabric-tjenester.
  • Hvis det virtuelle netværk er konfigureret til at blokere offentlig internet-access, blokeres scenarier, der ikke understøtter private forbindelser, af det virtuelle netværk.

OneLake

OneLake understøtter Private Link. Du kan udforske OneLake i Fabric-portalen eller fra enhver maskine inden for dit etablerede virtuelle netværk ved hjælp af OneLake file explorer, Azure Storage Explorer, PowerShell og mere.

Direkte opkald via OneLake regionale endepunkter virker ikke via private link til Fabric. For mere information om forbindelse til OneLake og regionale endepunkter, se How do I connect to OneLake?.

Shortcuts

OneLake-genveje understøttes over Private Link, når både genvejskilden og målet er inden for samme lejer. Når du tilgår data via en genvej over en privat forbindelse, bevæger trafikken mellem OneLake og den refererede lagringskonto gennem Microsofts private netværksrygbeen. Genveje, der refererer til ekstern cloud-lagring (såsom Azure Data Lake Storage eller Amazon S3), kræver, at den eksterne lagringskonto også tillader privat endpoint-adgang eller på anden måde kan nås fra det private netværk.

Cross-tenant genveje (genveje, der refererer til data delt fra en anden Fabric-lejer) understøttes ikke over Private Link. For adgang til data på tværs af lejere, brug OneLake datadeling uden privat forbindelse.

Sql Analytics-slutpunktet for Warehouse og Lakehouse

Adgang til et lager eller SQL-analyse-endpointet i en Lakehouse i Fabric-portalen er beskyttet af et private link. Kunder kan også bruge Tabular Data Stream (TDS)-endpoints (for eksempel SQL Server Management Studio (SSMS) eller MSSQL-udvidelsen for Visual Studio Code) til at forbinde til Warehouse via private link.

Visuel forespørgsel i Warehouse virker ikke, når Blokér offentligt internet Access lejerindstillingen er aktiveret.

SQL-database

Adgang til en SQL-database eller SQL-analyse-endpointet i Fabric-portalen er beskyttet af et private link. Kunder kan også bruge Tabular Data Stream (TDS)-endepunkter (for eksempel SQL Server Management Studio eller Visual Studio Code) til at forbinde til SQL-database via private link. For mere information om at forbinde til en SQL-database, se Autentificering i SQL-database i Microsoft Fabric.

Lakehouse, Notesbog, Spark-jobdefinition, Miljø

Når du aktiverer Azure Private Link lejerindstillingen, resulterer det i oprettelsen af en administreret virtual network for arbejdsområdet ved at køre det første Spark-job (Notebook eller Spark-jobdefinition) eller udføre en Lakehouse-operation (Load to Table, tabelvedligeholdelsesoperationer som Optimize eller Vacuum).

Når det administrerede virtuelle netværk er oprettet, deaktiveres startpuljerne (standard Compute-muligheden) for Spark, fordi de er forvarmede klynger hostet i et delt virtuelt netværk. Spark-jobs kører på brugerdefinerede pools, der oprettes on-demand ved jobindsendelse inden for det dedikerede administrerede virtuelle netværk i arbejdsområdet. Arbejdsområdemigrering på tværs af kapaciteter i forskellige regioner understøttes ikke, når et administreret virtuelt netværk er tildelt dit arbejdsområde.

Når indstillingen for private link er aktiveret, virker Spark-jobs ikke for lejere, hvis hjemmeregion ikke understøtter Fabric Data Engineering, selvom de bruger Fabric-kapaciteter fra andre regioner, der gør.

Du kan få flere oplysninger under Administreret VNet for Fabric.

Dataflow Gen2

Du kan bruge Dataflow gen2 til at hente data, transformere data og offentliggøre dataflow via private link. Når din datakilde er bag firewallen, kan du bruge virtual network datagateway til at forbinde til dine datakilder. VNet-datagatewayen muliggør injektion af gatewayen (compute) i dit eksisterende virtuelle netværk og giver dermed en managed gateway-oplevelse. Du kan bruge virtual network-gateway-forbindelser til at forbinde til et Lakehouse eller Warehouse i den lejer, der kræver en private link, eller forbinde til andre datakilder med dit virtuelle netværk.

Pipeline

Når du forbinder til Pipeline via et private link, kan du bruge pipelinen til at indlæse data fra enhver datakilde med offentlige endpoints ind i et private-link-aktiveret Microsoft Fabric-lakehouse. Kunder kan også oprette og operationalisere pipelines med aktiviteter, herunder Notebook- og Dataflow-aktiviteter, ved hjælp af det private link. Dog er det ikke muligt at kopiere data fra og ind i et Data Warehouse i øjeblikket, når Fabrics private link er aktiveret.

ML-model, eksperiment og dataagent

ML Model, Experiment, and Data-agenten understøtter private link.

Power BI

  • Hvis internet-access er deaktiveret, og hvis Power BI-semantisk model, Datamart eller Dataflow Gen1 forbinder til en Power BI-semantisk model eller Dataflow som datakilde, fejler forbindelsen.

  • Publish to Web understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

  • E-mailabonnementer understøttes ikke, når lejerindstillingen Blokér offentligt internet Access er aktiveret i Fabric.

  • Eksport af en Power BI-rapport som PDF eller PowerPoint understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

  • Hvis din organisation bruger Azure Private Link i Fabric, indeholder moderne brugsmålinger delvise data (kun Report Open-hændelser). En aktuel begrænsning ved overførsel af klientoplysninger via private links forhindrer Fabric i at registrere rapportsidevisninger og ydeevnedata via private links. Hvis din organisation har aktiveret Azure Private Link og Blokér offentligt internet Access lejerindstillinger i Fabric, fejler opdateringen for datasættet, og brugsmetrikkrapporten viser ingen data.

  • Copilot understøttes i øjeblikket ikke til Private Link eller lukkede netværksmiljøer.

  • Kryds-lejer adgang til OneLake-data via genveje eller OneLake-datadeling understøttes ikke over Private Link. Brugere, der har brug for adgang til delte data fra en anden lejer, skal forbinde uden for Private Link-stien.

Eventstream

Eventstream understøtter Private Link, hvilket muliggør sikker, realtids dataindlæsning fra flere kilder uden at eksponere trafikken til det offentlige internet. Det understøtter også datatransformation i realtid, f.eks. filtrering og forbedring af indgående datastrømme, før de distribueres til destinationer i Fabric.

Ikke-understøttede scenarier:

  • Brugerdefineret slutpunkt som kilde understøttes ikke.
  • Brugerdefineret slutpunkt som destination understøttes ikke.
  • Eventhouse som destination (med direkte indtagelsestilstand) understøttes ikke.
  • Activator som destination understøttes ikke.

Dataaktivering

Data Activator understøtter indlæsning af hændelser fra KQL/Eventhouse, Power BI og Real-Time Hub Fabric Events for private links på lejerniveau. På arbejdsområdeniveau understøtter Data Activator indlæsning af begivenheder fra KQL/Eventhouse og Real-Time Hub Fabric Events.

Begrænsninger:

  • I øjeblikket understøtter Data Activator ikke indlæsning fra Eventstream med Private Links aktiveret.

Eventhouse

Eventhouse understøtter Private Link, hvilket muliggør sikker dataindlæsning og forespørgsler fra din Azure Virtual Network via en private link. Du kan indlæse data fra forskellige kilder, herunder Azure Storage-konti, lokale filer og Dataflow Gen2. Streamingindtagelse sikrer øjeblikkelig datatilgængelighed. Derudover kan du bruge KQL-forespørgsler eller Spark til at access data i et eventhouse.

Begrænsninger:

  • Indtagelse af data fra OneLake understøttes ikke.
  • Det er ikke muligt at oprette en genvej til et Eventhouse.
  • Det er ikke muligt at oprette forbindelse til et Eventhouse i en pipeline.
  • Indtagelse af data ved hjælp af køindtagelse understøttes ikke.
  • Dataconnectors, der er afhængige af køindtagelse, understøttes ikke.
  • Det er ikke muligt at forespørge et eventhouse ved hjælp af T-SQL.

Løsninger til sundhedsdata (prøveversion)

Kunder kan provisionere og benytte sundhedsdataløsninger i Microsoft Fabric via et private link. I en lejer, hvor private link er aktiveret, kan kunder implementere sundhedsdataløsningens kapaciteter til at udføre omfattende dataindlæsnings- og transformationsscenarier for deres kliniske data. Derudover er muligheden for at indlæse sundhedsdata fra forskellige kilder, såsom Azure Storage-konti og mere.

Stof begivenheder

Fabric Events understøtter Private Link uden at påvirke hændelsesleveringen, fordi begivenhederne stammer fra tenant-lejeren.

Azure Events

Azure Events understøtter Private Link med følgende adfærd, når Block Public Internet Access-lejerindstillingen er aktiveret:

  • Nye konfigurationer til at forbruge Azure-events (f.eks. Azure Blob Storage events) vil blive blokeret fra at blive leveret.
  • Eksisterende konfigurationer, der bruger Azure-begivenheder, vil stoppe nye hændelser i at blive leveret.

Beskyttelse af oplysninger i Microsoft Purview

Microsoft Purview Information Protection understøtter ikke Private Link i øjeblikket. Det betyder, at i Power BI Desktop, der kører i et isoleret netværk, er knappen Følsomhed nedtonet, mærkatoplysninger vises ikke, og dekryptering af .pbix-filer mislykkes.

For at aktivere disse funktioner i Desktop kan administratorer konfigurere servicetags for de underliggende tjenester, der understøtter Microsoft Purview Information Protection, Exchange Online Protection (EOP) og Azure Information Protection (AIP). Sørg for at forstå konsekvenserne af at bruge tjenestekoder i et isoleret netværk med private links.

Spejlet database

Private link understøttes til open mirroring, Azure Cosmos DB mirroring, Azure SQL Managed Instance mirroring og SQL Server 2025 mirroring. For andre typer databasespejling, hvis Block public Internet access lejerindstillingen er enabled, går aktive spejlede databaser ind i en pauset tilstand, og spejling kan ikke startes.

For åben spejling, når Block public Internet access lejerindstillingen er enabled, skal publisher skrive data ind i OneLake-landingszonen via en private link.

API til GraphQL

API for GraphQL understøtter Private Link, hvilket tillader sikker API-access og forespørgsler fra din Azure Virtual Network via en private link.

Begrænsninger:

  • API-overvågningsdashboard og logføring baseret på overvågning af arbejdsområde understøttes ikke.
  • Service Principals (SPN) understøttes som klienter, men det er ikke muligt at bruge en service principal til at oprette en gemt legitimation til access mellem API'et og datakilden.
  • Hvis API'et for GraphQL-artefakten og datakildeartefakten tilhører to forskellige kapacitetsregioner, understøttes ikke, når offentlig adgang er deaktiveret. Du vil få godkendelsesfejl i dette scenarie.

Andre overvejelser og begrænsninger

Der er flere overvejelser, du skal være opmærksom på, når du arbejder med private slutpunkter i Fabric:

  • Fabric understøtter op til 450 kapaciteter i en lejer, hvor Private Link er aktiveret.

  • Når kapaciteten er nyoprettet, understøtter den ikke private link, før dens endepunkt er afspejlet i private DNS-zonen, hvilket kan tage op til 24 timer.

  • Lejermigration blokeres, når Private Link aktiveres i Fabric-administrationsportalen.

  • Kunder kan ikke forbinde til Fabric-ressourcer i flere lejere fra samme netværkslokation (afhænger af, hvor du konfigurerer DNS-poster), men kun den sidste lejer, der har sat Private Link op.

  • Private link understøtter ikke i prøve-kapacitet. Når man tilgår Fabric via Private Link-trafik, virker prøvekapaciteten ikke.

  • Enhver brug af eksterne billeder eller temaer er ikke tilgængelig, når man bruger et private link-miljø.

  • Hvert private slutpunkt kan kun forbindes til én lejer. Du kan ikke sætte et private link op til at blive brugt af mere end én lejer.

  • Scenarier på tværs af lejere understøttes ikke. Det betyder, at opsætning af et privat endpoint på lejerniveau i én Azure-lejer for at forbinde direkte til en Private Link-tjeneste i en anden lejer ikke understøttes.

  • Private Link opererer inden for en enkelt lejers grænse. Fabrics funktioner til deling af data på tværs af lejere (såsom OneLake datadeling og genveje på tværs af lejere) bruger separate adgangskontroller og kræver eller understøtter ikke Private Link. For at dele data på tværs af lejere, konfigurer du i stedet OneLake datadelingstilladelser.

  • For Fabric-brugere: On-premises datagateways understøttes ikke og registrerer ikke, når Private Link er aktiveret. For at køre gateway-konfiguratoren succesfuldt, skal Private Link deaktiveres. Få mere at vide om dette scenarie. Virtual network datagateways fungerer. Du kan få flere oplysninger i disse overvejelser.

  • For brugere af ikke-PowerBI (PowerApps eller LogicApps) gateway: Den lokale datagateway understøttes ikke, når Private Link er aktiveret. Vi anbefaler at undersøge brugen af virtual network datagateway, som kan bruges med private links.

  • Private links fungerer ikke sammen med VNet Data Gateway-downloaddiagnosticering.

  • Microsoft Fabric Capacity Metrics-appen understøtter ikke Private Link.

  • OneLake Catalog - Govern-fanen er ikke tilgængelig, når Private Link aktiveres.

  • Ressource-REST API'er til private links understøtter ikke mærker.

  • Følgende URL-adresser skal være tilgængelige fra klientbrowseren:

    • Påkrævet for godkendelse:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, selvom det kan være forskelligt afhængigt af kontotypen.

    • Påkrævet til datakonstruktions- og datavidenskabsoplevelsen:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (for eksempel https://pypi.org/pypi/azure-storage-blob/json)
      • lokale statiske slutpunkter for condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Relateret indhold

  • Last updated on