Del via

Private links for Fabric-lejere

Du kan bruge private links til at sikre sikker adgang til datatrafik i Fabric. Azure Private Link og Azure Netværksprivate endepunkter bruges til at sende datatrafik privat via Microsoft's backbone-netværksinfrastruktur i stedet for at krydse internettet. Når private linkforbindelser bruges, går disse forbindelser gennem Microsoft private netværksbackbone, når Fabric-brugere får adgang til ressourcer i Fabric. Private Link sikrer indgående adgang inden for en enkelt lejers grænse og muliggør ikke kryds-lejer forbindelse. For deling af regulerede data på tværs af lejere, brug i stedet OneLake datadeling.

Fabric understøtter private links både på lejer- og arbejdsområdeniveau:

  • Private links på lejerniveau giver netværkspolitik til hele lejeren. Denne artikel fokuserer på private links på lejerniveau.

  • Workspace-niveau private links giver granulær kontrol, hvilket gør det muligt at begrænse access til bestemte arbejdsområder, mens resten af arbejdsområderne forbliver åbne for offentlig access. For at lære mere, se Private links til Fabric arbejdsområder.

Aktivering af private slutpunkter påvirker mange elementer, så du bør gennemse hele denne artikel, før du aktiverer private slutpunkter for din lejer.

Hvad er et privat slutpunkt?

Privat endpoint garanterer, at trafikken ind i din organisations Fabric elementer (for eksempel upload af en fil til OneLake) altid følger organisationens konfigurerede private link-netværkssti. Du kan konfigurere Fabric til at afvise alle forespørgsler, der ikke kommer fra den konfigurerede netværkssti.

Private endepunkter don't garanterer, at trafikken fra Fabric til dine eksterne datakilder, uanset om det er i skyen eller on-premises, er sikker. Konfigurer firewallregler og virtuelle netværk for at sikre dine datakilder yderligere.

Et privat slutpunkt er en enkelt retningsbestemt teknologi, der gør det muligt for klienter at starte forbindelser til en given tjeneste, men ikke tillader tjenesten at starte en forbindelse til kundenetværket. Dette mønster for integration af private slutpunkter giver administrationsisolering, da tjenesten kan fungere uafhængigt af konfigurationen af kundens netværkspolitik. For multitenant-tjenester giver denne private endpoint-model linkidenticatorer for at forhindre access til andre kunders ressourcer, der hostes inden for samme tjeneste.

Fabric-tjenesten implementerer private endepunkter og ikke serviceendepunkter.

Brug af private endpoints med Fabric giver følgende fordele:

  • Begræns trafikken fra internettet til Fabric og diriger den gennem Microsoft-backbone-netværket.
  • Sørg for, at kun autoriserede klientmaskiner kan få adgang til Fabric.
  • Overhold lovgivningsmæssige og compliance-krav, der kræver privat access til dine data- og analysetjenester.

Om konfiguration af private slutpunkter

Der er to lejerindstillinger i Fabric admin-portalen, der er involveret i Private Link konfiguration: Azure Private Links og Blokér Offentlig Internetadgang.

Hvis Azure Private Link er korrekt konfigureret og Blokér offentlig internetadgang er aktiveret:

  • Supported Fabric-elementer er kun tilgængelige for din organisation fra private endpoints og ikke fra det offentlige internet.
  • Trafik fra det virtuelle netværk, der målretter endepunkter og scenarier, der understøtter private forbindelser, transporteres gennem det private link.
  • Trafik fra virtual network målretter endepunkter og scenarier, som ikke understøtter private forbindelser, blokeres af tjenesten.
  • Der kan være scenarier, der ikke understøtter private forbindelser, som blokeres på tjenesten, når Blokér offentligt internet Access er aktiveret.

Hvis Azure Private Link er korrekt konfigureret og Blokér offentlig internetadgang er deaktiveret:

  • Trafik fra det offentlige internet er tilladt af Fabric-tjenester.
  • Trafik fra det virtuelle netværk, der målretter endepunkter og scenarier, der understøtter private forbindelser, transporteres gennem det private link.
  • Trafik fra det virtuelle netværk, der retter sig mod endepunkter og scenarier, som ikke understøtter private forbindelser, transporteres gennem det offentlige internet og er tilladt af Fabric tjenester.
  • Hvis det virtuelle netværk er konfigureret til at blokere offentlig internet-access, blokeres scenarier, der ikke understøtter private forbindelser, af det virtuelle netværk.

OneLake

OneLake understøtter Private Link. Du kan udforske OneLake via Fabric-portalen eller fra enhver maskine i dit etablerede virtuelle netværk ved hjælp af OneLake filstifinder, Azure Storage Explorer, PowerShell og mere.

Direkte kald via OneLake regionale endepunkter virker ikke via privat link til Fabric. For mere information om forbindelse til OneLake og regionale endepunkter, se How do I connect to OneLake?.

Shortcuts

OneLake-genveje understøttes over Private Link, når både genvejskilden og målet er inden for samme lejer. Når du tilgår data via en genvej over en privat forbindelse, bevæger trafikken mellem OneLake og den refererede lagringskonto gennem Microsoft private netværksbackbone. Genveje, der refererer til ekstern cloud-lagring (såsom Azure Data Lake Storage eller Amazon S3), kræver, at den eksterne lagringskonto også tillader privat endpoint-adgang eller på anden måde kan nås fra det private netværk.

Cross-tenant genveje (genveje, der refererer til data delt fra en anden Fabric-lejer) understøttes ikke over Private Link. For adgang til data på tværs af lejere, brug OneLake datadeling uden Private Link.

Sql Analytics-slutpunktet for Warehouse og Lakehouse

Adgang til et lager eller SQL-analyse-endpointet i en Lakehouse i Fabric-portalen er beskyttet af et privat link. Kunder kan også bruge Tabular Data Stream (TDS)-endpoints (for eksempel SQL Server Management Studio (SSMS) eller MSSQL-udvidelsen for Visual Studio Code) til at forbinde til Warehouse via privat forbindelse.

Visuel forespørgsel i Warehouse virker ikke, når Blokér offentligt internet Access lejerindstillingen er aktiveret.

SQL-database

Adgang til en SQL-database eller SQL-analyse-endpointet i Fabric-portalen er beskyttet af et privat link. Kunder kan også bruge Tabular Data Stream (TDS)-endepunkter (for eksempel SQL Server Management Studio eller Visual Studio Code) til at forbinde til SQL database via privat link. For mere information om at forbinde til en SQL-database, se Autentificering i SQL-database i Microsoft Fabric.

Lakehouse, Notesbog, Spark-jobdefinition, Miljø

Når du aktiverer Azure Private Link lejerindstillingen, resulterer det i oprettelsen af et administreret virtuelt netværk for arbejdsområdet ved at køre det første Spark-job (Notebook eller Spark-jobdefinition) eller udføre en Lakehouse-operation (Load to Table, tabelvedligeholdelsesoperationer som Optimize eller Vacuum).

Når det administrerede virtuelle netværk er oprettet, deaktiveres startpuljerne (standard Compute-muligheden) for Spark, fordi de er forvarmede klynger hostet i et delt virtuelt netværk. Spark-jobs kører på brugerdefinerede pools, der oprettes on-demand ved jobindsendelse inden for det dedikerede administrerede virtuelle netværk i arbejdsområdet. Arbejdsområdemigrering på tværs af kapaciteter i forskellige regioner understøttes ikke, når et administreret virtuelt netværk er tildelt dit arbejdsområde.

Når indstillingen for privat link er aktiveret, virker Spark-jobs ikke for lejere, hvis hjemmeregion ikke understøtter Fabric Data Engineering, selvom de bruger Fabric-kapaciteter fra andre regioner, der gør.

For mere information, se Managed VNet for Fabric.

Dataflow Gen2

Du kan bruge Dataflow gen2 til at hente data, transformere data og offentliggøre dataflow via private link. Når din datakilde er bag firewallen, kan du bruge virtual network datagateway til at forbinde til dine datakilder. VNet-datagatewayen muliggør injektion af gatewayen (compute) i dit eksisterende virtuelle netværk og giver dermed en managed gateway-oplevelse. Du kan bruge virtual network-gateway-forbindelser til at forbinde til et Lakehouse eller Warehouse i den lejer, der kræver en private link, eller forbinde til andre datakilder med dit virtuelle netværk.

Pipeline

Når du forbinder til Pipeline via privat link, kan du bruge pipelinen til at indlæse data fra enhver datakilde med offentlige endpoints i et private-link-aktiveret Microsoft Fabric-lakehouse. Kunder kan også oprette og operationalisere pipelines med aktiviteter, herunder Notebook- og Dataflow-aktiviteter, ved hjælp af det private link. Dog er det ikke muligt at kopiere data fra og ind i et data warehouse i øjeblikket, når Fabric's private link er aktiveret.

ML-model, eksperiment og dataagent

ML Model, Experiment, and Data-agenten understøtter private link.

Power BI

  • Hvis internetadgang er deaktiveret, og hvis Power BI semantiske model, Datamart eller Dataflow Gen1 forbinder til en Power BI semantisk model eller Dataflow som datakilde, fejler forbindelsen.

  • Publicer til web understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

  • E-mailabonnementer understøttes ikke, når lejerindstillingen Blokér offentlig internetadgang er aktiveret i Fabric.

  • Eksport af en Power BI-rapport som PDF eller PowerPoint understøttes ikke, når lejerindstillingen Azure Private Link er aktiveret i Fabric.

  • Hvis din organisation bruger Azure Private Link i Fabric, indeholder moderne brugsmetrikker delvise data (kun Report Open-hændelser). En nuværende begrænsning ved overførsel af klientinformation over private links forhindrer Fabric i at fange rapportsidevisninger og ydelsesdata over private links. Hvis din organisation har aktiveret Azure Private Link og Blokér Public Internet Access lejerindstillinger i Fabric, fejler opdateringen for datasættet, og brugsmetrikkrapporten viser ingen data.

  • Copilot understøttes ikke i øjeblikket til Private Link eller lukkede netværksmiljøer.

  • Kryds-lejer adgang til OneLake-data via genveje eller OneLake-datadeling understøttes ikke over Private Link. Brugere, der har brug for adgang til delte data fra en anden lejer, skal forbinde uden for Private Link-stien.

Eventstream

Eventstream understøtter Private Link, hvilket muliggør sikker, realtids dataindlæsning fra flere kilder uden at eksponere trafikken til det offentlige internet. Den understøtter også realtidsdatatransformation, såsom filtrering og berigelse af indkommende datastrømme, før de sendes videre til destinationer inden for Fabric.

Ikke-understøttede scenarier:

  • Brugerdefineret slutpunkt som kilde understøttes ikke.
  • Brugerdefineret slutpunkt som destination understøttes ikke.
  • Eventhouse som destination (med direkte indtagelsestilstand) understøttes ikke.
  • Activator som destination understøttes ikke.

Dataaktivering

Data Activator understøtter indlæsning af begivenheder fra KQL/Eventhouse, Power BI og Real-Time Hub Fabric Events for private links på lejerniveau. På arbejdsområdeniveau understøtter Data Activator indlæsning af begivenheder fra KQL/Eventhouse og Real-Time Hub Fabric Events.

Begrænsninger:

  • I øjeblikket understøtter Data Activator ikke indlæsning fra Eventstream med Private Links aktiveret.

Eventhouse

Eventhouse understøtter Private Link, hvilket muliggør sikker dataindlæsning og forespørgsler fra dit Azure Virtual Network via et private link. Du kan indlæse data fra forskellige kilder, herunder Azure Storage-konti, lokale filer og Dataflow Gen2. Streamingindtagelse sikrer øjeblikkelig datatilgængelighed. Derudover kan du bruge KQL-forespørgsler eller Spark til at access data i et eventhouse.

Begrænsninger:

  • Indtagelse af data fra OneLake understøttes ikke.
  • Det er ikke muligt at oprette en genvej til et Eventhouse.
  • Det er ikke muligt at oprette forbindelse til et Eventhouse i en pipeline.
  • Indtagelse af data ved hjælp af køindtagelse understøttes ikke.
  • Dataconnectors, der er afhængige af køindtagelse, understøttes ikke.
  • Det er ikke muligt at forespørge et eventhouse ved hjælp af T-SQL.

Løsninger til sundhedsdata (prøveversion)

Kunder kan levere og benytte sundhedsdataløsninger i Microsoft Fabric via et privat link. I en lejer, hvor private link er aktiveret, kan kunder implementere sundhedsdataløsningens kapaciteter til at udføre omfattende dataindlæsnings- og transformationsscenarier for deres kliniske data. Derudover er muligheden for at indlæse sundhedsdata fra forskellige kilder, såsom Azure Storage-konti og mere.

Azure og Fabric Events

Fabric-events (såsom Job-events, Workspace-item events og OneLake-events) understøtter Private Link på lejerniveau uden at påvirke hændelsesleveringen, fordi de stammer indefra tenanten. Men når private links på arbejdsområdeniveau konfigureres til at blokere offentlig adgang på det arbejdsområde, hvor begivenhederne stammer fra (kildearbejdsområdet), blokeres hændelsesforbrugere som Activator-alarmer eller hændelsesstrømme i andre arbejdsområder fra at forbruge disse hændelser, medmindre der etableres en privat forbindelse fra forbrugerens netværk til kildearbejdsområdet.

Azure-hændelser (såsom Azure Blob Storage-begivenheder) påvirkes af både private links på lejer- og arbejdsområde-niveau. Når Blokér Public Internet Access lejerindstillingen er aktiveret, blokeres Azure hændelseskilder uden for lejeren fuldstændigt fra at levere begivenheder til Fabric:

  • Nye konfigurationer til at forbruge Azure-begivenheder er blokeret.
  • Eksisterende konfigurationer, der bruger Azure-events, stopper med at levere events. Systemet registrerer konfigurationsændringen og sætter forbrugeren i en pauset tilstand.

Derudover, når du konfigurerer en forbruger til at modtage Azure-events, oprettes et eventstream-element i et Fabric-arbejdsområde for at repræsentere Azure-kildekoden. Private links på arbejdsområdesniveau påvirker Azure-hændelsesforbruget på samme måde som Fabric-begivenheder: hvis arbejdsområdet, der indeholder dette eventstream-element, blokerer adgang til offentligt netværk, blokeres forbrugere i andre arbejdsområder, medmindre der etableres en privat forbindelse.

For mere information, se Private links for Azure og Fabric Events.

Microsoft Purview Information Protection

Microsoft Purview Information Protection understøtter i øjeblikket ikke Private Link. Det betyder, at i Power BI Desktop, der kører i et isoleret netværk, er knappen Sensitivity gråtonet, labelinformation vises ikke, og dekryptering af .pbix filer fejler.

For at aktivere disse funktioner i Desktop kan administratorer konfigurere servicetags for de underliggende tjenester, der understøtter Microsoft Purview Information Protection, Exchange Online Protection (EOP) og Azure Information Protection (AIP). Sørg for at forstå konsekvenserne af at bruge tjenestekoder i et isoleret netværk med private links.

Spejlet database

Private link understøttes til open mirroring, Azure Cosmos DB mirroring, Azure SQL Managed Instance mirroring og SQL Server 2025 mirroring. For andre typer databasespejling, hvis Block public Internet access lejerindstillingen er enabled, går aktive spejlede databaser ind i en pauset tilstand, og spejling kan ikke startes.

For åben spejling, når Block public Internet access lejerindstillingen er enabled, skal publisher skrive data ind i OneLake-landingszonen via en private link.

API til GraphQL

API for GraphQL understøtter Private Link, hvilket muliggør sikker API-adgang og forespørgsler fra dit Azure Virtual Network via et private link.

Begrænsninger:

  • API-overvågningsdashboard og logføring baseret på overvågning af arbejdsområde understøttes ikke.
  • Service Principals (SPN) understøttes som klienter, men det er ikke muligt at bruge en service principal til at oprette en gemt legitimation til access mellem API'et og datakilden.
  • At have API for GraphQL-artefakt og datakildeartefakt i to forskellige kapacitetsregioner understøttes ikke, når offentlig adgang er deaktiveret. Du vil få godkendelsesfejl i dette scenarie.

Andre overvejelser og begrænsninger

Der er flere overvejelser, du bør huske på, når du arbejder med private endpoints i Fabric:

  • Fabric understøtter op til 450 kapaciteter i en lejer, hvor Private Link er aktiveret.

  • Når kapaciteten er nyoprettet, understøtter den ikke private link, før dens endepunkt er afspejlet i private DNS-zonen, hvilket kan tage op til 24 timer.

  • Lejermigration blokeres, når Private Link aktiveres i Fabric-administrationsportalen.

  • Kunder kan ikke forbinde til Fabric-ressourcer i flere lejere fra samme netværkslokation (afhænger af, hvor du konfigurerer DNS-poster), men kun den sidste lejer, der opsætter Private Link.

  • Private link understøtter ikke i prøve-kapacitet. Når man tilgår Fabric via Private Link-trafik, virker prøvekapaciteten ikke.

  • Enhver brug af eksterne billeder eller temaer er ikke tilgængelig, når man bruger et private link-miljø.

  • Hvert private slutpunkt kan kun forbindes til én lejer. Du kan ikke sætte et private link op til at blive brugt af mere end én lejer.

  • Scenarier på tværs af lejere understøttes ikke. Det betyder, at opsætning af et privat endpoint på lejerniveau i én Azure-lejer for at forbinde direkte til en Private Link-tjeneste i en anden lejer ikke understøttes.

  • Private Link opererer inden for en enkelt lejers grænse. Fabric's funktioner til deling af data på tværs af lejere (såsom OneLake-datadeling og genveje på tværs af lejere) bruger separate adgangskontroller og kræver eller understøtter ikke Private Link. For at dele data på tværs af lejere, konfigurer du i stedet OneLake datadelingstilladelser.

  • For Fabric brugere: On-premises datagateways understøttes ikke og registrerer sig ikke, når Private Link er aktiveret. For at køre gateway-konfiguratoren succesfuldt, skal Private Link deaktiveres. Få mere at vide om dette scenarie. Virtual network datagateways fungerer. Du kan få flere oplysninger i disse overvejelser.

  • For brugere af ikke-PowerBI (PowerApps eller LogicApps) gateway: Den lokale datagateway understøttes ikke, når Private Link er aktiveret. Vi anbefaler at undersøge brugen af virtual network datagateway, som kan bruges med private links.

  • Private links fungerer ikke sammen med VNet Data Gateway-downloaddiagnosticering.

  • Microsoft Fabric Capacity Metrics-appen understøtter ikke Private Link.

  • OneLake Catalog - Govern-fanen er ikke tilgængelig, når Private Link aktiveres.

  • Ressource-REST API'er til private links understøtter ikke mærker.

  • Følgende URL-adresser skal være tilgængelige fra klientbrowseren:

    • Påkrævet for godkendelse:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, selvom det kan være forskelligt afhængigt af kontotypen.

    • Påkrævet til datakonstruktions- og datavidenskabsoplevelsen:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (for eksempel https://pypi.org/pypi/azure-storage-blob/json)
      • lokale statiske slutpunkter for condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Relateret indhold

  • Last updated on