通过

Fabric 租户的专用链接

可以使用专用链接提供对 Fabric 中的数据流量的安全访问。 Azure 专用链接 和 Azure 网络专用终结点用于使用Microsoft的主干网络基础结构(而不是通过 Internet)私下发送数据流量。 使用专用链接连接时,当 Fabric 用户访问 Fabric 中的资源时,这些连接会通过 Microsoft 专用网络主干传输。

Fabric 支持租户级别和工作区级别的专用链接:

  • 租户级专用链接 向整个租户提供网络策略。 本文重点介绍租户级专用链接。

  • 工作区级专用链接 提供精细的控制,从而可以限制对某些工作区的访问,同时允许其余工作区保持开放状态以供公共访问。 若要了解详细信息,请参阅 Fabric 工作区的专用链接

启用私有终结点会影响到很多项目,因此在为租户启用私有终结点之前,请务必阅读完整的文章。

什么是专用终结点?

专用终结点可确保进入组织的 Fabric 项的流量(例如将文件上传到 OneLake)始终遵循组织配置的专用链接网络路径。 可以将 Fabric 配置为拒绝所有不是来自配置的网络路径的请求。

专用终结点不能保证从 Fabric 到外部数据源(无论是在云中还是在本地)的流量受到保护。 配置防火墙规则和虚拟网络,以便进一步保护数据源。

专用终结点是一种单一定向技术,允许客户端启动到给定服务的连接,但不允许服务启动到客户网络的连接。 此专用终结点集成模式提供了管理隔离,因为服务可以独立于客户网络策略配置进行操作。 对于多租户服务,此专用终结点模型提供链接标识符,防止访问同一服务中托管的其他客户资源。

Fabric 服务实施专用终结点,而不是服务终结点。

对 Fabric 使用专用终结点提供以下优势:

  • 限制从 Internet 到 Fabric 的流量,并通过 Microsoft 主干网络路由流量。
  • 确保只有经过授权的客户端计算机才能访问 Fabric。
  • 遵守要求对数据和分析服务进行专用访问的法规和合规性要求。

了解专用终结点配置

Fabric 管理门户中有两个租户设置涉及专用链接配置:Azure 专用链接阻止公共 Internet 访问

如果正确配置了 Azure 专用链接并启用了“阻止公共 Internet 访问”:

  • 组织只能从专用终结点访问受支持的 Fabric 项,而无法从公共 Internet 访问。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 服务会阻止来自虚拟网络目标终结点的流量和 不支持 专用链接的方案。
  • 在某些情况下不支持专用链接,当启用 阻止公共 Internet 访问 时,服务中会阻止这些链接。

如果正确配置了 Azure 专用链接并禁用了“阻止公共 Internet 访问”:

  • Fabric 服务允许来自公共 Internet 的流量。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 来自虚拟网络的目标终结点和 不支持 专用链接的方案的流量通过公共 Internet 传输,Fabric 服务允许。
  • 如果虚拟网络配置为阻止公共 Internet 访问,则虚拟网络会阻止不支持专用链接的方案。

OneLake

Onelake 支持专用链接。 可以在 Fabric 门户中或使用 OneLake 文件资源管理器、Azure 存储资源管理器、PowerShell 等在已建立的虚拟网络内的任何计算机上探索 Onelake。

使用 OneLake 区域终结点的直接调用无法通过 Fabric 专用链接进行。 有关连接到 OneLake 和区域终结点的更多信息,请参阅如何连接到 OneLake?

仓库和湖屋 SQL 分析终结点

在 Fabric 门户中访问仓库或湖屋 SQL 分析终结点受专用链接保护。 客户还可以使用表格格式数据流 (TDS) 终结点(例如 SQL Server Management Studio、Azure Data Studio)通过专用链接连接到仓库。

当启用“阻止公共 Internet 访问”租户设置时,仓库中的可视化查询不起作用。

SQL 数据库

访问 Fabric 门户中的 SQL 数据库或 SQL 分析终结点受专用链接保护。 客户还可以使用表格数据流(TDS)终结点(例如 SQL Server Management Studio 或 Visual Studio Code)通过专用链接 连接到 SQL 数据库 。 有关连接到 SQL 数据库的详细信息,请参阅 Microsoft Fabric 中的 SQL 数据库中的身份验证

湖屋、笔记本、Spark 作业定义、环境

启用 Azure 专用链接 租户设置后,运行第一个 Spark 作业(Notebook 或 Spark 作业定义)或执行 Lakehouse 操作(加载到表、表维护操作,例如优化或清空)会导致为工作区创建托管虚拟网络。

预配托管虚拟网络后,Spark 的初学者池(默认计算选项)将被禁用,因为它们是托管在共享虚拟网络中的预热群集。 Spark 作业在自定义池上运行,这些池是在工作区的专用托管虚拟网络内提交作业时按需创建的。 将托管虚拟网络分配给工作区时,不支持跨不同区域的容量进行工作区迁移。

启用专用链接设置后,Spark 作业不适用于主区域不支持 Fabric 数据工程的租户,即使它们使用来自其他区域的 Fabric 容量也是如此。

有关详细信息,请参阅适用于 Fabric 的托管 VNet

数据流 Gen2

可以使用 Dataflow Gen2 获取数据、转换数据,并通过专用链接发布数据流。 当数据源位于防火墙后面时,可以使用 虚拟网络数据网关 连接到数据源。 VNet 数据网关支持将网关(计算)注入到现有虚拟网络中,从而提供托管网关体验。 可以使用虚拟网络网关连接到租户内需要专用链接的 Lakehouse 或 Warehouse,或者通过虚拟网络连接到其他数据源。

管道

通过专用链接连接到管道时,可以使用管道将数据从具有公共终结点的任何数据源加载到启用了专用链接的 Microsoft Fabric lakehouse 中。 客户还可以使用专用链接创建和运行包含笔记本活动和数据流活动的管道。 但是,当前无法在启用 Fabric 的专用链接时,从数据仓库复制数据或将数据复制到数据仓库。

ML 模型、试验和数据代理

ML 模型、试验和数据代理支持专用链接。

Power BI

  • 如果禁用 Internet 访问,并且 Power BI 语义模型、Datamart 或 Dataflow Gen1 连接到 Power BI 语义模型或数据流作为数据源,则连接将失败。

  • 在 Fabric 中启用租户设置“Azure 专用链接”时,不支持发布到 Web。

  • 在 Fabric 中启用租户设置“阻止公共 Internet 访问”时,不支持电子邮件订阅。

  • 在 Fabric 中启用租户设置“Azure 专用链接”时,不支持将 Power BI 报表导出为 PDF 或 PowerPoint。

  • 如果你的组织在 Fabric 中使用 Azure 专用链接,则新式使用情况指标报表包含部分数据(仅报告打开事件)。 在通过专用链接传输客户端信息时,当前限制会使 Fabric 无法通过专用链接捕获报表页面视图和性能数据。 如果组织在 Fabric 中启用了 Azure 专用链接阻止公共 Internet 访问 租户设置,则数据集的刷新将失败,使用情况指标报表不显示任何数据。

  • Copilot 目前不支持专用链接或封闭网络环境。

Eventstream

Eventstream 支持 Private Link,能够在不将流量暴露给公共互联网的情况下,从多个源安全地实时获取数据。 它还支持实时数据转换,例如筛选和扩充传入数据流,然后再将它们路由到 Fabric 中的目标。

不支持的方案:

  • 不支持作为源的自定义终结点。
  • 不支持自定义终结点作为目标。
  • 不支持 Eventhouse 作为目标(具有直接引入模式)。
  • 不支持激活器作为目标。

Eventhouse

Eventhouse 支持专用链接,允许通过专用链接从 Azure 虚拟网络安全地引入和查询数据。 可以从各种源引入数据,包括 Azure 存储帐户、本地文件和数据流 Gen2。 流式引入可确保即时数据可用性。 此外,还可以利用 KQL 查询或 Spark 来访问 Eventhouse 中的数据。

限制:

  • 不支持从 OneLake 导入数据。
  • 无法创建 Eventhouse 的快捷方式。
  • 无法在管道中连接 Eventhouse。
  • 不支持使用排队引入方式引入数据。
  • 不支持依赖于排队引入的数据连接器。
  • 无法使用 T-SQL 查询 Eventhouse。

医疗保健数据解决方案(预览版)

客户可通过专用链接在 Microsoft Fabric 中预配和使用医疗保健数据解决方案。 在启用了专用链接的租户中,客户可以部署 Healthcare 数据解决方案功能,以对其临床数据执行全面的数据引入和转换方案。 还包括从各种源引入医疗保健数据的功能,例如 Azure 存储帐户等。

织物事件

Fabric 事件支持私有链接,不会影响事件传递,因为事件源自租户内部。

Azure 事件

启用“阻止公共 Internet 访问租户”设置时,Azure 事件支持具有以下行为的专用链接:

  • 使用 Azure 事件(例如 Azure Blob 存储事件)的新配置将被阻止传送。
  • 使用 Azure 事件的现有配置将停止传递新事件。

Microsoft Purview 信息保护

Microsoft Purview 信息保护当前不支持专用链接。 这意味着,在隔离网络中运行的 Power BI Desktop 中, 敏感度 按钮灰显,标签信息不会出现, .pbix 文件的解密失败。

要在桌面中启用这些功能,管理员可为支持 Microsoft Purview 信息保护、Exchange Online Protection (EOP) 和 Azure 信息保护 (AIP) 的基础服务配置服务标记。 确保你理解在专用链接隔离的网络中使用服务标记的含义。

镜像数据库

开放镜像Azure Cosmos DB 镜像SQL Server 2025 镜像(使用 SQL Server 2025 CTP 2.0 或更高版本)支持专用链接。 对于其他类型的数据库镜像,如果启用了阻止公共 Internet 访问租户设置,则活动镜像数据库进入暂停状态,并且无法启动镜像。

对于打开镜像,启用 “阻止公共 Internet 访问 租户”设置 时,请确保发布者通过专用链接将数据写入 OneLake 登陆区域。

其他注意事项和限制

使用 Fabric 中的专用终结点时需要牢记几个注意事项:

  • 在启用专用链接的租户中,Fabric 支持最多 450 个容量。

  • 新建容量时,在专用 DNS 区域中反映其终结点之前,它不支持专用链接,最长可能需要 24 小时。

  • 在 Fabric 管理门户中打开专用链接时,租户迁移将被阻止。

  • 客户无法从同一网络位置连接到多个租户中的 Fabric 资源(取决于配置 DNS 记录的位置),而只能连接到最后一个租户来设置专用链接。

  • 试用版容量不支持专用链接。 通过专用链接流量访问 Fabric 时,试用容量不起作用。

  • 使用专用链接环境时,不能使用外部图像或主题。

  • 每个专用终结点只能连接到一个租户。 无法设置可供多个租户使用的专用链接。

  • 不支持跨租户方案。 这意味着不支持在一个 Azure 租户中设置租户级专用终结点以直接连接到另一个租户中的专用链接服务。

  • 对于 Fabric 用户:不支持本地数据网关,并且在启用专用链接时无法注册。 为了成功运行网关配置器,必须禁用专用链接。 了解有关此应用场景的更多信息。 虚拟网络数据网关的工作原理。 有关详细信息,请参阅这些注意事项

  • 对于非 PowerBI(PowerApps 或 LogicApps)网关用户:启用 Private Link 时不支持本地数据网关。 我们建议探索 虚拟网络数据网关的使用,该网关可与专用链接一起使用。

  • 专用链接不适用于 VNet 数据网关下载诊断。

  • Microsoft Fabric 容量指标应用不支持专用链接。

  • 激活专用链接时,OneLake 目录 - 治理选项卡不可用。

  • 专用链接资源 REST API 不支持标记。

  • 必须可以从客户端浏览器访问以下 URL:

    • 身份验证所需:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com,但根据帐户类型,它可能有所不同。

    • 数据工程师和数据科学体验所需:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/*(例如 https://pypi.org/pypi/azure-storage-blob/json
      • condaPackages 的本地静态终结点
      • https://cdn.jsdelivr.net/npm/monaco-editor*

相关内容