Dokuya güvenli erişim için özel bağlantılar

Doku'da veri trafiğine güvenli erişim sağlamak için özel bağlantıları kullanabilirsiniz. Azure Özel Bağlantı ve Azure Ağ özel uç noktaları, İnternet üzerinden gitmek yerine Microsoft'un omurga ağ altyapısını kullanarak veri trafiğini özel olarak göndermek için kullanılır.

Özel bağlantı bağlantıları kullanıldığında, Doku kullanıcıları Doku'daki kaynaklara eriştiğinde bu bağlantılar Microsoft özel ağ omurgası üzerinden gider.

Azure Özel Bağlantı hakkında daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı nedir?

Özel uç noktaların etkinleştirilmesi birçok öğeyi etkiler, bu nedenle özel uç noktaları etkinleştirmeden önce bu makalenin tamamını gözden geçirmelisiniz.

Özel uç nokta nedir?

Özel uç nokta, kuruluşunuzun Doku öğelerine giden trafiğin (örneğin OneLake'e dosya yükleme gibi) her zaman kuruluşunuzun yapılandırılmış özel bağlantı ağ yolunu izlemesini garanti eder. Yapılandırılmış ağ yolundan gelmeyen tüm istekleri reddetmek için Doku'ya yapılandırabilirsiniz.

Özel uç noktalar , bulutta veya şirket içinde Doku'dan dış veri kaynaklarınıza gelen trafiğin güvenliğini sağlamaz . Veri kaynaklarınızın güvenliğini daha da sağlamak için güvenlik duvarı kurallarını ve sanal ağları yapılandırın.

Özel uç nokta, istemcilerin belirli bir hizmete bağlantı başlatmasına olanak tanıyan ancak hizmetin müşteri ağına bağlantı başlatmasına izin veren tek, yönlü bir teknolojidir. Bu özel uç nokta tümleştirme düzeni, hizmet müşteri ağ ilkesi yapılandırmasından bağımsız olarak çalışabildiğinden yönetim yalıtımı sağlar. Çok kiracılı hizmetler için bu özel uç nokta modeli, aynı hizmette barındırılan diğer müşterilerin kaynaklarına erişimi engellemek için bağlantı tanımlayıcıları sağlar.

Doku hizmeti, hizmet uç noktalarını değil özel uç noktaları uygular.

Doku ile özel uç noktaların kullanılması aşağıdaki avantajları sağlar:

  • İnternet'ten Fabric'e giden trafiği kısıtlayın ve Microsoft omurga ağı üzerinden yönlendirin.
  • Dokuya yalnızca yetkili istemci makinelerinin erişebildiğinden emin olun.
  • Verilerinize ve analiz hizmetlerinize özel erişim gerektiren mevzuat ve uyumluluk gereksinimlerine uyun.

Özel uç nokta yapılandırmasını anlama

Doku yönetim portalında Özel Bağlantı yapılandırmasıyla ilgili iki kiracı ayarı vardır: Azure Özel Bağlantı ve Genel İnternet Erişimini Engelle.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelle etkinleştirildiyse:

  • Desteklenen Doku öğelerine yalnızca özel uç noktalardan kuruluşunuz için erişilebilir ve genel İnternet'ten erişilemez.
  • Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
  • Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik hizmet tarafından engellenir ve çalışmaz.
  • Özel bağlantıları desteklemeyen senaryolar olabilir, bu nedenle Genel İnternet Erişimini Engelle etkinleştirildiğinde hizmette engellenir.

Azure Özel Bağlantı düzgün yapılandırıldıysa ve Genel İnternet erişimini engelle devre dışı bırakıldıysa:

  • Doku hizmetleri genel İnternet'ten gelen trafiğe izin verecek.
  • Sanal ağ hedefleme uç noktalarının ve özel bağlantıları destekleyen senaryoların trafiği özel bağlantı üzerinden taşınır.
  • Özel bağlantıları desteklemeyen sanal ağ hedefleme uç noktaları ve senaryolarından gelen trafik genel İnternet üzerinden taşınır ve Doku hizmetleri tarafından izin verilir.
  • Sanal ağ genel İnternet erişimini engelleyecek şekilde yapılandırılmışsa, özel bağlantıları desteklemeyen senaryolar sanal ağ tarafından engellenir ve çalışmaz.

OneLake

OneLake Özel Bağlantı destekler. OneLake dosya gezgini, Azure Depolama Gezgini, PowerShell ve daha fazlasını kullanarak Doku portalında veya yerleşik sanal ağınızdaki herhangi bir makineden OneLake'i keşfedebilirsiniz.

OneLake bölgesel uç noktalarını kullanan doğrudan çağrılar, Doku'ya özel bağlantı aracılığıyla çalışmaz. OneLake'e ve bölgesel uç noktalara bağlanma hakkında daha fazla bilgi için bkz. OneLake'e bağlanmak Nasıl yaparım??

Warehouse ve Lakehouse SQL analytics uç noktası

Doku portalında Bir Depoya veya Bir Lakehouse'un SQL analiz uç noktasına erişim Özel Bağlantı tarafından korunur. Müşteriler Ayrıca Özel bağlantı aracılığıyla Ambar'a bağlanmak için Tablosal Veri Akışı (TDS) uç noktalarını (örneğin SQL Server Management Studio, Azure Data Studio) kullanabilir.

Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde Ambar'daki görsel sorgu çalışmaz.

Lakehouse, Not Defteri, Spark iş tanımı, Ortam

Azure Özel Bağlantı kiracı ayarını etkinleştirdikten sonra, ilk Spark işini (Not Defteri veya Spark iş tanımı) çalıştırmanız veya bir Lakehouse işlemi gerçekleştirmeniz (Tabloya Yükle, İyileştirme veya Vakum gibi tablo bakım işlemleri) çalışma alanı için yönetilen bir sanal ağ oluşturulmasına neden olur.

Yönetilen sanal ağ sağlandıktan sonra Spark için başlangıç havuzları (varsayılan İşlem seçeneği) devre dışı bırakılır; bunlar paylaşılan bir sanal ağda barındırılan önceden hazırlanan kümelerdir. Spark işleri, çalışma alanının ayrılmış yönetilen sanal ağı içinde iş gönderimi sırasında isteğe bağlı olarak oluşturulan özel havuzlarda çalıştırılır. Yönetilen bir sanal ağ çalışma alanınıza ayrıldığında farklı bölgelerdeki kapasiteler arasında çalışma alanı geçişi desteklenmez.

Özel bağlantı ayarı etkinleştirildiğinde Spark işleri, diğer bölgelerdeki Doku kapasitelerini kullansalar bile, ana bölgesi Doku Veri Madenciliği desteklemeyen kiracılar için çalışmaz.

Daha fazla bilgi için bkz . Doku için Yönetilen Sanal Ağ.

Veri Akışı 2. Nesil

Veri akışı 2. Nesil'i kullanarak özel bağlantı aracılığıyla veri alabilir, verileri dönüştürebilir ve yayımlayabilirsiniz. Veri kaynağınız güvenlik duvarının arkasında olduğunda, veri kaynaklarınıza bağlanmak için sanal ağ veri ağ geçidini kullanabilirsiniz. Sanal ağ veri ağ geçidi, ağ geçidinin (işlem) mevcut sanal ağınıza eklenmesini sağlar ve böylece yönetilen bir ağ geçidi deneyimi sağlar. Kiracıda özel bağlantı gerektiren bir Lakehouse veya Warehouse'a bağlanmak veya sanal ağınızla diğer veri kaynaklarına bağlanmak için VNet ağ geçidi bağlantılarını kullanabilirsiniz.

İşlem Hattı

Özel bağlantı üzerinden İşlem Hattı'na bağlandığınızda, genel uç noktaları olan herhangi bir veri kaynağından özel bağlantı etkinleştirilmiş bir Microsoft Fabric lakehouse'a veri yüklemek için veri işlem hattını kullanabilirsiniz. Müşteriler ayrıca özel bağlantıyı kullanarak Not Defteri ve Veri Akışı etkinlikleri dahil olmak üzere etkinliklerle veri işlem hatlarını yazabilir ve kullanıma hazırlayabilir. Ancak Doku'nun özel bağlantısı etkinleştirildiğinde Veri Ambarı'ndan ve Veri Ambarı'na veri kopyalamak şu anda mümkün değildir.

ML Modeli, Deneme ve Yapay Zeka becerisi

ML Modeli, Deneme ve yapay zeka becerileri özel bağlantıyı destekler.

Power BI

  • İnternet erişimi devre dışı bırakılırsa ve Power BI anlam modeli, Datamart veya Dataflow 1. Nesil bir Power BI anlam modeline veya Veri Akışı'na veri kaynağı olarak bağlanırsa bağlantı başarısız olur.

  • Direct Lake modu şu anda Özel Bağlantı kullanılarak desteklenmiyor.

  • Doku'da kiracı ayarı Azure Özel Bağlantı etkinleştirildiğinde Web'de yayımlama desteklenmez.

  • Dokuda Genel İnternet Erişimini Engelle kiracı ayarı etkinleştirildiğinde e-posta abonelikleri desteklenmez.

  • Doku'da kiracı ayarı Azure Özel Bağlantı etkinleştirildiğinde Power BI raporunu PDF veya PowerPoint olarak dışarı aktarma desteklenmez.

  • Kuruluşunuz Doku'da Azure Özel Bağlantı kullanıyorsa, modern kullanım ölçümleri raporları kısmi veriler (yalnızca Rapor Açma olayları) içerir. İstemci bilgilerini özel bağlantılar üzerinden aktarırken geçerli bir sınırlama, Fabric'in özel bağlantılar üzerinden Rapor Sayfası Görünümlerini ve performans verilerini yakalamasını engeller. Kuruluşunuz Doku'da Azure Özel Bağlantı ve Genel İnternet Erişimini Engelle kiracı ayarlarını etkinleştirmişse, veri kümesi yenilemesi başarısız olur ve kullanım ölçümleri raporunda veri gösterilmez.

Eventhouse

Eventhouse, özel bir bağlantı aracılığıyla Azure Sanal Ağ güvenli veri alımına ve sorgulamaya olanak tanıyarak Özel Bağlantı destekler. Azure Depolama hesapları, yerel dosyalar ve Dataflow 2. Nesil gibi çeşitli kaynaklardan veri alabilirsiniz. Akış alımı anında veri kullanılabilirliği sağlar. Ayrıca, Bir Eventhouse içindeki verilere erişmek için KQL sorgularını veya Spark'ı kullanabilirsiniz.

Sınırlamalar:

  • OneLake'ten veri alımı desteklenmez.
  • Eventhouse'a kısayol oluşturmak mümkün değildir.
  • Veri işlem hattındaki bir Eventhouse'a bağlanmak mümkün değildir.
  • Kuyruğa alınmış alma kullanılarak veri alımı desteklenmez.
  • Kuyruğa alınmış alımı kullanan veri bağlayıcıları desteklenmez.
  • T-SQL kullanarak bir Eventhouse'un sorgulanması mümkün değildir.

Sağlık verileri çözümleri (önizleme)

Müşteriler özel bir bağlantı aracılığıyla Microsoft Fabric'te Healthcare veri çözümleri sağlayabilir ve kullanabilir. Özel bağlantıyla etkinleştirilen bir kiracıda müşteriler, klinik verileri için kapsamlı veri alımı ve dönüşüm senaryoları yürütmek üzere Healthcare veri çözümü özelliklerini dağıtabilir. Bu, Azure Depolama hesapları gibi çeşitli kaynaklarda sağlık verilerini alma özelliğini ve daha fazlasını içerir.

Diğer Doku öğeleri

Eventstream gibi diğer Doku öğeleri şu anda Özel Bağlantı desteklemez ve uyumluluk durumunu korumak için Genel İnternet Erişimini Engelle kiracı ayarını açtığınızda otomatik olarak devre dışı bırakılır.

Microsoft Purview Bilgi Koruması

Microsoft Purview Bilgi Koruması şu anda Özel Bağlantı desteklemez. Bu, yalıtılmış bir ağda çalışan Power BI Desktop'ta Duyarlılık düğmesinin gri olduğu, etiket bilgilerinin görünmeyeceği ve .pbix dosyalarının şifresinin çözülmeyeceği anlamına gelir.

Masaüstü'nde bu özellikleri etkinleştirmek için, yöneticiler Microsoft Purview Bilgi Koruması, Exchange Online Protection (EOP) ve Azure Information Protection'ı (AIP) destekleyen temel hizmetler için hizmet etiketlerini yapılandırabilir. Özel bağlantılar yalıtılmış bir ağda hizmet etiketlerini kullanmanın etkilerini anladığınızdan emin olun.

Diğer önemli noktalar ve sınırlamalar

Doku'da özel uç noktalarla çalışırken dikkat edilmesi gereken birkaç nokta vardır:

  • Doku, Özel Bağlantı etkinleştirildiği bir kiracıda en fazla 450 kapasiteyi destekler.

  • Kapasite yeni oluşturulduğunda, uç noktası özel DNS bölgesine yansıtılana kadar özel bağlantıyı desteklemez. Bu işlem 24 saate kadar sürebilir.

  • Doku yönetici portalında Özel Bağlantı açıldığında kiracı geçişi engellenir.

  • Müşteriler tek bir sanal ağdan birden çok kiracıdaki Doku kaynaklarına bağlanamaz, yalnızca Özel Bağlantı ayarlayacak son kiracıdır.

  • Özel bağlantı Deneme kapasitesini desteklemez. Dokuya Özel Bağlantı trafik üzerinden erişilirken deneme kapasitesi çalışmaz.

  • Özel bağlantı ortamı kullanılırken dış görüntülerin veya temaların kullanımı kullanılamaz.

  • Her özel uç nokta yalnızca bir kiracıya bağlanabilir. Birden fazla kiracı tarafından kullanılacak özel bir bağlantı ayarlayamazsınız.

  • Doku kullanıcıları için: Şirket içi veri ağ geçitleri desteklenmez ve Özel Bağlantı etkinleştirildiğinde kaydedilemez. Ağ geçidi yapılandırıcısını başarıyla çalıştırmak için Özel Bağlantı devre dışı bırakılmalıdır. Bu senaryo hakkında daha fazla bilgi edinin. Sanal ağ veri ağ geçitleri çalışır. Daha fazla bilgi için bu önemli noktalara bakın.

  • PowerBI (PowerApps veya LogicApps) olmayan Ağ Geçidi kullanıcıları için: şirket içi veri ağ geçidi, Özel Bağlantı etkinleştirildiğinde desteklenmez. Özel bağlantılarla kullanılabilen sanal ağ veri ağ geçidinin kullanımını keşfetmenizi öneririz.

  • Özel Bağlantı, VNet Data Gateway indirme tanılamalarıyla çalışmaz.

  • Özel bağlantılar kaynağı REST API'leri etiketleri desteklemez.

  • Aşağıdaki URL'lere istemci tarayıcısından erişilebilir olmalıdır:

    • Kimlik doğrulaması için gerekli:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, ancak bu hesap türüne göre farklı olabilir.
    • Veri Madenciliği ve Veri Bilimi deneyimleri için gereklidir:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (örnek, https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages için yerel statik uç noktalar
      • https://cdn.jsdelivr.net/npm/monaco-editor*