Tal vez escucharon hablar de que se puede generar un Gateway virtual hoy en día. Lo cierto es que no siempre en los proyectos de datos basta con ir a buscar datos a un origen web o instalar un onpremise Gateway.
La seguridad suele ser una pieza clave y permitir que solo quien corresponda acceda a los datos de forma segura puede ser un tema excluyente en una solución de integración de datos.
En este artículo charlamos de Fabric VNet Gateway. ¿Qué es? ¿Qué hace?
Vamos comenzar nuestro post como nos gusta en LaDataWeb leyendo la definición oficial
Una puerta de enlace de datos de red virtual le permite conectar Azure y otros servicios de datos a Microsoft Fabric y Power Platform. La puerta de enlace le permite comunicarse de forma segura con el origen de datos, ejecutar consultas y transmitir los resultados al servicio de forma segura.
En definitiva, nos permite crear un túnel con una red privada virtual que tengamos en Azure de forma tal que los datos viajen siempre de forma segura por un canal diferenciado de la internet pública.
Nuestro Gateway permitiría a las herramientas de integración de datos (las que tienen un "obtener datos") pida los datos y los transforme en ese canal seguro. Los ítems de Fabric que pueden utilizar esta característica son Dataflow Gen2, Data Pipelines, Copy Jobs, Reflex, modelos semánticos de Power BI e informes paginados de Power BI.
Veamos gráficamente como sería.
NOTA: Cabe aclarar que para que esto funcione, contamos con una Virtual Network creada administrada en Azure. Esta red debe tener una subred con una delegación al servicio de power Platform:
Veamos cómo proceder desde Fabric. Nos dirigimos al engranaje y abrimos el manejo de puertas de enlace y conexiones. Ahí veremos una opción para la VNet
Fíjense que antes de poder crearlo, hay una restricción en la suscripción y es prender una configuración para que el servicio Microsoft:PowerPlatform sea un proveedor de la suscripción.
Tras corregir eso podemos completar los valores de la suscripción hasta la subred que vive en azure.
Ahora si podemos comunicarnos con recursos que estén asegurados en redes virtuales independientes y separadas del tráfico público. Pueden pensar a esto como un gateway on premise. Cuando se conectan a un origen y ponen la dirección, pueden delimitar esta VNet en el apartado de Gateway para llegar a conectar a esa base de datos que estaba en una red virtual o a ese origen que debía salir por dicha red:
Esto también podría servirnos para ir a un origen de datos externo que solo permite IP públicas únicas para conetarse. Azure dispone una cantidad muy amplias de IPs para sus servicios pero si nuestro origen lo limita a pocas IP, esta solución junto a un NAT Gateway en Azure (quien restringe el tráfico de una red virtual a una sola dirección pública) serían una potente solución.
Repaso Sobre las Fabric VNet Gateway
- Es una oferta de seguridad de red eficaz. Se puede usar con puntos de conexión privados para orígenes de datos de Azure para asegurarse de que ningún tráfico se expone nunca a un punto de conexión público.
- Proporciona aislamiento de cómputo que mejora la seguridad contra ataques entre inquilinos.
Como nota adicional, cuando usamos Fabric Capacity, Microsoft recomienda usar F8 y versiones posteriores para tener un mejor funcionamiento, aun que funciona en todas las SKU.
Espero que les sirva para conocer más sobre seguridad y canales de redes virtuales en conexión de datos.