Selvstudium: Konfigurer Microsoft Fabric-spejlede databaser fra Azure Databricks

Databasespejling i Microsoft Fabric er en cloud-baseret SaaS-teknologi til virksomheder, der er baseret uden ETL. Denne vejledning hjælper dig med at oprette en spejlet database fra Azure Databricks, som opretter en skrivebeskyttet, kontinuerligt replikeret kopi af dine Azure Databricks-data i OneLake.

Forudsætninger

  • Et Fabric-arbejdsområde.
  • Aktivér ekstern dataadgang i metastore. Du kan finde flere oplysninger i Aktivere ekstern dataadgang i metalageret.
  • Opret eller brug et eksisterende Azure Databricks-arbejdsområde med Unity Catalog aktiveret.
  • Hav EXTERNAL USE SCHEMA-privilegiet på skemaet i Unity Catalog, der indeholder tabellerne, som Fabric adgang.
  • Brug Fabrics tilladelsesmodel til at angive adgangskontrol for kataloger, skemaer og tabeller i Fabric.

Opret en spejlet database fra Azure Databricks

Følg disse trin for at oprette en ny spejlet database fra dit Azure Databricks Unity-katalog.

  1. Gå til dit arbejdsområde i Fabric.

  2. Vælg Nyt element>Spejlet Azure Databricks katalog.

    Skærmbillede fra Fabric-portalen af et nyt Azure Databricks-spejlet element.

  3. Vælg en eksisterende forbindelse, hvis du har konfigureret en, eller opret en ny forbindelse.

    Hvis du vil oprette en forbindelse, skal du enten være bruger eller administrator af Azure Databricks-arbejdsområdet. Du kan autentificere dig til dit Azure Databricks arbejdsområde ved at bruge Organizational account eller Service principal autentificering.

    Bemærk

    Det autentificeringsvalg, du træffer her, gælder for Databricks-autentificering og Unity Catalog-autorisation. Hvis du har brug for at få adgang til Azure Data Lake Storage (ADLS) Gen2-konti bag en firewall, følger du trinene til at Aktiver netværkssikkerhedsadgang for din Azure Data Lake Storage Gen2-konto senere i denne artikel. Når ADLS Gen2 er bag en firewall, kræves Fabric Workspace Identity for adgang til storage firewall, uanset hvilken autentificeringsmetode der er valgt til Databricks-forbindelsen.

  4. Efter du har forbundet til et Azure Databricks arbejdsområde, vælger du på siden Vælg tabeller fra et Databricks-katalog kataloget, skemaer og tabeller, du vil tilføje og tilgå fra Fabric ved at bruge listen over inklusion eller udelukkelse. Vælg kataloget og dets relaterede skemaer og tabeller, som du vil føje til dit Fabric-arbejdsområde.

    Du kan kun se de kataloger, skemaer og tabeller, du har adgang til. For mere information, se Unity Catalog privilegier og sikrede objekter.

    Som standard er indstillingen Automatisk synkronisering af fremtidige katalogændringer for det valgte skema aktiveret. For mere information, se Mirroring Azure Databricks > Metadata sync.

  5. Vælg Næste for at fortsætte.

  6. På siden Gennemgå og opret kan du gennemgå detaljerne og eventuelt ændre navnet på det spejlede databaseobjekt, som skal være unikt i dit arbejdsområde. Som standard er navnet på det spejlede element navnet på kataloget.

  7. Vælg Opret for at fortsætte.

  8. Der oprettes et Databricks-katalogelement, og for hver tabel oprettes der også en tilsvarende genvej af Databricks-typen.

    Skemaer, der ikke har nogen tabeller, vises ikke.

  9. Du kan også se et eksempel på dataene, når du får adgang til en genvej ved at vælge SQL-analyseslutpunktet. Åbn SQL Analytics-slutpunktselementet for at starte siden Stifinder og forespørgselseditor. Du kan forespørge dine spejlede Azure Databricks-tabeller ved at bruge T-SQL i SQL Editor.

Opret Lakehouse-genveje til Databricks-katalogelementet

Du kan også oprette genveje fra dit Lakehouse til dit Databricks-katalogelement for at bruge dine Lakehouse-data og bruge Spark Notebooks.

  1. Først, lav et søhus. Hvis du allerede har et søhus i dette arbejdsområde, kan du bruge et eksisterende søhus.
    1. Vælg dit arbejdsområde i navigationsmenuen.
    2. Vælg + Nyt>søhus.
    3. Angiv et navn til dit søhus i feltet Navn , og vælg Opret.
  2. I Stifinder-visningen af dit søhus skal du vælge knappen Ny genvej i menuen Hent data i dit søhus under Indlæs data i dit søhus.
  3. Vælg Microsoft OneLake. Vælg et katalog. Dette er det dataelement, du oprettede i de foregående trin. Vælg derefter Næste.
  4. Vælg tabeller i skemaet, og vælg Næste.
  5. Vælg Opret.
  6. Genveje er nu tilgængelige i dit Lakehouse, så du kan bruge dem sammen med dine andre Lakehouse-data. Du kan også bruge notesbøger og Spark til at udføre databehandling på dataene for disse katalogtabeller, som du har tilføjet fra dit Azure Databricks-arbejdsområde.

Oprette en semantisk model

Du kan oprette en Power BI-semantisk model baseret på dit spejlede element og manuelt tilføje eller fjerne tabeller. Du kan finde flere oplysninger om oprettelse og administration af semantiske modeller under Opret en semantisk Power BI-model.

For den bedste oplevelse kan du bruge Microsoft Edge-browseren til semantiske modelleringsopgaver.

Administrere dine semantiske modelrelationer

Når du har oprettet en ny semantisk model baseret på din spejlede database, skal du konfigurere relationerne mellem tabellerne.

  1. Vælg Modellayout i Stifinder i dit arbejdsområde.
  2. Når du vælger Modellayouts, præsenteres du for en grafik af de tabeller, der er inkluderet som en del af den semantiske model.
  3. Hvis du vil oprette relationer mellem tabeller, skal du trække et kolonnenavn fra en tabel til et andet kolonnenavn i en anden tabel. En popup vises for at identificere forholdet og kardinaliteten for tabellerne.

Aktivér netværkssikkerhedsadgang for din Azure Data Lake Storage Gen2-konto

Konfigurer netværkssikkerhed for din Azure Data Lake Storage (ADLS) Gen2-konto, når du har konfigureret en Azure Storage firewall. Dette afsnit gælder for ADLS Gen2-lagringskonti bag en Azure Storage-firewall. Azure Databricks workspace storage bag en Azure Storage firewall understøttes ikke.

Forudsætninger

  • Når en Azure Storage-firewall beskytter ADLS Gen2, bruger Fabric Workspace Identity til at få adgang til firewallen. Selv hvis du vælger Service principal for ADLS-autentificering i fanen Network Security, skal du tillade Workspace-identiteten i Azure Storage kontoens firewall.

    • Workspace Identity bruges til adgang til storage firewall. En service principal eller OAuth bruges til Databricks-autentificering og Unity Catalog-autorisation.

    • For at aktivere arbejdsområdets identitetsautentificeringstype (anbefalet), tilknyt Fabric-arbejdsområdet til en F-kapacitet. Hvis du vil oprette en arbejdsområdeidentitet, skal du se Godkend med arbejdsområdeidentitet.

  • Du kan kun tilknytte et katalog til en enkelt lagerkonto.

Aktiver adgang til netværkssikkerhed

  1. Når du opretter et nyt spejlet Azure Databricks-katalog, skal du vælge fanen Netværkssikkerhed i trinnet Vælg data.

    Skærmbillede af fanen Netværkssikkerhed i Databricks.

  2. Vælg en eksisterende forbindelse til lagerkontoen, hvis du har konfigureret en. 

    • Hvis du ikke har en eksisterende ADLS-forbindelse, skal du oprette en ny forbindelse.  
    • URL-adressen til lagerslutpunktet er det sted, hvor det valgte katalogs data gemmes. Slutpunktet skal være den specifikke mappe, hvor dataene er gemt, i stedet for at angive, at slutpunktet skal være på lagerkontoniveau. For eksempel give https://<storage account>.dfs.core.windows.net/container1/folder1 i stedet for https://<storage account>.dfs.core.windows.net/.
    • Angiv legitimationsoplysningerne til forbindelsen. De understøttede godkendelsestyper er Organisationskonto, Tjenesteprincipal og Arbejdsområdeidentitet (anbefales).

    Bemærk

    Når ADLS Gen2 er beskyttet af en Azure Storage-firewall, bruger Fabric Workspace Identity til at navigere gennem firewallen uanset den autentificeringstype, der er valgt her. Autentificeringstypen (Service principal eller organisatorisk konto) styrer Databricks-autentificering og Unity Catalog-autorisation, mens Workspace Identity kontrollerer betroet adgang via lagringsfirewallen. Workspace-identiteten skal være tilladt i Azure Storage-kontoens firewall, selvom du vælger en anden autentificeringstype for ADLS-forbindelsen.

  3. I Azure Portal skal du give adgangsrettigheder til lagerkontoen baseret på den godkendelsestype, du valgte i forrige trin. Gå til lagerkontoen på Azure Portal. Vælg Adgangskontrol (IAM). Vælg +Tilføj og Tilføj rolletildeling. Du kan finde flere oplysninger under Tildele Azure-roller ved hjælp af Azure Portal.

    Tildel en rolle baseret på forbindelsens omfang:

    • Lagerkonto: Den valgte autentificeringsidentitet kræver Storage Blob Data Reader-rollen på lagringskontoen.
    • Container: Den valgte autentificeringsidentitet kræver Storage Blob Data Reader-rollen på containeren.
    • Mappe inden for en beholder (anbefalet): Den valgte autentificeringsidentitet kræver læsetilladelser (R) og Eksekver (E) på mappeniveau. Hvis du bruger Service Principal eller Workspace Identity som autentificeringstype, så giv også den identitet Execute-tilladelser på rodmappen i containeren og hver mappe i hierarkiet, der fører til den angivne mappe.

    Du kan finde flere oplysninger og trin til at give ADLS-adgang under ADLS-adgangskontrol.

  4. Aktivér Trusted Workspace Access ved at konfigurere en resource instance rule for dit Fabric workspace på lagringskontoen. For detaljerede trin, se Trusted workspace access og Secure Fabric spejlede databaser fra Azure Databricks.

Efter forbindelsen er etableret, oprettes en genvej til Unity Catalog-tabeller for tabeller, hvis lagerkontonavn matcher den lagringskonto, der er angivet i ADLS-forbindelsen. Genveje oprettes ikke til tabeller, hvis lagringskontonavn ikke matcher.

Important

Hvis du planlægger at bruge ADLS-forbindelsen uden for Mirrored Azure Databricks katalog-objektscenarierne, skal du også tildele rollen Storage Blob Delegator til lagringskontoen.

Tip

Hvis du modtager en 403-autorisationsfejl, når du bruger en Service Principal til Databricks-autentificering med en firewall-beskyttet ADLS Gen2-konto, skal du bekræfte, at Workspace-identiteten er tilladt i Azure Storage-kontoens firewall. Selv når en Service Principal vælges til autentificering, bruger Fabric Workspace Identity til at navigere gennem lagrings-firewallen.

Aktivér OneLake-sikkerhed på det spejlede Databricks-element

Tilknyt UC-politikker (Unity Catalog) til Microsoft OneLake-sikkerhed ved at følge disse trin:

  1. Synkroniser Entra Group, og anvend tilladelser i Unity Catalog. I Azure Databricks kan du bruge Automatisk Identitetsstyring til at synkronisere en Microsoft Entra ID-gruppe og give den de nødvendige Unity-katalogprivilegier (USE, BROWSE og SELECT) på det relevante katalog og de relevante tabeller.
  2. Tildel en OneLake-dataadgangsrolle. I arbejdsområdet Fabric skal du oprette en dataadgangsrolle for de nyligt spejlede data. Føj den samme Entra-gruppe til denne rolle, og giv den læseadgang til de OneLake-genveje, der svarer til Azure Databricks-tabellerne. For at komme i gang med tabelniveau-sikkerhed, vælg knappen Administrer OneLake sikkerhed i båndet. Sørg for at holde adgangskonfigurationer synkroniseret, efterhånden som katalogstrukturer og tilladelser udvikler sig. Du kan finde flere oplysninger i OneLake-modellen til dataadgangskontrol (prøveversion).

Relateret indhold

  • Last updated on