Klávesové zkratky OneLake

  • Článek

Klávesové zkratky v Microsoft OneLake umožňují sjednotit data napříč doménami, cloudy a účty vytvořením jednoho virtuálního datového jezera pro celý podnik. Všechna prostředí Infrastruktury a analytické moduly se můžou přímo připojit k vašim existujícím zdrojům dat, jako jsou Azure, Amazon Web Services (AWS) a OneLake prostřednictvím sjednoceného oboru názvů. OneLake spravuje všechna oprávnění a přihlašovací údaje, takže nemusíte samostatně konfigurovat každé prostředí Infrastruktury pro připojení ke každému zdroji dat. Kromě toho můžete pomocí klávesových zkratek eliminovat hraniční kopie dat a snížit latenci procesu spojenou s kopiemi dat a přípravou.

Co jsou klávesové zkratky?

Klávesové zkratky jsou objekty ve OneLake, které odkazují na jiná umístění úložiště. Umístění může být interní nebo externí pro OneLake. Umístění, na které zástupce odkazuje, se označuje jako cílová cesta zástupce. Umístění, kde se zástupce zobrazí, se označuje jako cesta zástupce. Klávesové zkratky se ve OneLake zobrazují jako složky a všechny možnosti nebo služby, které mají přístup k OneLake, je můžou používat. Klávesové zkratky se chovají jako symbolické odkazy. Jedná se o nezávislý objekt z cíle. Pokud zástupce odstraníte, cíl zůstane nedotčený. Pokud přesunete, přejmenujete nebo odstraníte cílovou cestu, může se zástupce přerušit.

Diagram znázorňující, jak zástupce připojuje soubory a složky uložené v jiných umístěních

Kde můžu vytvářet klávesové zkratky?

Klávesové zkratky můžete vytvářet v databázích lakehouse a dotazovací jazyk Kusto (KQL). Kromě toho klávesové zkratky, které vytvoříte v rámci těchto položek, můžou odkazovat na jiná umístění OneLake, Azure Data Lake Storage (ADLS) Gen2, Účty úložiště Amazon S3 nebo Dataverse.

Pomocí uživatelského rozhraní Fabric můžete interaktivně vytvářet zástupce a pomocí rozhraní REST API můžete programově vytvářet zástupce.

Jezero

Při vytváření zástupců v jezeře musíte porozumět struktuře složek položky. Lakehouses se skládají ze dvou složek nejvyšší úrovně: složky Tabulky a složka Soubory . Složka Tables představuje spravovanou část jezerahouse, zatímco složka Files je nespravovaná část jezera. Ve složce Tabulky můžete vytvářet pouze zástupce na nejvyšší úrovni. Klávesové zkratky nejsou podporovány v jiných podadresářích složky Tabulky . Pokud cíl zástupce obsahuje data ve formátu Delta\Parquet, lakehouse automaticky synchronizuje metadata a rozpozná složku jako tabulku. Ve složce Soubory neexistují žádná omezení, kde můžete vytvářet zástupce. Můžete je vytvořit na libovolné úrovni hierarchie složek. Zjišťování tabulek se neprovádí ve složce Soubory .

Diagram znázorňující zobrazení Jezero a zobrazení Tabulky vedle sebe

Databáze KQL

Když vytvoříte zástupce v databázi KQL, zobrazí se ve složce Shortcuts databáze. Databáze KQL zpracovává klávesové zkratky, jako jsou externí tabulky. K dotazování zástupce použijte external_table funkci dotazovací jazyk Kusto.

Snímek obrazovky se zástupci v databázi KQL

Kde můžu získat přístup ke zkratkám?

Všechny prostředky infrastruktury nebo jiné služby, které nemají přístup k datům ve OneLake, můžou používat klávesové zkratky. Zástupci jsou transparentní pro všechny služby, které přistupují k datům prostřednictvím rozhraní OneLake API. Klávesové zkratky se zobrazují jako jiná složka v jezeře. Spark, SQL, Analýza v reálném čase a Analysis Services můžou při dotazování na data používat klávesové zkratky.

Spark

Poznámkové bloky Sparku a úlohy Sparku můžou používat klávesové zkratky, které vytvoříte ve OneLake. Relativní cesty k souborům lze použít k přímému čtení dat ze zástupců. Pokud navíc vytvoříte zástupce v části Tabulky v lakehouse a je ve formátu Delta, můžete ji číst jako spravovanou tabulku pomocí syntaxe Spark SQL.

df = spark.read.format("delta").load("Tables/MyShortcut")
display(df)

df = spark.sql("SELECT * FROM MyLakehouse.MyShortcut LIMIT 1000")
display(df)

Poznámka:

Formát Delta nepodporuje tabulky s mezerami v názvu. Jakákoli zkratka obsahující mezeru v názvu se v jezeře nezjistí jako tabulka Delta.

SQL

Klávesové zkratky můžete také přečíst v části Tabulky v jezeře prostřednictvím koncového bodu analýzy SQL pro lakehouse. Ke koncovému bodu analýzy SQL můžete přistupovat prostřednictvím selektoru režimu lakehouse nebo přes SQL Server Management Studio (SSMS).

SELECT TOP (100) *
FROM [MyLakehouse].[dbo].[MyShortcut]

Analýzy v reálném čase

Klávesové zkratky v databázích KQL jsou rozpoznány jako externí tabulky. K dotazování zástupce použijte external_table funkci dotazovací jazyk Kusto.

external_table('MyShortcut')
| take 100

Analysis Services

Můžete vytvořit sémantické modely pro objekty lakehouse obsahující zástupce v části Tabulky v jezeře. Když se sémantický model spustí v režimu Direct Lake, může služba Analysis Services číst data přímo z zástupce.

Jiné než prostředky infrastruktury

Aplikace a služby mimo Prostředky infrastruktury můžou také přistupovat ke zkratkám prostřednictvím rozhraní OneLake API. OneLake podporuje podmnožinu rozhraní API ADLS Gen2 a Blob Storage. Další informace o rozhraní OneLake API najdete v tématu Přístup k OneLake pomocí rozhraní API.

https://onelake.dfs.fabric.microsoft.com/MyWorkspace/MyLakhouse/Tables/MyShortcut/MyFile.csv

Typy klávesových zkratek

Klávesové zkratky OneLake podporují více zdrojů dat systému souborů. Patří sem interní umístění OneLake, Azure Data Lake Storage (ADLS) Gen2, Amazon S3 a Dataverse.

Interní klávesové zkratky OneLake

Interní klávesové zkratky OneLake umožňují odkazovat na data v rámci existujících položek infrastruktury. Mezi tyto položky patří lakehouses, databáze KQL a datové sklady. Zástupce může odkazovat na umístění složky ve stejné položce, napříč položkami ve stejném pracovním prostoru nebo dokonce napříč položkami v různých pracovních prostorech. Když vytvoříte zástupce mezi položkami, typy položek se nemusí shodovat. Můžete například vytvořit zástupce v jezeře, který odkazuje na data v datovém skladu.

Když uživatel přistupuje k datům prostřednictvím zástupce jiného umístění OneLake, identita volajícího uživatele se použije k autorizaci přístupu k datům v cílové cestě zástupce*. Tento uživatel musí mít oprávnění v cílovém umístění ke čtení dat.

Důležité

Při přístupu ke zkratkám prostřednictvím sémantických modelů Power BI nebo T-SQL se identita volajícího uživatele nepředá do cíle zástupce. Místo toho se předá identita vlastníka volající položky a deleguje přístup volajícímu uživateli.

Klávesové zkratky ADLS

Zástupce je možné vytvořit také pro účty úložiště ADLS Gen2. Když vytváříte zástupce ADLS, cílová cesta může odkazovat na libovolnou složku v hierarchickém oboru názvů. Cílová cesta musí obsahovat minimálně název kontejneru.

Access

Klávesové zkratky ADLS musí odkazovat na koncový bod DFS pro účet úložiště. Příklad: https://accountname.dfs.core.windows.net/

Pokud je váš účet úložiště chráněný bránou firewall úložiště, můžete nakonfigurovat přístup k důvěryhodným službám. Zobrazení přístupu k důvěryhodnému pracovnímu prostoru

Autorizace

Klávesové zkratky ADLS používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje přihlašovací údaje pro zástupce ADLS a veškerý přístup k tomuto zástupci je autorizovaný pomocí těchto přihlašovacích údajů. Podporované delegovaný typy jsou účet organizace, klíč účtu, sdílený přístupový podpis (SAS) a instanční objekt.

  • Účet organizace – musí mít v účtu úložiště roli Čtenář dat objektů blob služby Storage, Přispěvatel dat objektů blob služby Storage nebo Vlastník dat objektů blob služby Storage.
  • Sdílený přístupový podpis (SAS) – musí obsahovat aspoň následující oprávnění: čtení, výpis a spuštění.
  • Instanční objekt – musí mít v účtu úložiště roli Čtenář dat objektů blob služby Storage, Přispěvatel dat objektů blob úložiště nebo Vlastník dat objektů blob úložiště.

Poznámka:

Pro účet úložiště ADLS Gen2 musíte mít povolené hierarchické obory názvů.

Klávesové zkratky S3

Můžete také vytvořit zástupce účtů Amazon S3. Při vytváření zástupců Amazon S3 musí cílová cesta obsahovat minimálně název kontejneru. S3 nativně nepodporuje hierarchické obory názvů, ale k napodobení adresářové struktury můžete použít předpony. Do klávesové zkratky můžete zahrnout předpony pro další zúžení rozsahu dat přístupných prostřednictvím zástupce. Při přístupu k datům prostřednictvím zástupce S3 jsou předpony reprezentovány jako složky.

Access

Klávesové zkratky S3 musí odkazovat na koncový bod https kontejneru S3.

Příklad: https://bucketname.s3.region.amazonaws.com/

Poznámka:

Pro funkci zástupce S3 není nutné zakázat nastavení veřejného přístupu S3 blokovat veřejný přístup.

Přístup ke koncovému bodu S3 nesmí být blokován bránou firewall úložiště ani virtuálním privátním cloudem.

Autorizace

Klávesové zkratky S3 používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje přihlašovací údaje pro zástupce S3 a veškerý přístup k tomuto zástupci je autorizovaný pomocí těchto přihlašovacích údajů. Podporované delegované přihlašovací údaje jsou klíč a tajný klíč pro uživatele IAM.

Uživatel IAM musí mít v kontejneru následující oprávnění, na které zástupce ukazuje.

  • S3:GetObject
  • S3:GetBucketLocation
  • S3:ListBucket

Poznámka:

Klávesové zkratky S3 jsou jen pro čtení. Nepodporují operace zápisu bez ohledu na oprávnění uživatele IAM.

Klávesové zkratky Google Cloud Storage (Preview)

Klávesové zkratky je možné vytvořit ve službě Google Cloud Storage (GCS) pomocí rozhraní XML API pro GCS. Když vytváříte zástupce pro Google Cloud Storage, cílová cesta musí obsahovat minimálně název kontejneru. Rozsah zástupce můžete také omezit zadáním předpony nebo složky, na kterou chcete odkazovat v hierarchii úložiště.

Access

Při konfiguraci připojení pro zástupce GCS můžete zadat globální koncový bod služby úložiště nebo použít konkrétní koncový bod kontejneru.

  • Příklad globálního koncového bodu: https://storage.googleapis.com
  • Příklad koncového bodu konkrétního kontejneru: https://<BucketName>.storage.googleapis.com

Autorizace

Klávesové zkratky GCS používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje přihlašovací údaje pro zástupce GCS a veškerý přístup k tomuto zástupci je autorizovaný pomocí těchto přihlašovacích údajů. Podporované delegované přihlašovací údaje jsou klíč HMAC a tajný klíč pro účet služby nebo uživatelský účet.

Účet musí mít oprávnění pro přístup k datům v kontejneru GCS. Pokud se pro zástupce použil konkrétní koncový bod kontejneru, musí mít účet následující oprávnění:

  • storage.objects.get
  • stoage.objects.list

Pokud se globální koncový bod použil v připojení pro zástupce, musí mít účet také následující oprávnění:

  • storage.buckets.list

Poznámka:

Klávesové zkratky GCS jsou jen pro čtení. Nepodporují operace zápisu bez ohledu na oprávnění použitého účtu.

Klávesové zkratky dataverse

Přímá integrace Dataverse s Microsoft Fabric umožňuje organizacím rozšířit podnikové aplikace Dynamics 365 a obchodní procesy do Fabric. Tato integrace se provádí prostřednictvím zástupců, které je možné vytvořit dvěma způsoby: prostřednictvím portálu pro tvůrce PowerApps nebo přímo prostřednictvím prostředků infrastruktury.

Vytváření zástupců prostřednictvím portálu pro tvůrce PowerApps

Autorizovaní uživatelé PowerApps mají přístup k portálu pro tvůrce PowerApps a používají funkci Odkaz na Microsoft Fabric . Z této jediné akce se v prostředcích infrastruktury vytvoří objekt Lakehouse a klávesové zkratky se pro každou tabulku v prostředí Dataverse automaticky vygenerují. Další informace najdete v tématu Přímá integrace Dataverse s Microsoft Fabric.

Vytváření zástupců prostřednictvím prostředků infrastruktury

Uživatelé prostředků infrastruktury můžou také vytvářet zástupce služby Dataverse. V uživatelském rozhraní pro vytváření zástupců můžou uživatelé vybrat Dataverse, zadat adresu URL prostředí a procházet dostupné tabulky. Toto prostředí umožňuje uživatelům selektivně zvolit, které tabulky se mají přenést do prostředků infrastruktury, a ne přenést do všech tabulek.

Poznámka:

Tabulky Dataverse musí být nejprve k dispozici ve službě Dataverse Managed Lake, aby byly viditelné v uživatelském rozhraní pro vytváření klávesových zkratek v prostředcích infrastruktury. Pokud vaše tabulky nejsou z Prostředků infrastruktury viditelné, použijte funkci Odkaz na Microsoft Fabric z portálu pro tvůrce PowerApps.

Autorizace

Klávesové zkratky dataverse používají delegovaný autorizační model. V tomto modelu tvůrce zástupce určuje přihlašovací údaje pro zástupce Dataverse a veškerý přístup k tomuto zástupci je autorizovaný pomocí těchto přihlašovacích údajů. Podporovaným delegovaným typem přihlašovacích údajů je účet organizace (OAuth2). Účet organizace musí mít oprávnění správce systému pro přístup k datům ve službě Dataverse Managed Lake.

Poznámka:

Instanční objekty se v současné době nepodporují pro autorizaci zástupce dataverse.

Ukládání do mezipaměti

Ukládání zástupců do mezipaměti se dá použít ke snížení nákladů na výchozí přenos dat související s přístupem k datům napříč cloudy. Vzhledem k tomu, že se soubory čtou externím zástupcem, jsou soubory uložené v mezipaměti pro pracovní prostor Fabric. Další požadavky na čtení se obsluhují z mezipaměti, nikoli ze vzdáleného poskytovatele úložiště. Soubory uložené v mezipaměti mají dobu uchovávání 24 hodin. Při každém přístupu k souboru dojde k resetování doby uchovávání. Pokud je soubor ve vzdáleném poskytovateli úložiště novější než soubor v mezipaměti, požadavek se obsluhuje od vzdáleného poskytovatele úložiště a aktualizovaný soubor se uloží do mezipaměti. Pokud k souboru není přístup více než 24 hodin, vymaže se z mezipaměti. Jednotlivé soubory větší než 1 GB se neukládají do mezipaměti.

Poznámka:

Ukládání zástupců do mezipaměti se v současné době podporuje jenom u klávesových zkratek kompatibilních s GCS, S3 a S3.

Pokud chcete povolit ukládání do mezipaměti pro zástupce, otevřete panel nastavení pracovního prostoru. Zvolte kartu OneLake. Přepněte nastavení mezipaměti na Zapnuto a klikněte na Uložit.

Snímek obrazovky s panelem nastavení pracovního prostoru s vybranou kartou OneLake

Jak klávesové zkratky využívají cloudová připojení

Autorizace zástupce ADLS a S3 se deleguje pomocí cloudových připojení. Při vytváření nového zástupce ADLS nebo S3 buď vytvoříte nové připojení, nebo vyberete existující připojení pro zdroj dat. Nastavení připojení pro zástupce je operace vazby. Operaci vazby můžou provádět pouze uživatelé s oprávněním k připojení. Pokud nemáte oprávnění k připojení, nemůžete pomocí připojení vytvářet nové klávesové zkratky.

Oprávnění

Kombinace oprávnění v místní cestě a cílové cestě řídí oprávnění pro zástupce. Když uživatel přistupuje ke zkratce, použije se nejvíce omezující oprávnění těchto dvou umístění. Proto uživatel, který má oprávnění ke čtení a zápisu v lakehouse, ale oprávnění ke čtení v cíli zástupce nemůže zapisovat do cílové cesty zástupce. Stejně tak uživatel, který má oprávnění jen ke čtení v jezeře, ale čtení a zápis v cíli zástupce také nemůže zapisovat do cílové cesty zástupce.

Role pracovního prostoru

Následující tabulka uvádí oprávnění související se zástupcem pro každou roli pracovního prostoru. Další informace najdete v tématu Role pracovního prostoru.

Schopnosti Správa Člen Přispěvatel Prohlížející
Vytvoření zástupce Ano1 Ano1 Ano1 -
Čtení obsahu souboru nebo složky zástupce Ano2 Ano2 Ano2 -
Zápis do cílového umístění zástupce Ano3 Ano3 Ano3 -
Čtení dat z zástupců v části tabulky lakehouse prostřednictvím koncového bodu TDS Ano Ano Ano Yes

1 Uživatelé musí mít roli, která poskytuje oprávnění k zápisu umístění zástupce a alespoň oprávnění ke čtení v cílovém umístění.

2 Uživatelé musí mít roli, která poskytuje oprávnění ke čtení jak v umístění zástupce, tak v cílovém umístění.

3 Uživatelé musí mít roli, která poskytuje oprávnění k zápisu jak v umístění zástupce, tak v cílovém umístění.

Role přístupu k datům OneLake (Preview)

Role přístupu k datům OneLake jsou novou funkcí, která umožňuje použít řízení přístupu na základě role (RBAC) na vaše data uložená ve OneLake. Můžete definovat role zabezpečení, které udělují oprávnění ke čtení konkrétním složkám v rámci položky Infrastruktury a přiřazují je uživatelům nebo skupinám. Přístupová oprávnění určují, které složky uživatelé uvidí při přístupu k zobrazení jezera dat, a to buď prostřednictvím uživatelského rozhraní lakehouse, poznámkových bloků nebo rozhraní OneLake API. U položek s povolenou funkcí Preview určují role přístupu k datům OneLake také přístup uživatele ke zkratce.

Uživatelé v rolích Správa, Člen a Přispěvatel mají úplný přístup ke čtení dat z zástupce bez ohledu na definované role přístupu k datům OneLake. Stále ale potřebují přístup ke zdroji i cíli zástupce, jak je uvedeno v rolích pracovního prostoru.

Uživatelé v roli čtenáře nebo uživatelé, kteří s nimi sdíleli lakehouse, mají přímý přístup omezený na základě toho, jestli má uživatel přístup prostřednictvím role přístupu k datům OneLake. Další informace o modelu řízení přístupu pomocí klávesových zkratek najdete v tématu Model řízení přístupu k datům ve OneLake.

Jak klávesové zkratky zpracovávají odstranění?

Klávesové zkratky neprovádějí kaskádové odstranění. Když provedete operaci odstranění zástupce, odstraníte pouze objekt zástupce. Data v cíli zástupce zůstávají beze změny. Pokud ale provedete operaci odstranění u souboru nebo složky v rámci zástupce a máte oprávnění k provedení operace odstranění, soubory nebo složky se v cíli odstraní. Tuto situaci ukazuje následující příklad.

Příklad odstranění

Uživatel A má jezerní dům s následující cestou:

MyLakehouse\Files\MyShortcut\Foo\Bar

MyShortcut je zástupce, který odkazuje na účet ADLS Gen2, který obsahuje adresáře Foo\Bar .

Odstranění objektu zástupce

Uživatel A provede operaci odstranění na následující cestě:

MyLakehouse\Files\MyShortcut

V tomto případě se MyShortcut odstraní z jezera. Klávesové zkratky neprovádějí kaskádové odstranění, takže soubory a adresáře v účtu ADLS Gen2 zůstávají nedotčené.

Odstranění obsahu odkazovaného zástupcem

Uživatel A provede operaci odstranění na následující cestě:

MyLakehouse\Files\MyShortcut\Foo\Bar

Pokud má uživatel A v účtu ADLS Gen2 oprávnění k zápisu, odstraní se z účtu ADLS Gen2 adresář pruhu .

Zobrazení rodokmenu pracovního prostoru

Při vytváření zkratek mezi více položkami infrastruktury v pracovním prostoru můžete vizualizovat vztahy zástupců prostřednictvím zobrazení rodokmenu pracovního prostoru. Vyberte tlačítko zobrazení rodokmenu () v pravém horním rohu Průzkumníka pracovních prostorů.

Snímek obrazovky zobrazení rodokmenu

Poznámka:

Zobrazení rodokmenu je vymezeno na jeden pracovní prostor. Zástupci umístění mimo vybraný pracovní prostor se nezobrazí.

Omezení a důležité informace

  • Maximální počet zástupců na položku Fabric je 100 000. V tomto kontextu položka termínu odkazuje na: aplikace, jezeře, sklady, sestavy a další.
  • Maximální počet zkratek v jedné cestě OneLake je 10.
  • Maximální počet přímých zkratek pro klávesové zkratky je 5.
  • Cílové cesty ADLS a S3 nemůžou obsahovat žádné rezervované znaky z dokumentu RFC 3986 oddílu 2.2. Povolené znaky naleznete v dokumentu RFC 3968 oddíl 2.3.
  • Názvy zástupců OneLake, nadřazené cesty a cílové cesty nemohou obsahovat znaky %nebo +.
  • Klávesové zkratky nepodporují jiné znaky než latinku.
  • Kopírování rozhraní API objektů blob není podporováno pro zástupce ADLS nebo S3.
  • Funkce kopírování nefunguje u zástupců, které přímo odkazují na kontejnery ADLS. Doporučujeme vytvořit zástupce ADLS pro adresář, který je alespoň na jedné úrovni pod kontejnerem.
  • Další klávesové zkratky se nedají vytvořit uvnitř zástupců ADLS ani S3.
  • Rodokmen pro zástupce datových skladů a sémantických modelů není v současné době k dispozici.

Související obsah