Unterstützte Szenarien und Einschränkungen für private Links auf Arbeitsbereichsebene

Private Links auf Arbeitsbereichsebene in Microsoft Fabric bieten eine sichere Möglichkeit, eine Verbindung zu bestimmten Arbeitsbereichsressourcen über ein privates Netzwerk herzustellen. In diesem Artikel wird erläutert, welche Szenarien und Elementtypen unterstützt werden, welche aktuellen Einschränkungen gelten, und bietet Anleitungen zu bewährten Methoden und zur Problembehandlung für die Verwendung privater Links auf Arbeitsbereichsebene.

Unterstützte Elementtypen für private Verknüpfungen auf Arbeitsbereichsebene

Sie können private Links auf Arbeitsbereichsebene verwenden, um eine Verbindung mit den folgenden Elementtypen in Fabric herzustellen:

• Lakehouse, SQL-Endpunkt, Verknüpfung
• Direkte Verbindung über OneLake-Endpunkt
• Notizbuch, Spark-Auftragsdefinition, Umgebung
• Experiment zum maschinellen Lernen, Modell des maschinellen Lernens
• Rohrleitung
• Kopierauftrag
• Eingehängte Datenfabrik
• Lagerhalle
• Dataflows Gen2 (CI/CD)
• Variable Library
• Gespiegelte Datenbanken
• Ereignisstrom
• Eventhouse

Hinweise zu nicht unterstützten Elementtypen

Die folgenden Elementtypen werden derzeit nicht in Arbeitsbereichen unterstützt, die mit privaten Links auf Arbeitsbereichsebene aktiviert sind:

• Bereitstellungspipelines

Wenn ein Arbeitsbereich nicht unterstützte Elementtypen enthält, kann der eingehende öffentliche Zugriff für den Arbeitsbereich nicht eingeschränkt werden, auch wenn der private Link auf Arbeitsbereichsebene eingerichtet ist.

Wenn ein Arbeitsbereich bereits zum Einschränken des eingehenden öffentlichen Zugriffs konfiguriert ist, können nicht unterstützte Elementtypen in diesem Arbeitsbereich nicht erstellt werden.

Beachten Sie bei der Arbeit mit nicht unterstützten Elementtypen die folgenden Überlegungen.

• Bereitstellungspipelinen: Wenn einem Arbeitsbereich eine Bereitstellungspipeline zugewiesen ist, kann er nicht so konfiguriert werden, dass der öffentliche Zugriff blockiert wird, da Bereitstellungspipelines derzeit keine privaten Links auf Arbeitsbereichsebene unterstützen.

Verwaltungsoptionen für unterstützte Elementtypen

In diesem Abschnitt wird beschrieben, wie Sie unterstützte Elementtypen in Arbeitsbereichen verwalten können, die mit privaten Links aktiviert sind, entweder über das Fabric Portal oder REST-APIs.

Fabric Core-Unterstützung

APIs mit Endpunkten, die v1/workspaces/{workspaceId} enthalten, unterstützen private Links auf Arbeitsbereichsebene, da sie im Kontext eines bestimmten Arbeitsbereichs betrieben werden. Im Gegensatz dazu verwenden Admin-APIs admin/workspaces/{workspaceId} in ihren Endpunkten und sind nicht durch private Links auf Arbeitsbereichsebene abgedeckt. Administrator-APIs bleiben auch für eingeschränkte Arbeitsbereiche zugänglich, da die Einstellung auf Mandantenebene zum Blockieren des öffentlichen Zugriffs sie steuert.

• Elemente – REST-API (Core): Überprüfen Sie auch einzelne Elementtypen auf Details.
• Ordner – REST-API (Core)
• Git – REST-API (Core)
• Verwaltete private Endpunkte – REST-API (Core)
• Auftragsplanung – REST-API (Core)
• OneLake Data Access Security – Erstellen oder Aktualisieren von Datenzugriffsrollen – REST-API (Core)
• OneLake Shortcuts – REST-API (Core)
  • Aus einem eingeschränkten Arbeitsbereich können Sie Verknüpfungen zu anderen Datenquellen wie externem Speicher oder über vertrauenswürdigen Zugriff erstellen.
  • Wenn Sie eine Verknüpfung zu einem anderen eingeschränkten Arbeitsbereich erstellen, müssen Sie einen verwalteten privaten Endpunkt erstellen und die Genehmigung vom Besitzer des privaten Linkdiensts für den Zielarbeitsbereich in Azure erhalten. Weitere Informationen finden Sie unter "Arbeitsbereichübergreifende Kommunikation".
  • Shortcut-Transformationen werden derzeit in beschränkten Arbeitsbereichen nicht unterstützt.
• Tags – REST-API (Core)
• Arbeitsbereiche – REST-API (Core)
• Anbieter für externe Datenfreigaben – REST-API (Core):Der Empfänger muss den vollqualifizierten Domänennamen (FQDN) des Arbeitsbereichs verwenden, um auf die freigegebene OneLake-URL zuzugreifen.

Lakehouse-Unterstützung

Erstellen und Verwalten Sie Lakehouses in Arbeitsbereichen, die mit privaten Verknüpfungen aktiviert sind, mithilfe des Fabric Portals oder der REST-APIs.

Materialisierte Sichtunterstützung (Vorschau)

Verwenden Sie Fabric Portal- oder REST-APIs in Arbeitsbereichen, die mit privaten Links aktiviert sind, um materialisierte Seeansichten in Lakehouse zu aktualisieren. Diese Funktion befindet sich in der Vorschauversion.

Lagerunterstützung

Erstellen und verwalten Sie Speicher in mit privaten Links aktivierten Arbeitsbereichen mithilfe des Fabric-Portals oder von REST-APIs.

Um die Lager-Verbindungszeichenfolge mit einem arbeitsbereichsspezifischen privaten Link zu verwenden, fügen Sie z{xy} zur regulären Lager-Verbindungszeichenfolge hinzu. Beispiel:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Mithilfe des Warehouse-connection string können Sie auch über den SQL Tabular Data Stream (TDS)-Endpunkt in Tools wie SQL Server Management Studio auf ein Lager zugreifen.

SQL-Endpunktunterstützung

Suchen Sie die Verbindungszeichenfolge des Arbeitsbereichs für einen SQL-Endpunkt mithilfe des Fabric-Portals oder der REST-API.

Notebook-Unterstützung

Verwalten Sie Notizbücher in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe der Fabric Portal- oder REST-APIs.

Livy-Endpunktunterstützung

Verwenden Sie das Fabric Portal oder APIs in Arbeitsbereichen, die mit privaten Links aktiviert sind, um Anweisungen zu erstellen und auszuführen oder Batchaufträge mit Livy-Endpunkten auszuführen.

Ein Livy Sitzungsauftrag richtet eine Spark-Sitzung ein, die für die Dauer Ihrer Interaktion mit der Livy-API aktiv bleibt. Livy-Sitzungen eignen sich ideal für interaktive Workloads. Die Sitzung beginnt, wenn Sie einen Auftrag übermitteln und verfügbar bleiben, bis Sie ihn explizit beenden oder das System sie nach 20 Minuten Inaktivität beendet. Mehrere Aufträge können innerhalb derselben Sitzung ausgeführt werden, wobei Zustände und zwischengespeicherte Daten gemeinsam genutzt werden.

Ein Livy Batch-Job umfasst das Einreichen einer Spark-Anwendung für eine einmalige Ausführung. Im Gegensatz zu einem Livy-Sitzungsauftrag verwaltet ein Batchauftrag keine persistente Spark-Sitzung. Jeder Livy Batchauftrag startet eine neue Spark-Sitzung, die endet, wenn der Auftrag abgeschlossen ist. Diese Methode eignet sich für Aufgaben, die nicht von zwischengespeicherten Daten abhängen oder den Zustand zwischen Aufträgen pflegen müssen.

Unterstützung der Spark-Auftragsdefinition

Verwenden Sie das Fabric Portal oder die APIs in Arbeitsbereichen, die mit privaten Links aktiviert sind, um Spark-Auftragsdefinitionselemente zu erstellen, zu lesen, zu aktualisieren und zu löschen.

Umgebungsunterstützung

Verwalten Sie Umgebungen in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals, oder verwenden Sie Environment-REST-APIs zum Erstellen, Lesen, Aktualisieren und Löschen von Umgebungselementen.

Unterstützung für maschinelle Lernexperimente

Verwalten Sie Machine Learning-Experimente in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric Portals oder der REST-API.

Unterstützung von Maschinenlernmodellen

Verwalten von Machine Learning-Modellen in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe der Items - REST API (MLModel).

Pipeline-, Kopierjob- und Unterstützung für eingebundene Datenfabrik

Verwalten Sie Pipelines, Kopieraufträge und eingebundene Datenfabriken in Arbeitsbereichen, die für private Links aktiviert sind, mithilfe des Fabric-Portals oder der folgenden REST-APIs.

Die folgenden Szenarien werden nicht unterstützt:

• Die Arbeitsbereichs-Staging wird für Fabric Data Warehouse, Snowflake oder Teradata Connectors in Kopiervorgang und Kopierauftrag nicht unterstützt. Verwenden Sie externes Staging als Alternative.
• Kopieren in Eventhouse wird nicht unterstützt.

Eventstream-Unterstützung

Verwalten Sie Ereignisstreams in Arbeitsbereichen, die mit privaten Links aktiviert sind, indem Sie das Fabric Portal oder REST-APIs verwenden, um Ereignisstreamelemente zu erstellen und deren Topologie anzuzeigen.

Ereignisstream-APIs verwenden eine graphähnliche Struktur, um ein Eventstream-Element zu definieren, das aus vier Komponenten besteht: Quelle, Ziel, Operator und Stream.

Derzeit unterstützt Eventstream nur Workspace-Private Link für einen begrenzten Satz von Quellen und Zielen. Wenn Sie eine nicht unterstützte Komponente in die Eventstream-API-Nutzlast einschließen, schlägt die Anforderung möglicherweise fehl.

Die folgenden Szenarien werden nicht unterstützt:

• Benutzerdefinierter Endpunkt als Quelle wird nicht unterstützt.
• Benutzerdefinierter Endpunkt als Ziel wird nicht unterstützt.
• Eventhouse als Ziel (mit direktem Aufnahmemodus) wird nicht unterstützt.
• Aktivierer als Ziel wird nicht unterstützt.

Eventhouse-Support

Verwalten Sie Event-Hubs in Arbeitsbereichen, die für die Nutzung privater Links konfiguriert sind, mithilfe des Fabric-Portals oder der REST-API.

Die folgenden Szenarien werden nicht unterstützt:

• Verwenden von Ereignissen aus Eventstreams
• SQL Server TDS-Endpunkte

Unterstützung von Dataflows Gen2 (CI/CD)

Verwalten Sie Dataflows Gen2 in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric Portals oder der REST-API.

Eine Verbindung, die auf einem virtuellen Netzwerkdatengateway basiert, muss verwendet werden, auch im Ausgabeort. Das Datengateway für virtuelle Netzwerke muss sich im selben virtuellen Netzwerk wie der private Verknüpfungsendpunkt auf Arbeitsbereichsebene befinden, der vom Arbeitsbereich verwendet wird.

Power Platform Dataflow Connector: Wenn ein Arbeitsbereich private Links aktiviert hat und der öffentliche Zugriff verweigert wurde, für alle zwei Datenflüsse in diesem Arbeitsbereich (Dataflow A und Dataflow B), kann keiner der Datenflüsse mithilfe des Power Platform Dataflow-Connectors eine Verbindung mit dem anderen Datenfluss herstellen, da der Datenfluss nicht im Navigator angezeigt wird.

Unterstützung der Variablenbibliothek

Verwalten Von Variablenbibliotheken in Arbeitsbereichen, die mit privaten Links aktiviert sind, verwenden Sie dazu das Fabric Portal oder die REST-API.

Unterstützung für gespiegelte Datenbanken

Sie können gespiegelte Datenbanken in Arbeitsbereichen verwalten, die mit privaten Links aktiviert sind, indem Sie das Fabric Portal oder die REST-API verwenden.

Azure- und Fabric-Ereignisunterstützung

Wenn private Links auf Arbeitsbereichsebene für einen Arbeitsbereich konfiguriert sind, um den öffentlichen Zugriff zu blockieren, können Verbraucher von Ereignissen (z. B. Aktivatorbenachrichtigungen oder Ereignisstreams) in anderen Arbeitsbereichen keine Ereignisse von Elementen in diesem Arbeitsbereich abonnieren oder nutzen, es sei denn, ein privater Link wird aus dem Netzwerk des Verbrauchers zum Quellarbeitsbereich (dem Arbeitsbereich, in dem die Ereignisse stammen) eingerichtet.

Dies gilt für alle Fabric Ereignistypen. Wenn Sie beispielsweise eine Aktivatorbenachrichtigung in Arbeitsbereich A erstellen, um OneLake-Ereignisse aus einem Seehaus in Workspace B zu überwachen, ist Workspace B der Quellarbeitsbereich. Wenn Arbeitsbereich B den Zugriff auf öffentliche Netzwerke blockiert, schlägt diese Konfiguration fehl, es sei denn, eine private Verknüpfung wird aus dem Netzwerk von Arbeitsbereich A zu Arbeitsbereich B hergestellt.

Azure Ereignisse (z. B. Azure Blob Storage Ereignisse) sind ebenfalls betroffen. Wenn Sie einen Consumer so konfigurieren, dass Azure Ereignisse empfangen werden, wird ein Ereignisstreamelement in einem Fabric Arbeitsbereich erstellt, der die Azure Quelle darstellt. Wenn der Arbeitsbereich, der dieses Eventstream-Element enthält, den Zugriff auf öffentliche Netzwerke blockiert, können Verbraucher in anderen Arbeitsbereichen diese Ereignisse nur nutzen, wenn eine private Verknüpfung eingerichtet ist. Darüber hinaus sind Azure Ereignisse von der Konfiguration für private Verknüpfungen auf Mandantenebene betroffen. Wenn die Einstellung Block Public Internet Access Mandanten aktiviert ist, werden Azure Ereignisquellen außerhalb des Mandanten daran gehindert, Ereignisse vollständig in Fabric zu übermitteln, unabhängig von Einstellungen auf Arbeitsbereichsebene.

Die Ereignisnutzung innerhalb desselben Arbeitsbereichs ist unabhängig von den Einstellungen für private Links immer zulässig. Wenn sich die Einstellungen für private Links auf Arbeitsbereichsebene ändern, nachdem ein Consumer bereits konfiguriert wurde, erkennt das System die Änderung und hält die Konfiguration an. Während der Pause werden Ereignisse für bis zu 7 Tage aufbewahrt. Ausführliche Informationen zu angehaltenen Konfigurationen finden Sie unter " Angehaltene Ereigniskonfigurationen" in Real-Time Hub.

Weitere Informationen finden Sie unter Private-Links für Azure und Fabric Ereignisse.

Unterstützte und nicht unterstützte Verwaltungstools

• Sie können entweder das Fabric-Portal oder die REST-API verwenden, um alle unterstützten Elementtypen zu verwalten in Arbeitsbereichen mit aktivierten privaten Arbeitsbereichslinks. Wenn ein Arbeitsbereich den öffentlichen Zugriff zulässt, funktioniert das Fabric-Portal weiterhin mithilfe der öffentlichen Konnektivität. Wenn ein Arbeitsbereich so konfiguriert ist, dass der eingehende öffentliche Zugriff verweigert wird, können Sie nur dann im Fabric Portal darauf zugreifen, wenn die Anforderung vom zugeordneten privaten Endpunkt des Arbeitsbereichs stammt. Wenn der Zugriff über die öffentliche Konnektivität oder von einem anderen privaten Endpunkt versucht wird, zeigt das Fabric Portal eine Meldung "Zugriff eingeschränkt" an.
• Direkte Deeplinks zu einer Monitoring Hub Level 2 (L2)-Seite funktionieren möglicherweise nicht wie erwartet, wenn private Links auf Arbeitsbereichsebene verwendet werden. Sie können auf die Seite L2 zugreifen, indem Sie zuerst im Fabric-Portal zur Seite "Ebene 1 (L1)" des Überwachungshubs navigieren.
• SQL Server Management Studio (SSMS) wird für die Verbindung mit Lagerhäusern über private Verknüpfungen auf Arbeitsbereichsebene unterstützt.
• Der Storage Explorer kann mit privaten Links auf Arbeitsbereichsebene verwendet werden.
• Azure Storage Explorer, PowerShell, AzCopy und andere Azure Storage Tools können über einen privaten Link eine Verbindung mit OneLake herstellen.
• Um den OneLake-Datei-Explorer zu verwenden, müssen Sie Zugriff auf Ihren Mandanten haben, entweder über öffentlichen Zugriff oder über einen privaten Mandantenlink.

Überlegungen und Einschränkungen

• Das Feature für private Verknüpfungen auf Arbeitsbereichsebene wird nur in einer Fabric-Kapazität (F-SKU) unterstützt. Andere Kapazitäten wie Premium (P SKU) und Testkapazitäten werden nicht unterstützt.
• Ein Arbeitsbereich kann nicht gelöscht werden, wenn ein vorhandener privater Linkdienst dafür eingerichtet ist.
• Pro Arbeitsbereich kann nur ein privater Linkdienst erstellt werden, und jeder Arbeitsbereich kann nur einen privaten Linkdienst haben. Für einen einzelnen privaten Linkdienst können jedoch mehrere private Endpunkte erstellt werden.
• Der Grenzwert privater Endpunkte für einen Arbeitsbereich beträgt 100. Erstellen Sie ein Supportticket, wenn Sie diesen Grenzwert erhöhen müssen.
• Begrenzung der Anzahl von Arbeitsbereichen, die Sie pro Mandant erstellen können: 500. Erstellen Sie ein Supportticket, wenn Sie diesen Grenzwert erhöhen müssen.
• Bis zu 10 Private Link Services für Arbeitsbereiche können pro Minute erstellt werden.
• Die Fabric Portalbenutzeroberfläche unterstützt derzeit nicht sowohl das Aktivieren des eingehenden Schutzes (private Links auf Arbeitsbereichsebene) als auch den Schutz vor ausgehendem Zugriff gleichzeitig für einen Arbeitsbereich. Um beide Einstellungen zusammen zu konfigurieren, verwenden Sie die Arbeitsbereiche – Festlegen der Netzwerkkommunikationsrichtlinien-API, die die vollständige Verwaltung von Eingehenden und ausgehenden Schutzrichtlinien ermöglicht.
• Für Data Engineering-Workloads:
  • Zum Abfragen von Lakehouse-Dateien oder -Tabellen aus einem Arbeitsbereich mit aktiviertem privaten Link auf Arbeitsbereichsebene müssen Sie eine arbeitsbereichübergreifende verwaltete private Endpunktverbindung erstellen, um auf Ressourcen im anderen Arbeitsbereich zuzugreifen.
  • Sie können entweder relative oder vollständige Pfade verwenden, um Dateien oder Tabellen innerhalb desselben Arbeitsbereichs abzufragen, oder sie können eine arbeitsbereichübergreifende verwaltete private Endpunktverbindung verwenden, um von einem anderen Arbeitsbereich aus darauf zuzugreifen. Wenn Sie Dateien in einem Lakehouse lesen möchten, das sich in einem anderen Arbeitsbereich befindet, verwenden Sie einen vollqualifizierten Pfad, der die Arbeitsbereichs-ID und die Lakehouse-ID enthält (nicht deren Anzeigenamen). Mit diesem Ansatz wird sichergestellt, dass die Spark-Sitzung den Pfad korrekt auflösen kann und Socket-Timeout-Fehler vermieden werden. Erfahren Sie mehr.
• Aktuelle Einschränkungen für Private Link mit einem Eventhouse:
  • Copilot-Funktionen: Bei Machine-Learning-Workloads kann es aufgrund einer bekannten Regression zu eingeschränkter Funktionalität kommen.
  • Eventstream-Pull: Eventstream-Workloads unterstützen derzeit keine vollständige Abfragefunktionalität.
  • Fabric unterstützt derzeit keine Azure Event Hubs Integration.
  • Die Aufnahme in die Warteschlange über OneLake ist derzeit nicht verfügbar.

• Die Registerkarte OneLake Catalog - Govern ist nicht verfügbar, wenn Private Link aktiviert ist.
• OneLake Security wird derzeit nicht unterstützt, wenn ein privater Link auf Arbeitsbereichsebene für einen Arbeitsbereich aktiviert ist.
• Die Arbeitsbereichüberwachung wird derzeit nicht unterstützt, wenn ein privater Link auf Arbeitsbereichsebene für einen Arbeitsbereich aktiviert ist.

Häufige Fehler und Problembehandlung

Die Anforderung wurde von der Eingangsrichtlinie abgelehnt.

Wenn Sie versuchen, auf einen Arbeitsbereich zuzugreifen, der für die Einschränkung des öffentlichen Zugriffs konfiguriert ist, tritt der folgende Fehler auf:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Ursache: Dieser Fehler tritt auf, wenn die Anforderung von einem Netzwerkstandort aus erfolgt, den die Kommunikationsrichtlinie des Arbeitsbereichs nicht zulässt.

• Entschärfung:

  1. Überprüfen Sie, ob Sie sich im zulässigen Netzwerkbereich befinden.
  2. Wenn Sie einen privaten Link auf Arbeitsbereichsebene verwenden, um auf den Arbeitsbereich zuzugreifen, stellen Sie sicher, dass Sie den FQDN des Arbeitsbereichs verwenden.

Nicht unterstützte Elemente in einem Arbeitsbereich

Wenn Sie versuchen, einen Arbeitsbereich zum Einschränken des öffentlichen Zugriffs festzulegen, tritt der folgende Fehler auf:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Ursache: Dieser Fehler tritt auf, da der Arbeitsbereich mindestens ein Element enthält, das nicht mit privaten Links auf Arbeitsbereichsebene kompatibel ist. Daher können Sie den Arbeitsbereich nicht so konfigurieren, dass der öffentliche Zugriff eingeschränkt wird.

• Entschärfung: Löschen Sie die nicht unterstützten Elemente in diesem Arbeitsbereich, oder verwenden Sie stattdessen einen anderen Arbeitsbereich.

Verwandte Inhalte

• Informationen zu privaten Links
• Einrichten und Verwenden privater Links auf Arbeitsbereichsebene