Escenarios y limitaciones admitidos para vínculos privados de nivel de área de trabajo

Los vínculos privados de nivel de área de trabajo en Microsoft Fabric proporcionan una manera segura de conectarse a recursos específicos del área de trabajo a través de una red privada. En este artículo se explican qué escenarios y tipos de elementos se admiten, se resaltan las limitaciones actuales y se ofrecen instrucciones sobre los procedimientos recomendados y la solución de problemas para usar vínculos privados de nivel de área de trabajo.

Tipos de elementos admitidos para el vínculo privado a nivel de área de trabajo

Puede usar vínculos privados de nivel de área de trabajo para conectarse a los siguientes tipos de elementos en Fabric:

• Lakehouse, punto de conexión de SQL, acceso directo
• Conexión directa a través de un punto de conexión de OneLake
• Cuaderno, definición de trabajo de Spark, Entorno
• Experimento de aprendizaje automático, modelo de aprendizaje automático
• Pipeline
• Copiar trabajo
• Data Factory montado
• Almacén
• Flujos de datos Gen2 (CI/CD)
• Biblioteca de variables
• Base de datos reflejada
• Eventstream
• Centro de eventos

Notas sobre los tipos de elementos no admitidos

Los siguientes tipos de elementos no se admiten actualmente en áreas de trabajo habilitadas con vínculos privados de nivel de área de trabajo:

• Tuberías de despliegue

Si un área de trabajo contiene tipos de elementos no admitidos, el acceso público entrante no se puede restringir para el área de trabajo, incluso si está configurado el vínculo privado de nivel de área de trabajo.

De forma similar, si un área de trabajo ya está configurada para restringir el acceso público entrante, no se pueden crear tipos de elementos no admitidos en esa área de trabajo.

Al trabajar con tipos de elementos no admitidos, tenga en cuenta las consideraciones siguientes.

• Canalizaciones de implementación: Cuando se asigna un área de trabajo a una canalización de implementación, no se puede configurar para bloquear el acceso público, ya que las canalizaciones de implementación no admiten actualmente vínculos privados de nivel de área de trabajo.

Opciones de administración para los tipos de elementos admitidos

En esta sección se describe cómo puede administrar los tipos de elementos admitidos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

compatibilidad con Fabric Core

APIs con endpoints que contienen v1/workspaces/{workspaceId} son compatibles con vínculos privados a nivel de área de trabajo porque operan dentro del contexto de un espacio de trabajo específico. Por el contrario, las API de administración usan admin/workspaces/{workspaceId} en sus puntos de conexión y no están cubiertas por vínculos privados de nivel de área de trabajo. Las API de administración siguen siendo accesibles incluso para áreas de trabajo restringidas, ya que la configuración de nivel de inquilino para bloquear el acceso público las rige.

• Items - REST API (Core): compruebe también los tipos de elementos individuales para obtener más información.
• Carpetas: API REST (Core)
• Git: API REST (Core)
• Puntos de conexión privados administrados: API REST (Core)
• Programador de trabajos: API REST (Core)
• Seguridad de acceso a datos oneLake: creación o actualización de roles de acceso a datos: API REST (Core)
• Accesos directos de OneLake: API REST (Core)
  • Desde un área de trabajo restringida, puede crear accesos directos a otros orígenes de datos, como el almacenamiento externo, o a través del acceso confiable.
  • Al crear un acceso directo a otro área de trabajo restringida, debe crear un punto de conexión privado administrado y obtener la aprobación del propietario del servicio private link del área de trabajo de destino en Azure. Para obtener más información, consulte Comunicación entre áreas de trabajo.
  • Las transformaciones de acceso directo no se admiten actualmente en áreas de trabajo restringidas.
• Etiquetas: API REST (Core)
• Áreas de trabajo: API REST (Core)
• Proveedor de recursos compartidos de datos externos - API REST (Core): el destinatario debe usar el nombre de dominio completo (FQDN) del área de trabajo para acceder a la dirección URL compartida de OneLake.

Soporte técnico de Lakehouse

Cree y administre Lakehouses en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Compatibilidad con vistas de lago materializadas (versión preliminar)

Use Fabric portal o API REST en áreas de trabajo habilitadas con vínculos privados para actualizar las vistas materializadas del lago en Lakehouse. Esta característica se encuentra en versión preliminar.

Apoyo al almacén

Cree y administre almacenes en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Para utilizar la cadena de conexión del almacén con un vínculo privado a nivel de espacio de trabajo, agregue z{xy} a la cadena de conexión del almacén normal. Por ejemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obtener la cadena de conexión del servicio de enlace privado del área de trabajo para un almacén: Get Connection String - API REST (Warehouse)

Con la cadena de conexión de almacén, también puede acceder a un almacén de datos a través del punto de conexión SQL Tabular Data Stream (TDS) en herramientas como SQL Server Management Studio. Todos los puntos de conexión SQL y almacenes de datos de un área de trabajo comparten el mismo nombre de host de cadena de conexión para la conectividad TDS. Al usar la API REST para recuperar la cadena de conexión, use la marca privateLinkType=Workspace para obtener la cadena de conexión del vínculo privado del área de trabajo.

Soporte para puntos de conexión de SQL

Para usar la cadena de conexión de SQL con un enlace privado a nivel de espacio de trabajo, agregue z{xy} a la cadena de conexión normal de SQL. Por ejemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obtener la cadena de conexión del servicio de vínculo privado del punto de conexión SQL del área de trabajo: Items - obtener cadena de conexión (punto de conexión SQL)

Compatibilidad con portátiles

Administre cuadernos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Soporte para puntos de conexión de Livy

Use el portal de Fabric o las API en áreas de trabajo habilitadas con vínculos privados para crear y ejecutar instrucciones o ejecutar trabajos por lotes mediante puntos de conexión de Livy.

Un trabajo de sesión de Livy establece una sesión de Spark que permanece activa durante la interacción con la API de Livy. Las sesiones de Livy son ideales para cargas de trabajo interactivas. La sesión se inicia al enviar un trabajo y permanece disponible hasta que usted la termina explícitamente o el sistema la termina después de 20 minutos de inactividad. Varios trabajos se pueden ejecutar dentro de la misma sesión, compartir el estado y los datos almacenados en caché.

Un trabajo por lotes de Livy implica enviar una aplicación spark para una sola ejecución. A diferencia de un trabajo de sesión de Livy, un trabajo por lotes no mantiene una sesión de Spark persistente. Cada trabajo por lotes de Livy inicia una nueva sesión de Spark que finaliza cuando se completa el trabajo. Este método es adecuado para las tareas que no dependen de los datos almacenados en caché o requieren que se mantenga el estado entre trabajos.

Soporte para la definición de trabajos de Spark

Use el portal de Fabric o las API de las áreas de trabajo habilitadas con vínculos privados para crear, leer, actualizar y eliminar elementos de definición de trabajo de Spark.

Soporte para entornos

Administre entornos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o use las API REST de entorno para crear, leer, actualizar y eliminar elementos de entorno.

Compatibilidad con experimentos de Aprendizaje automático

Administre experimentos de aprendizaje automático en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Compatibilidad con modelos de Machine Learning

Administre modelos de aprendizaje automático en áreas de trabajo habilitadas con vínculos privados mediante la API REST de Items (MLModel).

Compatibilidad con el pipeline, la tarea de copia y la Fábrica de Datos acoplada.

Administrar canalizaciones, copiar trabajos y factorías de datos montadas en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las siguientes API REST.

No se admiten los siguientes escenarios:

• El almacenamiento provisional del área de trabajo no se admite para conectores de Fabric Data Warehouse, Snowflake o Teradata en actividad de copia y trabajo de copia. Use el almacenamiento provisional externo como alternativa.
• No se admite la copia en Eventhouse.

Compatibilidad con EventStream

Administre secuencias de eventos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST para crear elementos de flujo de eventos y ver su topología.

Las API de Eventstream usan una estructura similar a un grafo para definir un elemento eventstream, que consta de cuatro componentes: origen, destino, operador y secuencia.

Actualmente, Eventstream solo admite workspace Private Link para un conjunto limitado de orígenes y destinos. Si incluye un componente no compatible en la carga de eventstream API, la solicitud puede producir un error.

No se admiten los siguientes escenarios:

• No se admite el punto de conexión personalizado como origen.
• No se admite el punto de conexión personalizado como destino.
• No se admite Eventhouse como destino (con modo de ingesta directa).
• No se admite el activador como destino.

Compatibilidad con Eventhouse

Administre centros de eventos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

No se admiten los siguientes escenarios:

• Consumo de eventos de Eventstreams
• puntos de conexión de TDS de SQL Server

Compatibilidad con Flujos de datos Gen2 (CI/CD)

Administre Flujos de datos Gen2 en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Se debe usar una conexión basada en una puerta de enlace de datos de red virtual, incluido en el destino de salida. La puerta de enlace de datos de la red virtual debe residir en la misma red virtual que el punto de conexión de vínculo privado a nivel del área de trabajo utilizado por el área de trabajo.

Conector de flujo de datos de Power Platform: cuando un área de trabajo tiene habilitados los vínculos privados del área de trabajo y el acceso público denegado, para los dos flujos de datos de esa área de trabajo (flujo de datos A y flujo de datos B), ninguno de los flujos de datos podrá conectarse al otro flujo de datos mediante el conector de flujo de datos de Power Platform, ya que el flujo de datos no aparecerá en el navegador.

Compatibilidad con la biblioteca de variables

Administre bibliotecas de variables en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Compatibilidad con bases de datos en espejo

Puede administrar bases de datos reflejadas en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Compatibilidad con eventos Azure y Fabric

Cuando los vínculos privados de nivel de área de trabajo están configurados en un área de trabajo para bloquear el acceso público, los consumidores de eventos (como alertas de Activator o secuencias de eventos) en otras áreas de trabajo no pueden suscribirse ni consumir eventos de elementos de esa área de trabajo a menos que se establezca un vínculo privado desde la red del consumidor al área de trabajo de origen (el área de trabajo donde se originan los eventos).

Esto se aplica a todos los tipos de eventos Fabric. Por ejemplo, si crea una alerta de Activator en el área de trabajo A para supervisar eventos de OneLake desde un lakehouse en el área de trabajo B, el área de trabajo B es el área de trabajo de origen. Si el área de trabajo B bloquea el acceso a la red pública, esta configuración produce un error a menos que se establezca un vínculo privado desde la red del área de trabajo A al área de trabajo B.

Azure eventos (como eventos Azure Blob Storage) también se ven afectados. Al configurar un consumidor para recibir eventos de Azure, se crea un elemento eventstream en un área de trabajo de Fabric para representar el origen de Azure. Si el área de trabajo que contiene este elemento de eventstream bloquea el acceso a la red pública, los consumidores de otras áreas de trabajo no pueden consumir esos eventos a menos que se establezca un vínculo privado. Además, los eventos de Azure se ven afectados por la configuración de vínculo privado a nivel de inquilino — cuando se habilita la opción de inquilino Block Public Internet Access, los orígenes de eventos de Azure que están fuera del inquilino quedan completamente bloqueados para entregar eventos en Fabric, independientemente de las configuraciones a nivel de área de trabajo.

Siempre se permite el consumo de eventos dentro de la misma área de trabajo, independientemente de la configuración del vínculo privado. Si la configuración del vínculo privado de nivel de área de trabajo cambia después de que un consumidor ya esté configurado, el sistema detecta el cambio y pausa la configuración. Mientras está en pausa, los eventos se conservan durante un máximo de 7 días. Para obtener más información sobre las configuraciones en pausa, consulte Configuraciones de eventos en pausa en el concentrador en tiempo real.

Para obtener más información, vea enlaces privados para Azure y eventos de Fabric.

Herramientas de administración admitidas y no admitidas

• Puede usar el portal de Fabric o la API REST para administrar todos los tipos de elementos compatibles en áreas de trabajo con vínculos privados del área de trabajo habilitadas. Cuando un área de trabajo permite el acceso público, el portal de Fabric sigue funcionando mediante la conectividad pública. Si un área de trabajo está configurada para denegar el acceso público entrante, puede acceder a ella en el portal de Fabric solo cuando la solicitud se origina desde el punto de conexión privado asociado del área de trabajo. Si se intenta acceder desde la conectividad pública o desde un punto de conexión privado diferente, el portal de Fabric muestra un mensaje "Acceso restringido".
• Es posible que los vínculos profundos directos a una página de nivel 2 (L2) del hub de supervisión no funcionen según lo previsto al usar enlaces privados a nivel de espacio de trabajo. Para acceder a la página L2, primero vaya a la página Nivel 1 (L1) del centro de supervisión en el portal de Fabric.
• Se admite el uso de SQL Server Management Studio (SSMS) para conectarse a almacenes a través de un enlace privado a nivel de espacio de trabajo.
• Explorador de Storage se puede usar con vínculos privados de nivel de espacio de trabajo.
• Explorador de Azure Storage, PowerShell, AzCopy y otras herramientas de Azure Storage pueden conectarse a OneLake a través de un vínculo privado.
• Para usar el Explorador de archivos de OneLake, debe tener acceso al inquilino, ya sea a través del acceso público o de un vínculo privado de inquilino.

Consideraciones y limitaciones

• La característica de enlace privado a nivel de área de trabajo solo se admite en una capacidad de Fabric (SKU F). No se admiten otras capacidades, como la premium (SKU P) y las capacidades de prueba.
• No se puede eliminar un área de trabajo si ya se ha configurado un servicio de vínculo privado existente para ella.
• Solo se puede crear un servicio de vínculo privado por área de trabajo y cada área de trabajo solo puede tener un servicio de vínculo privado. Sin embargo, se pueden crear varios puntos de conexión privados para un único servicio de vínculo privado.
• El límite de puntos de conexión privados para un área de trabajo es 100. Cree un ticket de soporte si necesita aumentar este límite.
• Límite de PLS del área de trabajo que puede crear por inquilino: 500. Cree un ticket de soporte si necesita aumentar este límite.
• Se pueden crear hasta 10 servicios de enlace privado del área de trabajo por minuto.
• La interfaz de usuario del portal de Fabric no admite actualmente la habilitación de la protección entrante (vínculos privados de nivel de área de trabajo) y la protección de acceso saliente al mismo tiempo para un área de trabajo. Para configurar ambas opciones, use Workspaces - Set Network Communication Policy API, lo que permite la administración completa de las directivas de protección entrante y saliente.
• Para cargas de trabajo de ingeniería de datos:
  • Para consultar archivos o tablas de Lakehouse desde un área de trabajo que tenga habilitado un enlace privado a nivel de área de trabajo, debe crear una conexión de punto de conexión privado administrado entre diferentes áreas de trabajo para acceder a los recursos de la otra área de trabajo.
  • Puede usar rutas de acceso relativas o completas para consultar archivos o tablas dentro de la misma área de trabajo o usar una conexión de punto de conexión privado administrado entre áreas de trabajo para acceder a ellos desde otra área de trabajo. Para leer archivos en un Lakehouse ubicado en otra área de trabajo, use una ruta de acceso total que incluya el identificador del área de trabajo y el identificador del Lakehouse (no sus nombres para mostrar). Este enfoque garantiza que la sesión de Spark pueda resolver la ruta de acceso correctamente y evitar errores de tiempo de espera de socket. Más información.
• No se puede tener acceso a bibliotecas de variables desde una canalización.
• Limitaciones actuales de Private Link con un centro de eventos:
  • Características de Copilot: las cargas de trabajo de Aprendizaje Automático pueden tener una funcionalidad limitada debido a una regresión conocida.
  • Extracción de secuencias de eventos: las cargas de trabajo de Eventstream no admiten actualmente la funcionalidad de sondeo completa.
  • Fabric no admite actualmente la integración de Azure Event Hubs.
  • La ingesta en cola a través de OneLake no está disponible actualmente.

• La pestaña OneLake Catalog - Govern no está disponible cuando se activa Private Link.
• OneLake Security no se admite actualmente cuando un vínculo privado de nivel de área de trabajo está habilitado para un área de trabajo.
• La supervisión del espacio de trabajo no se admite actualmente cuando un vínculo privado a nivel de espacio de trabajo está habilitado para un espacio de trabajo.

Control de acceso basado en roles de Azure (RBAC) y puntos de conexión privados a nivel de espacio de trabajo

El aprovisionamiento y la administración de vínculos privados de nivel de área de trabajo y puntos de conexión privados asociados requieren permisos específicos Azure RBAC. Estos permisos se pueden limitar mediante la definición de un rol de Azure personalizado que concede solo las acciones necesarias de Virtual Network, Private Link y punto de conexión privado en el nivel de grupo de recursos, lo que permite la administración delegada sin asignar roles amplios como Propietario o Colaborador. La siguiente definición de rol personalizada proporciona los permisos necesarios para crear redes virtuales, subredes, vínculos privados de entorno de Fabric y puntos de conexión privados con ámbito a un grupo específico.

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

Errores comunes y solución de problemas

Solicitud denegada por política de entrada

Al intentar acceder a un área de trabajo configurada para restringir el acceso público, los usuarios detectan el siguiente error:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Causa: este error se produce cuando la solicitud se realiza desde una ubicación de red que la directiva de comunicación del área de trabajo no permite.

• Mitigación:

  1. Compruebe si está en la ubicación de red permitida.
  2. Al utilizar un enlace privado a nivel de espacio de trabajo para acceder al espacio de trabajo, asegúrese de utilizar el FQDN del espacio de trabajo.

Elementos no compatibles en un área de trabajo

Al intentar establecer un área de trabajo para restringir el acceso público, los usuarios detectan el siguiente error:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Causa: este error se produce porque el área de trabajo contiene uno o varios elementos que no son compatibles con vínculos privados de nivel de área de trabajo. Como resultado, no puede configurar el área de trabajo para restringir el acceso público.

• Mitigación: elimine los elementos no admitidos de esta área de trabajo o use en su lugar otro área de trabajo.

Contenido relacionado

• Acerca de los vínculos privados
• Configuración y uso de vínculos privados de nivel de área de trabajo