Työtilatason yksityisten linkkien tuetut skenaariot ja rajoitukset

Microsoft Fabric -työtilatason yksityislinkit tarjoavat turvallisen tavan yhdistää tiettyihin työtilan resursseihin yksityisverkon kautta. Tässä artikkelissa kerrotaan, mitä skenaarioita ja kohdetyyppejä tuetaan, korostetaan nykyisiä rajoituksia ja annetaan ohjeita työtilatason yksityisten linkkien käytön parhaista käytännöistä ja vianmäärityksestä.

Voit käyttää työtilatason yksityislinkkejä yhdistääksesi seuraaviin Fabric-alityyppeihin:

  • Lakehouse, SQL-päätepiste, pikakuvake
  • Suora yhteys OneLake-päätepisteen kautta
  • Muistikirja, Spark-työn määritys, ympäristö
  • Koneoppimiskokeilu, koneoppimismalli
  • Pipeline
  • Kopioi työ
  • Asennettu tietotehdas
  • Varasto
  • Tietovuot Gen2 (CI/CD)
  • Muuttujakirjasto
  • Peilattu tietokanta
  • Eventstream
  • Eventhouse

Huomautuksia kohdetyypeistä, joita ei tueta

Seuraavia kohdetyyppejä ei tällä hetkellä tueta työtiloissa, joissa on käytössä työtilatason yksityisiä linkkejä:

  • Käyttöönoton putket

Jos työtila sisältää kohdetyyppejä, joita ei tueta, työtilan saapuvaa julkista käyttöä ei voi rajoittaa, vaikka työtilatason yksityinen linkki olisi määritetty.

Vastaavasti, jos työtila on jo määritetty rajoittamaan saapuvaa julkista käyttöä, kyseiseen työtilaan ei voi luoda kohdetyyppejä, joita ei tueta.

Kun käsittelet alkiotyyppejä, joita ei tueta, ota huomioon seuraavat seikat.

  • Käyttöönottoputket: Kun työtila on määritetty käyttöönottoputkeen, sitä ei voi määrittää estämään julkista käyttöä, koska käyttöönottoputket eivät tällä hetkellä tue työtilatason yksityisiä linkkejä.

Note

Oletussemanttisia malleja, joita käytetään estämään työtilatason yksityislinkkejä työtiloissa, joissa on järvitaloja, varastoja tai peilattuja tietokantoja. Tämä ei ole enää ongelma. Oletussemanttisten mallien automaattinen luominen lopetettiin 5. syyskuuta 2025, ja olemassa olevat mallit irrotettiin emoalkioistaan 30. marraskuuta 2025 mennessä. Lisätietoja löytyy Power BI semanttiset mallit Microsoft Fabric.

Tuettujen alkiotyyppien hallintavaihtoehdot

Tässä osiossa kuvataan, miten voit hallita tuettuja kohdetyyppejä työtiloissa, joissa on yksityisiä linkkejä, joko Fabric-portaalin tai REST-rajapintojen avulla.

Fabric Core -tuki

Ohjelmointirajapinnat, joissa on päätepisteitä, tukevat v1/workspaces/{workspaceId} työtilatason yksityisiä linkkejä, koska ne toimivat tietyn työtilan kontekstissa. Sitä vastoin järjestelmänvalvojan ohjelmointirajapinnat käyttävät admin/workspaces/{workspaceId} päätepisteissään, eivätkä työtilatason yksityiset linkit kata niitä. Järjestelmänvalvojan ohjelmointirajapinnat ovat käytettävissä myös rajoitetuissa työtiloissa, koska vuokraajatason asetus julkisen käytön estämiseksi hallitsee niitä.

Note

Lakehousen tuki

Luo ja hallinnoi Lakehouseja työtiloissa, joissa on yksityisiä linkkejä käyttämällä Fabric-portaalia tai REST-rajapintoja.

Materialisoitujen järvinäkymien tuki (Esikatselu)

Käytä Fabric-portaalia tai REST-rajapintoja työtiloissa, joissa on yksityisiä linkkejä, päivittääksesi Lakehousen materialisoituja järvinäkymiä. Tämä ominaisuus on esikatseluvaiheessa.

Varaston tuki

Luo ja hallinnoi varastoja työtiloissa, joissa on yksityiset linkit, käyttämällä Fabric-portaalia tai REST-rajapintoja.

Jos haluat käyttää varaston yhteysmerkkijono työtilatason yksityislinkin kanssa, lisää z{xy} tavalliseen varaston yhteysmerkkijono. Esimerkkejä:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Warehouse yhteysmerkkijono -menetelmän avulla voit myös käyttää varastoa SQL Tabular Data Stream (TDS) -päätepisteen kautta työkaluissa kuten SQL Server Management Studio. Kaikki SQL-päätepisteet ja varastot työtilassa jakavat saman yhteysmerkkijono -isäntänimen TDS-yhteydelle. Kun käytät REST-rajapintaa yhteysmerkkijono:n hakemiseen, käytä privateLinkType=Workspace -lippua saadaksesi työtilan yksityislinkin yhteysmerkkijono.

SQL-päätepisteen tuki

Käyttääksesi SQL Endpoint yhteysmerkkijono työtilatason yksityislinkin kanssa, lisää z{xy} tavalliseen SQL Endpoint -yhteysmerkkijono. Esimerkkejä:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Kannettavan tietokoneen tuki

Hallinnoi muistikirjoja työtiloissa, joissa on yksityiset linkit, käyttämällä Fabric-portaalia tai REST-rajapintoja.

Livy-päätepisteen tuki

Käytä Fabric-portaalia tai API-rajapintoja työtiloissa, joissa on yksityiset linkit, luodaksesi ja suorittaaksesi lauseita tai ajaaksesi eräajoja Livy-päätelaitteilla.

Livy-istuntotyö muodostaa Spark-istunnon, joka pysyy aktiivisena Livy-ohjelmointirajapinnan käsittelyn ajan. Livy-istunnot ovat ihanteellisia interaktiivisiin työkuormiin. Istunto alkaa, kun lähetät työn, ja pysyy käytettävissä, kunnes lopetat sen erikseen tai järjestelmä lopettaa sen 20 minuutin käyttämättömyyden jälkeen. Useita töitä voidaan suorittaa samassa istunnossa, jolloin tila ja välimuistiin tallennetut tiedot voidaan jakaa.

Livy-erätyö sisältää Spark-sovelluksen lähettämisen yhtä suoritusta varten. Toisin kuin Livy-istuntotyö, erätyö ei ylläpidä pysyvää Spark-istuntoa. Jokainen Livy-erätyö käynnistää uuden Spark-istunnon, joka päättyy, kun työ on valmis. Tämä menetelmä sopii tehtäviin, jotka eivät ole riippuvaisia välimuistissa olevista tiedoista tai jotka edellyttävät tilan ylläpitoa töiden välillä.

Spark-työmäärityksen tuki

Käytä Fabric-portaalia tai työtilojen rajapintoja, joissa on yksityisiä linkkejä, luodaksesi, lukeaksesi, päivittääksenne ja poistaaksesi Spark-työmäärittelykohteita.

Ympäristötuki

Hallinnoi ympäristöjä työtiloissa, joissa on yksityisiä linkkejä, käyttämällä Fabric-portaalia, tai käytä Environment REST -rajapintoja luodaksesi, lukeaksesi, päivittääksenne ja poistaaksesi ympäristökohteita.

Note

Sparkissa kutsumanimiä käyttävät työtilatason yksityiset linkit eivät toimi.

Koneoppimiskokeilun tuki

Hallinnoi koneoppimiskokeita työtiloissa, joissa on yksityisiä linkkejä käyttämällä Fabric-portaalia tai REST API:a.

Koneoppimismallin tuki

Hallitse koneoppimismalleja työtiloissa, joissa on käytössä yksityisiä linkkejä , käyttämällä Kohteet – REST-ohjelmointirajapinta (MLModel) -toimintoa.

Putken, kopiointityön ja asennetun Data Factoryn tuki

Hallinnoi putkistoja, kopiointitöitä ja asennettuja datatehtaita työtiloissa, joissa on yksityisiä linkkejä, käyttämällä Fabric-portaalia tai seuraavia REST-rajapintoja.

Seuraavia skenaarioita ei tueta:

  • Workspace staging ei ole tuettu Fabric tietovarasto-, Snowflake- tai Teradata-liittimille Copy activity- ja Copy-työssä. Käytä ulkoista lavastusta vaihtoehtona.
  • Kopioimista Eventhouseen ei tueta.

Eventstream-tuki

Hallinnoi tapahtumavirtoja työtiloissa, joissa on yksityiset linkit, käyttämällä Fabric-portaalia tai REST-rajapintoja eventstream-kohteiden luomiseen ja niiden topologian tarkasteluun.

Eventstream-ohjelmointirajapinnat käyttävät kaaviomaista rakennetta määrittääkseen Eventstream-kohteen, joka koostuu neljästä osasta: lähde, kohde, operaattori ja virta.

Tällä hetkellä Eventstream tukee Workspace Yksityinen linkki -toimintoa vain rajatulle joukolle lähteitä ja kohteita. Jos sisällytät Eventstream-ohjelmointirajapinnan tietosisältöön osan, jota ei tueta, pyyntö saattaa epäonnistua.

Seuraavia skenaarioita ei tueta:

  • Mukautettua päätepistettä lähteenä ei tueta.
  • Mukautettua päätepistettä kohteena ei tueta.
  • Eventhousea kohteena (suoralla käsittelytilalla) ei tueta.
  • Aktivaattoria kohteena ei tueta.

Eventhousen tuki

Hallinnoi tapahtumahuoneita työtiloissa, joissa on yksityisiä linkkejä käyttämällä Fabric-portaalia tai REST-rajapintaa.

Seuraavia skenaarioita ei tueta:

  • Tapahtumien kuluttaminen Eventstreameista
  • SQL Server TDS endpoints

Tietovuot Gen2 (CI/CD) -tuki

Hallinnoi Dataflows Gen2:ta työtiloissa, joissa on yksityisiä linkkejä käyttämällä Fabric-portaalia tai REST API:ta.

Virtuaaliseen verkkodatakäytävään perustuvaa yhteyttä on käytettävä, myös lähtökohteessa. Näennäisverkon tietoyhdyskäytävän on sijaittava samassa näennäisverkossa kuin työtilan käyttämä työtilatason yksityisen linkin päätepiste.

Power Platform -tietovuon yhdistin: Kun työtilassa on käytössä työtilan yksityiset linkit ja julkinen käyttö on estetty, kumpikaan tietovuo ei voi muodostaa yhteyttä toiseen tietovuohon Power Platform -tietovuon yhdistimen avulla, koska tietovuo ei näy siirtymistoiminnossa.

Muuttuvan kirjaston tuki

Hallinnoi muuttuvia kirjastoja työtiloissa, joissa on yksityiset linkit, käyttämällä Fabric-portaalia tai REST-rajapintaa.

Peilatun tietokannan tuki

Voit hallita peilattuja tietokantoja työtiloissa, joissa on yksityiset linkit, käyttämällä Fabric-portaalia tai REST-rajapintaa.

Note

  • Tällä hetkellä työtilatason yksityinen linkki on tuettu open mirroring, Azure Cosmos DB mirroring, Azure SQL Managed Instance mirroring ja SQL Server 2025 mirroring. Jos työtilasi on määritetty estämään saapuva julkinen käyttö muuntyyppisissä tietokannan peilauksissa, aktiiviset peilatut tietokannat siirtyvät keskeytettyyn tilaan, eikä peilausta voi aloittaa.
  • Kun työtilasi on määritetty estämään saapuva julkinen pääsy avoimessa peilauksessa, varmista, että julkaisija kirjoittaa tiedot OneLaken saapumisvyöhykkeelle yksityisen linkin kautta työtilan FQDN:n kanssa.

Azure- ja Fabric-tapahtumatuki

Kun työtilatason yksityiset linkit on konfiguroitu estämään julkinen pääsy, tapahtuman kuluttajat (kuten aktivaattorihälytykset tai tapahtumavirrat) muissa työtiloissa eivät voi tilata tai kuluttaa tapahtumia kyseisen työtilan kohteista, ellei kuluttajan verkosta luoda yksityistä yhteyttä lähdetyötilaan (työtilaan, josta tapahtumat lähtevät).

Tämä koskee kaikkia Fabric-tapahtumatyyppejä. Esimerkiksi, jos luot aktivaattorihälytyksen Workspace A:ssa seuraamaan OneLake-tapahtumia Lake-talosta Workspace B:ssä, Workspace B on lähdetyötila. Jos työtila B estää julkisen verkon pääsyn, tämä konfiguraatio epäonnistuu, ellei Workspace A:n verkosta Workspace B:hen muodosteta yksityistä yhteyttä.

Azure-tapahtumat (kuten Azure Blob Storage -tapahtumat) ovat myös vaikutuksen alaisia. Kun konfiguroit kuluttajan vastaanottamaan Azure-tapahtumia, Fabric-työtilassa luodaan eventstream-kohde edustamaan Azure-lähdettä. Jos työtila, joka sisältää tämän tapahtumavirran kohteen, estää julkisen verkkoyhteyden, muiden työtilojen käyttäjät eivät voi käyttää näitä tapahtumia ellei yksityistä linkkiä ole muodostettu. Lisäksi Azure tapahtumat vaikuttavat vuokralaistason yksityisen linkin konfiguraatioon — kun Block Public Internet Access vuokralainen on käytössä, Azure vuokralaisen ulkopuoliset tapahtumalähteet estetään toimittamasta tapahtumia Fabric kokonaan, riippumatta työtilan asetuksista.

Tapahtumien kulutus samassa työtilassa on aina sallittua, riippumatta yksityisen linkin asetuksista. Jos työtilan tason yksityislinkin asetukset muuttuvat kuluttajan konfiguroinnin jälkeen, järjestelmä havaitsee muutoksen ja keskeyttää konfiguraation. Tauon aikana tapahtumat säilyvät jopa 7 päivän ajan. Lisätietoja pysäytetyistä konfiguraatioista löytyy kohdasta Tauotetun tapahtuman konfiguraatiot Real-Time hubissa.

Lisätietoja löytyy osoitteesta Yksityiset linkit Azure ja Fabric Events.

Tuetut ja ei-tuetut hallintatyökalut

  • Voit käyttää joko Fabric-portaalia tai REST API:ta hallitaksesi kaikkia tuettuja kohdetyyppejä työtiloissa, joissa työtilan yksityiset linkit ovat käytössä. Kun työtila sallii julkisen pääsyn, Fabric-portaali jatkaa toimintaansa julkisen yhteyden avulla. Jos työtila on konfiguroitu estämään saapuva julkinen pääsy, voit käyttää sitä Fabric-portaalissa vain, kun pyyntö tulee työtilan yksityisestä päätepisteestä. Jos pääsyä yritetään julkisesta yhteydestä tai toisesta yksityisestä päätepisteestä, Fabric-portaali näyttää "Access Restricted" -viestin.
  • Suorat syvälinkit valvontakeskuksen tason 2 (L2) sivulle eivät välttämättä toimi odotetulla tavalla, kun käytetään työtilatason yksityisiä linkkejä. Pääset L2-sivulle siirtymällä ensin Monitoring Hubin Level 1 (L1) -sivulle Fabric-portaalissa.
  • SQL Server Management Studio (SSMS) on tuettu varastoihin yhdistämiseen työtilatason yksityisen linkin kautta.
  • tallennustilan hallinta voidaan käyttää työtilatason yksityislinkkien kanssa.
  • Azure Storage Explorer, PowerShell, AzCopy ja muut Azure-tallennus -työkalut voivat yhdistää OneLakeen yksityisen linkin kautta.
  • Jotta voit käyttää OneLake File Exploreria, sinulla on oltava käyttöoikeus vuokraajaasi joko julkisen käyttöoikeuden tai vuokraajan yksityisen linkin kautta.

Huomioitavat asiat ja rajoitukset

  • Työtilatason yksityislinkkiominaisuus on tuettu vain Fabric-kapasiteetissa (F SKU). Muita kapasiteetteja, kuten Premium (P SKU) ja kokeiluversiokapasiteettia, ei tueta.
  • Työtilaa ei voi poistaa, jos sille on määritetty aiemmin luotu yksityinen linkkipalvelu.
  • Vain yksi yksityinen linkkipalvelu voidaan luoda työtilaa kohden, ja kussakin työtilassa voi olla vain yksi yksityinen linkkipalvelu. Yhdelle yksityiselle linkkipalvelulle voidaan kuitenkin luoda useita yksityisiä päätepisteitä.
  • Työtilan yksityisten päätepisteiden raja on 100. Luo tukipyyntö, jos sinun on korotettava tätä rajaa.
  • Vuokraajaa kohden luotavien työtilan PLS:ien raja: 500. Luo tukipyyntö, jos sinun on korotettava tätä rajaa.
  • Jopa 10 työtilan yksityistä linkkipalvelua voidaan luoda minuutissa.
  • Fabric-portaalin käyttöliittymä ei tällä hetkellä tue sekä saapuvan suojauksen (työtilatason yksityislinkit) että ulospäin tulevan pääsyn suojaa samanaikaisesti työtilassa. Jos haluat määrittää molemmat asetukset yhdessä, käytä Työtilat - Määritä verkkoviestintäkäytäntö -ohjelmointirajapintaa, joka mahdollistaa saapuvien ja lähtevien suojauskäytäntöjen täyden hallinnan.
  • Tietotekniikan työkuormitukset:
    • Jos haluat tehdä kyselyjä Lakehouse-tiedostoista tai taulukoista työtilasta, jossa on käytössä työtilatason yksityinen linkki, sinun on luotava työtilojen välinen hallittu yksityinen päätepisteyhteys, jotta voit käyttää toisen työtilan resursseja.
    • Voit käyttää joko suhteellisia tai täydellisiä polkuja tiedostojen tai taulukoiden kyselyyn samassa työtilassa tai käyttää niitä toisesta työtilasta työtilojen välisen hallitun yksityisen päätepisteen yhteyden avulla. Jos haluat lukea tiedostoja toisessa työtilassa sijaitsevassa Lakehousessa, käytä täydellistä polkua, joka sisältää työtilan tunnuksen ja lakehouse-tunnuksen (ei niiden näyttönimiä). Tämä lähestymistapa varmistaa, että Spark-istunto voi ratkaista polun oikein ja välttää vastakkeen aikakatkaisuvirheet. Lisätietoja.
  • Muuttujakirjastoihin ei pääse käsiksi putkesta.
  • Nykyiset rajoitukset Yksityinen linkki -tapahtumapaikan kanssa:
    • Copilot-ominaisuudet: Koneoppimisen työkuormat voivat kärsiä rajoitetusta toiminnallisuudesta tunnetun regression vuoksi.
    • Tapahtumavirran veto: Eventstream-kuormitukset eivät tällä hetkellä tue kaikkia kyselytoimintoja.
    • Fabric ei tällä hetkellä tue Azure Event Hubs -integraatiota.
    • Jonossa oleva käsittely OneLaken kautta ei ole tällä hetkellä käytettävissä.
  • OneLake Catalog - Govern -välilehti ei ole käytettävissä, kun Yksityinen linkki on aktivoitu.
  • OneLake Securityä ei tällä hetkellä tueta, kun työtilatasoinen yksityinen linkki on käytössä työtilalle.
  • Työtilan valvontaa ei tällä hetkellä tueta, kun työtilatason yksityinen linkki on otettu käyttöön työtilassa.

Työtilatason yksityislinkkien ja niihin liittyvien yksityisten päätelaitteiden luominen ja hallinta vaatii erityisiä Azure RBAC -käyttöoikeuksia. Näitä oikeuksia voidaan rajata kapeasti määrittelemällä mukautettu Azure-rooli, joka myöntää vain vaaditut näennäisverkko-, Yksityinen linkki- ja Private Endpoint -toiminnot resurssiryhmätasolla, mahdollistaen delegoidun hallinnan ilman laajojen roolejen, kuten omistajan tai avustajan, määrittämistä. Seuraava räätälöity roolimääritelmä tarjoaa tarvittavat oikeudet viruaalisten verkkojen, aliverkkojen, Fabric-työtilan yksityislinkkien ja yksityisten päätepisteiden luomiseen, jotka on määritelty tiettyyn ryhmään.

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

Yleiset virheet ja vianetsintä

Saapuvan käytännön hylkäämä pyyntö

Kun käyttäjät yrittävät käyttää työtilaa, joka on määritetty rajoittamaan julkista pääsyä, he kohtaavat seuraavan virheen:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

  • Syy: Tämä virhe ilmenee, kun pyyntö tehdään verkkosijainnista, jota työtilan viestintäkäytäntö ei salli.

  • Lievennys:

    1. Tarkista, oletko sallitussa verkkosijainnissa.
    2. Kun käytät työtilatason yksityistä linkkiä työtilan käyttämiseen, varmista, että käytät työtilan FQDN:ää.

Työtilan kohteet, joita ei tueta

Kun yrität määrittää työtilan rajoittamaan julkista pääsyä, käyttäjät kohtaavat seuraavan virheen:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

  • Syy: Tämä virhe ilmenee, koska työtilassa on vähintään yksi kohde, joka ei ole yhteensopiva työtilatason yksityisten linkkien kanssa. Tämän seurauksena et voi määrittää työtilaa rajoittamaan julkista käyttöä.

  • Lievennys: Poista kohteet, joita ei tueta tästä työtilasta, tai käytä sen sijaan toista työtilaa.

Aiheeseen liittyvä sisältö

  • Last updated on