Støttede scenarioer og begrensninger for private koblinger på arbeidsområdenivå

Private lenker på arbeidsplassnivå i Microsoft Fabric gir en sikker måte å koble til spesifikke arbeidsområderessurser over et privat nettverk. Denne artikkelen forklarer hvilke scenarioer og elementtyper som støttes, fremhever gjeldende begrensninger og gir veiledning om anbefalte fremgangsmåter og feilsøking for bruk av private koblinger på arbeidsområdenivå.

Støttede elementtyper for privat kobling på arbeidsområdenivå

Du kan bruke private lenker på arbeidsområdenivå for å koble til følgende varetyper i Fabric:

• Lakehouse, SQL-endepunkt, snarvei
• Direkte tilkobling via OneLake-endepunkt
• Notatblokk, Spark-jobbdefinisjon, Miljø
• Maskinlæringseksperiment, maskinlæringsmodell
• Pipeline
• Kopier jobb
• Montert datafabrikk
• Warehouse
• Dataflyter Gen2 (CI/CD)
• Variabelt bibliotek
• Speilet database
• Eventstream
• Eventhouse

Merknader om elementtyper som ikke støttes

Følgende elementtyper støttes for øyeblikket ikke i arbeidsområder som er aktivert med private koblinger på arbeidsområdenivå:

• Pipeliner for distribusjon

Hvis et arbeidsområde inneholder elementtyper som ikke støttes, kan ikke innkommende offentlig tilgang begrenses for arbeidsområdet, selv om privat kobling på arbeidsområdenivå er konfigurert.

På samme måte, hvis et arbeidsområde allerede er konfigurert til å begrense innkommende offentlig tilgang, kan ikke elementtyper som ikke støttes, opprettes i dette arbeidsområdet.

Når du arbeider med elementtyper som ikke støttes, må du være oppmerksom på følgende.

• Pipeliner for distribusjon: Når et arbeidsområde er tilordnet til et utrullingssamlebånd, kan det ikke konfigureres til å blokkere offentlig tilgang, siden utrullingssamlebånd for øyeblikket ikke støtter private koblinger på arbeidsområdenivå.

Administrasjonsalternativer for støttede varetyper

Denne delen beskriver hvordan du kan administrere støttede varetyper i arbeidsområder aktivert med private lenker, enten ved bruk av Fabric-portalen eller REST-API-er.

Fabric Core-støtte

API-er med endepunkter som inneholder v1/workspaces/{workspaceId} støtter private koblinger på arbeidsområdenivå fordi de opererer i konteksten til et bestemt arbeidsområde. Administrator-API-er brukes admin/workspaces/{workspaceId} derimot i endepunktene og dekkes ikke av private koblinger på arbeidsområdenivå. Administrator-API-er forblir tilgjengelige selv for begrensede arbeidsområder, fordi innstillingen på leiernivå for blokkering av offentlig tilgang styrer dem.

• Elementer – REST API (kjerne): Sjekk også individuelle elementtyper for detaljer.
• Mapper – REST API (kjerne)
• Git – REST API (kjerne)
• Administrerte private endepunkter – REST API (kjerne)
• Jobbplanlegging – REST API (kjerne)
• OneLake-datatilgangssikkerhet – Opprett eller oppdater datatilgangsroller – REST API (kjerne)
• OneLake-snarveier – REST API (kjerne)
  • Fra et begrenset arbeidsområde kan du opprette snarveier til andre datakilder, for eksempel ekstern lagring, eller via klarert tilgang.
  • Når du oppretter en snarvei til et annet begrenset arbeidsområde, må du opprette et administrert privat endepunkt og få godkjenning fra eieren av den private link-tjenesten for målet arbeidsområdet i Azure. Hvis du vil ha mer informasjon, kan du se Kommunikasjon på tvers av arbeidsområder.
  • Snarveistransformeringer støttes for øyeblikket ikke i begrensede arbeidsområder.
• Tagger - REST API (kjerne)
• Arbeidsområder – REST API (kjerne)
• Leverandør av eksterne datadelinger – REST API (kjerne): Mottakeren må bruke det fullstendige domenenavnet for arbeidsområdet (FQDN) for å få tilgang til den delte OneLake-URL-adressen.

Lakehouse-støtte

Opprett og administrer Lakehouses i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST-API-er.

Støtte for materialisert innsjøvisning (Forhåndsvisning)

Bruk Fabric-portalen eller REST-API-er i arbeidsområder med private lenker for å oppdatere materialiserte innsjøutsikter i Lakehouse. Denne funksjonen er i forhåndsversjon.

Støtte for lager

Opprett og administrer lagre i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST-API-er.

For å bruke warehouse-tilkoblingsstreng med en privat lenke på arbeidsområdenivå, legg til z{xy} i den vanlige warehouse-tilkoblingsstreng. Eksempel:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• For å få arbeidsområdets private link-tjeneste tilkoblingsstreng for et lager: Get Connection String - REST API (Warehouse)

Ved å bruke warehouse-tilkoblingsstreng kan du også få tilgang til et warehouse via SQL Tabular Data Stream (TDS)-endepunktet i verktøy som SQL Server Management Studio. Alle SQL-endepunkter og varehus i et arbeidsområde deler samme tilkoblingsstreng-vertsnavn for TDS-tilkobling. Når du bruker REST API-et for å hente tilkoblingsstreng, bruk privateLinkType=Workspace-flagget for å få arbeidsområdets private lenke tilkoblingsstreng.

Støtte for SQL-endepunkt

For å bruke SQL Endpoint-tilkoblingsstreng med en privat lenke på arbeidsområdenivå, legg til z{xy} i den vanlige SQL Endpoint-tilkoblingsstreng. Eksempel:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• For å få arbeidsområdets private link-tjeneste tilkoblingsstreng for et SQL-endepunkt: Items - Get Connection String (SQL Endpoint)

Støtte for bærbare datamaskiner

Administrer notatbøker i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST-API-er.

Støtte for Livy-endepunkt

Bruk Fabric-portalen eller API-er i arbeidsområder med private lenker for å lage og kjøre setninger eller kjøre batchjobber med Livy-endepunkter.

En Livy-øktjobb etablerer en Spark-økt som forblir aktiv så lenge samhandlingen med Livy-API-en varer. Livy-økter er ideelle for interaktive arbeidsbelastninger. Økten starter når du sender inn en jobb, og forblir tilgjengelig til du eksplisitt avslutter den eller systemet avslutter den etter 20 minutter med inaktivitet. Flere jobber kan kjøres i samme økt, og dele tilstand og bufrede data.

En Livy-satsvis jobb innebærer å sende inn en Spark-søknad for én enkelt kjøring. I motsetning til en Livy-øktjobb, opprettholder ikke en satsvis jobb en vedvarende Spark-økt. Hver satsvise Livy-jobb starter en ny Spark-økt som avsluttes når jobben er fullført. Denne metoden er egnet for oppgaver som ikke er avhengige av bufrede data eller krever at tilstanden opprettholdes mellom jobber.

Støtte for Spark-jobbdefinisjon

Bruk Fabric-portalen eller API-ene i arbeidsområder med private lenker for å opprette, lese, oppdatere og slette Spark-jobbdefinisjonselementer.

Støtte til miljø

Administrer miljøer i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen, eller bruk Environment REST API-er for å opprette, lese, oppdatere og slette miljøelementer.

Støtte for eksperiment for maskinlæring

Administrer maskinlæringseksperimenter i arbeidsområder med private lenker ved å bruke Fabric-portalen eller REST API.

Støtte for maskinlæringsmodell

Administrer maskinlæringsmodeller i arbeidsområder aktivert med private koblinger ved hjelp av Elementer – REST API (MLModel).

Støtte for pipeline, kopieringsjobb og montert datafabrikk

Administrer pipelines, kopijobber og monterte datafabrikker i arbeidsområder med private lenker ved å bruke Fabric-portalen eller følgende REST-API-er.

Følgende scenarier støttes ikke:

• Workspace staging støttes ikke for Fabric datalager, Snowflake eller Teradata-koblinger i Copy activity og Copy-jobben. Bruk ekstern iscenesettelse som et alternativ.
• Kopiering til Eventhouse støttes ikke.

Eventstream-støtte

Administrer hendelsesstrømmer i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST-API-er for å lage hendelsesstrøm-elementer og se deres topologi.

Eventstream-API-er bruker en graflignende struktur til å definere et Eventstream-element, som består av fire komponenter: kilde, mål, operatør og strøm.

For øyeblikket støtter Eventstream kun Workspace Private Link for et begrenset sett av kilder og destinasjoner. Hvis du inkluderer en komponent som ikke støttes, i Eventstream API-nyttelasten, kan forespørselen mislykkes.

Følgende scenarier støttes ikke:

• Egendefinert endepunkt som kilde støttes ikke.
• Egendefinert endepunkt som mål støttes ikke.
• Eventhouse som mål (med direkte inntaksmodus) støttes ikke.
• Activator som mål støttes ikke.

Støtte til Eventhouse

Administrer eventhouses i arbeidsområder med private lenker ved å bruke Fabric-portalen eller REST API.

Følgende scenarier støttes ikke:

• Bruke hendelser fra Eventstreams
• SQL Server TDS-endepunkter

Støtte for dataflyter Gen2 (CI/CD)

Administrer Dataflows Gen2 i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST API.

En tilkobling basert på en virtuell nettverksdatagateway må brukes, inkludert i utgangsdestinasjonen. Datagatewayen for det virtuelle nettverket må ligge i samme virtuelle nettverk som endepunktet for privat kobling på arbeidsområdenivå som brukes av arbeidsområdet.

Power Platform-dataflytkobling: Når et arbeidsområde har private koblinger til arbeidsområdet aktivert og offentlig tilgang nektet, vil ingen av dataflytene kunne koble til den andre dataflyten ved hjelp av Power Platform-dataflytkoblingen for to dataflyter i arbeidsområdet (dataflyt A og dataflyt B), fordi dataflyten ikke vises i navigatoren.

Støtte for variabelt bibliotek

Administrer variable biblioteker i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST API.

Støtte for speilet database

Du kan administrere speilede databaser i arbeidsområder aktivert med private lenker ved å bruke Fabric-portalen eller REST API.

Azure- og Fabric Events-støtte

Når private lenker på arbeidsområdenivå konfigureres på et arbeidsområde for å blokkere offentlig tilgang, kan hendelsesforbrukere (som Activator-varsler eller hendelsesstrømmer) i andre arbeidsområder ikke abonnere på eller konsumere hendelser fra elementer i det arbeidsområdet med mindre en privat kobling etableres fra forbrukerens nettverk til kildearbeidsområdet (arbeidsområdet hvor hendelsene oppstår).

Dette gjelder for alle typer Fabric-arrangementer. For eksempel, hvis du oppretter en Aktivator-varsling i Arbeidsområde A for å overvåke OneLake-hendelser fra et innsjøhus i Arbeidsområde B, er Arbeidsområde B kildearbeidsområdet. Hvis arbeidsområde B blokkerer tilgang til offentlig nettverk, feiler denne konfigurasjonen med mindre en privat forbindelse etableres fra arbeidsområde A sitt nettverk til arbeidsområde B.

Azure-hendelser (som Azure Blob Storage-hendelser) påvirkes også. Når du konfigurerer en forbruker til å motta Azure-hendelser, opprettes et eventstream-element i et Fabric-arbeidsområde for å representere Azure-kildekoden. Hvis arbeidsområdet som inneholder dette hendelsesstrømselementet blokkerer offentlig nettverkstilgang, kan ikke brukere i andre arbeidsområder konsumere disse hendelsene med mindre en privat kobling etableres. I tillegg påvirkes Azure hendelser av privat lenkekonfigurasjon på leietakernivå — når Block Public Internet Access-innstillingen aktiveres, blokkeres Azure hendelseskilder utenfor leietakeren fra å levere hendelser til Fabric helt, uavhengig av arbeidsplassnivå-innstillinger.

Hendelseskonsum innenfor samme arbeidsområde er alltid tillatt, uavhengig av private link-innstillinger. Hvis private link-innstillinger på arbeidsplassnivå endres etter at en forbruker allerede er konfigurert, oppdager systemet endringen og pauser konfigurasjonen. Når den er pauset, beholdes hendelsene i opptil 7 dager. For detaljer om pausede konfigurasjoner, se Pausede hendelseskonfigurasjoner i Real-Time hub.

For mer informasjon, se Private lenker for Azure og Fabric Events.

Støttede og ikke-støttede administrasjonsverktøy

• Du kan bruke enten Fabric-portalen eller REST API for å administrere alle støttede varetyper i arbeidsområder med private arbeidsområder aktivert. Når et arbeidsområde gir offentlig tilgang, fortsetter Fabric-portalen å fungere ved hjelp av offentlig tilkobling. Hvis et arbeidsområde er konfigurert til å nekte innkommende offentlig tilgang, kan du kun få tilgang til det i Fabric-portalen når forespørselen kommer fra arbeidsområdets tilknyttede private endepunkt. Hvis tilgang forsøkes fra offentlig tilkobling eller fra et annet privat endepunkt, viser Fabric-portalen en melding om "Tilgang begrenset".
• Direkte dypkoblinger til en side på overvåkingshubnivå 2 (L2) fungerer kanskje ikke som forventet når du bruker private koblinger på arbeidsområdenivå. Du kan få tilgang til L2-siden ved først å navigere til Overvåkingshubens Level 1 (L1)-side i Fabric-portalen.
• SQL Server Management Studio (SSMS) støttes for tilkobling til lagre via privat forbindelse på arbeidsområdenivå.
• lagringsutforsker kan brukes med private lenker på arbeidsområdenivå.
• Azure Storage Explorer, PowerShell, AzCopy og andre Azure Storage-verktøy kan koble til OneLake via en privat lenke.
• Hvis du vil bruke OneLake Filutforsker, må du ha tilgang til leieren, enten via offentlig tilgang eller en privat leierkobling.

Hensyn og begrensninger

• Arbeidsområdets private link-funksjonen støttes kun i en Fabric-kapasitet (F SKU). Andre kapasiteter, for eksempel Premium (P SKU) og prøveversjonskapasiteter, støttes ikke.
• Et arbeidsområde kan ikke slettes hvis en eksisterende privat koblingstjeneste er konfigurert for det.
• Bare én privat koblingstjeneste kan opprettes per arbeidsområde, og hvert arbeidsområde kan bare ha én privat koblingstjeneste. Det kan imidlertid opprettes flere private endepunkter for én enkelt privat koblingstjeneste.
• Grensen for private endepunkter for et arbeidsområde er 100. Opprett en støtteforespørsel hvis du trenger å øke denne grensen.
• Grense for PLS for arbeidsområde du kan opprette per leier: 500. Opprett en støtteforespørsel hvis du trenger å øke denne grensen.
• Opptil 10 private koblingstjenester for arbeidsområder kan opprettes per minutt.
• Fabric-portalens UI støtter for øyeblikket ikke å aktivere både innkommende beskyttelse (private lenker på arbeidsområdenivå) og utgående tilgangsbeskyttelse samtidig for et arbeidsområde. Hvis du vil konfigurere begge innstillingene sammen, kan du bruke API-en Arbeidsområder – Angi policy for nettverkskommunikasjon, som tillater full administrasjon av policyer for innkommende og utgående beskyttelse.
• For Data Engineering-arbeidsbelastninger:
  • Hvis du vil spørre etter Lakehouse-filer eller -tabeller fra et arbeidsområde som har privat kobling på arbeidsområdenivå aktivert, må du opprette en administrert privat endepunkttilkobling på tvers av arbeidsområder for å få tilgang til ressurser i det andre arbeidsområdet.
  • Du kan bruke enten relative eller fullstendige baner til å spørre etter filer eller tabeller i samme arbeidsområde, eller bruke en administrert privat endepunkttilkobling på tvers av arbeidsområder for å få tilgang til dem fra et annet arbeidsområde. Hvis du vil lese filer i et Lakehouse som ligger i et annet arbeidsområde, bruker du en fullstendig bane som inkluderer arbeidsområde-ID-en og lakehouse-ID-en (ikke visningsnavnene deres). Denne tilnærmingen sikrer at Spark-økten kan løse banen på riktig måte og unngår tidsavbruddsfeil i socketen. Finn ut mer.
• Variabelbiblioteker kan ikke nås fra en pipeline.
• Nåværende begrensninger for Private Link med et eventhus:
  • Copilot-funksjoner: Maskinlæringsarbeidsbelastninger kan oppleve begrenset funksjonalitet på grunn av kjent regresjon.
  • Eventstream-henting: Eventstream-arbeidsbelastninger støtter for øyeblikket ikke full avspørringsfunksjonalitet.
  • Fabric støtter for øyeblikket ikke integrasjon med Azure Event Hubs.
  • Inntak i kø via OneLake er for øyeblikket ikke tilgjengelig.

• Fanen OneLake Catalog - Govern er ikke tilgjengelig når Private Link er aktivert.
• OneLake Security støttes for øyeblikket ikke når en privat lenke på arbeidsområdenivå er aktivert for et arbeidsområde.
• Overvåking av arbeidsområde støttes for øyeblikket ikke når en privat kobling på arbeidsområdenivå er aktivert for et arbeidsområde.

Azure rollebasert tilgangskontroll (RBAC) og private lenker på arbeidsplassnivå

Provisjonering og administrasjon av private forbindelser på arbeidsområdesnivå og tilhørende private endepunkter krever spesifikke Azure RBAC-tillatelser. Disse tillatelsene kan begrenses smalt ved å definere en egendefinert Azure-rolle som kun gir nødvendige handlinger for virtuelt nettverk, Private Link og Private Endpoint på ressursgruppenivå, noe som muliggjør delegert administrasjon uten å tildele brede roller som eier eller bidragsyter. Følgende egendefinerte rolledefinisjon gir nødvendige tillatelser for å opprette viruelle nettverk, subnett, private lenker i Fabric-arbeidsområder og private endepunkter tilpasset en spesifikk gruppe.

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

Vanlige feil og feilsøking

Forespørsel avvist av innkommende policy

Når du prøver å få tilgang til et arbeidsområde som er konfigurert til å begrense offentlig tilgang, støter brukere på følgende feil:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Årsak: Denne feilen oppstår når forespørselen gjøres fra en nettverksplassering som arbeidsområdets kommunikasjonspolicy ikke tillater.

• Avbøtende tiltak:

  1. Sjekk om du er på den tillatte nettverksplasseringen.
  2. Når du bruker en privat kobling på arbeidsområdenivå for å få tilgang til arbeidsområdet, må du kontrollere at du bruker FQDN for arbeidsområdet.

Elementer som ikke støttes i et arbeidsområde

Når du prøver å angi et arbeidsområde for å begrense offentlig tilgang, støter brukere på følgende feil:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Årsak: Denne feilen oppstår fordi arbeidsområdet inneholder ett eller flere elementer som ikke er kompatible med private koblinger på arbeidsområdenivå. Derfor kan du ikke konfigurere arbeidsområdet til å begrense offentlig tilgang.

• Begrensning: Slett elementene som ikke støttes i dette arbeidsområdet, eller bruk et annet arbeidsområde i stedet.

Relatert innhold

• Om private lenker
• Konfigurere og bruke private koblinger på arbeidsområdenivå