Cenários e limitações suportados para links privados no nível do espaço de trabalho

Os links privados no nível do workspace em Microsoft Fabric fornecem uma maneira segura de se conectar a recursos específicos do workspace em uma rede privada. Este artigo explica quais cenários e tipos de item têm suporte, destaca as limitações atuais e oferece diretrizes sobre práticas recomendadas e solução de problemas para usar links privados no nível do workspace.

Tipos de item com suporte para link privado no nível do workspace

Você pode usar links privados no nível do workspace para se conectar aos seguintes tipos de item no Fabric:

• Lakehouse, Ponto de Extremidade do SQL, Atalho
• Conexão direta por meio do endpoint OneLake
• Notebook, definição de trabalho do Spark, Ambiente
• Experimento de machine learning, modelo de machine learning
• Pipeline
• Trabalho de cópia
• Data Factory montado
• Armazém
• Fluxos de dados Gen2 (CI/CD)
• Biblioteca de variáveis
• Banco de dados espelhado
• Eventstream
• Eventhouse

Anotações sobre tipos de item sem suporte

No momento, os seguintes tipos de itens não são suportados em espaços de trabalho com links privados no nível do espaço de trabalho.

• Pipelines de implantação

Se um workspace contiver qualquer tipo de item sem suporte, o acesso público de entrada não poderá ser restrito para o workspace, mesmo se o link privado no nível do workspace estiver configurado.

Da mesma forma, se um workspace já estiver configurado para restringir o acesso público de entrada, os tipos de item sem suporte não poderão ser criados nesse workspace.

Ao trabalhar com tipos de item sem suporte, lembre-se das considerações a seguir.

• Pipelines de implantação: Quando um workspace é atribuído a um pipeline de implantação, ele não pode ser configurado para bloquear o acesso público, pois os pipelines de implantação atualmente não dão suporte a links privados no nível do workspace.

Opções de gerenciamento para tipos de item com suporte

Esta seção descreve como você pode gerenciar tipos de itens com suporte em workspaces habilitados com links privados, usando o portal Fabric ou as APIs REST.

Suporte do Fabric Core

APIs com endpoints que contêm v1/workspaces/{workspaceId} oferecem suporte a links privados no nível do workspace porque operam dentro do contexto de um workspace específico. Por outro lado, as APIs de administrador usam admin/workspaces/{workspaceId} em seus pontos de extremidade e não são cobertas por links privados no nível do espaço de trabalho. As APIs de administrador permanecem acessíveis mesmo para workspaces restritos, pois a configuração no nível do locatário para bloquear o acesso público os rege.

• Itens – API REST (Core): verifique também os tipos de item individuais para obter detalhes.
• Pastas – API REST (Core)
• Git – API REST (Core)
• Pontos de extremidade privados gerenciados – API REST (Core)
• Agendador de Trabalho – API REST (Core)
• Segurança de acesso a dados do OneLake – Criar ou atualizar funções de acesso a dados – API REST (Core)
• Atalhos do OneLake – API REST (Core)
  • Em um workspace restrito, você pode criar atalhos para outras fontes de dados, como armazenamento externo ou por meio de acesso confiável.
  • Ao criar um atalho para outro workspace restrito, você precisa criar um ponto de extremidade privado gerenciado e obter aprovação do proprietário do serviço de link privado do workspace de destino no Azure. Para obter mais informações, consulte comunicação entre espaços de trabalho.
  • Atualmente, não há suporte para transformações de atalho em workspaces restritos.
• Etiquetas – API REST (Core)
• Workspaces – API REST (Core)
• Provedor de Compartilhamentos de Dados Externos – API REST (Core): o destinatário precisa usar o FQDN (nome de domínio totalmente qualificado) do workspace para acessar a URL do OneLake compartilhada.

Suporte do Lakehouse

Crie e gerencie Lakehouses em workspaces ativados com links privados usando o portal Fabric ou as APIs REST.

Suporte a exibições de lago materializadas (versão prévia)

Use Fabric portal ou APIs REST em workspaces habilitados com links privados para atualizar exibições materializadas do lago no Lakehouse. Esse recurso está em versão prévia.

Suporte ao armazém

Crie e gerencie armazéns de dados em workspaces habilitados com links privados usando o portal Fabric ou as APIs REST.

Para usar a string de conexão do armazém com um link privado no nível do espaço de trabalho, adicione z{xy} à string de conexão regular do armazém. Por exemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obter a cadeia de conexão do serviço de link privado do workspace para um armazém: Get Connection String – API REST (Warehouse)

Usando a cadeia de conexão do data warehouse, você também pode acessar um data warehouse por meio do ponto de extremidade do Fluxo de Dados Tabulares do SQL (TDS) em ferramentas como o SQL Server Management Studio. Todos os pontos de extremidade e armazéns SQL em um workspace compartilham o mesmo nome do host da string de conexão para conectividade TDS. Ao usar a API REST para recuperar a cadeia de conexão, use o sinalizador privateLinkType=Workspace para obter a conexão privada do código de conexão do espaço de trabalho.

Suporte ao Endpoint do SQL

Para usar a cadeia de conexão do SQL Endpoint com um link privado no nível do workspace, adicione z{xy} à cadeia de conexão regular do SQL Endpoint. Por exemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obter a string de conexão do serviço de link privado do workspace para um endpoint SQL: Itens – Obter String de Conexão (Endpoint SQL)

Suporte ao notebook

Gerencie notebooks em workspaces habilitados com links privados, usando o portal Fabric ou as APIs REST.

Suporte ao Endpoint Livy

Use o portal Fabric ou as APIs em workspaces habilitados com links privados para criar e executar instruções ou executar trabalhos em lotes usando pontos de extremidade Livy.

Um trabalho de sessão do Livy estabelece uma sessão do Spark que permanece ativa durante a interação com a API Livy. As sessões livy são ideais para cargas de trabalho interativas. A sessão começa quando você envia um trabalho e permanece disponível até que você o encerre explicitamente ou o sistema o encerre após 20 minutos de inatividade. Vários trabalhos podem ser executados na mesma sessão, compartilhando o estado e os dados armazenados em cache.

Um trabalho em lote do Livy envolve o envio de um aplicativo Spark para uma única execução. Ao contrário de um trabalho de sessão do Livy, um trabalho em lote não mantém uma sessão persistente do Spark. Cada tarefa em lote do Livy inicia uma nova sessão do Spark que termina quando a tarefa é concluída. Esse método é adequado para tarefas que não dependem de dados armazenados em cache ou exigem que o estado seja mantido entre trabalhos.

Suporte à definição de trabalho do Spark

Use o portal Fabric ou as APIs em workspaces habilitados com links privados para criar, ler, atualizar e excluir itens de definição de trabalho do Spark.

Suporte ao ambiente

Gerencie ambientes em workspaces habilitados com links privados usando o portal do Fabric ou use APIs REST de Ambiente para criar, ler, atualizar e excluir itens de ambientes.

Suporte a experimentos de machine learning

Gerencie experimentos de machine learning em workspaces habilitados com links privados usando o portal Fabric ou a API REST.

Suporte ao modelo de machine learning

Gerencie modelos de aprendizado de máquina em workspaces habilitados com links privados usando a Items - REST API (MLModel).

Pipeline, Copy Job e suporte ao Data Factory em modo montado

Gerencie pipelines, tarefas de cópia e fábricas de dados montadas em workspaces habilitados com links privados usando o portal Fabric ou as seguintes APIs REST.

Os seguintes cenários não têm suporte:

• Não há suporte para o preparo do espaço de trabalho para conectores Fabric Data Warehouse, Snowflake ou Teradata na atividade de cópia e no trabalho de cópia. Use um ambiente externo de testes como alternativa.
• Não há suporte para copiar para o Eventhouse.

Suporte a Eventstream

Gerencie eventstreams em workspaces habilitados com links privados usando o portal do Fabric ou as APIs REST para criar itens de eventstream e visualizar sua topologia.

As APIs eventstream usam uma estrutura semelhante a um grafo para definir um item Eventstream, que consiste em quatro componentes: origem, destino, operador e fluxo.

Atualmente, o Eventstream dá suporte apenas ao workspace Link Privado para um conjunto limitado de origens e destinos. Se você incluir um componente sem suporte no conteúdo da API Eventstream, a solicitação poderá falhar.

Os seguintes cenários não têm suporte:

• O endpoint personalizado não é suportado como fonte.
• Não há suporte para usar ponto de extremidade personalizado como destino.
• Não há suporte para Eventhouse como destino (com modo de ingestão direta).
• Não há suporte para o ativador como destino.

Suporte do Eventhouse

Gerencie eventhouses em espaços de trabalho habilitados com conexões privadas usando o portal Fabric ou a API REST.

Os seguintes cenários não têm suporte:

• Consumindo eventos de Eventstreams
• Pontos de extremidade SQL Server TDS

Dataflows Gen2 com suporte a CI/CD

Gerenciar fluxos de dados Gen2 em workspaces habilitados com links privados usando o portal Fabric ou a API REST.

Uma conexão baseada em um gateway de dados de rede virtual deve ser usada, inclusive no destino de saída. O gateway de dados da rede virtual deve residir na mesma rede virtual que o ponto de extremidade de link privado em nível de espaço de trabalho utilizado pelo espaço de trabalho.

Conector de Fluxo de Dados do Power Platform: quando um workspace tem links privados habilitados e o acesso público negado, para quaisquer dois dataflows nesse workspace (dataflow A e dataflow B), nenhum dos dataflows poderá se conectar ao outro usando o Conector de Fluxo de Dados do Power Platform, já que nenhum dos dataflows aparecerá no navegador.

Suporte à biblioteca de variáveis

Gerencie bibliotecas de variáveis em workspaces habilitados com links privados usando o portal Fabric ou a API REST.

Suporte a banco de dados espelhado

Você pode gerenciar bancos de dados espelhados em workspaces habilitados com links privados usando o portal Fabric ou a API REST.

Suporte a eventos Azure e Fabric

Quando os links privados no nível do workspace são configurados em um workspace para bloquear o acesso público, os consumidores de eventos (como alertas do Ativador ou fluxos de eventos) em outros workspaces não podem assinar ou consumir eventos de itens nesse workspace, a menos que um link privado seja estabelecido da rede do consumidor para o workspace de origem (o workspace no qual os eventos se originam).

Isso se aplica a todos os tipos de evento Fabric. Por exemplo, se você criar um alerta do Activator no Workspace A para monitorar eventos do OneLake de um lakehouse no Workspace B, o Workspace B será o workspace de origem. Se o Workspace B bloquear o acesso à rede pública, essa configuração falhará, a menos que um link privado seja estabelecido da rede do Workspace A para o Workspace B.

Azure eventos (como eventos Armazenamento de Blobs do Azure) também são afetados. Quando você configura um consumidor para receber eventos do Azure, um item de fluxo de eventos é criado em um espaço de trabalho do Fabric para representar a origem do Azure. Se o espaço de trabalho que contém este item do fluxo de eventos bloquear o acesso à rede pública, os destinatários em outros espaços de trabalho não poderão consumir esses eventos, a menos que um link privado seja estabelecido. Além disso, os eventos do Azure são afetados pela configuração de link privado no nível do locatário — quando a configuração no nível do locatário do Block Public Internet Access está habilitada, as fontes de eventos do Azure fora do locatário são bloqueadas de entregar eventos no Fabric completamente, independentemente das configurações no nível do workspace.

O consumo de eventos dentro do mesmo espaço de trabalho é sempre permitido, independentemente das configurações de link privado. Se as configurações de link privado no nível do workspace forem alteradas depois que um consumidor já estiver configurado, o sistema detectará a alteração e pausa a configuração. Durante a pausa, os eventos são retidos por até 7 dias. Para obter detalhes sobre configurações pausadas, consulte configurações de eventos pausados no hub Real-Time.

Para obter mais informações, consulte Links privados para eventos do Azure e do Fabric.

Ferramentas de gerenciamento com suporte e sem suporte

• Você pode usar o portal do Fabric ou a API REST para gerenciar todos os tipos de item suportados em workspaces com links privados de workspace habilitados. Quando um workspace permite acesso público, o portal Fabric continua funcionando usando conectividade pública. Se um workspace estiver configurado para negar o acesso público de entrada, você poderá acessá-lo no portal do Fabric somente quando a solicitação se originar do ponto de extremidade privado associado do workspace. Se o acesso for tentado por meio da conectividade pública ou de um ponto de extremidade privado diferente, o portal do Fabric exibirá uma mensagem "Acesso Restrito".
• Os links diretos para uma página L2 (Nível 2) do hub de monitoramento podem não funcionar conforme o esperado ao usar links privados no nível de área de trabalho. Você pode acessar a página L2 primeiro navegando até a página L1 (Nível 1) do Hub de Monitoramento no portal Fabric.
• SQL Server Management Studio (SSMS) tem suporte para se conectar a armazéns por meio do link privado no nível do workspace.
• Gerenciador de Armazenamento pode ser usado com links privados no nível de espaço de trabalho.
• Gerenciador de Armazenamento do Azure, PowerShell, AzCopy e outras ferramentas de Armazenamento do Azure podem se conectar ao OneLake por meio de um link privado.
• Para usar o OneLake File Explorer, você deve ter acesso ao seu assinante, por meio de acesso público ou de um link privado de assinante.

Considerações e limitações

• O recurso de link privado no nível do Workspace só tem suporte em uma capacidade do Fabric (SKU F). Não há suporte para outras capacidades, como SKU premium (P) e capacidades de avaliação.
• Um workspace não poderá ser excluído se um serviço de link privado existente estiver configurado para ele.
• Somente um serviço de link privado pode ser criado por workspace e cada workspace pode ter apenas um serviço de link privado. No entanto, vários endpoints privados podem ser criados para um único serviço de conexão privada.
• O limite de endpoints privados para uma área de trabalho é 100. Crie um tíquete de suporte se precisar aumentar esse limite.
• Limite de PLS do espaço de trabalho que pode ser criado por locatário: 500. Crie um tíquete de suporte se precisar aumentar esse limite.
• Até 10 serviços de link privado de área de trabalho podem ser criados por minuto.
• No momento, a interface do usuário do portal Fabric não dá suporte à habilitação da proteção de entrada (links privados no nível do workspace) e da proteção de acesso de saída ao mesmo tempo para um workspace. Para definir as duas configurações em conjunto, use os Workspaces – Definir a API de Política de Comunicação de Rede, que permite o gerenciamento completo de políticas de proteção de entrada e de saída.
• Para cargas de trabalho de Engenharia de Dados:
  • Para consultar arquivos ou tabelas do Lakehouse de um workspace com link privado habilitado no nível de workspace, é necessário criar uma conexão gerenciada de ponto de extremidade privado entre workspaces para acessar os recursos em outro workspace.
  • Você pode usar caminhos relativos ou completos para consultar arquivos ou tabelas dentro do mesmo workspace ou usar uma conexão de endpoint privado gerenciado entre workspaces para acessá-los a partir de outro workspace. Para ler arquivos em um Lakehouse localizado em outro workspace, use um caminho totalmente qualificado que inclua o ID do workspace e o ID do lakehouse (não seus nomes de exibição). Essa abordagem garante que a sessão do Spark possa resolver o caminho corretamente e evita erros de tempo limite do soquete. Saiba mais.
• Bibliotecas de variáveis não podem ser acessadas de um Pipeline.
• Limitações atuais para Link Privado com uma casa de eventos:
  • Recursos do Copilot: cargas de trabalho de aprendizado de máquina podem ter funcionalidade limitada devido a uma regressão conhecida.
  • Extração de fluxo de eventos: atualmente, as cargas de trabalho de fluxo de eventos não dão suporte à funcionalidade completa de polling.
  • Fabric atualmente não dá suporte à integração Hubs de Eventos do Azure.
  • A ingestão em fila via OneLake está atualmente indisponível.

• A guia OneLake Catalog – Govern não está disponível quando Link Privado é ativado.
• Atualmente, não há suporte para o OneLake Security quando um link privado ao nível de workspace está habilitado para um workspace.
• Atualmente, o monitoramento do workspace não é suportado quando um link privado no nível do workspace está habilitado.

controle de acesso baseado em função do Azure (RBAC) e links privados no nível do espaço de trabalho

O provisionamento e o gerenciamento de links privados em nível de workspace e de pontos de extremidade privados associados exigem permissões específicas do "Azure RBAC". Essas permissões podem ser limitadas ao definir uma função personalizada do Azure que concede somente as ações necessárias relacionadas à Rede Virtual, Link Privado e Ponto de Extremidade Privado, no nível do grupo de recursos. Isso possibilita o gerenciamento delegado sem a necessidade de atribuir funções amplas, como Proprietário ou Colaborador. A definição de função personalizada a seguir fornece as permissões necessárias para criar redes virtuais, sub-redes, links privados do Fabric workspace e pontos de extremidade privados com escopo para um grupo específico.

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

Erros comuns e solução de problemas

Solicitação negada pela política de entrada

Ao tentar acessar um workspace configurado para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Causa: esse erro ocorre quando a solicitação é feita de um local de rede que a política de comunicação do workspace não permite.

• Mitigação:

  1. Verifique se você está no local de rede permitido.
  2. Ao usar um link privado no nível do workspace para acessar o workspace, verifique se você está usando o FQDN do workspace.

Itens não suportados em um ambiente de trabalho

Ao tentar definir um workspace para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Causa: esse erro ocorre porque o workspace contém um ou mais itens que não são compatíveis com links privados no nível do workspace. Como resultado, você não pode configurar o workspace para restringir o acesso público.

• Mitigação: Exclua os itens sem suporte neste workspace ou use outro espaço de trabalho.

Conteúdo relacionado

• Sobre links privados
• Configurar e usar links privados no nível do workspace