Cenários suportados e limitações para links privados no nível do espaço de trabalho

As ligações privadas ao nível do espaço de trabalho no Microsoft Fabric fornecem uma forma segura de se ligar a recursos específicos do espaço de trabalho através de uma rede privada. Este artigo explica quais cenários e tipos de item são suportados, destaca as limitações atuais e oferece orientação sobre práticas recomendadas e solução de problemas para o uso de links privados no nível do espaço de trabalho.

Tipos de item suportados para link privado no nível do espaço de trabalho

Pode usar links privados ao nível do espaço de trabalho para se ligar aos seguintes tipos de itens no Fabric:

• Lakehouse, Ponto de extremidade SQL, Atalho
• Conexão direta via endpoint OneLake
• Notebook, Definição de trabalho do Spark, Ambiente
• Experiência de aprendizagem automática, modelo de aprendizagem automática
• Gasoduto
• Tarefa de Cópia
• Fábrica de dados montada
• Armazém
• Fluxos de dados Gen2 (CI/CD)
• Biblioteca de variáveis
• Banco de dados espelhado
• Eventstream
• Casa de eventos

Notas sobre tipos de itens não suportados

Os seguintes tipos de item não são suportados atualmente em espaços de trabalho habilitados com links privados no nível do espaço de trabalho:

• Linhas de implementação

Se um espaço de trabalho contiver tipos de itens não suportados, o acesso público de entrada ao espaço de trabalho não poderá ser restrito, mesmo que a ligação privada ao nível do espaço de trabalho esteja configurada.

Da mesma forma, se um espaço de trabalho já estiver configurado para restringir o acesso público de entrada, os tipos de item sem suporte não poderão ser criados nesse espaço de trabalho.

Ao trabalhar com tipos de itens sem suporte, esteja ciente das seguintes considerações.

• Pipelines de implantação: Quando um espaço de trabalho é atribuído a um pipeline de implantação, ele não pode ser configurado para bloquear o acesso público, pois os pipelines de implantação atualmente não oferecem suporte a links privados no nível do espaço de trabalho.

Opções de gerenciamento para tipos de itens suportados

Esta secção descreve como pode gerir os tipos de itens suportados em espaços de trabalho habilitados com ligações privadas, usando o portal Fabric ou APIs REST.

Suporte Fabric Core

APIs com endpoints que contêm v1/workspaces/{workspaceId} suportam links privados ao nível do espaço de trabalho porque operam dentro do contexto de um espaço de trabalho específico. Por outro lado, as APIs de administração utilizam admin/workspaces/{workspaceId} em seus pontos de extremidade e não são abrangidas por links privados ao nível do espaço de trabalho. As APIs de administrador permanecem acessíveis mesmo para espaços de trabalho restritos, porque a configuração no nível do locatário para bloquear o acesso público as rege.

• Itens - API REST (Core): Verifique também os tipos de itens individuais para obter detalhes.
• Pastas - API REST (Core)
• Git - API REST (Core)
• Pontos de extremidade privados gerenciados - API REST (Core)
• Agendador de tarefas - API REST (Core)
• Segurança de acesso a dados do OneLake - Criar ou atualizar funções de acesso a dados - API REST (Core)
• Atalhos do OneLake - Core da API REST
  • A partir de um espaço de trabalho restrito, você pode criar atalhos para outras fontes de dados, como armazenamento externo ou por meio de acesso confiável.
  • Quando crias um atalho para outro espaço de trabalho restrito, precisas de criar um endpoint privado gerido e obter aprovação do proprietário do serviço de ligação privada do workspace alvo no Azure. Para obter mais informações, consulte Comunicação entre espaços de trabalho.
  • Atualmente, não há suporte para transformações de atalho em espaços de trabalho restritos.
• Tags - API REST (Core)
• Espaços de trabalho - API REST (Core)
• Provedor de compartilhamentos de dados externos - API REST (Core): o destinatário precisa usar o FQDN (nome de domínio totalmente qualificado) do espaço de trabalho para acessar a URL compartilhada do OneLake.

Suporte a Lakehouse

Crie e gere Lakehouses em espaços de trabalho habilitados com ligações privadas usando o portal Fabric ou APIs REST.

Suporte para visualizações materializadas de lago (Pré-visualização)

Use o portal Fabric ou APIs REST em espaços de trabalho habilitados com links privados para atualizar as vistas materializadas do lago em Lakehouse. Este recurso está em pré-visualização.

Suporte de armazém

Crie e gere armazéns em espaços de trabalho habilitados com ligações privadas usando o portal Fabric ou APIs REST.

Para usar a cadeia de conexão do armazém com uma ligação privada ao nível do espaço de trabalho, adicione z{xy} à cadeia de conexão normal do armazém. Por exemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obter a cadeia de ligação de serviço de link privado de workspace para um armazém: Get Connection String - REST API (Warehouse)

Usando a cadeia de conexão do armazém de dados, também pode aceder a um armazém de dados através do endpoint SQL Tabular Data Stream (TDS) em ferramentas como o SQL Server Management Studio. Todos os endpoints SQL e warehouses num espaço de trabalho partilham o mesmo nome de host na cadeia de conexão para a conectividade TDS. Ao usar a API REST para recuperar a cadeia de conexão, use a flag privateLinkType=Workspace para obter a cadeia de conexão de link privado do workspace.

Suporte para SQL Endpoint

Para usar a cadeia de conexão do SQL Endpoint com uma ligação privada ao nível do workspace, adicione z{xy} à cadeia de conexão regular do SQL Endpoint. Por exemplo:

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• Para obter a cadeia de ligação de serviço de ligação privada do workspace para um Endpoint SQL: Itens - Obter Cadeia de Ligação (Endpoint SQL)

Suporte para notebook

Gerir cadernos em espaços de trabalho ativados com ligações privadas usando o portal Fabric ou APIs REST.

Suporte para endpoint Livy

Use o portal Fabric ou APIs em espaços de trabalho ativados com links privados para criar e executar instruções ou executar trabalhos em lote usando endpoints Livy.

Um trabalho de sessão do Livy estabelece uma sessão do Spark que permanece ativa durante a sua interação com a API do Livy. As sessões Livy são ideais para cargas de trabalho interativas. A sessão começa quando você envia um trabalho e permanece disponível até que você o termine explicitamente ou o sistema o encerre após 20 minutos de inatividade. Vários trabalhos podem ser executados dentro da mesma sessão, compartilhando o estado e os dados armazenados em cache.

Um trabalho em lote do Livy envolve o envio de um aplicativo Spark para uma única execução. Ao contrário de um trabalho de sessão Livy, um trabalho em lote não mantém uma sessão persistente do Spark. Em cada execução de lote do Livy, inicia-se uma nova sessão do Spark que termina quando a tarefa é concluída. Esse método é adequado para tarefas que não dependem de dados armazenados em cache ou exigem que o estado seja mantido entre trabalhos.

Suporte à definição de trabalho do Spark

Use o portal Fabric ou as APIs nos espaços de trabalho ativadas com links privados para criar, ler, atualizar e eliminar itens de definição de tarefas do Spark.

Apoio ao ambiente

Gerir ambientes em espaços de trabalho habilitados com links privados através do portal Fabric, ou usar APIs REST do Ambiente para criar, ler, atualizar e eliminar itens do Ambiente.

Suporte a experimentos de aprendizado de máquina

Gerir experiências de aprendizagem automática em espaços de trabalho habilitados com ligações privadas através do portal Fabric ou da API REST.

Suporte a modelos de aprendizagem automática

Gerencie modelos de aprendizado de máquina em espaços de trabalho habilitados com links privados usando a API Items - REST (MLModel).

Suporte para pipelines, tarefa de cópia e fábrica de dados montada.

Gerir pipelines, copiar tarefas e fábricas de dados integradas em espaços de trabalho que possuem ligações privadas usando o portal Fabric ou as seguintes APIs REST.

Não há suporte para os seguintes cenários:

• A preparação de espaço de trabalho não é suportada para conectores Fabric Data Warehouse, Snowflake ou Teradata em atividade Copy e Copy job. Use o palco externo como alternativa.
• Não há suporte para copiar para o Eventhouse.

Suporte a Eventstream

Gerir eventstreams em espaços de trabalho habilitados com ligações privadas usando o portal Fabric ou APIs REST para criar itens de eventstream e visualizar a sua topologia.

As APIs do Eventstream usam uma estrutura semelhante a um gráfico para definir um item Eventstream, que consiste em quatro componentes: origem, destino, operador e fluxo.

Atualmente, o Eventstream suporta apenas o Workspace Private Link para um conjunto limitado de fontes e destinos. Se você incluir um componente sem suporte na carga útil da API do Eventstream, a solicitação poderá falhar.

Não há suporte para os seguintes cenários:

• Não há suporte para Endpoint Personalizado como origem.
• O suporte para "Custom Endpoint" como destino não está disponível.
• O Eventhouse como destino (com modo de ingestão direta) não é suportado.
• O ativador como destino não é suportado.

Suporte Eventhouse

Gerir casas de eventos em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.

Não há suporte para os seguintes cenários:

• Consumindo eventos de Eventstreams
• Endpoints TDS do SQL Server

Suporte a fluxos de dados Gen2 (CI/CD)

Gerir Dataflows Gen2 em espaços de trabalho habilitados com ligações privadas usando o portal Fabric ou a API REST.

Deve ser utilizada uma ligação baseada num gateway de dados de rede virtual, incluindo no destino de saída. O gateway de dados de rede virtual deve residir na mesma rede virtual que o ponto de extremidade de link privado ao nível do espaço de trabalho usado pelo espaço de trabalho.

Power Platform Dataflow Connector: Quando um espaço de trabalho tem links privados de espaço de trabalho habilitados e acesso público negado, para quaisquer dois fluxos de dados nesse espaço de trabalho (fluxo de dados A e fluxo de dados B), nenhum fluxo de dados poderá se conectar ao outro fluxo de dados usando o Power Platform Dataflow Connector, porque o fluxo de dados não aparecerá no navegador.

Suporte a bibliotecas variáveis

Gerir bibliotecas de variáveis em espaços de trabalho ativados com ligações privadas usando o portal Fabric ou a API REST.

Suporte a banco de dados espelhado

Pode gerir bases de dados espelhadas em espaços de trabalho habilitados com ligações privadas usando o portal Fabric ou a API REST.

Suporte para Azure e Fabric Events

Quando ligações privadas ao nível do espaço de trabalho são configuradas num espaço de trabalho para bloquear o acesso público, os consumidores de eventos (como alertas Ativadores ou fluxos de eventos) noutros espaços de trabalho não podem subscrever nem consumir eventos de itens desse espaço de trabalho, a menos que seja estabelecida uma ligação privada da rede do consumidor para o espaço de trabalho de origem (o espaço de trabalho onde os eventos se originam).

Isto aplica-se a todos os tipos de eventos Fabric. Por exemplo, se criar um alerta de Activator no Workspace A para monitorar eventos OneLake a partir de um lakehouse no Workspace B, o Workspace B é o workspace de origem. Se o Workspace B bloquear o acesso à rede pública, esta configuração falha a menos que seja estabelecida uma ligação privada da rede do Workspace A para o Workspace B.

Os eventos do Azure (como os eventos do Armazenamento de Blobs do Azure) também são afetados. Quando configura um consumidor para receber eventos do Azure, é criado um elemento eventstream num espaço de trabalho Fabric para representar a fonte do Azure. Se o espaço de trabalho que contém este item do fluxo de eventos bloquear o acesso público à rede, os consumidores noutros espaços de trabalho não podem consumir esses eventos a menos que seja estabelecido um link privado. Além disso, os eventos do Azure são afetados pela configuração do link privado ao nível do locatário — quando a definição Block Public Internet Access está ativada, as fontes de eventos do Azure fora do locatário são bloqueadas de enviar eventos para o Fabric completamente, independentemente das definições ao nível do espaço de trabalho.

O consumo de eventos dentro do mesmo espaço de trabalho é sempre permitido, independentemente das configurações de ligações privadas. Se as definições de ligação privada ao nível do espaço de trabalho mudarem depois de um consumidor já estar configurado, o sistema deteta a alteração e pausa a configuração. Durante a pausa, os eventos são mantidos até 7 dias. Para detalhes sobre configurações em pausa, veja Configurações de eventos em pausa no Real-Time hub.

Para mais informações, consulte links privados para Azure e eventos do Fabric.

Ferramentas de gestão suportadas e não suportadas

• Pode usar o portal Fabric ou a API REST para gerir todos os tipos de itens suportados em espaços de trabalho com ligações privadas ativadas. Quando um espaço de trabalho permite o acesso público, o portal Fabric continua a funcionar usando a conectividade pública. Se um espaço de trabalho estiver configurado para negar o acesso público de entrada, só pode aceder a ele no portal Fabric quando o pedido tiver origem no endpoint privado associado ao espaço de trabalho. Se o acesso for tentado a partir de conectividade pública ou de outro ponto privado diferente, o portal Fabric exibe uma mensagem "Acesso Restrito".
• Os deeplinks diretos para uma página de Nível 2 (L2) do hub de monitoramento podem não funcionar como esperado ao usar links privados no nível do espaço de trabalho. Pode aceder à página L2 navegando primeiro até à página de Nível 1 (L1) do Monitoring Hub no portal Fabric.
• O SQL Server Management Studio (SSMS) é suportado para ligação a armazéns através de ligação privada ao nível do espaço de trabalho.
• O Explorador de Armazenamento pode ser usado com ligações privadas ao nível do espaço de trabalho.
• Explorador de Armazenamento do Azure, PowerShell, AzCopy e outras ferramentas do Armazenamento do Azure podem ligar-se ao OneLake através de um link privado.
• Para usar o Explorador de Arquivos do OneLake, você deve ter acesso ao seu locatário, seja por meio de acesso público ou de um link privado do locatário.

Considerações e limitações

• A funcionalidade de ligação privada ao nível do espaço de trabalho só é suportada em capacidade Fabric (SKU F). Outras capacidades, como premium (P SKU) e capacidades de teste, não são suportadas.
• Um espaço de trabalho não pode ser excluído se um serviço de link privado existente estiver configurado para ele.
• Apenas um serviço de link privado pode ser criado por espaço de trabalho, e cada espaço de trabalho pode ter apenas um serviço de link privado. No entanto, vários pontos de extremidade privados podem ser criados para um único serviço de link privado.
• O limite de pontos de extremidade privados para um espaço de trabalho é 100. Crie um ticket de suporte se precisar aumentar esse limite.
• Limite de espaço de trabalho PLS que você pode criar por locatário: 500. Crie um ticket de suporte se precisar aumentar esse limite.
• Até 10 serviços de link privado de espaço de trabalho podem ser criados por minuto.
• A interface do portal Fabric atualmente não suporta ativar simultaneamente a proteção de entrada (ligações privadas ao nível do espaço de trabalho) e a proteção de acesso de saída para um espaço de trabalho. Para definir ambas as configurações juntas, use a API Workspaces - set Network Communication Policy, que permite o gerenciamento completo das políticas de proteção de entrada e saída.
• Para cargas de trabalho de Engenharia de Dados:
  • Para consultar arquivos ou tabelas do Lakehouse a partir de um espaço de trabalho que tenha o link privado no nível do espaço de trabalho habilitado, você deve criar uma conexão de ponto de extremidade privada gerenciada entre espaços de trabalho para acessar recursos no outro espaço de trabalho.
  • Você pode usar caminhos relativos ou completos para consultar arquivos ou tabelas dentro do mesmo espaço de trabalho, ou utilizar uma conexão de ponto de extremidade privado gerido entre espaços de trabalho para aceder a eles desde outro espaço de trabalho. Para ler ficheiros num Lakehouse situado noutro espaço de trabalho, use um caminho totalmente qualificado que inclua o ID do espaço de trabalho e o ID do Lakehouse (não seus nomes para exibição). Essa abordagem garante que a sessão do Spark possa resolver o caminho corretamente e evite erros de tempo limite do soquete. Mais informações.
• As Bibliotecas de Variáveis não podem ser acedidas a partir de um Pipeline.
• Limitações atuais para o Private Link com uma casa de eventos:
  • Funcionalidades do Copilot: As cargas de trabalho de aprendizagem automática podem experienciar funcionalidades limitadas devido a uma regressão conhecida.
  • Eventstream pull: Atualmente, as cargas de trabalho do Eventstream não suportam a funcionalidade de sondagem completa.
  • O Fabric atualmente não suporta integração com Hubs de Eventos do Azure.
  • A ingestão em fila via OneLake não está disponível no momento.

• O separador OneLake Catalog - Govern não está disponível quando o Private Link está ativado.
• O OneLake Security não é atualmente suportado quando uma ligação privada ao nível do espaço de trabalho está ativada para um espaço de trabalho.
• Atualmente, não há suporte para o monitoramento de espaço de trabalho quando um link privado no nível do espaço de trabalho está habilitado para um espaço de trabalho.

Controlo de acesso baseado em papéis (RBAC) no Azure e ligações privadas ao nível do espaço de trabalho

O provisionamento e gestão de ligações privadas ao nível do espaço de trabalho e dos endpoints privados associados requerem permissões específicas do Azure RBAC. Estas permissões podem ser limitadas definindo um papel Azure personalizado que conceda apenas as ações exigidas de Rede Virtual, Private Link e Private Endpoint ao nível do grupo de recursos, permitindo uma gestão delegada sem atribuir funções amplas como Proprietário ou Contribuidor. A seguinte definição de função personalizada fornece as permissões necessárias para criar redes virtuais, sub-redes, ligações privadas ao espaço de trabalho Fabric e endpoints privados com âmbito para um grupo específico.

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

Erros comuns e solução de problemas

Solicitação negada pela política de entrada

Ao tentar acessar um espaço de trabalho configurado para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Causa: este erro ocorre quando a solicitação é feita a partir de um local de rede que a política de comunicação do espaço de trabalho não permite.

• Atenuação:

  1. Verifique se você está no local de rede permitido.
  2. Ao usar um link privado no nível do espaço de trabalho para acessar o espaço de trabalho, verifique se você está usando o FQDN do espaço de trabalho.

Itens sem suporte em um espaço de trabalho

Ao tentar definir um espaço de trabalho para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Causa: este erro ocorre porque o espaço de trabalho contém um ou mais itens que não são compatíveis com links privados no nível do espaço de trabalho. Como resultado, não é possível configurar o espaço de trabalho para restringir o acesso público.

• Mitigação: elimine os itens sem suporte neste espaço de trabalho ou use outro espaço de trabalho.

Conteúdo relacionado

• Sobre links privados
• Configurar e usar links privados no nível do espaço de trabalho