Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Private Links bieten eine sichere, private Verbindung zwischen Ihrem virtuellen Netzwerk und Microsoft Fabric, blockieren den öffentlichen Internetzugriff auf Ihre Daten und verringern das Risiko nicht autorisierter Zugriffe oder Datenschutzverletzungen. Private Azure Link- und Azure Networking-Endpunkte werden verwendet, um den Datenverkehr privat über die Backbone-Netzwerkinfrastruktur von Microsoft zu senden, anstatt über das Internet zu wechseln.
Fabric unterstützt private Links auf Mandanten- und Arbeitsbereichsebene. Private Links auf Mandantenebene wenden Netzwerkeinschränkungen für den gesamten Mandanten an und sichern alle Arbeitsbereiche und Ressourcen. Private Links auf Arbeitsbereichsebene ermöglichen es Ihnen, den Zugriff auf vertrauliche Daten oder Ressourcen in bestimmten Arbeitsbereichen zu sichern, ohne dass mandantenweite Änderungen erforderlich sind oder andere Arbeitsbereiche in Ihrer Fabric-Umgebung betroffen sind.
Dieser Artikel enthält eine Übersicht über private Links auf Arbeitsbereichsebene in Microsoft Fabric. Ausführliche Einrichtungsanweisungen finden Sie unter "Einrichten und Verwenden privater Links auf Arbeitsbereichsebene".
Übersicht über private Links auf Arbeitsbereichsebene
Eine private Verknüpfung auf Arbeitsbereichsebene ordnet einen Arbeitsbereich einem bestimmten virtuellen Netzwerk mithilfe des Azure Private Link-Diensts zu. Wenn ein privater Link aktiviert ist, kann der öffentliche Internetzugriff auf den Arbeitsbereich eingeschränkt werden, um sicherzustellen, dass nur Ressourcen innerhalb eines genehmigten virtuellen Netzwerks (über einen privaten Endpunkt) auf den Arbeitsbereich zugreifen können. Das folgende Diagramm veranschaulicht verschiedene Implementierungen privater Links auf Arbeitsbereichsebene.
In diesem Diagramm:
Arbeitsbereich 1 beschränkt den eingehenden öffentlichen Zugriff und kann nur von Computern in VNet A und VNet B über private Links auf Arbeitsbereichsebene aufgerufen werden.
Arbeitsbereich 2 schränkt den eingehenden öffentlichen Zugriff ein und kann nur über einen privaten Link auf Arbeitsbereichsebene von Computern in VNet B aufgerufen werden.
Auf Arbeitsbereich 3 kann über das öffentliche Internet zugegriffen werden, da keine eingeschränkte eingehende Kommunikationsregel konfiguriert ist. Über einen privaten Link auf Arbeitsbereichsebene kann auch über VNet B zugegriffen werden. Diese Konfiguration ermöglicht sowohl den öffentlichen als auch den privaten Zugriff, der für Produktionsumgebungen nicht empfohlen wird. Dieses Setup sollte nur zu Testzwecken verwendet werden, da er den Arbeitsbereich für das öffentliche Internet verfügbar macht und keinen vollständigen eingehenden Netzwerkschutz bietet.
Auf Arbeitsbereich 4 kann über das öffentliche Internet zugegriffen werden, da keine eingeschränkte eingehende Kommunikationsregel konfiguriert ist.
Das Diagramm veranschaulicht die folgenden wichtigsten Punkte zu privaten Links auf Arbeitsbereichsebene:
Wenn ein Arbeitsbereich so konfiguriert ist, dass ein eingehender öffentlicher Zugriff eingeschränkt wird, kann nicht über das öffentliche Internet darauf zugegriffen werden. Auf sie kann nur über einen privaten Link auf Arbeitsbereichsebene zugegriffen werden.
Ein privater Linkdienst verfügt über eine 1:1-Beziehung mit einem Arbeitsbereich. Wie im Diagramm dargestellt, verfügt jeder Arbeitsbereich über einen eigenen privaten Linkdienst.
Der private Linkdienst eines Arbeitsbereichs kann mehrere private Endpunkte aufweisen. Beispielsweise stellen sowohl VNet A als auch VNet B über separate private Endpunkte eine Verbindung mit Arbeitsbereich 1 her. Der Grenzwert für die Anzahl privater Endpunkte finden Sie in unterstützten Szenarien und Einschränkungen für private Links auf Arbeitsbereichsebene.
Ein virtuelles Netzwerk kann eine Verbindung mit mehreren Arbeitsbereichen herstellen, indem separate private Endpunkte für jeden erstellt werden. Beispielsweise stellt VNet B eine Verbindung mit Arbeitsbereichen 1, 2 und 3 mithilfe von drei privaten Endpunkten dar.
Sie können den öffentlichen Zugriff auf einen Arbeitsbereich mit oder ohne privaten Link einschränken. Wenn der öffentliche Zugriff eingeschränkt ist und keine private Verknüpfung vorhanden ist, kann der Arbeitsbereich nicht von allen Netzwerken aus zugänglich sein. Ein Arbeitsbereichsadministrator kann jedoch die Kommunikationsrichtlinien-API verwenden, um die Regel für den eingehenden Zugriff zu ändern.
Eine private Verknüpfung auf Arbeitsbereichsebene wird verwendet, um eine private Verknüpfung mit einem bestimmten Arbeitsbereich herzustellen. Es kann nicht verwendet werden, um eine Verbindung mit einem anderen Arbeitsbereich herzustellen. In der im Diagramm dargestellten Konfiguration ist keine Verbindung mit Arbeitsbereich 2 von VNet A zulässig. Andererseits sind Verbindungen mit Arbeitsbereichen 3 und 4 von VNet A möglich, wenn VNet A ausgehenden öffentlichen Zugriff in den Clientnetzwerkeinstellungen zulässt.
Herstellen einer Verbindung mit Arbeitsbereichen
Beim Herstellen einer Verbindung mit einem Arbeitsbereich müssen Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Arbeitsbereichs verwenden. Der FQDN des Arbeitsbereichs wird basierend auf der Arbeitsbereichs-ID und den ersten beiden Zeichen der Arbeitsbereichsobjekt-ID erstellt. Im Folgenden sind die Formate für den FQDN des Arbeitsbereichs aufgeführt. Die Arbeitsbereichs-ID ist die Arbeitsbereichsobjekt-ID ohne Gedankenstriche und xy stellt die ersten beiden Zeichen der Arbeitsbereichsobjekt-ID dar. Suchen Sie die Arbeitsbereichsobjekt-ID in der URL nach der Gruppe, wenn Sie die Arbeitsbereichsseite über das Fabric-Portal öffnen. Sie können den FQDN des Arbeitsbereichs auch abrufen, indem Sie die Listenarbeitsbereich-API oder die Arbeitsbereichs-API abrufen.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comFür Data Warehouse-Verbindungszeichenfolgen: Fügen Sie z{xy} zur regulären Warehouse-Verbindungszeichenfolge hinzu, die unter der SQL-Verbindungszeichenfolgenbeschreibung zu finden ist. Die GUIDs im FQDN entsprechen der Mieter-GUID in Base32 und der Arbeitsbereichs-GUID in Base32. Dieser FQDN ist im Rahmen der DNS-Konfigurationen für den privaten Endpunkt nicht verfügbar.
So wird der FQDN des Arbeitsbereichs in verschiedenen Umgebungen aufgelöst
Der FQDN des Arbeitsbereichs wird basierend auf der Umgebung und der Konfiguration für private Verknüpfungen in verschiedene IP-Adressen aufgelöst, wie in der folgenden Tabelle zusammengefasst.
| Umwelt | FQDN-Auflösung des Arbeitsbereichs |
|---|---|
| Es ist kein privater Link eingerichtet. | Löst eine öffentliche IP-Adresse auf. |
| Private Verknüpfung auf Mandantenebene ist eingerichtet. | Aufgelöst in eine private IP-Adresse basierend auf der Konfiguration auf Mandantenebene für private Verknüpfungen. |
| Private Verknüpfung auf Arbeitsbereichsebene ist für den entsprechenden Arbeitsbereich eingerichtet. | Löst eine private IP-Adresse basierend auf der Konfiguration für private Verknüpfungen auf Arbeitsbereichsebene auf. Anmerkung: In dieser Umgebung kann der FQDN des Arbeitsbereichs nur eine Verbindung mit dem jeweiligen Arbeitsbereich herstellen. Sie kann nicht für den Zugriff auf Nichtworkspaceressourcen (z. B. Kapazitäten, andere Arbeitsbereiche oder Gruppenarbeitsbereiche) verwendet werden. |
| Private Verknüpfung auf Arbeitsbereichsebene ist für den entsprechenden Arbeitsbereich eingerichtet, und der private Link auf Mandantenebene wird auch im gleichen virtuellen Netzwerk eingerichtet. | Löst eine private IP-Adresse basierend auf der Konfiguration für private Verknüpfungen auf Arbeitsbereichsebene auf. |
| Private Verknüpfung auf Arbeitsbereichsebene ist für einen anderen Arbeitsbereich eingerichtet. | Löst eine öffentliche IP-Adresse auf, wenn fallback auf das Internet aktiviert ist. Siehe Fallback in das Internet für Azure Private DNS-Zonen – Azure DNS | Details finden Sie in Microsoft Learn . Es wird nicht ordnungsgemäß aufgelöst, ohne Fallback für das Internet zu aktivieren. |
Der FQDN des Arbeitsbereichs muss ordnungsgemäß mithilfe der Arbeitsbereichsobjekt-ID ohne Gedankenstriche und dem richtigen XY-Präfix (die ersten beiden Zeichen der Arbeitsbereichsobjekt-ID) erstellt werden. Wenn der FQDN nicht ordnungsgemäß formatiert ist, wird er nicht in die beabsichtigte private IP-Adresse aufgelöst, und die Private Linkverbindung auf Arbeitsbereichsebene schlägt fehl.