Freigeben über

Unterstützte Szenarien und Einschränkungen für private Links auf Arbeitsbereichsebene

Private Links auf Arbeitsbereichsebene in Microsoft Fabric bieten eine sichere Möglichkeit, eine Verbindung zu bestimmten Arbeitsbereichsressourcen über ein privates Netzwerk herzustellen. In diesem Artikel wird erläutert, welche Szenarien und Elementtypen unterstützt werden, welche aktuellen Einschränkungen gelten, und bietet Anleitungen zu bewährten Methoden und zur Problembehandlung für die Verwendung privater Links auf Arbeitsbereichsebene.

Sie können private Links auf Arbeitsbereichsebene verwenden, um eine Verbindung mit den folgenden Elementtypen in Fabric herzustellen:

  • Lakehouse, SQL-Endpunkt, Verknüpfung
  • Direkte Verbindung über OneLake-Endpunkt
  • Notizbuch, Spark-Auftragsdefinition, Umgebung
  • Machine Learning Experiment, Machine Learning Model
  • Rohrleitung
  • Kopierauftrag
  • Bereitgestellte Datenfabrik
  • Lagerhalle
  • Dataflows Gen2 (CI/CD)
  • Variable Library
  • Gespiegelte Datenbanken
  • Ereignisstrom
  • Eventhouse

Hinweise zu nicht unterstützten Elementtypen

Die folgenden Elementtypen werden derzeit nicht in Arbeitsbereichen unterstützt, die mit privaten Links auf Arbeitsbereichsebene aktiviert sind:

  • Bereitstellungspipelines
  • Standardsemantikmodelle

Wenn ein Arbeitsbereich nicht unterstützte Elementtypen enthält, kann der eingehende öffentliche Zugriff für den Arbeitsbereich nicht eingeschränkt werden, auch wenn der private Link auf Arbeitsbereichsebene eingerichtet ist.

Wenn ein Arbeitsbereich bereits zum Einschränken des eingehenden öffentlichen Zugriffs konfiguriert ist, können nicht unterstützte Elementtypen in diesem Arbeitsbereich nicht erstellt werden.

Beachten Sie bei der Arbeit mit nicht unterstützten Elementtypen die folgenden Überlegungen.

  • Bereitstellungspipelinen: Wenn einem Arbeitsbereich eine Bereitstellungspipeline zugewiesen ist, kann er nicht so konfiguriert werden, dass der öffentliche Zugriff blockiert wird, da Bereitstellungspipelines derzeit keine privaten Links auf Arbeitsbereichsebene unterstützen.

  • Standardsemantikmodelle: Vorhandene Lakehouses, Warehouses und gespiegelte Datenbanken verwenden ein Standardsemantikmodell, das private Links auf Arbeitsbereichsebene nicht unterstützt, wodurch verhindert wird, dass der öffentliche Zugriff auf den Arbeitsbereich blockiert wird. Sie können diese Standardmäßige Semantikmodelleinschränkung umgehen, indem Sie den Arbeitsbereich so konfigurieren, dass der öffentliche Zugriff zuerst blockiert wird, und dann eine Lakehouse-, Warehouse- oder gespiegelte Datenbank erstellen.

Verwaltungsoptionen für unterstützte Elementtypen

In diesem Abschnitt wird beschrieben, wie Sie unterstützte Elementtypen in Arbeitsbereichen verwalten können, die mit privaten Links aktiviert sind, entweder über das Fabric-Portal oder REST-APIs.

Fabric Core-Unterstützung

APIs mit Endpunkten, die private Links auf Arbeitsbereichsebene enthalten v1/workspaces/{workspaceId} , da sie im Kontext eines bestimmten Arbeitsbereichs ausgeführt werden. Im Gegensatz dazu verwenden admin/workspaces/{workspaceId} Administrator-APIs in ihren Endpunkten und werden nicht von privaten Links auf Arbeitsbereichsebene abgedeckt. Administrator-APIs bleiben auch für eingeschränkte Arbeitsbereiche zugänglich, da die Einstellung auf Mandantenebene zum Blockieren des öffentlichen Zugriffs sie steuert.

Hinweis

  • Netzwerkkommunikationsrichtlinien-API: Netzwerkeinstellungen auf Arbeitsbereichsebene beschränken die Netzwerkrichtlinien-API für Arbeitsbereiche nicht. Diese API bleibt über öffentliche Netzwerke zugänglich, auch wenn der öffentliche Zugriff auf den Arbeitsbereich blockiert ist. Netzwerkeinschränkungen auf Mandantenebene gelten weiterhin. Siehe auch Tabelle 1. Zugriff auf die Kommunikationsrichtlinien-API für Arbeitsbereiche basierend auf Mandanten- und privaten Linkeinstellungen.
  • Bereitstellungspipelinen: Wenn für einen Arbeitsbereich in einer Bereitstellungspipeline festgelegt ist, dass der öffentliche Zugriff verweigert wird (eingeschränkt), können Bereitstellungspipelines keine Verbindung mit diesem Arbeitsbereich herstellen. Das Konfigurieren eingehender Einschränkungen wird für jeden Arbeitsbereich blockiert, der einer Pipeline zugewiesen ist.
  • Elementfreigabe: Die Elementfreigabe wird nicht unterstützt. Wenn Elemente bereits für Benutzer freigegeben wurden, können diese Benutzer nicht mehr über die freigegebenen Links auf die Elemente zugreifen.

Lakehouse-Unterstützung

Erstellen und Verwalten von Lakehouses in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals oder REST-APIs.

Lagerunterstützung

Erstellen und Verwalten von Lagerhäusern in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals oder REST-APIs.

Um die Lagerverbindungszeichenfolge mit einer privaten Verknüpfung auf Arbeitsbereichsebene zu verwenden, fügen Sie z{xy} zur regulären Lagerlagerverbindungszeichenfolge hinzu. Beispiel:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Mithilfe der Lagerverbindungszeichenfolge können Sie auch über den SQL Tabular Data Stream (TDS)-Endpunkt in Tools wie SQL Server Management Studio auf ein Lager zugreifen.

SQL-Endpunktunterstützung

Suchen Sie mithilfe des Fabric-Portals oder der REST-API die Verbindungszeichenfolge für den Private Link-Dienst des Arbeitsbereichs für einen SQL-Endpunkt.

Notizbuchunterstützung

Verwalten Sie Notizbücher in Arbeitsbereichen, die mit privaten Links ausgestattet sind, mit Hilfe des Fabric-Portals oder REST-APIs.

Livy-Endpunktunterstützung

Verwenden Sie das Fabric-Portal oder APIs in Arbeitsbereichen, die mit privaten Links aktiviert sind, um Anweisungen zu erstellen und auszuführen oder Batchaufträge mit Livy-Endpunkten auszuführen.

Ein Livy Sitzungsauftrag richtet eine Spark-Sitzung ein, die für die Dauer Ihrer Interaktion mit der Livy-API aktiv bleibt. Livy-Sitzungen eignen sich ideal für interaktive Workloads. Die Sitzung beginnt, wenn Sie einen Auftrag übermitteln und verfügbar bleiben, bis Sie ihn explizit beenden oder das System sie nach 20 Minuten Inaktivität beendet. Mehrere Aufträge können innerhalb derselben Sitzung ausgeführt werden, statusfreigaben und zwischengespeicherte Daten.

Ein Livy Batch-Job umfasst das Einreichen einer Spark-Anwendung für eine einmalige Ausführung. Im Gegensatz zu einem Livy-Sitzungsauftrag verwaltet ein Batchauftrag keine persistente Spark-Sitzung. Jeder Livy Batchauftrag startet eine neue Spark-Sitzung, die endet, wenn der Auftrag abgeschlossen ist. Diese Methode eignet sich für Aufgaben, die nicht von zwischengespeicherten Daten abhängen oder den Zustand zwischen Aufträgen pflegen müssen.

Unterstützung der Spark-Auftragsdefinition

Verwenden Sie das Fabric-Portal oder die APIs in Arbeitsbereichen, die mit privaten Links zum Erstellen, Lesen, Aktualisieren und Löschen von Spark-Auftragsdefinitionselementen aktiviert sind.

Umgebungsunterstützung

Verwalten Sie Umgebungen in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals, oder verwenden Sie Environment-REST-APIs, um Umgebungselemente zu erstellen, zu lesen, zu aktualisieren und zu löschen.

Hinweis

Für Spark funktionieren private Links auf Arbeitsbereichsebene, die Anzeigenamen verwenden, nicht.

Unterstützung für maschinelles Lernen

Verwalten von Machine Learning-Experimenten in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals oder der REST-API.

Unterstützung des Maschinellen Lernens

Verwalten von Machine Learning-Modellen in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe der Items - REST API (MLModel).

Pipeline-, Kopierjob- und Unterstützung für eingebundene Datenfabrik

Verwalten Sie Pipelines, Kopieraufträge und eingehängte Datenfabriken in mit privaten Links aktivierten Arbeitsbereichen mithilfe des Fabric-Portals oder der folgenden REST-APIs.

Die folgenden Szenarien werden nicht unterstützt:

  • Das Kopieren in den Lagerort wird nicht unterstützt.
  • Kopieren in Eventhouse wird nicht unterstützt.
  • OneLake-Staging wird derzeit nicht unterstützt.

Eventstream-Unterstützung

Verwalten von Ereignisstreams in Arbeitsbereichen, die mit privaten Links versehen sind, indem Sie das Fabric-Portal oder REST-APIs verwenden, um Ereignisstream-Elemente zu erstellen und deren Topologie anzuzeigen.

Ereignisstream-APIs verwenden eine graphähnliche Struktur, um ein Eventstream-Element zu definieren, das aus vier Komponenten besteht: Quelle, Ziel, Operator und Stream.

Derzeit unterstützt Eventstream nur Workspace Private Link für eine begrenzte Anzahl von Quellen und Zielen. Wenn Sie eine nicht unterstützte Komponente in die Eventstream-API-Nutzlast einschließen, schlägt die Anforderung möglicherweise fehl.

Die folgenden Szenarien werden nicht unterstützt:

  • Benutzerdefinierter Endpunkt als Quelle wird nicht unterstützt.
  • Benutzerdefinierter Endpunkt als Ziel wird nicht unterstützt.
  • Eventhouse als Ziel (mit direktem Aufnahmemodus) wird nicht unterstützt.
  • Aktivierer als Ziel wird nicht unterstützt.

Eventhouse-Support

Verwalten von Eventhouses in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals oder der REST-API.

Die folgenden Szenarien werden nicht unterstützt:

  • Verwenden von Ereignissen aus Eventstreams
  • SQL Server-TDS-Endpunkte

Unterstützung von Dataflows Gen2 (CI/CD)

Verwalten Sie Dataflows Gen2 in Arbeitsbereichen, die mit privaten Links aktiviert sind, mithilfe des Fabric-Portals oder der REST-API.

Eine Verbindung, die auf einem virtuellen Netzwerkdatengateway basiert, muss verwendet werden, auch im Ausgabeort. Das Datengateway für virtuelle Netzwerke muss sich im selben virtuellen Netzwerk wie der vom Arbeitsbereich verwendete private Verknüpfungsendpunkt auf Arbeitsbereichsebene befinden.

Power Platform Dataflow Connector: Wenn ein Arbeitsbereich private Links aktiviert hat und der öffentliche Zugriff verweigert wurde, für alle zwei Datenflüsse in diesem Arbeitsbereich (Dataflow A und Dataflow B), kann keiner der Datenflüsse mithilfe des Power Platform Dataflow-Connectors eine Verbindung mit dem anderen Datenfluss herstellen, da der Datenfluss nicht im Navigator angezeigt wird.

Unterstützung der Variablenbibliothek

Verwalten Sie Variablenbibliotheken in Arbeitsbereichen, die über private Links aktiviert wurden, mithilfe des Fabric-Portals oder der REST-API.

Unterstützung für gespiegelte Datenbanken

Sie können gespiegelte Datenbanken in Arbeitsbereichen verwalten, die mit privaten Links aktiviert sind, indem Sie das Fabric-Portal oder die REST-API verwenden.

Hinweis

  • Derzeit wird private Verknüpfung auf Arbeitsbereichsebene für offene Spiegelung, Azure Cosmos DB-Spiegelung, Azure SQL Managed Instance-Spiegelung und SQL Server 2025-Spiegelung unterstützt. Wenn Ihr Arbeitsbereich für den eingehenden öffentlichen Zugriff konfiguriert ist, geben aktive gespiegelte Datenbanken einen angehaltenen Zustand ein, und die Spiegelung kann nicht gestartet werden, wenn für andere Arten der Datenbankspiegelung der Zugriff verweigert wird.
  • Um die Spiegelung zu öffnen, stellen Sie sicher, dass der Herausgeber Daten über einen privaten Link mit dem FQDN des Arbeitsbereichs in die OneLake-Zielzone schreibt, wenn Ihr Arbeitsbereich so konfiguriert ist, dass der eingehende öffentliche Zugriff verweigert wird.

Unterstützte und nicht unterstützte Verwaltungstools

  • Sie können entweder das Fabric-Portal oder die REST-API verwenden, um alle unterstützten Elementtypen in Arbeitsbereichen mit aktivierten privaten Arbeitsbereichslinks zu verwalten. Wenn ein Arbeitsbereich den öffentlichen Zugriff zulässt, funktioniert das Fabric-Portal weiterhin mithilfe der öffentlichen Konnektivität. Wenn ein Arbeitsbereich so konfiguriert ist, dass der eingehende öffentliche Zugriff verweigert wird, können Sie nur dann im Fabric-Portal darauf zugreifen, wenn die Anforderung vom zugeordneten privaten Endpunkt des Arbeitsbereichs stammt. Wenn der Zugriff über die öffentliche Konnektivität oder von einem anderen privaten Endpunkt versucht wird, zeigt das Fabric-Portal eine Meldung "Zugriff eingeschränkt" an.
  • Direkte Deeplinks zu einer Monitoring Hub Level 2 (L2)-Seite funktionieren möglicherweise nicht wie erwartet, wenn private Links auf Arbeitsbereichsebene verwendet werden. Sie können auf die Seite L2 zugreifen, indem Sie zuerst im Fabric-Portal zur Seite "Ebene 1 (L1)" des Überwachungshubs navigieren.
  • SQL Server Management Studio (SSMS) wird für die Verbindung mit Lagerhäusern über private Verknüpfungen auf Arbeitsbereichsebene unterstützt.
  • Der Speicher-Explorer kann mit privaten Links auf Arbeitsbereichsebene verwendet werden.
  • Azure Storage Explorer, PowerShell, AzCopy und andere Azure Storage-Tools können über einen privaten Link eine Verbindung mit OneLake herstellen.
  • Um den OneLake-Datei-Explorer zu verwenden, müssen Sie Zugriff auf Ihren Mandanten haben, entweder über öffentlichen Zugriff oder über einen privaten Mandantenlink.

Überlegungen und Einschränkungen

  • Das Feature für private Verknüpfungen auf Arbeitsbereichsebene wird nur in einer Fabric-Kapazität (FKU) unterstützt. Andere Kapazitäten wie Premium (P SKU) und Testkapazitäten werden nicht unterstützt.
  • Ein Arbeitsbereich kann nicht gelöscht werden, wenn ein vorhandener privater Linkdienst dafür eingerichtet ist.
  • Pro Arbeitsbereich kann nur ein privater Linkdienst erstellt werden, und jeder Arbeitsbereich kann nur einen privaten Linkdienst haben. Für einen einzelnen privaten Linkdienst können jedoch mehrere private Endpunkte erstellt werden.
  • Der Grenzwert privater Endpunkte für einen Arbeitsbereich beträgt 100. Erstellen Sie ein Supportticket, wenn Sie diesen Grenzwert erhöhen müssen.
  • Begrenzung der Anzahl von Arbeitsbereichen, die Sie pro Mandant erstellen können: 500. Erstellen Sie ein Supportticket, wenn Sie diesen Grenzwert erhöhen müssen.
  • Bis zu 10 Private Link Services für Arbeitsbereiche können pro Minute erstellt werden.
  • Die Fabric-Portal-UI unterstützt derzeit nicht sowohl das Aktivieren des eingehenden Schutzes (private Links auf Arbeitsbereichsebene) als auch den Schutz vor ausgehendem Zugriff gleichzeitig für einen Arbeitsbereich. Um beide Einstellungen zusammen zu konfigurieren, verwenden Sie die Arbeitsbereiche – Festlegen der Netzwerkkommunikationsrichtlinien-API, die die vollständige Verwaltung von Eingehenden und ausgehenden Schutzrichtlinien ermöglicht.
  • Für Data Engineering-Workloads:
    • Zum Abfragen von Lakehouse-Dateien oder -Tabellen aus einem Arbeitsbereich mit aktiviertem privaten Link auf Arbeitsbereichsebene müssen Sie eine arbeitsbereichübergreifende verwaltete private Endpunktverbindung erstellen, um auf Ressourcen im anderen Arbeitsbereich zuzugreifen.
    • Sie können entweder relative oder vollständige Pfade verwenden, um Dateien oder Tabellen innerhalb desselben Arbeitsbereichs abzufragen, oder sie können eine arbeitsbereichübergreifende verwaltete private Endpunktverbindung verwenden, um von einem anderen Arbeitsbereich aus darauf zuzugreifen. Wenn Sie Dateien in einem Lakehouse lesen möchten, das sich in einem anderen Arbeitsbereich befindet, verwenden Sie einen vollqualifizierten Pfad, der die Arbeitsbereichs-ID und die Lakehouse-ID enthält (nicht deren Anzeigenamen). Mit diesem Ansatz wird sichergestellt, dass die Spark-Sitzung den Pfad korrekt auflösen kann und Socket-Timeout-Fehler vermieden werden. Erfahren Sie mehr.
  • Aktuelle Einschränkungen für Private Link mit einem Eventhaus:
    • Copilot-Features: Machine-Learning-Workloads können aufgrund einer bekannten Regression eingeschränkte Funktionalitäten aufweisen.
    • Eventstream-Pull: Eventstream-Workloads unterstützen derzeit keine vollständige Abfragefunktionalität.
    • Fabric unterstützt derzeit keine Event Hub-Integration.
    • Die Aufnahme in die Warteschlange über OneLake ist derzeit nicht verfügbar.
  • Der OneLake-Katalog-Reiter "Verwalten" ist nicht verfügbar, wenn Private Link aktiviert ist.
  • OneLake Security wird derzeit nicht unterstützt, wenn ein privater Link auf Arbeitsbereichsebene für einen Arbeitsbereich aktiviert ist.
  • Die Arbeitsbereichüberwachung wird derzeit nicht unterstützt, wenn ein privater Link auf Arbeitsbereichsebene für einen Arbeitsbereich aktiviert ist.

Häufige Fehler und Problembehandlung

Anforderung, die von eingehender Richtlinie verweigert wurde

Wenn Sie versuchen, auf einen Arbeitsbereich zuzugreifen, der für die Einschränkung des öffentlichen Zugriffs konfiguriert ist, tritt der folgende Fehler auf:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

  • Ursache: Dieser Fehler tritt auf, wenn die Anforderung von einem Netzwerkstandort aus erfolgt, den die Kommunikationsrichtlinie des Arbeitsbereichs nicht zulässt.

  • Entschärfung:

    1. Überprüfen Sie, ob Sie sich am zulässigen Netzwerkspeicherort befinden.
    2. Wenn Sie einen privaten Link auf Arbeitsbereichsebene verwenden, um auf den Arbeitsbereich zuzugreifen, stellen Sie sicher, dass Sie den FQDN des Arbeitsbereichs verwenden.

Nicht unterstützte Elemente in einem Arbeitsbereich

Wenn Sie versuchen, einen Arbeitsbereich zum Einschränken des öffentlichen Zugriffs festzulegen, tritt der folgende Fehler auf:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

  • Ursache: Dieser Fehler tritt auf, da der Arbeitsbereich mindestens ein Element enthält, das nicht mit privaten Links auf Arbeitsbereichsebene kompatibel ist. Daher können Sie den Arbeitsbereich nicht so konfigurieren, dass der öffentliche Zugriff eingeschränkt wird.

  • Entschärfung: Löschen Sie die nicht unterstützten Elemente in diesem Arbeitsbereich, oder verwenden Sie stattdessen einen anderen Arbeitsbereich.

Verwandte Inhalte

  • Last updated on