Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein verwalteter privater Endpunkt kann verwendet werden, um eine arbeitsbereichübergreifende Kommunikation zwischen einem geöffneten Arbeitsbereich und einem Arbeitsbereich einzurichten, der den eingehenden öffentlichen Zugriff einschränkt. Wenn Sie beispielsweise auf ein Seehaus in einem eingehenden eingeschränkten Arbeitsbereich in einem Notizbuch in einem geöffneten Arbeitsbereich zugreifen möchten, können Sie einen verwalteten privaten Endpunkt (MPE) einrichten, um eine sichere Verbindung zwischen den beiden Arbeitsbereichen herzustellen.
In diesem Diagramm verfügt der geöffnete Arbeitsbereich (Arbeitsbereich 1) über einen verwalteten privaten Endpunkt, der eine Verbindung mit dem eingeschränkten Arbeitsbereich (Arbeitsbereich 2) herstellt. Mit dieser Einrichtung kann das Notizbuch in Arbeitsbereich 1 sicher auf das Seehaus zugreifen und Delta-Tabellen in Workspace 2 lesen, ohne sie für den öffentlichen Zugriff verfügbar zu machen.
In diesem Artikel wird erläutert, wie Sie einen verwalteten privaten Endpunkt über die Arbeitsbereichseinstellungen im Fabric-Portal oder der API erstellen.
Schritt 1: Erstellen der Arbeitsbereiche
Erstellen sie Arbeitsbereiche in Fabric. Diese Einrichtung umfasst sowohl einen geöffneten Arbeitsbereich als auch einen eingeschränkten Arbeitsbereich. In diesem Artikel werden die Arbeitsbereiche wie folgt bezeichnet:
- Der Quellarbeitsbereich ist der geöffnete Arbeitsbereich ohne Einschränkung des öffentlichen Zugriffs.
- Der Zielarbeitsbereich ist der Arbeitsbereich, der den eingehenden öffentlichen Zugriff einschränkt.
Hinweis
Dieser Artikel bezieht sich auf den vollqualifizierten Domänennamen des Arbeitsbereichs (FQDN). Das Format lautet:
https://{workspaceID}.z{xy}.w.api.fabric.microsoft.com
Dabei handelt es sich um die Arbeitsbereichs-ID {workspaceID} ohne Gedankenstriche und {xy} die ersten beiden Buchstaben der Arbeitsbereichsobjekt-ID (siehe auch Verbinden mit Arbeitsbereichen).
Sie finden eine Arbeitsbereichs-ID, indem Sie die Arbeitsbereichsseite im Fabric-Portal öffnen und die ID nach "gruppen/" in der URL notieren. Sie finden auch einen Arbeitsbereich-FQDN mithilfe des Listenarbeitsbereichs oder abrufen des Arbeitsbereichs in der API.
Schritt 2: Erstellen eines verwalteten privaten Endpunkts
Erstellen Sie einen verwalteten privaten Endpunkt (MPE) im Quellarbeitsbereich (open). Verwenden Sie die Arbeitsbereichseinstellung im Portal oder die folgende API:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/managedPrivateEndpoints
Wo {workspaceFQDN} befindet sich {workspaceID}.z{xy}.w.api.fabric.microsoft.com
Beispiel: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/managedPrivateEndpoints
Dies targetPrivateLinkResourceId ist die Ressourcen-ID des privaten Links im eingeschränkten Arbeitsbereich. Um einen verwalteten privaten Endpunkt für den Zielarbeitsbereich zu erstellen, benötigen Sie die Ressourcen-ID des privaten Linkdiensts des Zielarbeitsbereichs.
Sie finden diese Ressourcen-ID in Azure, indem Sie den Ressourcen-JSON-Code für den Arbeitsbereich anzeigen. Stellen Sie sicher, dass die Arbeitsbereichs-ID im JSON-Code dem vorgesehenen Zielarbeitsbereich entspricht.
Der Besitzer des privaten Linkdiensts für Arbeitsbereich 2 muss die anforderung des verwalteten privaten Endpunkts im Azure Private Link Center> mitausstehenden Verbindungen genehmigen.
Schritt 3: Erstellen eines Seehauses im eingeschränkten Arbeitsbereich
Erstellen Sie ein Lakehouse im Zielarbeitsbereich (eingeschränkt), indem Sie die folgende Create Lakehouse-API verwenden:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/lakehouses
Wo {workspaceFQDN} befindet sich {workspaceID}.z{xy}.w.api.fabric.microsoft.com
Beispiel: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/lakehouses
Schritt 4: Hochladen einer Delta-Tabelle in das Seehaus
Verwenden Sie Azure Storage Explorer, um Ihren Delta Table-Ordner in den verwalteten Speicher des eingeschränkten Lakehouse hochzuladen.
Wechseln Sie zum Azure Storage-Explorer, wählen Sie das Verbindungssymbol im linken Menü und dann ADLS Gen2-Container oder -Verzeichnis aus.
Melden Sie sich mit OAuth an.
Geben Sie einen Anzeigenamen für den Speicher ein, und geben Sie die BLOB-Container-URL im folgenden Format ein:
https://{workspaceFQDN}/{workspaceID}/{lakehouseID}wo
{workspaceFQDN}befindet sich{workspaceID}.z{xy}.onelake.fabric.microsoft.comBeispiel:
POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/bbbbbbbb-1111-2222-3333-cccccccccccc
Wählen Sie Verbinden aus. Der Speicher sollte jetzt in der Explorer-Ansicht angezeigt werden.
Laden Sie unter dem Ordner "Tabellen " die Delta-Tabelle hoch, die Sie verwenden möchten. In diesem Beispiel wird die Kundentabelle verwendet.
Schritt 5: Erstellen eines Notizbuchs im Quellarbeitsbereich
Erstellen Sie ein Notizbuch, und verbinden Sie es wie folgt mit dem eingeschränkten Seehaus:
Wechseln Sie im Quellarbeitsbereich zu " Notizbücher".
Wählen Sie +Neues Notizbuch aus.
Wählen Sie die Spark-Laufzeit aus.
Stellen Sie im Explorer-Bereich eine Verbindung mit dem Zielarbeitsbereich her.
Fügen Sie den folgenden Code ein:
from pyspark.sql import SparkSession # Read Delta table from the restricted lakehouse using Workspace DNS-based ABFSS URI df = spark.read.format("delta").load( "abfss://{WorkspaceID}@{WorkspaceFQDN}/{LakehouseID}/Tables/customers" )Stellen Sie sicher, dass:
- Der ABFSS-Pfad entspricht dem DNS- und Tabellenspeicherort Ihres Lakehouse.
- Der Netzwerkzugriff zwischen geöffneten und eingeschränkten Arbeitsbereichen wird über den privaten Endpunkt ordnungsgemäß eingerichtet.
Führen Sie das Notizbuch aus. Wenn der private Endpunkt und die Berechtigungen ordnungsgemäß eingerichtet sind, stellt das Notizbuch die Verbindung her und zeigt den Inhalt der Delta-Tabelle aus dem eingeschränkten Lakehouse an.