Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los vínculos privados proporcionan una conexión privada segura entre la red virtual y Microsoft Fabric, bloqueando el acceso público a Internet a los datos y reduciendo el riesgo de acceso no autorizado o infracciones de datos. Los puntos de conexión privados de Azure Private Link y Redes de Azure se usan para enviar tráfico de datos de forma privada mediante la infraestructura de red troncal de Microsoft en lugar de ir a través de Internet.
Fabric admite vínculos privados en los niveles de inquilino y área de trabajo. Los vínculos privados de nivel de inquilino aplican restricciones de red en todo el inquilino, protegiendo todas las áreas de trabajo y los recursos. Los vínculos privados de nivel de área de trabajo permiten proteger el acceso a datos confidenciales o recursos en áreas de trabajo específicas sin necesidad de cambios en todo el inquilino ni afectar a otras áreas de trabajo en el entorno de Fabric.
En este artículo se proporciona información general sobre los vínculos privados de nivel de área de trabajo en Microsoft Fabric. Para obtener instrucciones detalladas sobre la configuración, consulte Configuración y uso de vínculos privados de nivel de área de trabajo.
Introducción al vínculo privado de nivel de área de trabajo
Un vínculo privado de nivel de área de trabajo asigna un área de trabajo a una red virtual específica mediante el servicio Azure Private Link. Cuando se habilita un vínculo privado, se puede restringir el acceso a Internet público al área de trabajo, lo que garantiza que solo los recursos de una red virtual aprobada (a través de un punto de conexión privado) puedan acceder al área de trabajo. En el diagrama siguiente se muestran varias implementaciones de vínculos privados de nivel de área de trabajo.
En este diagrama:
El área de trabajo 1 restringe el acceso público entrante y solo se puede acceder a ellas desde máquinas de la red virtual A y la red virtual B a través de vínculos privados de nivel de área de trabajo.
El área de trabajo 2 restringe el acceso público entrante y solo se puede acceder a ellas desde máquinas de la red virtual B a través de un vínculo privado de nivel de área de trabajo.
Se puede acceder al área de trabajo 3 desde la red pública de Internet porque no tiene configurada una regla de comunicación entrante restringida. También se puede acceder desde la red virtual B a través de un vínculo privado de nivel de área de trabajo. Esta configuración permite el acceso público y privado, que no se recomienda para entornos de producción. Esta configuración solo debe usarse con fines de prueba, ya que expone el área de trabajo a la red pública de Internet y no proporciona protección de red entrante completa.
Se puede acceder al área de trabajo 4 desde la red pública de Internet porque no tiene configurada una regla de comunicación entrante restringida.
En el diagrama se muestran los siguientes puntos clave sobre los vínculos privados de nivel de área de trabajo:
Cuando se configura un área de trabajo para restringir el acceso público entrante, no es accesible desde la red pública de Internet. Solo se puede acceder a él a través de un vínculo privado de nivel de área de trabajo.
Un servicio private link tiene una relación uno a uno con un área de trabajo. Como se muestra en el diagrama, cada área de trabajo tiene su propio servicio de vínculo privado.
El servicio private link de un área de trabajo puede tener varios puntos de conexión privados. Por ejemplo, tanto la red virtual A como la red virtual B se conectan al área de trabajo 1 a través de puntos de conexión privados independientes. El límite del número de puntos de conexión privados se puede encontrar en Escenarios admitidos y limitaciones para los vínculos privados de nivel de área de trabajo.
Una red virtual puede conectarse a varias áreas de trabajo mediante la creación de puntos de conexión privados independientes para cada una. Por ejemplo, la red virtual B se conecta a áreas de trabajo 1, 2 y 3 mediante tres puntos de conexión privados.
Puede restringir el acceso público a un área de trabajo con o sin un vínculo privado. Si el acceso público está restringido y no existe ningún vínculo privado, el área de trabajo no es accesible desde todas las redes. Sin embargo, un administrador del área de trabajo puede usar la API de directiva de comunicación para modificar la regla de acceso entrante.
Se usa un vínculo privado de nivel de área de trabajo para establecer una conexión de vínculo privado a un área de trabajo específica. No se puede usar para conectarse a otra área de trabajo. En la configuración que se muestra en el diagrama, no se permite una conexión al área de trabajo 2 desde la red virtual A. Por otro lado, las conexiones a las áreas de trabajo 3 y 4 de la red virtual A son posibles si la red virtual A permite el acceso público saliente en la configuración de red del cliente.
Conexión a áreas de trabajo
Al conectarse a un área de trabajo, debe usar el nombre de dominio completo (FQDN) del área de trabajo. El FQDN del área de trabajo se construye en función del identificador del área de trabajo y los dos primeros caracteres del identificador de objeto del área de trabajo. A continuación se muestran los formatos del FQDN del área de trabajo. Workspaceid es el identificador de objeto del área de trabajo sin guiones y xy representa los dos primeros caracteres del identificador de objeto del área de trabajo. Busque el identificador de objeto del área de trabajo en la dirección URL después del grupo al abrir la página del área de trabajo desde el portal de Fabric. También puede obtener el FQDN del área de trabajo ejecutando List workspace API o Get workspace API.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comEn el caso de las cadenas de conexión del almacén de datos, usehttps://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.comes decir, agregue z{xy} a la cadena de conexión de almacén de datos normal que se encuentra bajo la sección de cadena de conexión de SQL. Los GUID del FQDN corresponden al GUID de cliente en Base32 y al GUID del espacio de trabajo en Base32, respectivamente. Este FQDN no está disponible como parte de las configuraciones DNS para el punto de conexión privado.
Cómo se resuelve el FQDN del área de trabajo en distintos entornos
El FQDN del área de trabajo se resuelve en diferentes direcciones IP basadas en el entorno y la configuración de Private Link, como se resume en la tabla siguiente.
| Medio ambiente | Resolución FQDN del área de trabajo |
|---|---|
| No se ha configurado Private Link | Se resuelve en una dirección IP pública. |
| Private Link de nivel de inquilino está configurado | Se resuelve en una dirección IP privada basada en la configuración de Private Link de nivel de inquilino. |
| El vínculo privado de nivel de área de trabajo está configurado para el área de trabajo correspondiente. | Se resuelve en una dirección IP privada basada en la configuración del vínculo privado de nivel de área de trabajo. Nota: En este entorno, el FQDN del área de trabajo solo puede conectarse al área de trabajo específica. No se puede usar para acceder a recursos que no sean de espacio de trabajo (como capacidades, otras áreas de trabajo o áreas de trabajo de grupo). |
| El vínculo privado de nivel de área de trabajo está configurado para el área de trabajo correspondiente y el vínculo privado de nivel de inquilino también se configura en la misma red virtual. | Se resuelve en una dirección IP privada basada en la configuración del vínculo privado de nivel de área de trabajo. |
| El vínculo privado de nivel de área de trabajo está configurado para una área de trabajo diferente | Se resuelve en una dirección IP pública si está habilitada la reserva a Internet. Consulte Reserva a Internet para zonas DNS privadas de Azure: Azure DNS | Microsoft Learn para obtener más información. No se resuelve correctamente sin habilitar la reserva en Internet. |
El FQDN del área de trabajo debe construirse correctamente con el identificador de objeto del área de trabajo sin guiones y el prefijo xy correcto (los dos primeros caracteres del identificador de objeto del área de trabajo). Si el FQDN no tiene el formato correcto, no se resuelve en la dirección IP privada prevista y se produce un error en la conexión de vínculo privado de nivel de área de trabajo.