Compartir a través de

Acceso a una instancia de Lakehouse en un área de trabajo restringida de entrada desde un cuaderno en un área de trabajo abierta

Puede usar un punto de conexión privado administrado para establecer la comunicación entre áreas de trabajo entre un área de trabajo abierta y un área de trabajo que restrinja el acceso público entrante. Por ejemplo, si desea acceder a un lakehouse en un área de trabajo con restricciones de entrada desde un notebook en un área de trabajo abierta, puede configurar un punto de conexión privado administrado para establecer una conexión segura entre las dos áreas de trabajo.

En el diagrama siguiente, el área de trabajo abierta (área de trabajo 1) tiene un punto de conexión privado administrado que se conecta al área de trabajo restringida (área de trabajo 2). Esta configuración permite que el cuaderno del área de trabajo 1 acceda de forma segura a las tablas de Lakehouse y lea tablas de Delta Lake en el área de trabajo 2 sin exponerlas al acceso público.

Diagrama que muestra cómo los puntos de conexión privados administrados pueden establecer una conexión a un área de trabajo establecida para denegar el acceso público.

En este artículo se explica cómo crear un punto de conexión privado administrado a través de la configuración del área de trabajo en el portal o la API de Microsoft Fabric.

Paso 1: Crear las áreas de trabajo

Cree áreas de trabajo en Fabric. Esta configuración implica tanto un área de trabajo abierta como una área de trabajo restringida. En este artículo se hace referencia a las áreas de trabajo de la siguiente manera:

  • El área de trabajo de origen es el área de trabajo abierta sin restricción de acceso público.
  • El área de trabajo de destino es el área de trabajo que restringe el acceso público entrante.

En este artículo también se hace referencia al nombre de dominio completo (FQDN) del área de trabajo. El formato es:

https://{workspaceID}.z{xy}.w.api.fabric.microsoft.com

En el formato FQDN, {workspaceID} es el identificador del área de trabajo sin guiones y {xy} es las dos primeras letras del identificador de objeto del área de trabajo. Para más información, consulte Conexión a áreas de trabajo.

Para encontrar un identificador de área de trabajo, abra la página del área de trabajo en el portal de Fabric y tome nota del identificador que aparece después de groups/ en la dirección URL. También puede encontrar un FQDN de área de trabajo mediante la API "List Workspace" o "Get Workspace".

Paso 2: Creación de un punto de conexión privado administrado

Cree un punto de conexión privado administrado en el área de trabajo de código fuente (abierto). Use la configuración Área de trabajo en el portal o la API siguiente:

POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/managedPrivateEndpoints

En ese código, {workspaceFQDN} es {workspaceID}.z{xy}.w.api.fabric.microsoft.com.

Por ejemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/managedPrivateEndpoints.

El targetPrivateLinkResourceId parámetro es el identificador de recurso del servicio Azure Private Link en el área de trabajo restringida. Para crear un punto de conexión privado administrado en el área de trabajo de destino, necesita este identificador de recurso.

Captura de pantalla que muestra la API para crear un punto de conexión privado administrado.

Puede encontrar este identificador de recurso en Azure mediante la visualización del JSON del recurso para el área de trabajo. Asegúrese de que el identificador del área de trabajo en json coincide con el área de trabajo de destino prevista.

Captura de pantalla que muestra cómo obtener el identificador de recurso de Private Link en un archivo JSON de recursos.

El propietario del servicio Private Link para el área de trabajo 2 debe aprobar la solicitud de un punto de conexión privado administrado en el centro> de vínculo privado de AzureConexiones pendientes.

Paso 3: Creación de una instancia de LakeHouse en el área de trabajo restringida

Cree una instancia de Lakehouse en el área de trabajo de destino (restringida) mediante la siguiente API de Create Lakehouse:

POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/lakehouses

En ese código, {workspaceFQDN} es {workspaceID}.z{xy}.w.api.fabric.microsoft.com.

Por ejemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/lakehouses.

Captura de pantalla que muestra la creación de una instancia de LakeHouse en un área de trabajo de destino.

Paso 4: Sube una tabla de Delta Lake al lakehouse

Use el Explorador de Azure Storage para cargar la carpeta de la tabla de Delta Lake en el almacenamiento administrado de restricted lakehouse:

  1. Vaya al Explorador de Storage, seleccione el icono de conexión en el menú izquierdo y, a continuación, seleccione contenedor o directorio de ADLS Gen2.

  2. Inicie sesión con OAuth.

  3. Escriba un nombre para mostrar para el almacenamiento y escriba la dirección URL del contenedor de blobs en el formato siguiente:

    https://{workspaceFQDN}/{workspaceID}/{lakehouseID}

    En ese código, {workspaceFQDN} es {workspaceID}.z{xy}.onelake.fabric.microsoft.com.

    Por ejemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/bbbbbbbb-1111-2222-3333-cccccccccccc.

    Captura de pantalla que muestra la entrada de información de conexión.

  4. Seleccione Conectar. El almacenamiento debería aparecer ahora en la vista del explorador.

  5. En la carpeta Tablas , cargue la tabla de Delta Lake que desea usar. En este ejemplo se usa la tabla customers .

    Captura de pantalla que muestra la opción para cargar una carpeta.

Paso 5: Creación de un cuaderno en el área de trabajo de origen

Cree un cuaderno y conéctelo al lago restringido de la siguiente manera:

  1. En el área de trabajo de origen, vaya a Cuadernos.

  2. Seleccione + Nuevo cuaderno. 

  3. Seleccione Tiempo de ejecución de Spark. 

  4. Conéctese al área de trabajo de destino en el panel Explorador .

  5. Pegue el código siguiente:

    from pyspark.sql import SparkSession
# Read Delta Lake table from the restricted lakehouse by using the workspace DNS-based ABFSS URI
df = spark.read.format("delta").load(
   "abfss://{WorkspaceID}@{WorkspaceFQDN}/{LakehouseID}/Tables/customers"
)

    Asegúrese de que:

    • La ruta de acceso del controlador del sistema de archivos de blobs de Azure (ABFSS) coincide con el DNS y la ubicación de la tabla de tu lakehouse.
    • El acceso de red entre las áreas de trabajo abiertas y restringidas se establece correctamente a través del punto de conexión privado.

  6. Ejecute el cuaderno. Si configura correctamente el punto de conexión privado y los permisos, el cuaderno se conecta y muestra el contenido de la tabla de Delta Lake desde la instancia de Lakehouse restringida.

Contenido relacionado

  • Last updated on