Scénarios et limitations pris en charge pour les liaisons privées au niveau de l’espace de travail

Les liaisons privées au niveau de l’espace de travail dans Microsoft Fabric offrent un moyen sécurisé de se connecter à des ressources d’espace de travail spécifiques sur un réseau privé. Cet article explique quels scénarios et types d’éléments sont pris en charge, met en évidence les limitations actuelles et fournit des conseils sur les meilleures pratiques et la résolution des problèmes liés à l’utilisation de liens privés au niveau de l’espace de travail.

Types d’éléments pris en charge pour la liaison privée au niveau de l’espace de travail

Vous pouvez utiliser des liens privés au niveau de l’espace de travail pour vous connecter aux types d’éléments suivants dans Fabric :

• Lakehouse, point de terminaison SQL, raccourci
• Connexion directe via le point de terminaison OneLake
• Notebook, Définition de travail Spark, Environnement
• Expérience Machine Learning, modèle Machine Learning
• Pipeline
• Tâche de copie
• Fabrique de données montée
• Entrepôt
• Dataflows Gen2 (CI/CD)
• Bibliothèque de variables
• Base de données miroir
• Eventstream
• Eventhouse

Remarques sur les types d’éléments non pris en charge

Les types d’éléments suivants ne sont actuellement pas pris en charge dans les espaces de travail activés avec des liens privés au niveau de l’espace de travail :

• Pipelines de déploiement
• Modèles sémantiques par défaut

Si un espace de travail contient des types d’éléments non pris en charge, l’accès public entrant ne peut pas être restreint pour l’espace de travail, même si la liaison privée au niveau de l’espace de travail est configurée.

De même, si un espace de travail est déjà configuré pour restreindre l’accès public entrant, les types d’éléments non pris en charge ne peuvent pas être créés dans cet espace de travail.

Lorsque vous utilisez des types d’éléments non pris en charge, tenez compte des considérations suivantes.

• Pipelines de déploiement : Lorsqu’un espace de travail est affecté à un pipeline de déploiement, il ne peut pas être configuré pour bloquer l’accès public, car les pipelines de déploiement ne prennent actuellement pas en charge les liaisons privées au niveau de l’espace de travail.

• Modèles sémantiques par défaut : Les bases de données lakehouses, entrepôts et bases de données mises en miroir existantes utilisent un modèle sémantique par défaut qui ne prend pas en charge les liaisons privées au niveau de l’espace de travail, ce qui vous empêche de bloquer l’accès public à l’espace de travail. Vous pouvez contourner cette limitation de modèle sémantique par défaut en configurant l’espace de travail pour bloquer tout d’abord l’accès public, puis en créant une base de données lakehouse, un entrepôt ou une base de données mise en miroir.

Options de gestion pour les types d’éléments pris en charge

Cette section explique comment gérer les types d’éléments pris en charge dans les espaces de travail activés avec des liaisons privées, à l’aide du portail Fabric ou des API REST.

Prise en charge de Fabric Core

Les API avec des points de terminaison qui prennent v1/workspaces/{workspaceId} en charge les liaisons privées au niveau de l’espace de travail, car elles fonctionnent dans le contexte d’un espace de travail spécifique. En revanche, les API d’administration utilisent admin/workspaces/{workspaceId} leurs points de terminaison et ne sont pas couvertes par des liaisons privées au niveau de l’espace de travail. Les API d’administration restent accessibles même pour les espaces de travail restreints, car le paramètre au niveau du locataire pour bloquer l’accès public les régit.

• Éléments - API REST (Core) : vérifiez également les types d’éléments individuels pour plus d’informations.
• Dossiers - API REST (Core)
• Git - API REST (Core)
• Points de terminaison privés managés - API REST (Core)
• Planificateur de travaux - API REST (Core)
• Sécurité de l’accès aux données OneLake - Créer ou mettre à jour des rôles d’accès aux données - API REST (Core)
• Raccourcis OneLake - API REST (Core)
  • À partir d’un espace de travail restreint, vous pouvez créer des raccourcis vers d’autres sources de données telles que le stockage externe ou par le biais d’un accès approuvé.
  • Lorsque vous créez un raccourci vers un autre espace de travail restreint, vous devez créer un point de terminaison privé managé et obtenir l’approbation du propriétaire du service de liaison privée de l’espace de travail cible dans Azure. Pour plus d’informations, consultez communication entre espaces de travail.
  • Les transformations de raccourci ne sont actuellement pas prises en charge dans les espaces de travail restreints.
• Balises - API REST (Core)
• Espaces de travail - API REST (Core)
• Fournisseur de partages de données externes - API REST (Core) : le destinataire doit utiliser le nom de domaine complet de l’espace de travail (FQDN) pour accéder à l’URL OneLake partagée.

Prise en charge de Lakehouse

Créez et gérez lakehouses dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou des API REST.

Prise en charge de l’entrepôt

Créez et gérez des entrepôts dans des espaces de travail activés avec des liens privés à l’aide du portail Fabric ou des API REST.

Pour utiliser la chaîne de connexion de l’entrepôt avec une liaison privée au niveau de l’espace de travail, ajoutez z{xy} à la chaîne de connexion de l’entrepôt standard. Par exemple:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

À l’aide de la chaîne de connexion de l’entrepôt, vous pouvez également accéder à un entrepôt via le point de terminaison TDS (SQL Tabular Data Stream) dans des outils tels que SQL Server Management Studio.

Prise en charge du point de terminaison SQL

Trouvez la chaîne de connexion de service de lien privé de l’espace de travail pour un point de terminaison SQL en utilisant le portail Fabric ou l’API REST.

Prise en charge des blocs-notes

Gérez les blocs-notes dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou des API REST.

Prise en charge des points de terminaison Livy

Utilisez le portail Ou les API Fabric dans les espaces de travail activés avec des liens privés pour créer et exécuter des instructions ou exécuter des travaux par lots à l’aide de points de terminaison Livy.

Un travail de session Livy établit une session Spark qui reste active pendant la durée de votre interaction avec l’API Livy. Les sessions Livy sont idéales pour les charges de travail interactives. La session démarre lorsque vous envoyez un travail et reste disponible jusqu’à ce que vous la terminez explicitement ou que le système l’arrête après 20 minutes d’inactivité. Plusieurs travaux peuvent s’exécuter dans la même session, partager l’état et les données mises en cache.

Un travail de lot Livy implique l’envoi d’une application Spark pour une seule exécution. Contrairement à un travail de session Livy, une tâche de traitement par lots ne conserve pas de session Spark persistante. Chaque travail de lot Livy démarre une nouvelle session Spark qui se termine à la fin du travail. Cette méthode convient aux tâches qui ne dépendent pas des données mises en cache ou qui nécessitent la maintenance de l’état entre les travaux.

Prise en charge de la définition de travail Spark

Utilisez le portail Fabric ou les API dans les espaces de travail activés avec des liens privés pour créer, lire, mettre à jour et supprimer des éléments de définition de travail Spark.

Prise en charge de l’environnement

Gérez les environnements dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou utilisez les API REST d’environnement pour créer, lire, mettre à jour et supprimer des éléments d’environnement.

Prise en charge des expériences De Machine Learning

Gérez les expériences de Machine Learning dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou de l’API REST.

Prise en charge du modèle Machine Learning

Gérez les modèles de machine learning dans les espaces de travail configurés avec des liens privés en utilisant l'API REST Items (MLModel).

Prise en charge du pipeline, des tâches de copie et de l'usine de données montée.

Gérez les pipelines, les tâches de copie et les usines de données montées dans les espaces de travail activés par des liaisons privées en utilisant le portail Fabric ou les API REST suivantes.

Les scénarios suivants ne sont pas pris en charge :

• La copie vers l’entrepôt n’est pas prise en charge.
• La copie dans Eventhouse n’est pas prise en charge.
• La préproduction OneLake n’est actuellement pas prise en charge.

Prise en charge d’Eventstream

Gérez les flux d’événements dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou des API REST pour créer des éléments eventstream et afficher leur topologie.

Les API Eventstream utilisent une structure de type graphique pour définir un élément Eventstream, qui se compose de quatre composants : source, destination, opérateur et flux.

Actuellement, Eventstream prend uniquement en charge la liaison privée de l’espace de travail pour un ensemble limité de sources et de destinations. Si vous incluez un composant non pris en charge dans la charge utile de l’API Eventstream, la requête peut échouer.

Les scénarios suivants ne sont pas pris en charge :

• Le point de terminaison personnalisé en tant que source n’est pas pris en charge.
• Le point de terminaison personnalisé comme destination n'est pas supporté.
• Eventhouse en tant que destination (avec mode d’ingestion directe) n’est pas prise en charge.
• L’activateur en tant que destination n’est pas pris en charge.

Prise en charge d’Eventhouse

Gérez les entrepôts d’événements dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou de l’API REST.

Les scénarios suivants ne sont pas pris en charge :

• Consommation d’événements à partir d’Eventstreams
• Points de terminaison TDS SQL Server

Prise en charge de Dataflows Gen2 (CI/CD)

Gérez Dataflows Gen2 dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou de l’API REST.

Une connexion basée sur une passerelle de données de réseau virtuel doit être utilisée, notamment dans la destination de sortie. La passerelle de données de réseau virtuel doit résider dans le même réseau virtuel que le point de terminaison de liaison privée au niveau de l’espace de travail utilisé par l’espace de travail.

Connecteur Dataflow Power Platform : lorsqu’un espace de travail dispose de liens privés d’espace de travail activés et que l’accès public est refusé, pour deux dataflows de cet espace de travail (flux de données A et flux de données B), aucun dataflow ne pourra se connecter à l’autre dataflow à l’aide du connecteur De flux de données Power Platform, car le flux de données n’apparaît pas dans le navigateur.

Prise en charge de la bibliothèque de variables

Gérez les bibliothèques de variables dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou de l’API REST.

Prise en charge de la base de données mise en miroir

Vous pouvez gérer les bases de données mises en miroir dans les espaces de travail activés avec des liens privés à l’aide du portail Fabric ou de l’API REST.

Outils de gestion pris en charge et non pris en charge

• Vous pouvez utiliser le portail Fabric ou l’API REST pour gérer tous les types d’éléments pris en charge dans les espaces de travail avec des liaisons privées d’espace de travail activées. Lorsqu’un espace de travail autorise l’accès public, le portail Fabric continue de fonctionner à l’aide de la connectivité publique. Si un espace de travail est configuré pour refuser l’accès public entrant, vous pouvez y accéder dans le portail Fabric uniquement lorsque la demande provient du point de terminaison privé associé à l’espace de travail. Si l’accès est tenté à partir d’une connectivité publique ou d’un autre point de terminaison privé, le portail Fabric affiche un message « Accès restreint ».
• Les liens profonds directs vers une page Monitoring Hub Level 2 (L2) peuvent ne pas fonctionner comme prévu lors de l’utilisation de liens privés au niveau de l’espace de travail. Vous pouvez accéder à la page L2 en accédant d’abord à la page Niveau 1 (L1) du hub de surveillance dans le portail Fabric.
• SQL Server Management Studio (SSMS) est pris en charge pour la connexion aux entrepôts via une liaison privée au niveau de l’espace de travail.
• L’Explorateur Stockage peut être utilisé avec des liens privés au niveau de l’espace de travail.
• L’Explorateur Stockage Azure, PowerShell, AzCopy et d’autres outils stockage Azure peuvent se connecter à OneLake via une liaison privée.
• Pour utiliser l’Explorateur de fichiers OneLake, vous devez avoir accès à votre locataire, via un accès public ou une liaison privée de locataire.

Considérations et limitations

• La fonctionnalité de liaison privée au niveau de l’espace de travail est uniquement prise en charge dans une capacité Fabric (référence SKU F). D’autres capacités, telles que la référence SKU Premium (P) et les capacités d’essai, ne sont pas prises en charge.
• Un espace de travail ne peut pas être supprimé si un service de liaison privée existant est configuré pour celui-ci.
• Un seul service de liaison privée peut être créé par espace de travail, et chaque espace de travail ne peut avoir qu’un seul service de liaison privée. Toutefois, plusieurs points de terminaison privés peuvent être créés pour un seul service de liaison privée.
• La limite des points de terminaison privés pour un espace de travail est de 100. Créez un ticket de support si vous devez augmenter cette limite.
• Limite de PLS d’espace de travail que vous pouvez créer par locataire : 500. Créez un ticket de support si vous devez augmenter cette limite.
• Jusqu’à 10 services de liaison privée d’espace de travail peuvent être créés par minute.
• L’interface utilisateur du portail Fabric ne prend actuellement pas en charge l’activation de la protection entrante (liaisons privées au niveau de l’espace de travail) et de la protection d’accès sortante en même temps pour un espace de travail. Pour configurer les deux paramètres ensemble, utilisez les espaces de travail - Définir l’API de stratégie de communication réseau, qui permet une gestion complète des stratégies de protection entrante et sortante.
• Pour les charges de travail d’ingénierie des données :
  • Pour interroger des fichiers ou des tables Lakehouse à partir d’un espace de travail avec une liaison privée au niveau de l’espace de travail activée, vous devez créer une connexion de point de terminaison privé managée inter-espaces de travail pour accéder aux ressources de l’autre espace de travail.
  • Vous pouvez utiliser des chemins relatifs ou complets pour interroger des fichiers ou des tables au sein du même espace de travail, ou utiliser une connexion de point de terminaison privé managée entre espaces de travail pour y accéder à partir d’un autre espace de travail. Pour lire des fichiers dans un Lakehouse situé dans un autre espace de travail, utilisez un chemin d'accès complet incluant l’ID de l’espace de travail et l’ID du Lakehouse (et non leurs noms complets). Cette approche garantit que la session Spark peut résoudre correctement le chemin d’accès et éviter les erreurs de délai d’expiration du socket. En savoir plus.
• Limitations actuelles pour Private Link avec un eventhouse :
  • Fonctionnalités de Copilot : les charges de travail d'apprentissage automatique peuvent rencontrer une fonctionnalité limitée en raison d’une régression identifiée.
  • Extraction eventstream : les charges de travail Eventstream ne prennent actuellement pas en charge la fonctionnalité d’interrogation complète.
  • Fabric ne prend actuellement pas en charge l’intégration d’Event Hub.
  • La mise en file d'attente pour l'ingestion via OneLake n'est actuellement pas disponible.

• L’onglet Catalogue OneLake - Gouvernance n’est pas disponible lorsque Private Link est activé.
• OneLake Security n’est actuellement pas pris en charge lorsqu’une liaison privée au niveau de l’espace de travail est activée pour un espace de travail.
• La surveillance de l’espace de travail n’est actuellement pas prise en charge lorsqu’une liaison privée au niveau de l’espace de travail est activée pour un espace de travail.

Erreurs courantes et résolution des problèmes

Demande refusée par la stratégie de trafic entrant

Lorsque vous essayez d’accéder à un espace de travail configuré pour restreindre l’accès public, les utilisateurs rencontrent l’erreur suivante :

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Cause : cette erreur se produit lorsque la requête est effectuée à partir d’un emplacement réseau que la stratégie de communication de l’espace de travail n’autorise pas.

• Atténuation :

  1. Vérifiez si vous êtes dans l’emplacement réseau autorisé.
  2. Lorsque vous utilisez une liaison privée au niveau de l’espace de travail pour accéder à l’espace de travail, vérifiez que vous utilisez le nom de domaine complet de l’espace de travail.

Éléments non pris en charge dans un espace de travail

Lorsque vous essayez de définir un espace de travail pour restreindre l’accès public, les utilisateurs rencontrent l’erreur suivante :

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Cause : cette erreur se produit, car l’espace de travail contient un ou plusieurs éléments qui ne sont pas compatibles avec les liaisons privées au niveau de l’espace de travail. Par conséquent, vous ne pouvez pas configurer l’espace de travail pour restreindre l’accès public.

• Atténuation : supprimez les éléments non pris en charge dans cet espace de travail ou utilisez un autre espace de travail à la place.

Contenu connexe

• À propos des liaisons privées
• Configurer et utiliser des liaisons privées au niveau de l’espace de travail