Microsoft Fabric의 작업 영역 수준 프라이빗 링크는 프라이빗 네트워크를 통해 특정 작업 영역 리소스에 연결하는 안전한 방법을 제공합니다. 이 문서에서는 지원되는 시나리오 및 항목 유형을 설명하고, 현재 제한 사항을 강조 표시하며, 작업 영역 수준 프라이빗 링크 사용에 대한 모범 사례 및 문제 해결에 대한 지침을 제공합니다.
작업 영역 수준 프라이빗 링크에 대해 지원되는 항목 유형
작업 영역 수준 프라이빗 링크를 사용하여 Fabric에서 다음 항목 유형에 연결할 수 있습니다.
- Lakehouse, SQL 엔드포인트, 바로 가기
- OneLake 엔드포인트를 통한 직접 연결
- Notebook, Spark 작업 정의, 환경
- 기계 학습 실험, 기계 학습 모델
- Pipeline
- 작업 복사
- 탑재된 Data Factory
- 창고
- 데이터 흐름 Gen2(CI/CD)
- 변수 라이브러리
- 미러된 데이터베이스
- 이벤트 스트림
- Eventhouse
지원되지 않는 항목 유형에 대한 참고 사항
다음 항목 유형은 현재 작업 영역 수준 프라이빗 링크로 사용하도록 설정된 작업 영역에서 지원되지 않습니다.
- 배포 파이프라인
- 기본 의미 체계 모델
작업 영역에 지원되지 않는 항목 유형이 포함된 경우 작업 영역 수준 프라이빗 링크가 설정된 경우에도 작업 영역에 대한 인바운드 공용 액세스를 제한할 수 없습니다.
마찬가지로 인바운드 공용 액세스를 제한하도록 작업 영역이 이미 구성된 경우 해당 작업 영역에서 지원되지 않는 항목 유형을 만들 수 없습니다.
지원되지 않는 항목 유형으로 작업할 때는 다음 사항을 고려해야 합니다.
배포 파이프라인: 배포 파이프라인에 작업 영역이 할당되면 배포 파이프라인이 현재 작업 영역 수준 프라이빗 링크를 지원하지 않으므로 공용 액세스를 차단하도록 구성할 수 없습니다.
기본 의미 체계 모델: 기존 레이크하우스, 웨어하우스 및 미러된 데이터베이스는 작업 영역 수준 프라이빗 링크를 지원하지 않는 기본 의미 체계 모델을 사용하므로 작업 영역에 대한 공용 액세스를 차단할 수 없습니다. 먼저 공용 액세스를 차단하도록 작업 영역을 구성한 다음 레이크하우스, 웨어하우스 또는 미러된 데이터베이스를 만들어 이 기본 의미 체계 모델 제한을 무시할 수 있습니다.
지원되는 항목 유형에 대한 관리 옵션
이 섹션에서는 패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 지원되는 항목 유형을 관리하는 방법을 설명합니다.
Fabric Core 지원
특정 작업 영역의 컨텍스트 내에서 작동하기 v1/workspaces/{workspaceId} 때문에 지원 작업 영역 수준 프라이빗 링크가 포함된 엔드포인트가 있는 API. 반면, 관리자 API는 엔드포인트에서 사용 admin/workspaces/{workspaceId} 하며 작업 영역 수준 프라이빗 링크에서 다루지 않습니다.
공용 액세스를 차단하기 위한 테넌트 수준 설정이 이를 제어하기 때문에 제한된 작업 영역에 대해서도 관리 API에 액세스할 수 있습니다.
- 항목 - REST API(핵심): 개별 항목 유형에서도 세부 정보를 확인합니다.
- 폴더 - REST API(코어)
- Git - REST API(코어)
- 관리형 프라이빗 엔드포인트 - REST API(코어)
- 작업 스케줄러 - REST API(코어)
- OneLake 데이터 액세스 보안 - 데이터 액세스 역할 만들기 또는 업데이트 - REST API(코어)
-
OneLake 바로 가기 - REST API(코어)
- 제한된 작업 영역에서 외부 스토리지와 같은 다른 데이터 원본 또는 신뢰할 수 있는 액세스를 통해 바로 가기를 만들 수 있습니다.
- 다른 제한된 작업 영역에 대한 바로 가기를 만들 때 관리되는 프라이빗 엔드포인트를 만들고 Azure의 대상 작업 영역 프라이빗 링크 서비스 소유자로부터 승인을 받아야 합니다. 자세한 내용은 작업 영역 간 통신을 참조하세요.
- 현재 제한된 작업 영역에서는 바로 가기 변환이 지원되지 않습니다.
- 태그 - REST API(코어)
- 작업 영역 - REST API(코어)
- 외부 데이터 공유 공급자 - REST API(코어): 받는 사람은 FQDN(작업 영역 정규화된 도메인 이름)을 사용하여 공유 OneLake URL에 액세스해야 합니다.
비고
- 네트워크 통신 정책 API: 작업 영역 수준 네트워크 설정은 작업 영역 네트워크 통신 정책 API를 제한하지 않습니다. 이 API는 작업 영역에 대한 공용 액세스가 차단된 경우에도 공용 네트워크에서 계속 액세스할 수 있습니다. 테넌트 수준 네트워크 제한은 여전히 적용됩니다. 표 1도 참조하세요. 테넌트 및 프라이빗 링크 설정에 따라 작업 영역 통신 정책 API에 액세스합니다.
- 배포 파이프라인: 배포 파이프라인의 작업 영역이 공용 액세스(제한됨)를 거부하도록 설정된 경우 배포 파이프라인은 해당 작업 영역에 연결할 수 없습니다. 파이프라인에 할당된 모든 작업 영역에 대해 인바운드 제한 구성이 차단됩니다.
- 항목 공유: 항목 공유는 지원되지 않습니다. 항목이 이미 사용자와 공유된 경우 해당 사용자는 더 이상 공유 링크를 사용하여 항목에 액세스할 수 없습니다.
Lakehouse 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 Lakehouse를 만들고 관리합니다.
웨어하우스 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 웨어하우스를 만들고 관리합니다.
작업 영역 수준 프라이빗 링크와 함께 웨어하우스 연결 문자열을 사용하려면 일반 웨어하우스 연결 문자열에 z{xy}를 추가합니다. 다음은 그 예입니다.
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
웨어하우스 연결 문자열을 사용하여 SQL Server Management Studio와 같은 도구에서 SQL TDS(테이블 형식 데이터 스트림) 엔드포인트를 통해 웨어하우스에 액세스할 수도 있습니다.
SQL 엔드포인트 지원
패브릭 포털 또는 REST API를 사용하여 SQL 엔드포인트에 대한 작업 영역 프라이빗 링크 서비스 연결 문자열을 찾습니다.
Notebook 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 Notebook을 관리합니다.
Livy 엔드포인트 지원
프라이빗 링크로 사용하도록 설정된 작업 영역에서 패브릭 포털 또는 API를 사용하여 Livy 엔드포인트를 사용하여 문을 만들고 실행하거나 일괄 처리 작업을 실행합니다.
Livy 세션 작업은 Livy API와의 상호 작용 기간 동안 활성 상태로 유지되는 Spark 세션을 설정합니다. Livy 세션은 대화형 워크로드에 적합합니다. 세션은 작업을 제출할 때 시작되며, 작업을 명시적으로 종료하거나 시스템이 20분 동안 비활성 상태로 종료될 때까지 계속 사용할 수 있습니다. 동일한 세션 내에서 여러 작업을 실행하여 상태 및 캐시된 데이터를 공유할 수 있습니다.
Livy 일괄 처리 작업에는 단일 실행을 위해 Spark 애플리케이션을 제출하는 작업이 포함됩니다. Livy 세션 작업과 달리 일괄 처리 작업은 영구 Spark 세션을 유지 관리하지 않습니다. 각 Livy 일괄 처리 작업은 작업이 완료되면 종료되는 새 Spark 세션을 시작합니다. 이 메서드는 캐시된 데이터에 의존하지 않거나 작업 간에 상태를 유지 관리해야 하는 작업에 적합합니다.
Spark 작업 정의 지원
프라이빗 링크로 사용하도록 설정된 작업 영역의 패브릭 포털 또는 API를 사용하여 Spark 작업 정의 항목을 만들고, 읽고, 업데이트하고, 삭제합니다.
환경 지원
패브릭 포털을 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역의 환경을 관리하거나 환경 REST API를 사용하여 환경 항목을 만들고, 읽고, 업데이트하고, 삭제합니다.
비고
Spark의 경우 친숙한 이름을 사용하는 작업 영역 수준 프라이빗 링크가 작동하지 않습니다.
기계 학습 실험 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 기계 학습 실험을 관리합니다.
기계 학습 모델 지원
항목 - REST API(MLModel)를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 기계 학습 모델을 관리합니다.
파이프라인, 복사 작업 및 탑재된 Data Factory 지원
패브릭 포털 또는 다음 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 파이프라인, 복사 작업 및 탑재된 데이터 팩터리를 관리합니다.
지원되지 않는 시나리오는 다음과 같습니다.
- 웨어하우스에 복사는 지원되지 않습니다.
- Eventhouse로의 복사는 지원되지 않습니다.
- OneLake 스테이징은 현재 지원되지 않습니다.
Eventstream 지원
패브릭 포털 또는 REST API를 사용하여 이벤트 스트림 항목을 만들고 해당 토폴로지 보기를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 이벤트 스트림을 관리합니다.
Eventstream API는 그래프와 유사한 구조를 사용하여 소스, 대상, 연산자 및 스트림의 네 가지 구성 요소로 구성된 Eventstream 항목을 정의합니다.
현재 Eventstream은 제한된 원본 및 대상 집합에 대해서만 작업 영역 Private Link를 지원합니다. Eventstream API 페이로드에 지원되지 않는 구성 요소를 포함하는 경우 요청이 실패할 수 있습니다.
지원되지 않는 시나리오는 다음과 같습니다.
- 원본으로 사용자 지정 엔드포인트는 지원되지 않습니다.
- 대상인 사용자 지정 엔드포인트는 지원되지 않습니다.
- 이벤트하우스를 대상지로 설정하는 경우(직접 수집 모드) 지원되지 않습니다.
- 활성화자를 대상으로 하는 것은 지원되지 않습니다.
Eventhouse 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 이벤트 하우스를 관리합니다.
지원되지 않는 시나리오는 다음과 같습니다.
- Eventstreams에서 이벤트 사용
- SQL Server TDS 엔드포인트
데이터 흐름 Gen2(CI/CD) 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 Dataflows Gen2를 관리합니다.
출력 대상을 포함하여 가상 네트워크 데이터 게이트웨이를 기반으로 하는 연결을 사용해야 합니다. 가상 네트워크 데이터 게이트웨이는 작업 영역에서 사용하는 작업 영역 수준 프라이빗 링크 엔드포인트와 동일한 가상 네트워크에 있어야 합니다.
Power Platform Dataflow 커넥터: 작업 영역에 작업 영역 프라이빗 링크가 활성화되고 공용 액세스가 거부된 경우 해당 작업 영역의 두 데이터 흐름(데이터 흐름 A 및 데이터 흐름 B)에 대해 데이터 흐름이 탐색기에 표시되지 않으므로 Power Platform Dataflow 커넥터를 사용하여 다른 데이터 흐름에 연결할 수 없습니다.
변수 라이브러리 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 변수 라이브러리를 관리합니다.
미러된 데이터베이스 지원
패브릭 포털 또는 REST API를 사용하여 프라이빗 링크로 사용하도록 설정된 작업 영역에서 미러된 데이터베이스를 관리할 수 있습니다.
비고
- 현재 작업 영역 수준 프라이빗 링크는 오픈 미러링, Azure Cosmos DB 미러링, Azure SQL Managed Instance 미러링 및 SQL Server 2025 미러링에 대해 지원됩니다. 다른 유형의 데이터베이스 미러링의 경우 작업 영역이 인바운드 공용 액세스를 거부하도록 구성된 경우 활성 미러된 데이터베이스는 일시 중지된 상태로 전환되고 미러링을 시작할 수 없습니다.
- 열린 미러링의 경우 작업 영역이 인바운드 공용 액세스를 거부하도록 구성된 경우 게시자가 작업 영역 FQDN이 있는 프라이빗 링크를 통해 OneLake 랜딩 존에 데이터를 쓰는지 확인합니다.
지원되는 관리 도구 및 지원되지 않는 관리 도구
- 패브릭 포털 또는 REST API를 사용하여 작업 영역 프라이빗 링크가 활성화된 작업 영역에서 지원되는 모든 항목 유형을 관리할 수 있습니다. 작업 영역에서 공용 액세스를 허용하는 경우 패브릭 포털은 공용 연결을 사용하여 계속 작동합니다. 작업 영역이 인바운드 공용 액세스를 거부하도록 구성된 경우 요청이 작업 영역의 연결된 프라이빗 엔드포인트에서 시작된 경우에만 패브릭 포털에서 액세스할 수 있습니다. 공용 연결 또는 다른 프라이빗 엔드포인트에서 액세스를 시도하는 경우 패브릭 포털은 "액세스 제한" 메시지를 표시합니다.
- 작업 영역 수준 프라이빗 링크를 사용하는 경우 모니터링 허브 수준 2(L2) 페이지로의 직접 딥링크가 예상대로 작동하지 않을 수 있습니다. 먼저 패브릭 포털에서 모니터링 허브의 L1(수준 1) 페이지로 이동하여 L2 페이지에 액세스할 수 있습니다.
- SSMS(SQL Server Management Studio)는 작업 영역 수준 프라이빗 링크를 통해 웨어하우스에 연결하는 데 지원됩니다.
- Storage Explorer는 작업 영역 수준 프라이빗 링크와 함께 사용할 수 있습니다.
- Azure Storage Explorer, PowerShell, AzCopy 및 기타 Azure Storage 도구는 프라이빗 링크를 통해 OneLake에 연결할 수 있습니다.
- OneLake 파일 탐색기를 사용하려면 공용 액세스 또는 테넌트 프라이빗 링크를 통해 테넌트에 액세스할 수 있어야 합니다.
고려사항 및 제한사항
- 작업 영역 수준 프라이빗 링크 기능은 F SKU(패브릭 용량)에서만 지원됩니다. 프리미엄(P SKU) 및 평가판 용량과 같은 다른 용량은 지원되지 않습니다.
- 기존 프라이빗 링크 서비스가 설정된 경우 작업 영역을 삭제할 수 없습니다.
- 작업 영역당 하나의 프라이빗 링크 서비스만 만들 수 있으며 각 작업 영역에는 프라이빗 링크 서비스가 하나만 있을 수 있습니다. 그러나 단일 프라이빗 링크 서비스에 대해 여러 프라이빗 엔드포인트를 만들 수 있습니다.
- 작업 영역에 대한 프라이빗 엔드포인트 제한은 100입니다. 이 제한을 늘려야 하는 경우 지원 티켓을 만듭니다.
- 테넌트당 만들 수 있는 작업 영역 PLS 제한: 500. 이 제한을 늘려야 하는 경우 지원 티켓을 만듭니다.
- 분당 최대 10개의 작업 영역 프라이빗 링크 서비스를 만들 수 있습니다.
- 패브릭 포털 UI는 현재 작업 영역에 대해 인바운드 보호(작업 영역 수준 프라이빗 링크) 및 아웃바운드 액세스 보호를 동시에 사용하도록 지원하지 않습니다. 두 설정을 함께 구성하려면 작업 영역 - 인바운드 및 아웃바운드 보호 정책의 전체 관리를 허용하는 네트워크 통신 정책 API를 설정합니다.
- 데이터 엔지니어링 워크로드의 경우:
- 작업 영역 수준 프라이빗 링크가 활성화된 작업 영역에서 Lakehouse 파일 또는 테이블을 쿼리하려면 작업 영역 간 관리형 프라이빗 엔드포인트 연결을 만들어 다른 작업 영역의 리소스에 액세스해야 합니다.
- 상대 또는 전체 경로를 사용하여 동일한 작업 영역 내의 파일 또는 테이블을 쿼리하거나 작업 영역 간 관리형 프라이빗 엔드포인트 연결을 사용하여 다른 작업 영역에서 액세스할 수 있습니다. 다른 작업 영역에 있는 Lakehouse에서 파일을 읽으려면 작업 영역 ID 및 레이크하우스 ID(표시 이름이 아님)가 포함된 정규화된 경로를 사용합니다. 이 방법을 사용하면 Spark 세션이 경로를 올바르게 해결할 수 있으며 소켓 시간 제한 오류를 방지할 수 있습니다. 자세히알아보세요.
- Eventhouse를 사용하는 Private Link에 대한 현재 제한 사항:
- 부조종사 기능: 기계 학습 워크로드는 알려진 회귀로 인해 제한된 기능을 경험할 수 있습니다.
- Eventstream 끌어오기: Eventstream 워크로드는 현재 전체 폴링 기능을 지원하지 않습니다.
- 패브릭은 현재 Event Hub 통합을 지원하지 않습니다.
- OneLake를 통한 대기 중인 수집은 현재 사용할 수 없습니다.
- Private Link가 활성화되면 OneLake 카탈로그 - 거버넌스 탭을 사용할 수 없습니다.
- 작업 영역에 대해 작업 영역 수준 프라이빗 링크를 사용하는 경우 OneLake 보안은 현재 지원되지 않습니다.
- 작업 영역에 대해 작업 영역 수준 프라이빗 링크를 사용하는 경우 작업 영역 모니터링은 현재 지원되지 않습니다.
일반적인 오류 및 문제 해결
인바운드 정책에 의해 거부된 요청
공용 액세스를 제한하도록 구성된 작업 영역에 액세스하려고 하면 다음과 같은 오류가 발생합니다.
"errorCode": "RequestDeniedByInboundPolicy",
"message": "Request is denied due to inbound communication policy"
원인: 이 오류는 작업 영역의 통신 정책이 허용하지 않는 네트워크 위치에서 요청이 수행될 때 발생합니다.
완화 방법:
- 허용되는 네트워크 위치에 있는지 확인합니다.
- 작업 영역 수준 프라이빗 링크를 사용하여 작업 영역에 액세스하는 경우 작업 영역 FQDN을 사용하고 있는지 확인합니다.
작업 영역에서 지원되지 않는 항목
공용 액세스를 제한하도록 작업 영역을 설정하려고 하면 사용자에게 다음 오류가 발생합니다.
"errorCode": "InboundRestrictionNotEligible",
"message": "This workspace contains items that do not comply with requested policy"
원인: 작업 영역에 작업 영역 수준 프라이빗 링크와 호환되지 않는 항목이 하나 이상 포함되어 있기 때문에 이 오류가 발생합니다. 따라서 공용 액세스를 제한하도록 작업 영역을 구성할 수 없습니다.
완화: 이 작업 영역에서 지원되지 않는 항목을 삭제하거나 다른 작업 영역을 대신 사용합니다.