Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Łącza prywatne zapewniają bezpieczne, prywatne połączenie między siecią wirtualną a usługą Microsoft Fabric, blokując publiczny dostęp do internetu do danych i zmniejszając ryzyko nieautoryzowanego dostępu lub naruszeń danych. Prywatne punkty końcowe usługi Azure Private Link i Azure Networking służą do wysyłania ruchu danych prywatnie przy użyciu infrastruktury sieci szkieletowej firmy Microsoft zamiast przechodzenia przez Internet.
Sieć szkieletowa obsługuje łącza prywatne zarówno na poziomie dzierżawy, jak i obszaru roboczego. Linki prywatne na poziomie dzierżawy stosują ograniczenia sieci w całej dzierżawie, zabezpieczając wszystkie obszary robocze i zasoby. Linki prywatne na poziomie obszaru roboczego umożliwiają zabezpieczanie dostępu do poufnych danych lub zasobów w określonych obszarach roboczych bez konieczności wprowadzania zmian w całej dzierżawie ani wpływu na inne obszary robocze w środowisku sieci szkieletowej.
Ten artykuł zawiera omówienie linków prywatnych na poziomie obszaru roboczego w usłudze Microsoft Fabric. Aby uzyskać szczegółowe instrukcje dotyczące konfiguracji, zobacz Konfigurowanie i używanie linków prywatnych na poziomie obszaru roboczego.
Omówienie łącza prywatnego na poziomie obszaru roboczego
Link prywatny na poziomie obszaru roboczego mapuje obszar roboczy do określonej sieci wirtualnej przy użyciu usługi Azure Private Link. Gdy link prywatny jest włączony, publiczny dostęp do obszaru roboczego przez Internet można ograniczyć, zapewniając, że dostęp do obszaru roboczego mają tylko zasoby w zatwierdzonej sieci wirtualnej (za pośrednictwem prywatnego punktu końcowego). Na poniższym diagramie przedstawiono różne implementacje linków prywatnych na poziomie obszaru roboczego.
Na tym diagramie:
Obszar roboczy 1 ogranicza dostęp do ruchu przychodzącego i może być dostępny tylko z maszyn w sieci wirtualnej A i sieci wirtualnej B za pośrednictwem łączy prywatnych na poziomie obszaru roboczego.
Obszar roboczy 2 ogranicza dostęp do ruchu przychodzącego i może być dostępny tylko z maszyn w sieci wirtualnej B za pośrednictwem łącza prywatnego na poziomie obszaru roboczego.
Dostęp do obszaru roboczego 3 można uzyskać z publicznego Internetu, ponieważ nie ma skonfigurowanej reguły komunikacji przychodzącej z ograniczeniami. Dostęp do niego można również uzyskać z sieci wirtualnej B za pośrednictwem łącza prywatnego na poziomie obszaru roboczego. Ta konfiguracja umożliwia zarówno dostęp publiczny, jak i prywatny, który nie jest zalecany w środowiskach produkcyjnych. Ta konfiguracja powinna być używana tylko do celów testowych, ponieważ uwidacznia obszar roboczy w publicznym Internecie i nie zapewnia pełnej ochrony sieci przychodzącej.
Dostęp do obszaru roboczego 4 można uzyskać z publicznego Internetu, ponieważ nie ma skonfigurowanej reguły komunikacji przychodzącej z ograniczeniami.
Diagram ilustruje następujące kluczowe kwestie dotyczące linków prywatnych na poziomie obszaru roboczego:
Jeśli obszar roboczy jest skonfigurowany do ograniczania dostępu publicznego dla ruchu przychodzącego, nie jest dostępny z publicznego Internetu. Dostęp do niego można uzyskać tylko za pośrednictwem łącza prywatnego na poziomie obszaru roboczego.
Usługa łącza prywatnego ma relację jeden do jednego z obszarem roboczym. Jak pokazano na diagramie, każdy obszar roboczy ma własną usługę łącza prywatnego.
Usługa łącza prywatnego obszaru roboczego może mieć wiele prywatnych punktów końcowych. Na przykład sieć wirtualna A i sieć wirtualna B łączą się z obszarem roboczym 1 za pośrednictwem oddzielnych prywatnych punktów końcowych. Limit liczby prywatnych punktów końcowych można znaleźć w temacie Obsługiwane scenariusze i ograniczenia dotyczące łączy prywatnych na poziomie obszaru roboczego
Sieć wirtualna może łączyć się z wieloma obszarami roboczymi, tworząc oddzielne prywatne punkty końcowe dla każdego z nich. Na przykład sieć wirtualna B łączy się z obszarami roboczymi 1, 2 i 3 przy użyciu trzech prywatnych punktów końcowych.
Możesz ograniczyć publiczny dostęp do obszaru roboczego z linkiem prywatnym lub bez tego linku. Jeśli dostęp publiczny jest ograniczony i nie istnieje żaden link prywatny, obszar roboczy jest niedostępny ze wszystkich sieci. Jednak administrator obszaru roboczego może użyć interfejsu API zasad komunikacji, aby zmodyfikować regułę dostępu przychodzącego.
Link prywatny na poziomie obszaru roboczego służy do ustanawiania połączenia łącza prywatnego z określonym obszarem roboczym. Nie można jej użyć do nawiązania połączenia z innym obszarem roboczym. W konfiguracji pokazanej na diagramie połączenie z obszarem roboczym 2 z sieci wirtualnej A nie jest dozwolone. Z drugiej strony połączenia z obszarami roboczymi 3 i 4 z sieci wirtualnej A są możliwe, jeśli sieć wirtualna A zezwala na wychodzący dostęp publiczny w ustawieniach sieci klienta.
Nawiązywanie połączenia z obszarami roboczymi
Podczas nawiązywania połączenia z obszarem roboczym należy użyć w pełni kwalifikowanej nazwy domeny obszaru roboczego (FQDN). Nazwa FQDN obszaru roboczego jest tworzona na podstawie identyfikatora obszaru roboczego i dwóch pierwszych znaków identyfikatora obiektu obszaru roboczego. Poniżej przedstawiono formaty nazwy FQDN obszaru roboczego. Identyfikator obiektu obszaru roboczego jest identyfikatorem obiektu obszaru roboczego bez kreski, a xy reprezentuje dwa pierwsze znaki identyfikatora obiektu obszaru roboczego. Znajdź identyfikator obiektu obszaru roboczego w adresie URL po grupie podczas otwierania strony obszaru roboczego z portalu sieci szkieletowej. Nazwę FQDN obszaru roboczego można również uzyskać, uruchamiając interfejs API obszaru roboczego Listy lub Pobierz interfejs API obszaru roboczego.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comW przypadku parametrów połączenia magazynu danych użyj tego poleceniahttps://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com, dodaj element z{xy} do zwykłych parametrów połączenia magazynu znalezionych w obszarze parametrów połączenia SQL. Identyfikatory GUID w nazwie FQDN odpowiadają identyfikatorowi GUID dzierżawy w kodowaniu Base32 oraz identyfikatorowi GUID przestrzeni roboczej, także w kodowaniu Base32. Ta nazwa FQDN nie jest dostępna w ramach konfiguracji DNS dla prywatnego punktu końcowego.
Jak nazwa FQDN obszaru roboczego jest rozpoznawana w różnych środowiskach
Nazwa FQDN obszaru roboczego jest rozpoznawana jako różne adresy IP na podstawie środowiska i konfiguracji usługi Private Link, jak podsumowano w poniższej tabeli.
| Środowisko | Rozpoznawanie nazw FQDN obszaru roboczego |
|---|---|
| Nie skonfigurowaliśmy usługi Private Link | Rozpoznaje publiczny adres IP. |
| Usługa Private Link na poziomie dzierżawy jest skonfigurowana | Rozpoznaje prywatny adres IP na podstawie konfiguracji usługi Private Link na poziomie dzierżawy. |
| Link prywatny na poziomie obszaru roboczego jest skonfigurowany dla odpowiedniego obszaru roboczego | Rozpoznaje prywatny adres IP na podstawie konfiguracji łącza prywatnego na poziomie obszaru roboczego. Nuta: W tym środowisku nazwa FQDN obszaru roboczego może łączyć się tylko z określonym obszarem roboczym. Nie można jej używać do uzyskiwania dostępu do zasobów innych niż przestrzeń robocza (takich jak pojemności, inne obszary robocze lub obszary robocze grupy). |
| Link prywatny na poziomie obszaru roboczego jest skonfigurowany dla odpowiedniego obszaru roboczego, a link prywatny na poziomie dzierżawy jest również skonfigurowany w tej samej sieci wirtualnej | Rozpoznaje prywatny adres IP na podstawie konfiguracji łącza prywatnego na poziomie obszaru roboczego. |
| Link prywatny na poziomie obszaru roboczego jest skonfigurowany dla innego obszaru roboczego | Rozwiązuje problem z publicznym adresem IP, jeśli jest włączony powrót do Internetu. Zobacz Powrót do Internetu dla prywatnych stref DNS platformy Azure — Azure DNS | Microsoft Learn zawiera szczegółowe informacje. Nie jest on poprawnie rozpoznawany bez włączania powrotu do Internetu. |
Nazwa FQDN obszaru roboczego musi być poprawnie skonstruowana przy użyciu identyfikatora obiektu obszaru roboczego bez kreski i poprawnego prefiksu xy (pierwszych dwóch znaków identyfikatora obiektu obszaru roboczego). Jeśli nazwa FQDN nie jest poprawnie sformatowana, nie zostanie rozpoznana jako zamierzony prywatny adres IP, a połączenie łącza prywatnego na poziomie obszaru roboczego zakończy się niepowodzeniem.