Udostępnij przez

Obsługiwane scenariusze i ograniczenia dotyczące łączy prywatnych na poziomie obszaru roboczego

Linki prywatne na poziomie obszaru roboczego w usłudze Microsoft Fabric zapewniają bezpieczny sposób łączenia się z określonymi zasobami obszaru roboczego za pośrednictwem sieci prywatnej. W tym artykule wyjaśniono, które scenariusze i typy elementów są obsługiwane, wyróżnia bieżące ograniczenia i oferuje wskazówki dotyczące najlepszych rozwiązań i rozwiązywania problemów dotyczących używania linków prywatnych na poziomie obszaru roboczego.

Aby nawiązać połączenie z następującymi typami elementów w sieci szkieletowej, możesz użyć linków prywatnych na poziomie obszaru roboczego:

  • Lakehouse, punkt końcowy SQL, skrót
  • Bezpośrednie połączenie za pośrednictwem punktu końcowego usługi OneLake
  • Notatnik, definicja zadania Spark, środowisko
  • Eksperyment uczenia maszynowego, model uczenia maszynowego
  • rurociąg
  • Zadanie kopiowania
  • Montowana fabryka danych
  • Magazyn
  • Przepływy danych Gen2 (CIĄGŁA integracja/ciągłe wdrażanie)
  • Biblioteka zmiennych
  • Dublowana baza danych
  • Eventstream
  • Eventhouse

Uwagi dotyczące nieobsługiwanych typów elementów

Następujące typy elementów nie są obecnie obsługiwane w obszarach roboczych z włączonymi linkami prywatnymi na poziomie obszaru roboczego:

  • Ścieżki wdrażania
  • Domyślne modele semantyczne

Jeśli obszar roboczy zawiera nieobsługiwane typy elementów, dostęp publiczny dla ruchu przychodzącego nie może być ograniczony dla obszaru roboczego, nawet jeśli skonfigurowano łącze prywatne na poziomie obszaru roboczego.

Podobnie jeśli obszar roboczy jest już skonfigurowany do ograniczania dostępu publicznego dla ruchu przychodzącego, nie można utworzyć nieobsługiwanych typów elementów w tym obszarze roboczym.

Podczas pracy z nieobsługiwanymi typami elementów należy pamiętać o następujących kwestiach.

  • Potoki wdrażania: Po przypisaniu obszaru roboczego do potoku wdrażania nie można go skonfigurować tak, aby blokował dostęp publiczny, ponieważ potoki wdrażania nie obsługują obecnie łączy prywatnych na poziomie obszaru roboczego.

  • Domyślne modele semantyczne: Istniejące magazyny, magazyny i dublowane bazy danych używają domyślnego modelu semantycznego, który nie obsługuje łączy prywatnych na poziomie obszaru roboczego, co uniemożliwia blokowanie publicznego dostępu do obszaru roboczego. Możesz obejść to domyślne ograniczenie modelu semantycznego, konfigurując obszar roboczy w celu blokowania dostępu publicznego, a następnie tworząc bazę danych typu lakehouse, warehouse lub dublowaną bazę danych.

Opcje zarządzania obsługiwanymi typami elementów

W tej sekcji opisano sposób zarządzania obsługiwanymi typami elementów w przestrzeniach roboczych z włączonymi linkami prywatnymi przy użyciu Fabric portal lub interfejsów API REST.

Obsługa rdzeni sieci szkieletowej

Interfejsy API z punktami końcowymi zawierającymi v1/workspaces/{workspaceId} obsługę linków prywatnych na poziomie obszaru roboczego, ponieważ działają w kontekście określonego obszaru roboczego. Natomiast interfejsy API administratorów używają admin/workspaces/{workspaceId} w swoich punktach końcowych i nie są objęte linkami prywatnymi na poziomie obszaru roboczego. Interfejsy API administratora pozostają dostępne nawet w przypadku obszarów roboczych z ograniczeniami, ponieważ ustawienie na poziomie dzierżawy blokujące dostęp publiczny zarządza nimi.

Uwaga / Notatka

  • Interfejs API zasad komunikacji sieciowej: Ustawienia sieci na poziomie obszaru roboczego nie ograniczają interfejsu API zasad komunikacji sieciowej dla obszarów roboczych. Ten interfejs API pozostaje dostępny z sieci publicznych, nawet jeśli dostęp publiczny do obszaru roboczego jest zablokowany. Nadal obowiązują ograniczenia sieci na poziomie dzierżawy. Zobacz również Tabelę 1. Dostęp do interfejsu API polityki komunikacji obszaru roboczego na podstawie ustawień dzierżawy i łącza prywatnego.
  • Potoki wdrażania: Jeśli jakikolwiek obszar roboczy w potoku wdrażania jest ustawiony na odmowę dostępu publicznego (ograniczony), potoki wdrażania nie mogą łączyć się z tym obszarem roboczym. Konfigurowanie ograniczenia ruchu przychodzącego jest blokowane dla każdego obszaru roboczego przypisanego do potoku.
  • Udostępnianie elementów: Udostępnianie elementów nie jest obsługiwane. Jeśli elementy są już udostępniane użytkownikom, ci użytkownicy nie mogą już uzyskiwać dostępu do elementów przy użyciu udostępnionych linków.

Obsługa usługi Lakehouse

Twórz i zarządzaj Lakehouses w obszarach roboczych, w których aktywowane są linki prywatne, przy użyciu portalu Fabric lub API REST.

Obsługa magazynu

Tworzenie magazynów w obszarach roboczych z włączonymi linkami prywatnymi i zarządzanie nimi przy użyciu portalu sieci szkieletowej lub interfejsów API REST.

Aby użyć ciągu połączenia magazynu z prywatnym łączem poziomu obszaru roboczego, dodaj z{xy} do zwykłego ciągu połączenia magazynu. Przykład:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Za pomocą parametrów połączenia magazynu można również uzyskać dostęp do magazynu za pośrednictwem punktu końcowego strumienia danych tabelarycznych SQL (TDS) w narzędziach, takich jak SQL Server Management Studio.

Obsługa punktu końcowego SQL

Znajdź łańcuch połączenia usługi połączenia prywatnego obszaru roboczego dla punktu końcowego SQL za pomocą portalu Fabric lub interfejsu API REST.

Obsługa notesu

Zarządzanie notesami w obszarach roboczych z włączonymi linkami prywatnymi za pomocą portalu Fabric lub REST API.

Obsługa punktu końcowego usługi Livy

Użyj portalu Fabric lub interfejsów API w obszarach roboczych z włączonymi linkami prywatnymi, aby tworzyć i wykonywać polecenia lub uruchamiać zadania wsadowe, korzystając z końcówek Livy.

Zadanie sesji Livy ustanawia sesję platformy Spark, która pozostaje aktywna przez czas trwania interakcji z interfejsem API Livy. Sesje usługi Livy są idealne dla obciążeń interaktywnych. Sesja rozpoczyna się po przesłaniu zadania i pozostaje dostępna do momentu jego jawnego zakończenia lub zakończenia systemu po upływie 20 minut braku aktywności. W ramach tej samej sesji można uruchomić wiele zadań, współużytkować stan i buforowane dane.

Zadanie wsadowe Livy wiąże się z przesłaniem aplikacji Spark do jednokrotnego wykonania. W przeciwieństwie do zadania sesji usługi Livy zadanie wsadowe nie obsługuje trwałej sesji platformy Spark. Każde zadanie wsadowe usługi Livy uruchamia nową sesję platformy Spark, która kończy się po zakończeniu zadania. Ta metoda jest odpowiednia dla zadań, które nie zależą od danych w pamięci podręcznej lub wymagają utrzymania stanu między zadaniami.

Obsługa definicji zadań platformy Spark

Użyj portalu Fabric lub interfejsów API w workspacach z włączonymi linkami prywatnymi, aby tworzyć, odczytywać, aktualizować i usuwać elementy definicji zadań Spark.

Obsługa środowiska

Zarządzaj środowiskami w miejscach pracy z aktywnymi linkami prywatnymi za pomocą portalu Fabric lub korzystaj ze środowiskowych interfejsów API REST do tworzenia, odczytywania, aktualizowania i usuwania elementów środowiska.

Uwaga / Notatka

W przypadku platformy Spark linki prywatne na poziomie obszaru roboczego, które używają przyjaznych nazw, nie działają.

Obsługa eksperymentów uczenia maszynowego

Zarządzać eksperymentami uczenia maszynowego w przestrzeniach roboczych obsługujących linki prywatne przy użyciu portalu Fabric lub interfejsu API REST.

Obsługa modelu uczenia maszynowego

Zarządzaj modelami uczenia maszynowego w obszarach roboczych z włączonymi prywatnymi linkami, używając interfejsu API REST (MLModel).

Potok danych, zadanie kopiowania i zamontowana fabryka danych

Zarządzanie potokami, zadaniami kopiowania danych i zamontowanymi fabrykami danych w obszarach roboczych z włączonymi łączami prywatnymi przy użyciu portalu Fabric lub następujących interfejsów API REST.

Następujące scenariusze nie są obsługiwane:

  • Kopiowanie do magazynu nie jest obsługiwane.
  • Kopiowanie do usługi Eventhouse nie jest obsługiwane.
  • Przemieszczanie usługi OneLake nie jest obecnie obsługiwane.

Obsługa strumienia zdarzeń

Zarządzaj strumieniami zdarzeń w obszarach roboczych z włączonymi linkami prywatnymi, używając portalu Fabric lub interfejsów API REST do tworzenia elementów strumieni zdarzeń i wyświetlania ich topologii.

Interfejsy API strumienia zdarzeń używają struktury przypominającej graf do definiowania elementu eventstream, który składa się z czterech składników: źródła, miejsca docelowego, operatora i strumienia.

Obecnie usługa Eventstream obsługuje tylko usługę Private Link obszaru roboczego dla ograniczonego zestawu źródeł i miejsc docelowych. Jeśli dołączysz nieobsługiwany składnik do ładunku interfejsu API strumienia zdarzeń, żądanie może zakończyć się niepowodzeniem.

Następujące scenariusze nie są obsługiwane:

  • Niestandardowy punkt końcowy jako źródło nie jest obsługiwany.
  • Niestandardowy punkt końcowy jako cel nie jest obsługiwany.
  • Usługa Eventhouse jako miejsce docelowe (z trybem bezpośredniego pozyskiwania) nie jest obsługiwana.
  • Funkcja Aktywator jako miejsce docelowe nie jest obsługiwana.

Obsługa usługi Eventhouse

Zarządzanie domami zdarzeń w przestrzeniach roboczych, w których aktywne są linki prywatne, przy użyciu portalu Fabric lub REST API.

Następujące scenariusze nie są obsługiwane:

  • Korzystanie ze zdarzeń z usługi Eventstreams
  • Punkty końcowe TDS programu SQL Server

Obsługa przepływów danych Gen2 (CI/CD)

Zarządzaj przepływami danych Gen2 w obszarach roboczych z włączonymi linkami prywatnymi, korzystając z portalu Fabric lub interfejsu API REST.

Należy użyć połączenia opartego na bramie danych sieci wirtualnej, w tym w miejscu docelowym. Brama danych sieci wirtualnej musi znajdować się w tej samej sieci wirtualnej co punkt końcowy łącza prywatnego na poziomie obszaru roboczego używany przez obszar roboczy.

Łącznik przepływu danych Power Platform: Jeśli w obszarze roboczym są włączone łącza prywatne, a dostęp publiczny wyłączony, żadne z dwóch przepływów danych w tym obszarze (przepływ danych A i przepływ danych B) nie będą mogły się połączyć z innym przepływem danych przy użyciu łącznika przepływu danych Power Platform, ponieważ przepływy danych nie będą widoczne w nawigatorze.

Obsługa biblioteki zmiennych

Zarządzanie bibliotekami zmiennych w obszarach roboczych z włączonymi linkami prywatnymi przy użyciu portalu Fabric lub interfejsu API REST.

Obsługa dublowanej bazy danych

Można zarządzać lustrzanymi bazami danych w obszarach roboczych z włączonymi linkami prywatnymi przy użyciu portalu Fabric lub interfejsu API REST.

Uwaga / Notatka

  • Obecnie link prywatny na poziomie obszaru roboczego jest obsługiwany w przypadku funkcji dublowania otwartego, dublowania usługi Azure Cosmos DB, dublowania usługi Azure SQL Managed Instance i dublowania programu SQL Server 2025. W przypadku innych typów dublowania baz danych, jeśli obszar roboczy jest skonfigurowany do odmowy przychodzącego dostępu publicznego, aktywne dublowane bazy danych wchodzą w stan wstrzymania i nie można uruchomić dublowania.
  • W przypadku otwartego dublowania, gdy obszar roboczy jest skonfigurowany do odrzucania przychodzącego dostępu publicznego, upewnij się, że wydawca zapisuje dane w strefie docelowej OneLake za pośrednictwem łącza prywatnego z nazwą FQDN obszaru roboczego.

Obsługiwane i nieobsługiwane narzędzia do zarządzania

  • Za pomocą portalu sieci szkieletowej lub interfejsu API REST można zarządzać wszystkimi obsługiwanymi typami elementów w obszarach roboczych z włączonymi linkami prywatnymi obszaru roboczego. Gdy obszar roboczy zezwala na dostęp publiczny, portal Fabric nadal funkcjonuje w oparciu o łączność publiczną. Jeśli obszar roboczy jest skonfigurowany do odmowy przychodzącego dostępu publicznego, możesz uzyskać do niego dostęp w portalu sieci szkieletowej tylko wtedy, gdy żądanie pochodzi z skojarzonego z nim prywatnego punktu końcowego obszaru roboczego. Jeśli próba dostępu zostanie podjęta z poziomu łączności publicznej lub z innego prywatnego punktu końcowego, w portalu sieci szkieletowej zostanie wyświetlony komunikat "Dostęp ograniczony".
  • Bezpośrednie linki bezpośrednie do strony poziomu centrum monitorowania 2 (L2) mogą nie działać zgodnie z oczekiwaniami w przypadku korzystania z linków prywatnych na poziomie obszaru roboczego. Aby uzyskać dostęp do strony L2, najpierw przejdź do strony poziomu 1 (L1) w Monitoring Hub portalu Fabric.
  • Program SQL Server Management Studio (SSMS) jest obsługiwany do nawiązywania połączeń z magazynami za pośrednictwem łącza prywatnego na poziomie obszaru roboczego.
  • Eksplorator usługi Storage może być używany z linkami prywatnymi na poziomie obszaru roboczego.
  • Eksplorator usługi Azure Storage, program PowerShell, narzędzie AzCopy i inne narzędzia usługi Azure Storage mogą łączyć się z usługą OneLake za pośrednictwem łącza prywatnego.
  • Aby korzystać z Eksploratora plików usługi OneLake, musisz mieć dostęp do dzierżawy za pośrednictwem dostępu publicznego lub linku prywatnego dzierżawy.

Uwagi i ograniczenia

  • Funkcja łącza prywatnego na poziomie obszaru roboczego jest obsługiwana tylko w ramach pojemności sieci szkieletowej (jednostki SKU F). Inne pojemności, takie jak jednostka SKU Premium (P) i pojemności próbne, nie są obsługiwane.
  • Nie można usunąć obszaru roboczego, jeśli skonfigurowano dla niego istniejącą usługę łącza prywatnego.
  • Dla każdego obszaru roboczego można utworzyć tylko jedną usługę łącza prywatnego, a każdy obszar roboczy może mieć tylko jedną usługę łącza prywatnego. Można jednak utworzyć wiele prywatnych punktów końcowych dla jednej usługi łącza prywatnego.
  • Limit prywatnych punktów końcowych dla obszaru roboczego wynosi 100. Utwórz bilet pomocy technicznej, jeśli chcesz zwiększyć ten limit.
  • Limit obszaru roboczego PLS, który można utworzyć dla dzierżawy: 500. Utwórz bilet pomocy technicznej, jeśli chcesz zwiększyć ten limit.
  • Na minutę można utworzyć maksymalnie 10 usług łącza prywatnego obszaru roboczego.
  • Interfejs użytkownika portalu Fabric nie obsługuje obecnie jednoczesnego włączania ochrony ruchu przychodzącego (prywatne łącza na poziomie obszaru roboczego) i ochrony dostępu wychodzącego dla danego obszaru roboczego. Aby skonfigurować oba ustawienia razem, użyj API zasad komunikacji sieciowej Workspaces - Set Network Communication Policy, które umożliwia pełne zarządzanie polisami ochrony ruchu przychodzącego i wychodzącego.
  • W przypadku obciążeń inżynierii danych:
    • Aby wykonywać zapytania dotyczące plików lub tabel usługi Lakehouse z obszaru roboczego z włączonym łączem prywatnym na poziomie obszaru roboczego, należy utworzyć połączenie prywatnego punktu końcowego zarządzanego między obszarami roboczymi, aby uzyskać dostęp do zasobów w innym obszarze roboczym.
    • Do wykonywania zapytań dotyczących plików lub tabel w tym samym obszarze roboczym można użyć względnych lub pełnych ścieżek albo użyć połączenia prywatnego punktu końcowego zarządzanego między obszarami roboczymi, aby uzyskać do nich dostęp z innego obszaru roboczego. Aby odczytać pliki w usłudze Lakehouse znajdującej się w innym obszarze roboczym, użyj w pełni kwalifikowanej ścieżki zawierającej identyfikator obszaru roboczego i identyfikator usługi Lakehouse (a nie ich nazwy wyświetlane). Takie podejście gwarantuje, że sesja Spark może poprawnie rozpoznać ścieżkę i uniknąć błędów przekroczenia limitu czasu połączenia. Dowiedz się więcej.
  • Bieżące ograniczenia usługi Private Link z centrum zdarzeń:
    • Funkcje Copilot: Obciążenia związane z uczeniem maszynowym mogą mieć ograniczoną funkcjonalność spowodowaną znaną regresją.
    • Pobieranie strumienia zdarzeń: obciążenia powiązane ze strumieniem zdarzeń nie obsługują obecnie pełnej funkcjonalności ankietowania.
    • Fabric nie obsługuje obecnie integracji z Event Hub.
    • Obecnie kolejkowane pozyskiwanie za pośrednictwem usługi OneLake nie jest dostępne.
  • Karta OneLake Catalog - Zarządzanie nie jest dostępna, gdy aktywowano Private Link.
  • OneLake Security nie jest obecnie wspierane, gdy dla obszaru roboczego jest włączone prywatne łącze na poziomie obszaru roboczego.
  • Monitorowanie obszaru roboczego nie jest obecnie obsługiwane, gdy dla obszaru roboczego jest włączone łącze prywatne na poziomie obszaru roboczego.

Typowe błędy i rozwiązywanie problemów

Żądanie odrzucone przez zasady ruchu przychodzącego

Podczas próby uzyskania dostępu do obszaru roboczego skonfigurowanego w celu ograniczenia dostępu publicznego użytkownicy napotykają następujący błąd:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

  • Przyczyna: Ten błąd występuje, gdy żądanie jest wykonywane z lokalizacji sieciowej, na którą nie zezwalają zasady komunikacji obszaru roboczego.

  • Środki zaradcze:

    1. Sprawdź, czy znajdujesz się w dozwolonej lokalizacji sieciowej.
    2. W przypadku korzystania z łącza prywatnego na poziomie obszaru roboczego w celu uzyskania dostępu do obszaru roboczego upewnij się, że używasz nazwy FQDN obszaru roboczego.

Nieobsługiwane elementy w obszarze roboczym

Podczas próby ustawienia obszaru roboczego w celu ograniczenia dostępu publicznego użytkownicy napotykają następujący błąd:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

  • Przyczyna: Ten błąd występuje, ponieważ obszar roboczy zawiera co najmniej jeden element, który nie jest zgodny z linkami prywatnymi na poziomie obszaru roboczego. W związku z tym nie można skonfigurować obszaru roboczego w celu ograniczenia dostępu publicznego.

  • Środki zaradcze: usuń nieobsługiwane elementy w tym obszarze roboczym lub zamiast tego użyj innego obszaru roboczego.

Treści powiązane

  • Last updated on