Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Za pomocą zarządzanego prywatnego punktu końcowego można ustanowić komunikację między otwartym obszarem roboczym a obszarem roboczym, który ogranicza przychodzący dostęp publiczny. Jeśli na przykład chcesz uzyskać dostęp do lakehouse w obszarze roboczym z ograniczeniami dla ruchu przychodzącego, wykorzystując notes w otwartym obszarze roboczym, możesz skonfigurować zarządzany prywatny punkt końcowy, aby ustanowić bezpieczne połączenie między dwoma obszarami roboczymi.
Na poniższym diagramie otwarty obszar roboczy (Obszar roboczy 1) ma zarządzany prywatny punkt końcowy łączący się z ograniczonym obszarem roboczym (Obszar roboczy 2). Ta konfiguracja umożliwia notesowi w obszarze roboczym 1 bezpieczny dostęp do usługi Lakehouse i odczytywanie tabel usługi Delta Lake w obszarze roboczym 2 bez uwidaczniania ich do publicznego dostępu.
W tym artykule wyjaśniono, jak utworzyć zarządzany prywatny punkt końcowy za pośrednictwem ustawień obszaru roboczego w portalu lub interfejsie API usługi Microsoft Fabric.
Krok 1. Tworzenie obszarów roboczych
Tworzenie obszarów roboczych w sieci szkieletowej. Ta konfiguracja obejmuje zarówno otwarty obszar roboczy, jak i ograniczony obszar roboczy. W tym artykule opisano obszary robocze w następujący sposób:
- Źródłowy obszar roboczy to otwarty obszar roboczy bez ograniczeń dostępu publicznego.
- Docelowy obszar roboczy to obszar roboczy, który ogranicza przychodzący dostęp publiczny.
W tym artykule odwołuje się również do w pełni kwalifikowanej nazwy domeny obszaru roboczego (FQDN). Format to:
https://{workspaceID}.z{xy}.w.api.fabric.microsoft.com
W formacie FQDN {workspaceID} jest identyfikatorem obszaru roboczego bez kresek, a {xy} są pierwszymi dwiema literami identyfikatora obiektu obszaru roboczego. Aby uzyskać więcej informacji, zobacz Łączenie z obszarami roboczymi.
Identyfikator obszaru roboczego można znaleźć, otwierając stronę obszaru roboczego w portalu Fabric i zapisując identyfikator po groups/ w adresie URL. Nazwę FQDN obszaru roboczego można również znaleźć przy użyciu listy obszarów roboczych lub interfejsu API Get Workspace.
Krok 2. Tworzenie zarządzanego prywatnego punktu końcowego
Utwórz zarządzany prywatny punkt końcowy w obszarze roboczym źródłowym (otwartym). Użyj ustawienia Obszar roboczy w portalu lub następującego interfejsu API:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/managedPrivateEndpoints
W tym kodzie {workspaceFQDN} oznacza {workspaceID}.z{xy}.w.api.fabric.microsoft.com.
Na przykład: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/managedPrivateEndpoints.
Parametr targetPrivateLinkResourceId jest identyfikatorem zasobu usługi Azure Private Link w ograniczonym obszarze roboczym. Aby utworzyć zarządzany prywatny punkt końcowy w docelowym obszarze roboczym, potrzebny jest ten identyfikator zasobu.
Ten identyfikator zasobu można znaleźć na platformie Azure, wyświetlając kod JSON zasobu dla obszaru roboczego. Upewnij się, że identyfikator obszaru roboczego w formacie JSON jest zgodny z zamierzonym docelowym obszarem roboczym.
Właściciel usługi Private Link dla obszaru roboczego 2 musi zatwierdzić żądanie zarządzanego prywatnego punktu końcowego w centrum Azure Private Link>Oczekujące połączenia.
Krok 3. Tworzenie magazynu lakehouse w ograniczonym obszarze roboczym
Utwórz magazyn lakehouse w docelowym (ograniczonym) obszarze roboczym przy użyciu następującego interfejsu API tworzenia usługi Lakehouse:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/lakehouses
W tym kodzie {workspaceFQDN} jest {workspaceID}.z{xy}.w.api.fabric.microsoft.com.
Na przykład: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/lakehouses.
Krok 4. Prześlij tabelę Delta Lake do lakehouse
Użyj Azure Storage Explorer, aby przesłać folder z tabelą Delta Lake do zarządzanego magazynu ograniczonego jeziora danych.
Przejdź do Eksploratora usługi Storage, wybierz ikonę połączenia w menu po lewej stronie, a następnie wybierz kontener lub katalog usługi ADLS Gen2.
Zaloguj się przy użyciu protokołu OAuth.
Wprowadź nazwę wyświetlaną magazynu danych i wprowadź adres URL kontenera blob w następującym formacie:
https://{workspaceFQDN}/{workspaceID}/{lakehouseID}W tym kodzie
{workspaceFQDN}jest{workspaceID}.z{xy}.onelake.fabric.microsoft.com.Na przykład:
POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/bbbbbbbb-1111-2222-3333-cccccccccccc.
Wybierz pozycję Połącz. Magazyn powinien być teraz wyświetlany w widoku eksploratora.
W folderze Tables załaduj tabelę Delta Lake, której chcesz użyć. W tym przykładzie użyto tabeli customers .
Krok 5. Tworzenie notesu w źródłowym obszarze roboczym
Utwórz notes i połącz go z usługą Lakehouse z ograniczeniami w następujący sposób:
W źródłowym obszarze roboczym przejdź do pozycji Notesy.
Wybierz pozycję + Nowy notes.
Wybierz Środowisko uruchomieniowe platformy Spark.
Połącz się z docelowym obszarem roboczym w okienku Eksplorator .
Wklej następujący kod:
from pyspark.sql import SparkSession # Read Delta Lake table from the restricted lakehouse by using the workspace DNS-based ABFSS URI df = spark.read.format("delta").load( "abfss://{WorkspaceID}@{WorkspaceFQDN}/{LakehouseID}/Tables/customers" )Upewnij się, że:
- Ścieżka sterownika systemu plików obiektów blob platformy Azure (ABFSS) odpowiada lokalizacji DNS i tabeli usługi Lakehouse.
- Dostęp sieciowy między otwartymi i ograniczonymi obszarami roboczymi jest poprawnie ustanawiany za pośrednictwem prywatnego punktu końcowego.
Uruchom notatnik. Jeśli poprawnie skonfigurujesz prywatny punkt końcowy i uprawnienia, notatnik połączy się i wyświetli zawartość tabeli Delta Lake z ograniczonego lakehouse.