Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os links privados fornecem uma conexão segura e privada entre sua rede virtual e o Microsoft Fabric, bloqueando o acesso público à Internet aos seus dados e reduzindo o risco de acesso não autorizado ou violações de dados. Os pontos de extremidade privados do Link Privado do Azure e da Rede do Azure são usados para enviar tráfego de dados privadamente usando a infraestrutura de rede de backbone da Microsoft em vez de atravessar a Internet.
O Fabric dá suporte a links privados nos níveis de locatário e workspace. Os links privados no nível do locatário aplicam restrições de rede em todo o locatário, protegendo todos os workspaces e recursos. Os links privados no nível do workspace permitem que você proteja o acesso a dados confidenciais ou recursos em workspaces específicos sem exigir alterações em todo o locatário ou afetar outros workspaces em seu ambiente do Fabric.
Este artigo fornece uma visão geral dos links privados no nível do workspace no Microsoft Fabric. Para obter instruções detalhadas de instalação, consulte Configurar e usar links privados no nível do workspace.
Visão geral do link privado no nível do workspace
Um link privado no nível do workspace mapeia um workspace para uma rede virtual específica usando o serviço de Link Privado do Azure. Quando um link privado está habilitado, o acesso público à Internet ao workspace pode ser restrito, garantindo que somente recursos em uma rede virtual aprovada (por meio de um ponto de extremidade privado) possam acessar o workspace. O diagrama a seguir ilustra várias implementações de links privados no nível do workspace.
Neste diagrama:
O workspace 1 restringe o acesso público de entrada e só pode ser acessado de computadores na VNet A e VNet B por meio de links privados no nível do workspace.
O Workspace 2 restringe o acesso público de entrada e só pode ser acessado de computadores na VNet B por meio de um link privado no nível do workspace.
O workspace 3 pode ser acessado da Internet pública porque não tem uma regra de comunicação de entrada restrita configurada. Ele também pode ser acessado da VNet B por meio de um link privado no nível do espaço de trabalho. Essa configuração permite acesso público e privado, o que não é recomendado para ambientes de produção. Essa configuração deve ser usada apenas para fins de teste, pois expõe o workspace à Internet pública e não fornece proteção de rede de entrada completa.
O workspace 4 pode ser acessado da Internet pública porque não tem uma regra de comunicação de entrada restrita configurada.
O diagrama ilustra os seguintes pontos-chave sobre links privados no nível do workspace:
Quando um workspace é configurado para restringir o acesso público de entrada, ele não é acessível pela Internet pública. Ele só pode ser acessado por meio de um link privado no nível do workspace.
Um serviço de link privado tem uma relação um-para-um com um workspace. Conforme mostrado no diagrama, cada workspace tem seu próprio serviço de link privado.
O serviço de link privado de um workspace pode ter vários pontos de extremidade privados. Por exemplo, a VNet A e a VNet B se conectam ao Workspace 1 por meio de pontos de extremidade privados separados. O limite do número de pontos de extremidade privados pode ser encontrado em cenários com suporte e limitações para links privados no nível do workspace
Uma rede virtual pode se conectar a vários workspaces criando pontos de extremidade privados separados para cada um. Por exemplo, a VNet B se conecta aos Workspaces 1, 2 e 3 usando três pontos de extremidade privados.
Você pode restringir o acesso público a um workspace com ou sem um link privado. Se o acesso público for restrito e nenhum link privado existir, o workspace estará inacessível de todas as redes. No entanto, um administrador de workspace pode usar a API de política de comunicação para modificar a regra de acesso de entrada.
Um link privado no nível do workspace é usado para estabelecer uma conexão de link privado com um workspace específico. Ele não pode ser usado para se conectar a outro workspace. Na configuração mostrada no diagrama, uma conexão com o Workspace 2 da VNet A não é permitida. Por outro lado, conexões com workspaces 3 e 4 da VNet A são possíveis se a VNet A permitir acesso público de saída nas configurações de rede do cliente.
Conectando-se a workspaces
Ao se conectar a um workspace, você precisa usar o FQDN (nome de domínio totalmente qualificado) do workspace. O FQDN do workspace é construído com base na ID do workspace e nos dois primeiros caracteres da ID do objeto do workspace. Veja a seguir os formatos do FQDN do workspace. O workspaceid é a ID do objeto do workspace sem traços, e xy representa os dois primeiros caracteres da ID do objeto do workspace. Localize a ID do objeto do workspace na URL após o grupo ao abrir a página do workspace no portal do Fabric. Você também pode obter o FQDN do workspace executando a API do workspace de lista ou obter a API do workspace.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comPara cadeias de conexão de data warehouse, utilizehttps://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com, ou seja, adicione z{xy} à cadeia de conexão regular do warehouse encontrada em "cadeia de conexão SQL." Os GUIDs nos FQDN correspondem ao GUID do Locatário em Base32 e ao GUID do Workspace em Base32, respectivamente. Esse FQDN não está disponível como parte das configurações de DNS para o ponto de extremidade privado.
Como o FQDN do workspace é resolvido em ambientes diferentes
O FQDN do workspace resolve endereços IP diferentes com base no ambiente e na configuração de Link Privado, conforme resumido na tabela a seguir.
| Ambiente | Resolução FQDN do workspace |
|---|---|
| Nenhum Link Privado está configurado | Resolve para um endereço IP público. |
| O Link Privado no nível do locatário está configurado | Resolve para um endereço IP privado com base na configuração de Link Privado no nível do locatário. |
| O link privado no nível do workspace está configurado para o workspace correspondente | Resolve para um endereço IP privado com base na configuração de link privado no nível do workspace. Nota: Nesse ambiente, o FQDN do workspace só pode se conectar ao workspace específico. Ele não pode ser usado para acessar recursos não workspace (como capacidades, outros workspaces ou workspaces de grupo). |
| O link privado no nível do workspace está configurado para o workspace correspondente e o link privado no nível do locatário também é configurado na mesma rede virtual | Resolve para um endereço IP privado com base na configuração de link privado no nível do workspace. |
| O link privado no nível do workspace está configurado para um workspace diferente | Resolve para um endereço IP público se o fallback para a Internet estiver habilitado. Consulte Fallback na Internet para zonas DNS privadas do Azure – DNS do Azure | Microsoft Learn para obter detalhes. Ele não é resolvido corretamente sem habilitar o fallback para a Internet. |
O FQDN do workspace deve ser construído corretamente usando a ID do objeto do workspace sem traços e o prefixo xy correto (os dois primeiros caracteres da ID do objeto do workspace). Se o FQDN não estiver formatado corretamente, ele não será resolvido para o endereço IP privado pretendido e a conexão de link privado no nível do workspace falhará.