Cenários e limitações suportados para links privados no nível do espaço de trabalho

Os links privados no nível do workspace no Microsoft Fabric fornecem uma maneira segura de se conectar a recursos específicos do workspace em uma rede privada. Este artigo explica quais cenários e tipos de item têm suporte, destaca as limitações atuais e oferece diretrizes sobre práticas recomendadas e solução de problemas para usar links privados no nível do workspace.

Tipos de item com suporte para link privado no nível do workspace

Você pode usar links privados no nível do workspace para se conectar aos seguintes tipos de item no Fabric:

• Lakehouse, Ponto de Extremidade do SQL, Atalho
• Conexão direta por meio do ponto de extremidade do OneLake
• Notebook, definição de trabalho do Spark, Ambiente
• Experimento de machine learning, modelo de machine learning
• Pipeline
• Trabalho de cópia
• Data Factory montado
• Armazém
• Fluxos de dados Gen2 (CI/CD)
• Biblioteca de variáveis
• Banco de dados espelhado
• Eventstream
• Eventhouse

Anotações sobre tipos de item sem suporte

No momento, os seguintes tipos de itens não são suportados em espaços de trabalho com links privados no nível do espaço de trabalho.

• Pipelines de implantação
• Modelos semânticos padrão

Se um workspace contiver qualquer tipo de item sem suporte, o acesso público de entrada não poderá ser restrito para o workspace, mesmo se o link privado no nível do workspace estiver configurado.

Da mesma forma, se um workspace já estiver configurado para restringir o acesso público de entrada, os tipos de item sem suporte não poderão ser criados nesse workspace.

Ao trabalhar com tipos de item sem suporte, lembre-se das considerações a seguir.

• Pipelines de implantação: Quando um workspace é atribuído a um pipeline de implantação, ele não pode ser configurado para bloquear o acesso público, pois os pipelines de implantação atualmente não dão suporte a links privados no nível do workspace.

• Modelos semânticos padrão: Os lakehouses, armazéns e bancos de dados espelhados existentes usam um modelo semântico padrão que não dá suporte a links privados no nível do workspace, o que impede que você bloqueie o acesso público ao workspace. Você pode superar essa limitação do modelo semântico padrão configurando a área de trabalho para bloquear o acesso público primeiro e, em seguida, criando um lakehouse, warehouse ou banco de dados espelhado.

Opções de gerenciamento para tipos de item com suporte

Esta seção descreve como você pode gerenciar tipos de item com suporte em workspaces habilitados com links privados, usando o portal do Fabric ou as APIs REST.

Suporte ao Fabric Core

APIs com pontos de extremidade que contêm v1/workspaces/{workspaceId} suporte a links privados no nível do workspace porque operam dentro do contexto de um workspace específico. Por outro lado, as APIs de administrador usam admin/workspaces/{workspaceId} em seus pontos de extremidade e não são cobertas por links privados no nível do workspace. As APIs de administrador permanecem acessíveis mesmo para workspaces restritos, pois a configuração no nível do locatário para bloquear o acesso público os rege.

• Itens – API REST (Core): verifique também os tipos de item individuais para obter detalhes.
• Pastas – API REST (Core)
• Git – API REST (Core)
• Pontos de extremidade privados gerenciados – API REST (Core)
• Agendador de Trabalho – API REST (Core)
• Segurança de acesso a dados do OneLake – Criar ou atualizar funções de acesso a dados – API REST (Core)
• Atalhos do OneLake – API REST (Core)
  • Em um workspace restrito, você pode criar atalhos para outras fontes de dados, como armazenamento externo ou por meio de acesso confiável.
  • Ao criar um atalho para outro workspace restrito, você precisa criar um ponto de extremidade privado gerenciado e obter aprovação do proprietário do serviço de link privado do workspace de destino no Azure. Para obter mais informações, consulte comunicação entre espaços de trabalho.
  • Atualmente, não há suporte para transformações de atalho em workspaces restritos.
• Marcas – API REST (Core)
• Workspaces – API REST (Core)
• Provedor de Compartilhamentos de Dados Externos – API REST (Core): o destinatário precisa usar o FQDN (nome de domínio totalmente qualificado) do workspace para acessar a URL do OneLake compartilhada.

Suporte do Lakehouse

Crie e gerencie Lakehouses em workspaces habilitados com links privados usando o portal Fabric ou as APIs REST.

Suporte ao warehouse

Crie e gerencie armazéns em workspaces habilitados com links privados usando o portal do Fabric ou as APIs REST.

** Para usar a cadeia de conexão do warehouse com um link privado no nível do espaço de trabalho, adicione z{xy} à cadeia de conexão regular do warehouse. Por exemplo:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Usando a cadeia de conexão do warehouse, você também pode acessar um warehouse por meio do ponto de extremidade TDS (Fluxo de Dados Tabulares do SQL) em ferramentas como o SQL Server Management Studio.

Suporte ao Ponto de Extremidade do SQL

Encontre a string de conexão do serviço de link privado do espaço de trabalho para um endpoint SQL usando o portal do Fabric ou a API REST.

Suporte ao bloco de anotações

Gerencie notebooks em workspaces habilitados com links privados usando o portal do Fabric ou as REST APIs.

Suporte ao ponto de extremidade livy

Use o portal do Fabric ou APIs em workspaces ativados com links privados para criar e executar instruções ou rodar trabalhos em lotes usando endpoints Livy.

Um trabalho de sessão do Livy estabelece uma sessão do Spark que permanece ativa durante a interação com a API Livy. As sessões livy são ideais para cargas de trabalho interativas. A sessão começa quando você envia um trabalho e permanece disponível até que você o encerre explicitamente ou o sistema o encerre após 20 minutos de inatividade. Vários trabalhos podem ser executados na mesma sessão, compartilhando o estado e os dados armazenados em cache.

Um trabalho em lote do Livy envolve o envio de um aplicativo Spark para uma única execução. Ao contrário de um trabalho de sessão do Livy, um trabalho em lote não mantém uma sessão persistente do Spark. Cada trabalho em lote do Livy inicia uma nova sessão do Spark que termina quando o trabalho é concluído. Esse método é adequado para tarefas que não dependem de dados armazenados em cache ou exigem que o estado seja mantido entre trabalhos.

Suporte à definição de trabalho do Spark

Use o portal do Fabric ou as APIs em workspaces habilitados com links privados para criar, ler, atualizar e excluir itens de definição de trabalho do Spark.

Suporte ao ambiente

Gerencie ambientes em áreas de trabalho habilitadas para links privados usando o portal do Fabric ou use APIs REST de Ambiente para criar, ler, atualizar e excluir itens de Ambiente.

Suporte a experimentos de machine learning

Gerencie experimentos de machine learning em workspaces habilitados com links privados usando o portal do Fabric ou a API REST.

Suporte ao modelo de machine learning

Gerencie modelos de aprendizado de máquina em workspaces habilitados com links privados usando a Items - REST API (MLModel).

Pipeline, Copy Job e suporte ao Data Factory em modo montado

Em workspaces habilitados com links privados, gerencie pipelines, tarefas de cópia e fábricas de dados montadas usando o portal do Fabric ou as seguintes APIs REST.

Os seguintes cenários não têm suporte:

• Não há suporte para copiar para o warehouse.
• Não há suporte para copiar para o Eventhouse.
• Atualmente, não há suporte para a preparação do OneLake.

Suporte a eventstream

Gerencie fluxos de eventos em workspaces habilitados com links privados usando o portal do Fabric ou as APIs REST para criar itens de fluxo de eventos e exibir sua topologia.

As APIs eventstream usam uma estrutura semelhante a um grafo para definir um item Eventstream, que consiste em quatro componentes: origem, destino, operador e fluxo.

Atualmente, o Eventstream dá suporte apenas ao Link Privado do Workspace para um conjunto limitado de origens e destinos. Se você incluir um componente sem suporte no conteúdo da API Eventstream, a solicitação poderá falhar.

Os seguintes cenários não têm suporte:

• O endpoint personalizado não é suportado como fonte.
• Não há suporte para usar ponto de extremidade personalizado como destino.
• Não há suporte para Eventhouse como destino (com modo de ingestão direta).
• Não há suporte para o ativador como destino.

Suporte do Eventhouse

Gerencie hubs de eventos em espaços de trabalho habilitados com links privados usando o portal do Fabric ou a API REST.

Os seguintes cenários não têm suporte:

• Consumindo eventos de Eventstreams
• Pontos de extremidade do TDS do SQL Server

Suporte a CI/CD (Dataflows Gen2)

Gerenciar fluxos de dados Gen2 em workspaces habilitados com links privados usando o portal do Fabric ou a API REST.

Uma conexão baseada em um gateway de dados de rede virtual deve ser usada, inclusive no destino de saída. O gateway de dados de rede virtual deve residir na mesma rede virtual que o ponto de extremidade de link privado no nível do workspace usado pelo workspace.

Conector de Fluxo de Dados do Power Platform: quando um workspace tem links privados habilitados e o acesso público negado, para quaisquer dois dataflows nesse workspace (dataflow A e dataflow B), nenhum dos dataflows poderá se conectar ao outro usando o Conector de Fluxo de Dados do Power Platform, já que nenhum dos dataflows aparecerá no navegador.

Suporte à biblioteca de variáveis

Gerencie bibliotecas de variáveis em workspaces habilitados com links privados usando o portal do Fabric ou a API REST.

Suporte a banco de dados espelhado

Você pode gerenciar bancos de dados espelhados em workspaces habilitados com links privados usando o portal do Fabric ou a API REST.

Ferramentas de gerenciamento com suporte e sem suporte

• Você pode usar o portal do Fabric ou a API REST para gerenciar todos os tipos de item com suporte em workspaces com links privados de workspace habilitados. Quando um workspace permite acesso público, o portal do Fabric continua funcionando usando conectividade pública. Se um workspace estiver configurado para negar o acesso público de entrada, você poderá acessá-lo no portal do Fabric somente quando a solicitação se originar do ponto de extremidade privado associado do workspace. Se o acesso for tentado por meio da conectividade pública ou de um ponto de extremidade privado diferente, o portal do Fabric exibirá uma mensagem "Acesso Restrito".
• Os links diretos para uma página L2 (Nível 2) do hub de monitoramento podem não funcionar conforme o esperado ao usar links privados no nível de área de trabalho. Você pode acessar a página L2 primeiro navegando até a página L1 (Nível 1) do Hub de Monitoramento no portal do Fabric.
• O SSMS (SQL Server Management Studio) é compatível com a conexão a armazéns por meio de link privado no nível de espaço de trabalho.
• O Gerenciador de Armazenamento pode ser usado com links privados no nível do workspace.
• O Gerenciador de Armazenamento do Azure, o PowerShell, o AzCopy e outras ferramentas de Armazenamento do Azure podem se conectar ao OneLake por meio de um link privado.
• Para usar o Gerenciador de Arquivos do OneLake, você deve ter acesso ao seu locatário, por meio de acesso público ou de um link privado de locatário.

Considerações e limitações

• O recurso de link privado no nível do workspace só tem suporte em uma SKU (capacidade do Fabric). Não há suporte para outras capacidades, como SKU premium (P) e capacidades de avaliação.
• Um workspace não poderá ser excluído se um serviço de link privado existente estiver configurado para ele.
• Somente um serviço de link privado pode ser criado por workspace e cada workspace pode ter apenas um serviço de link privado. No entanto, vários pontos de extremidade privados podem ser criados para um único serviço de link privado.
• O limite de pontos de extremidade privados para um workspace é 100. Crie um tíquete de suporte se precisar aumentar esse limite.
• Limite do PLS do workspace que você pode criar por locatário: 500. Crie um tíquete de suporte se precisar aumentar esse limite.
• Até 10 serviços de link privado de workspace podem ser criados por minuto.
• No momento, a interface do usuário do portal do Fabric não dá suporte à habilitação da proteção de entrada (links privados no nível do workspace) e da proteção de acesso de saída ao mesmo tempo para um workspace. Para definir as duas configurações em conjunto, use os Workspaces – Definir a API de Política de Comunicação de Rede, que permite o gerenciamento completo de políticas de proteção de entrada e de saída.
• Para cargas de trabalho de Engenharia de Dados:
  • Para consultar arquivos ou tabelas do Lakehouse de um workspace que tenha o link privado no nível do workspace habilitado, você deve criar uma conexão de ponto de extremidade privado gerenciado entre workspaces para acessar recursos no outro workspace.
  • Você pode usar caminhos relativos ou completos para consultar arquivos ou tabelas no mesmo workspace ou usar uma conexão de ponto de extremidade privado gerenciado entre workspaces para acessá-los de outro workspace. Para ler arquivos em um Lakehouse localizado em outro workspace, use um caminho totalmente qualificado que inclua o ID do workspace e o ID do lakehouse (não seus nomes de exibição). Essa abordagem garante que a sessão do Spark possa resolver o caminho corretamente e evita erros de tempo limite do soquete. Saiba mais.
• Limitações atuais do Link Privado com uma casa de eventos:
  • Recursos do copilot: cargas de trabalho de machine learning podem ter funcionalidade limitada devido a uma regressão conhecida.
  • Extração de fluxo de eventos: atualmente, as cargas de trabalho de fluxo de eventos não dão suporte à funcionalidade completa de polling.
  • Atualmente, o Fabric não dá suporte à integração do Hub de Eventos.
  • A ingestão em fila via OneLake está atualmente indisponível.

• A guia Catálogo do OneLake – Govern não está disponível quando o Link Privado é ativado.
• Atualmente, não há suporte para o OneLake Security quando um link privado ao nível de workspace está habilitado para um workspace.
• Atualmente, o monitoramento do workspace não é suportado quando um link privado no nível do workspace está habilitado.

Erros comuns e solução de problemas

Solicitação negada pela política de entrada

Ao tentar acessar um workspace configurado para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• Causa: esse erro ocorre quando a solicitação é feita de um local de rede que a política de comunicação do workspace não permite.

• Mitigação:

  1. Verifique se você está no local de rede permitido.
  2. Ao usar um link privado no nível do workspace para acessar o workspace, verifique se você está usando o FQDN do workspace.

Itens sem suporte em um workspace

Ao tentar definir um workspace para restringir o acesso público, os usuários encontram o seguinte erro:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• Causa: esse erro ocorre porque o workspace contém um ou mais itens que não são compatíveis com links privados no nível do workspace. Como resultado, você não pode configurar o workspace para restringir o acesso público.

• Mitigação: exclua os itens sem suporte neste workspace ou use outro workspace.

Conteúdo relacionado

• Sobre links privados
• Configurar e usar links privados no nível do workspace