Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os links privados fornecem uma conexão segura e privada entre sua rede virtual e o Microsoft Fabric, bloqueando o acesso público à Internet aos seus dados e reduzindo o risco de acesso não autorizado ou violações de dados. O Azure Private Link e os pontos de extremidade privados da Rede do Azure são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede de backbone da Microsoft, em vez de atravessar a Internet.
O Fabric oferece suporte a links privados nos níveis de locatário e espaço de trabalho. Os links privados no nível do locatário aplicam restrições de rede em todo o locatário, protegendo todos os espaços de trabalho e recursos. Os links privados no nível do espaço de trabalho permitem que você proteja o acesso a dados ou recursos confidenciais em espaços de trabalho específicos sem exigir alterações em todo o locatário ou afetar outros espaços de trabalho em seu ambiente de malha.
Este artigo fornece uma visão geral dos links privados no nível do espaço de trabalho no Microsoft Fabric. Para obter instruções detalhadas de configuração, consulte Configurar e usar links privados no nível do espaço de trabalho.
Visão geral do link privado no nível do espaço de trabalho
Um link privado no nível do espaço de trabalho mapeia um espaço de trabalho para uma rede virtual específica usando o serviço de Link Privado do Azure. Quando um link privado está habilitado, o acesso público à Internet ao espaço de trabalho pode ser restrito, garantindo que apenas recursos dentro de uma rede virtual aprovada (por meio de um ponto de extremidade privado) possam acessar o espaço de trabalho. O diagrama a seguir ilustra várias implementações de links privados no nível do espaço de trabalho.
Neste diagrama:
O espaço de trabalho 1 restringe o acesso público de entrada e só pode ser acessado de máquinas na VNet A e na VNet B por meio de links privados no nível do espaço de trabalho.
O espaço de trabalho 2 restringe o acesso público de entrada e só pode ser acessado de máquinas na VNet B por meio de um link privado no nível do espaço de trabalho.
O espaço de trabalho 3 pode ser acessado pela Internet pública porque não tem uma regra de comunicação de entrada restrita configurada. Ele também pode ser acessado a partir da VNet B através de um link privado no nível do espaço de trabalho. Essa configuração permite acesso público e privado, o que não é recomendado para ambientes de produção. Essa configuração deve ser usada apenas para fins de teste, pois expõe o espaço de trabalho à Internet pública e não fornece proteção total de rede de entrada.
O espaço de trabalho 4 pode ser acessado pela Internet pública porque não tem uma regra de comunicação de entrada restrita configurada.
O diagrama ilustra os seguintes pontos-chave sobre links privados no nível do espaço de trabalho:
Quando um espaço de trabalho é configurado para restringir o acesso público de entrada, ele não é acessível a partir da Internet pública. Ele só pode ser acessado por meio de um link privado no nível do espaço de trabalho.
Um serviço de link privado tem uma relação um-para-um com um espaço de trabalho. Como mostrado no diagrama, cada espaço de trabalho tem seu próprio serviço de link privado.
O serviço de link privado de um espaço de trabalho pode ter vários pontos de extremidade privados. Por exemplo, tanto a VNet A quanto a VNet B se conectam ao Espaço de Trabalho 1 por meio de pontos de extremidade privados separados. O limite do número de pontos de extremidade privados pode ser encontrado em Cenários suportados e limitações para links privados no nível do espaço de trabalho
Uma rede virtual pode se conectar a vários espaços de trabalho criando pontos de extremidade privados separados para cada um. Por exemplo, a VNet B se conecta aos espaços de trabalho 1, 2 e 3 usando três pontos de extremidade privados.
Você pode restringir o acesso público a um espaço de trabalho com ou sem um link privado. Se o acesso público for restrito e não existir nenhum link privado, o espaço de trabalho ficará inacessível a partir de todas as redes. No entanto, um administrador de espaço de trabalho pode usar a API de política de comunicação para modificar a regra de acesso de entrada.
Um link privado no nível do espaço de trabalho é usado para estabelecer uma conexão de link privado com um espaço de trabalho específico. Ele não pode ser usado para se conectar a outro espaço de trabalho. Na configuração mostrada no diagrama, uma conexão com o Espaço de Trabalho 2 da VNet A não é permitida. Por outro lado, as conexões com os espaços de trabalho 3 e 4 da VNet A são possíveis se a VNet A permitir acesso público de saída nas configurações de rede do cliente.
Conectando-se a espaços de trabalho
Ao se conectar a um espaço de trabalho, você precisa usar o FQDN (nome de domínio totalmente qualificado) do espaço de trabalho. O FQDN do espaço de trabalho é construído com base no ID do espaço de trabalho e nos dois primeiros caracteres do ID do objeto do espaço de trabalho. A seguir estão os formatos para o FQDN do espaço de trabalho. O workspaceid é o ID do objeto do espaço de trabalho sem traços, e xy representa os dois primeiros caracteres do ID do objeto do espaço de trabalho. Encontre o ID do objeto do espaço de trabalho no URL após o grupo ao abrir a página do espaço de trabalho no portal da malha. Você também pode obter FQDN do espaço de trabalho executando a API do espaço de trabalho Lista ou Obter API do espaço de trabalho.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comPara cadeias de ligação para data warehouse, utilizehttps://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.come adicione z{xy} à cadeia de ligação normal do data warehouse encontrada sob a cadeia de ligação SQL. Os GUIDs no FQDN correspondem ao GUID do Locatário em Base32 e ao GUID do Espaço de Trabalho em Base32, respectivamente. Este FQDN não está disponível como parte das configurações DNS para o endpoint privado.
Como o FQDN do espaço de trabalho é resolvido em diferentes ambientes
O FQDN do espaço de trabalho resolve para diferentes endereços IP com base no ambiente e na configuração do Link Privado, conforme resumido na tabela a seguir.
| Meio Ambiente | Resolução FQDN do espaço de trabalho |
|---|---|
| Nenhum link privado está configurado | Resolve para um endereço IP público. |
| O Private Link no nível do locatário está configurado | Resolve para um endereço IP privado com base na configuração de Link Privado no nível do locatário. |
| O link privado no nível do espaço de trabalho é configurado para o espaço de trabalho correspondente | Resolve para um endereço IP privado com base na configuração de link privado no nível do espaço de trabalho. Observação: Nesse ambiente, o FQDN do espaço de trabalho só pode se conectar ao espaço de trabalho específico. Ele não pode ser usado para acessar recursos que não sejam de espaço de trabalho (como capacidades, outros espaços de trabalho ou espaços de trabalho de grupo). |
| O link privado no nível do espaço de trabalho é configurado para o espaço de trabalho correspondente e o link privado no nível do locatário também é configurado na mesma rede virtual | Resolve para um endereço IP privado com base na configuração de link privado no nível do espaço de trabalho. |
| O link privado no nível do espaço de trabalho é configurado para um espaço de trabalho diferente | Resolve para um endereço IP público se o fallback para a Internet estiver habilitado. Consulte Fallback para a Internet para zonas de DNS privado do Azure - Azure DNS | Microsoft Learn para obter detalhes. Ele não resolve corretamente sem ativar o fallback para a internet. |
O FQDN do espaço de trabalho deve ser construído corretamente usando o ID do objeto do espaço de trabalho sem traços e o prefixo xy correto (os dois primeiros caracteres do ID do objeto do espaço de trabalho). Se o FQDN não estiver formatado corretamente, ele não será resolvido para o endereço IP privado pretendido e a conexão de link privado no nível do espaço de trabalho falhará.