Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os links privados no nível do espaço de trabalho no Microsoft Fabric fornecem uma maneira segura de se conectar a recursos específicos do espaço de trabalho em uma rede privada. Este artigo explica quais cenários e tipos de item são suportados, destaca as limitações atuais e oferece orientação sobre práticas recomendadas e solução de problemas para o uso de links privados no nível do espaço de trabalho.
Tipos de item suportados para link privado no nível do espaço de trabalho
Você pode usar links privados no nível do espaço de trabalho para se conectar aos seguintes tipos de item no Fabric:
- Lakehouse, Ponto de extremidade SQL, Atalho
- Conexão direta via ponto de extremidade OneLake
- Notebook, Definição de trabalho do Spark, Ambiente
- Experiência de aprendizagem automática, modelo de aprendizagem automática
- Gasoduto
- Tarefa de Cópia
- Fábrica de dados montada
- Armazém
- Fluxos de dados Gen2 (CI/CD)
- Biblioteca de variáveis
- Banco de dados espelhado
- Eventstream
- Casa de eventos
Notas sobre tipos de itens não suportados
Os seguintes tipos de item não são suportados atualmente em espaços de trabalho habilitados com links privados no nível do espaço de trabalho:
- Linhas de implementação
- Modelos semânticos padrão
Se um espaço de trabalho contiver tipos de itens não suportados, o acesso público de entrada ao espaço de trabalho não poderá ser restrito, mesmo que a ligação privada ao nível do espaço de trabalho esteja configurada.
Da mesma forma, se um espaço de trabalho já estiver configurado para restringir o acesso público de entrada, os tipos de item sem suporte não poderão ser criados nesse espaço de trabalho.
Ao trabalhar com tipos de itens sem suporte, esteja ciente das seguintes considerações.
Pipelines de implantação: Quando um espaço de trabalho é atribuído a um pipeline de implantação, ele não pode ser configurado para bloquear o acesso público, pois os pipelines de implantação atualmente não oferecem suporte a links privados no nível do espaço de trabalho.
Modelos semânticos padrão: As casas de lago, armazéns e bancos de dados espelhados existentes usam um modelo semântico padrão que não oferece suporte a links privados no nível do espaço de trabalho, o que impede que você bloqueie o acesso público ao espaço de trabalho. Você pode ignorar essa limitação de modelo semântico padrão configurando o espaço de trabalho para bloquear o acesso público primeiro e, em seguida, criando um lakehouse, armazém ou banco de dados espelhado.
Opções de gerenciamento para tipos de itens suportados
Esta seção descreve como você pode gerenciar tipos de item suportados em espaços de trabalho habilitados com links privados, usando o portal Fabric ou APIs REST.
Suporte ao Fabric Core
APIs com pontos de extremidade que contêm v1/workspaces/{workspaceId} links privados no nível do espaço de trabalho de suporte porque operam dentro do contexto de um espaço de trabalho específico. Por outro lado, as APIs de administração são usadas admin/workspaces/{workspaceId} em seus pontos de extremidade e não são cobertas por links privados no nível do espaço de trabalho.
As APIs de administrador permanecem acessíveis mesmo para espaços de trabalho restritos, porque a configuração no nível do locatário para bloquear o acesso público as rege.
- Itens - API REST (Core): Verifique também os tipos de itens individuais para obter detalhes.
- Pastas - API REST (Core)
- Git - API REST (Core)
- Pontos de extremidade privados gerenciados - API REST (Core)
- Agendador de tarefas - API REST (Core)
- Segurança de acesso a dados do OneLake - Criar ou atualizar funções de acesso a dados - API REST (Core)
-
Atalhos do OneLake - API REST (Core)
- A partir de um espaço de trabalho restrito, você pode criar atalhos para outras fontes de dados, como armazenamento externo ou por meio de acesso confiável.
- Ao criar um atalho para outro espaço de trabalho restrito, você precisa criar um ponto de extremidade privado gerenciado e obter aprovação do proprietário do serviço de link privado do espaço de trabalho de destino no Azure. Para obter mais informações, consulte Comunicação entre espaços de trabalho.
- Atualmente, não há suporte para transformações de atalho em espaços de trabalho restritos.
- Tags - API REST (Core)
- Espaços de trabalho - API REST (Core)
- Provedor de compartilhamentos de dados externos - API REST (Core): o destinatário precisa usar o FQDN (nome de domínio totalmente qualificado) do espaço de trabalho para acessar a URL compartilhada do OneLake.
Observação
- API de política de comunicação de rede: As configurações de rede no nível do espaço de trabalho não restringem a API da política de comunicação de rede dos espaços de trabalho. Esta API permanece acessível a partir de redes públicas, mesmo que o acesso público à área de trabalho esteja bloqueado. Restrições de rede no nível do locatário ainda se aplicam. Ver também Quadro 1. Acesso à API de política de comunicação do espaço de trabalho com base nas configurações de inquilino e link privado.
- Pipelines de implantação: Se qualquer espaço de trabalho em um pipeline de implantação estiver definido para negar acesso público (restrito), os pipelines de implantação não poderão se conectar a esse espaço de trabalho. A configuração da restrição de entrada é bloqueada para qualquer espaço de trabalho atribuído a um pipeline.
- Compartilhamento de itens: O compartilhamento de itens não é suportado. Se os itens já forem compartilhados com usuários, esses usuários não poderão mais acessar os itens usando os links compartilhados.
Suporte Lakehouse
Crie e gerencie Lakehouses em espaços de trabalho habilitados com links privados usando o portal Fabric ou APIs REST.
Suporte de armazém
Crie e gerencie armazéns em espaços de trabalho habilitados com links privados usando o portal Fabric ou APIs REST.
Para usar a cadeia de conexão de depósito com um link privado no nível do espaço de trabalho, adicione z{xy} à cadeia de conexão de depósito regular. Por exemplo:
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
Usando a cadeia de conexão de depósito, você também pode acessar um depósito por meio do ponto de extremidade TDS (SQL Tabular Data Stream) em ferramentas como o SQL Server Management Studio.
Suporte a SQL Endpoint
Encontre a string de conexão do serviço de ligação privada do espaço de trabalho para um ponto de extremidade SQL usando o portal Fabric ou a API REST.
Suporte para notebook
Gerencie blocos de anotações em espaços de trabalho habilitados com links privados usando o portal do Fabric ou APIs REST.
Suporte de endpoint Livy
Use o portal do Fabric ou as suas APIs em espaços de trabalho que tenham links privados ativados para criar e executar declarações ou então executar trabalhos em lote usando pontos de extremidade Livy.
Um trabalho de sessão do Livy estabelece uma sessão do Spark que permanece ativa durante a sua interação com a API do Livy. As sessões Livy são ideais para cargas de trabalho interativas. A sessão começa quando você envia um trabalho e permanece disponível até que você o termine explicitamente ou o sistema o encerre após 20 minutos de inatividade. Vários trabalhos podem ser executados dentro da mesma sessão, compartilhando o estado e os dados armazenados em cache.
Um trabalho em lote do Livy envolve o envio de um aplicativo Spark para uma única execução. Ao contrário de um trabalho de sessão Livy, um trabalho em lote não mantém uma sessão persistente do Spark. Cada trabalho em lote do Livy inicia uma nova sessão do Spark que termina quando o trabalho é concluído. Esse método é adequado para tarefas que não dependem de dados armazenados em cache ou exigem que o estado seja mantido entre trabalhos.
Suporte à definição de trabalho do Spark
Use o portal do Fabric ou as APIs em espaços de trabalho habilitados com links privados para criar, ler, atualizar e excluir itens de definição de trabalho do Spark.
Apoio ao ambiente
Gerencie ambientes em espaços de trabalho habilitados com links privados usando o portal Fabric ou use APIs REST de ambiente para criar, ler, atualizar e excluir itens de ambiente.
Observação
Para o Spark, os links privados no nível do espaço de trabalho que usam nomes amigáveis não funcionam.
Suporte a experimentos de aprendizado de máquina
Gerencie experimentos de aprendizado de máquina em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.
Suporte a modelos de aprendizagem automática
Gerencie modelos de aprendizado de máquina em espaços de trabalho habilitados com links privados usando a API Items - REST (MLModel).
Suporte para pipelines, tarefa de cópia e fábrica de dados montada.
Gerencie pipelines, trabalhos de cópia e data factories montados em espaços de trabalho habilitados com links privados usando o portal Fabric ou as seguintes APIs REST.
Não há suporte para os seguintes cenários:
- Não há suporte para copiar para o depósito.
- Não há suporte para copiar para o Eventhouse.
- O preparo do OneLake não é suportado no momento.
Suporte a Eventstream
Gerencie fluxos de eventos em espaços de trabalho habilitados com links privados usando o portal de malha ou APIs REST para criar itens de fluxo de eventos e exibir sua topologia.
As APIs do Eventstream usam uma estrutura semelhante a um gráfico para definir um item Eventstream, que consiste em quatro componentes: origem, destino, operador e fluxo.
Atualmente, o Eventstream suporta apenas o Workspace Private Link para um conjunto limitado de fontes e destinos. Se você incluir um componente sem suporte na carga útil da API do Eventstream, a solicitação poderá falhar.
Não há suporte para os seguintes cenários:
- Não há suporte para Endpoint Personalizado como origem.
- O suporte para "Custom Endpoint" como destino não está disponível.
- O Eventhouse como destino (com modo de ingestão direta) não é suportado.
- O ativador como destino não é suportado.
Suporte Eventhouse
Gerencie casas de eventos em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.
Não há suporte para os seguintes cenários:
- Consumindo eventos de Eventstreams
- Pontos de extremidade TDS do SQL Server
Suporte a fluxos de dados Gen2 (CI/CD)
Gerencie fluxos de dados Gen2 em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.
Deve ser utilizada uma ligação baseada num gateway de dados de rede virtual, incluindo no destino de saída. O gateway de dados de rede virtual deve residir na mesma rede virtual que o ponto de extremidade de link privado no nível do espaço de trabalho usado pelo espaço de trabalho.
Power Platform Dataflow Connector: Quando um espaço de trabalho tem links privados de espaço de trabalho habilitados e acesso público negado, para quaisquer dois fluxos de dados nesse espaço de trabalho (fluxo de dados A e fluxo de dados B), nenhum fluxo de dados poderá se conectar ao outro fluxo de dados usando o Power Platform Dataflow Connector, porque o fluxo de dados não aparecerá no navegador.
Suporte a bibliotecas variáveis
Gerencie bibliotecas variáveis em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.
Suporte a banco de dados espelhado
Você pode gerenciar bancos de dados espelhados em espaços de trabalho habilitados com links privados usando o portal Fabric ou a API REST.
Observação
- Atualmente, o link privado ao nível do espaço de trabalho é suportado para espelhamento aberto, espelhamento Azure Cosmos DB, espelhamento Azure SQL Managed Instance e espelhamento SQL Server 2025. Para outros tipos de espelhamento de banco de dados, se seu espaço de trabalho estiver configurado para negar acesso público de entrada, os bancos de dados espelhados ativos entrarão em um estado pausado e o espelhamento não poderá ser iniciado.
- Para espelhamento aberto, quando seu espaço de trabalho estiver configurado para negar acesso público de entrada, certifique-se de que o editor grave dados na zona de aterrissagem do OneLake por meio de um link privado com o FQDN do espaço de trabalho.
Ferramentas de gestão suportadas e não suportadas
- Você pode usar o portal de malha ou a API REST para gerenciar todos os tipos de item suportados em espaços de trabalho com links privados de espaço de trabalho habilitados. Quando um espaço de trabalho permite acesso público, o portal de malha continua a funcionar usando conectividade pública. Se um espaço de trabalho estiver configurado para negar acesso público de entrada, você poderá acessá-lo no portal da Malha somente quando a solicitação for originada do ponto de extremidade privado associado ao espaço de trabalho. Se o acesso for tentado a partir da conectividade pública ou de um ponto de extremidade privado diferente, o portal da malha exibirá uma mensagem "Acesso restrito".
- Os deeplinks diretos para uma página de Nível 2 (L2) do hub de monitoramento podem não funcionar como esperado ao usar links privados no nível do espaço de trabalho. Você pode acessar a página L2 navegando primeiro até a página Nível 1 (L1) do hub de monitoramento no portal da malha.
- O SQL Server Management Studio (SSMS) tem suporte para conexão com armazéns por meio de link privado no nível do espaço de trabalho.
- O Gerenciador de Armazenamento pode ser usado com links privados no nível do espaço de trabalho.
- O Azure Storage Explorer, PowerShell, AzCopy e outras ferramentas de Armazenamento do Azure podem se conectar ao OneLake por meio de um link privado.
- Para usar o Explorador de Arquivos do OneLake, você deve ter acesso ao seu locatário, seja por meio de acesso público ou de um link privado do locatário.
Considerações e limitações
- O recurso de link privado no nível do espaço de trabalho só é suportado em uma capacidade de malha (F SKU). Outras capacidades, como premium (P SKU) e capacidades de teste, não são suportadas.
- Um espaço de trabalho não pode ser excluído se um serviço de link privado existente estiver configurado para ele.
- Apenas um serviço de link privado pode ser criado por espaço de trabalho, e cada espaço de trabalho pode ter apenas um serviço de link privado. No entanto, vários pontos de extremidade privados podem ser criados para um único serviço de link privado.
- O limite de pontos de extremidade privados para um espaço de trabalho é 100. Crie um ticket de suporte se precisar aumentar esse limite.
- Limite de espaço de trabalho PLS que você pode criar por locatário: 500. Crie um ticket de suporte se precisar aumentar esse limite.
- Até 10 serviços de link privado de espaço de trabalho podem ser criados por minuto.
- Atualmente, a interface do usuário do portal Fabric não oferece suporte à habilitação da proteção de entrada (links privados no nível do espaço de trabalho) e da proteção de acesso de saída ao mesmo tempo para um espaço de trabalho. Para definir ambas as configurações juntas, use a API Workspaces - set Network Communication Policy, que permite o gerenciamento completo das políticas de proteção de entrada e saída.
- Para cargas de trabalho de Engenharia de Dados:
- Para consultar arquivos ou tabelas do Lakehouse a partir de um espaço de trabalho que tenha o link privado no nível do espaço de trabalho habilitado, você deve criar uma conexão de ponto de extremidade privada gerenciada entre espaços de trabalho para acessar recursos no outro espaço de trabalho.
- Você pode usar caminhos relativos ou completos para consultar arquivos ou tabelas dentro do mesmo espaço de trabalho ou usar uma conexão de ponto de extremidade privado gerenciado entre espaços de trabalho para acessá-los de outro espaço de trabalho. Para ler ficheiros num Lakehouse situado noutro espaço de trabalho, use um caminho totalmente qualificado que inclua o ID do espaço de trabalho e o ID do Lakehouse (não seus nomes para exibição). Essa abordagem garante que a sessão do Spark possa resolver o caminho corretamente e evite erros de tempo limite do soquete. Mais informações.
- Limitações atuais do Private Link com uma casa de eventos:
- Recursos do copiloto: as cargas de trabalho de aprendizado de máquina podem ter funcionalidade limitada devido a uma regressão conhecida.
- Eventstream pull: Atualmente, as cargas de trabalho do Eventstream não suportam a funcionalidade de sondagem completa.
- Atualmente, o Fabric não oferece suporte à integração do Hub de Eventos.
- A ingestão em fila via OneLake não está disponível no momento.
- A guia OneLake Catalog - Govern não está disponível quando o Private Link é ativado.
- O OneLake Security não é atualmente suportado quando uma ligação privada ao nível do espaço de trabalho está ativada para um espaço de trabalho.
- Atualmente, não há suporte para o monitoramento de espaço de trabalho quando um link privado no nível do espaço de trabalho está habilitado para um espaço de trabalho.
Erros comuns e solução de problemas
Solicitação negada pela política de entrada
Ao tentar acessar um espaço de trabalho configurado para restringir o acesso público, os usuários encontram o seguinte erro:
"errorCode": "RequestDeniedByInboundPolicy",
"message": "Request is denied due to inbound communication policy"
Causa: este erro ocorre quando a solicitação é feita a partir de um local de rede que a política de comunicação do espaço de trabalho não permite.
Atenuação:
- Verifique se você está no local de rede permitido.
- Ao usar um link privado no nível do espaço de trabalho para acessar o espaço de trabalho, verifique se você está usando o FQDN do espaço de trabalho.
Itens sem suporte em um espaço de trabalho
Ao tentar definir um espaço de trabalho para restringir o acesso público, os usuários encontram o seguinte erro:
"errorCode": "InboundRestrictionNotEligible",
"message": "This workspace contains items that do not comply with requested policy"
Causa: este erro ocorre porque o espaço de trabalho contém um ou mais itens que não são compatíveis com links privados no nível do espaço de trabalho. Como resultado, não é possível configurar o espaço de trabalho para restringir o acesso público.
Atenuação: exclua os itens sem suporte neste espaço de trabalho ou use outro espaço de trabalho.