Acessar uma casa do lago em um espaço de trabalho restrito de entrada a partir de um bloco de anotações em um espaço de trabalho aberto

Pode usar um endpoint privado gerido para estabelecer comunicação entre diferentes espaços de trabalho entre um espaço de trabalho aberto e um espaço de trabalho que restrinja o acesso público a entrada. Por exemplo, se quiser aceder a um lakehouse num espaço de trabalho com restrições de entrada a partir de um notebook num espaço de trabalho aberto, pode configurar um endpoint privado gerido para estabelecer uma ligação segura entre os dois espaços de trabalho.

No diagrama seguinte, o espaço de trabalho aberto (Espaço de Trabalho 1) tem um endpoint privado gerido que se liga ao espaço de trabalho restrito (Espaço de Trabalho 2). Esta configuração permite que o notebook no Workspace 1 aceda de forma segura ao Lakehouse e leia as tabelas Delta Lake no Workspace 2 sem as expor ao acesso público.

Este artigo explica como criar um endpoint privado gerido através das definições de espaço de trabalho no portal ou API Microsoft Fabric.

Etapa 1: Criar os espaços de trabalho

Crie espaços de trabalho no Fabric. Essa configuração envolve um espaço de trabalho aberto e um espaço de trabalho restrito. Este artigo refere-se aos espaços de trabalho da seguinte forma:

• O espaço de trabalho de origem é o espaço de trabalho aberto sem restrição de acesso público.
• O espaço de trabalho de destino é o espaço de trabalho que restringe o acesso público de entrada.

Este artigo também se refere ao nome de domínio totalmente qualificado (FQDN) do workspace. O formato é:

https://{workspaceID}.z{xy}.w.api.fabric.microsoft.com

No formato FQDN, {workspaceID} é o ID do espaço de trabalho sem traços, e {xy} são as duas primeiras letras do ID do objeto do espaço de trabalho. Para mais informações, consulte Ligação a espaços de trabalho.

Pode encontrar um ID de espaço de trabalho abrindo a página do espaço de trabalho no portal do Fabric e anotando o ID a seguir groups/ na URL. Também pode encontrar o FQDN de um espaço de trabalho usando a API "List Workspace" ou "Get Workspace".

Etapa 2: Criar um ponto de extremidade privado gerenciado

Crie um endpoint privado gerido no espaço de trabalho de origem (aberto). Use a definição Workspace no portal ou a seguinte API:

POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/managedPrivateEndpoints

Nesse código, {workspaceFQDN} é {workspaceID}.z{xy}.w.api.fabric.microsoft.com.

Por exemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/managedPrivateEndpoints.

O targetPrivateLinkResourceId parâmetro é o ID de recurso do serviço Azure Private Link no espaço de trabalho restrito. Para criar um endpoint privado gerido para o workspace alvo, precisa deste ID de recurso.

Pode encontrar este ID de recurso no Azure visualizando o JSON do recurso para o espaço de trabalho. Verifique se o ID do espaço de trabalho no JSON corresponde ao espaço de trabalho de destino pretendido.

O proprietário do serviço de ligação privada para o Workspace 2 precisa de aprovar o pedido de um endpoint privado gerido no centro >Ligações pendentes.

Etapa 3: Criar uma casa de lago no espaço de trabalho restrito

Crie uma lakehouse no espaço de trabalho de destino (restrito) usando a seguinte API Create Lakehouse:

POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/lakehouses

Nesse código, {workspaceFQDN} é {workspaceID}.z{xy}.w.api.fabric.microsoft.com.

Por exemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/lakehouses.

Passo 4: Carregar uma tabela Delta Lake para o lakehouse

Use o Azure Storage Explorer para carregar a pasta da sua tabela Delta Lake para o armazenamento gerido da casa do lago restrito:

1. Vai ao Explorador de Armazenamento, seleciona o ícone de ligação no menu esquerdo e depois seleciona contentor ou diretório ADLS Gen2.

2. Inicia sessão usando o OAuth.

3. Introduza um nome de exibição para o armazenamento e introduza o URL do contentor blob no seguinte formato:

   https://{workspaceFQDN}/{workspaceID}/{lakehouseID}

   Nesse código, {workspaceFQDN} é {workspaceID}.z{xy}.onelake.fabric.microsoft.com.

   Por exemplo: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/bbbbbbbb-1111-2222-3333-cccccccccccc.

   

4. Selecione Conectar. O armazenamento deve agora aparecer na vista de explorador.

5. Na pasta Tabelas , carrega a tabela Delta Lake que queres usar. Este exemplo usa a tabela customers .

   

Etapa 5: Criar um bloco de anotações no espaço de trabalho de origem

Crie um bloco de anotações e conecte-o à casa do lago restrita da seguinte maneira:

1. No espaço de trabalho de origem, vá para Blocos de Anotações.

2. Selecione + Novo Bloco de Notas. 

3. Selecione Runtime do Spark. 

4. Liga-te ao espaço de trabalho alvo no painel do Explorador .

5. Cole o seguinte código:

   from pyspark.sql import SparkSession
   # Read Delta Lake table from the restricted lakehouse by using the workspace DNS-based ABFSS URI
   df = spark.read.format("delta").load(
      "abfss://{WorkspaceID}@{WorkspaceFQDN}/{LakehouseID}/Tables/customers"
   )
   

   Certifique-se de que:

   • O caminho para o driver Azure Blob File System (ABFSS) corresponde ao DNS e à localização da tabela do seu lakehouse.
   • O acesso à rede entre os espaços de trabalho abertos e restritos é estabelecido corretamente através do ponto de extremidade privado.

6. Passa o caderno. Se configurares corretamente o endpoint privado e as permissões, o notebook conecta-se e exibe o conteúdo da tabela Delta Lake do lakehouse restrito.

Conteúdo relacionado

• Ligações privadas para clientes Fabric
• Configurar e usar links privados no nível do espaço de trabalho
• APIs multiespaço de trabalho do Microsoft Fabric