ลิงก์ส่วนตัวสําหรับพื้นที่ทํางาน Fabric

ลิงก์ส่วนตัวให้การเชื่อมต่อที่ปลอดภัยและเป็นส่วนตัวระหว่างเครือข่ายเสมือนของคุณและ Microsoft Fabric บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะไปยังข้อมูลของคุณ และลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตหรือการละเมิดข้อมูล Azure Private Link และปลายทางส่วนตัว Azure Networking ใช้เพื่อส่งการรับส่งข้อมูลแบบส่วนตัวโดยใช้โครงสร้างพื้นฐานเครือข่ายแกนหลักของ Microsoft แทนที่จะข้ามอินเทอร์เน็ต

Fabric รองรับลิงก์ส่วนตัวทั้งในระดับผู้เช่าและพื้นที่ทํางาน ลิงก์ส่วนตัวระดับผู้เช่า จะใช้ข้อจํากัดเครือข่ายในผู้เช่าทั้งหมดของคุณ เพื่อรักษาความปลอดภัยพื้นที่ทํางานและทรัพยากรทั้งหมด ลิงก์ส่วนตัวระดับพื้นที่ทํางานช่วยให้คุณสามารถเข้าถึงข้อมูลหรือทรัพยากรที่ละเอียดอ่อนในพื้นที่ทํางานเฉพาะได้อย่างปลอดภัยโดยไม่ต้องมีการเปลี่ยนแปลงทั่วทั้งผู้เช่าหรือส่งผลกระทบต่อพื้นที่ทํางานอื่นๆ ในสภาพแวดล้อม Fabric ของคุณ

บทความนี้ให้ภาพรวมของลิงก์ส่วนตัวระดับพื้นที่ทํางานใน Microsoft Fabric สําหรับคําแนะนําในการตั้งค่าโดยละเอียด โปรดดู ตั้งค่าและใช้ลิงก์ส่วนตัวระดับพื้นที่ทํางาน

ภาพรวมลิงก์ส่วนตัวระดับพื้นที่ทํางาน

ลิงก์ส่วนตัวระดับพื้นที่ทํางานแมปพื้นที่ทํางานกับเครือข่ายเสมือนเฉพาะโดยใช้บริการ Azure Private Link เมื่อเปิดใช้งานลิงก์ส่วนตัว การเข้าถึงอินเทอร์เน็ตสาธารณะไปยังพื้นที่ทํางานสามารถจํากัดได้ เพื่อให้มั่นใจว่าเฉพาะทรัพยากรภายในเครือข่ายเสมือนที่ได้รับอนุมัติ (ผ่านปลายทางส่วนตัว) เท่านั้นที่สามารถเข้าถึงพื้นที่ทํางานได้ ไดอะแกรมต่อไปนี้แสดงการใช้งานต่างๆ ของลิงก์ส่วนตัวระดับพื้นที่ทํางาน

ในแผนภาพนี้:

• พื้นที่ทํางาน 1 จํากัดการเข้าถึงสาธารณะขาเข้า และสามารถเข้าถึงได้จากเครื่องใน VNet A และ VNet B ผ่านลิงก์ส่วนตัวระดับพื้นที่ทํางานเท่านั้น

• พื้นที่ทํางาน 2 จํากัดการเข้าถึงสาธารณะขาเข้า และสามารถเข้าถึงได้จากเครื่องใน VNet B ผ่านลิงก์ส่วนตัวระดับพื้นที่ทํางานเท่านั้น

• พื้นที่ทํางาน 3 สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ เนื่องจากไม่มีการกําหนดค่ากฎการสื่อสารขาเข้าที่จํากัด นอกจากนี้ยังสามารถเข้าถึงได้จาก VNet B ผ่านลิงก์ส่วนตัวระดับพื้นที่ทํางาน การกําหนดค่านี้อนุญาตให้เข้าถึงทั้งแบบสาธารณะและแบบส่วนตัว ซึ่งไม่แนะนําสําหรับสภาพแวดล้อมการใช้งานจริง การตั้งค่านี้ควรใช้เพื่อวัตถุประสงค์ในการทดสอบเท่านั้น เนื่องจากจะแสดงพื้นที่ทํางานไปยังอินเทอร์เน็ตสาธารณะและไม่ได้ให้การป้องกันเครือข่ายขาเข้าอย่างเต็มรูปแบบ

• พื้นที่ทํางาน 4 สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ เนื่องจากไม่มีการกําหนดค่ากฎการสื่อสารขาเข้าที่จํากัด

ไดอะแกรมแสดงประเด็นสําคัญต่อไปนี้เกี่ยวกับการเชื่อมโยงส่วนตัวระดับพื้นที่ทํางาน:

• เมื่อพื้นที่ทํางานถูกกําหนดค่าให้จํากัดการเข้าถึงสาธารณะขาเข้า จะไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ สามารถเข้าถึงได้ผ่านลิงก์ส่วนตัวระดับพื้นที่ทํางานเท่านั้น

• บริการลิงก์ส่วนตัวมีความสัมพันธ์แบบตัวต่อตัวกับพื้นที่ทํางาน ดังที่แสดงในไดอะแกรม พื้นที่ทํางานแต่ละแห่งมีบริการลิงก์ส่วนตัวของตัวเอง

• บริการลิงก์ส่วนตัวของพื้นที่ทํางานสามารถมีปลายทางส่วนตัวได้หลายจุด ตัวอย่างเช่น ทั้ง VNet A และ VNet B เชื่อมต่อกับพื้นที่ทํางาน 1 ผ่านจุดสิ้นสุดส่วนตัวแยกต่างหาก ขีดจํากัดของจํานวนตําแหน่งข้อมูลส่วนตัวสามารถพบได้ใน สถานการณ์ที่ได้รับการสนับสนุนและข้อจํากัดสําหรับลิงก์ส่วนตัวระดับพื้นที่ทํางาน

• เครือข่ายเสมือนสามารถเชื่อมต่อกับพื้นที่ทํางานหลายแห่งโดยการสร้างปลายทางส่วนตัวแยกต่างหากสําหรับแต่ละพื้นที่ ตัวอย่างเช่น VNet B เชื่อมต่อกับพื้นที่ทํางาน 1, 2 และ 3 โดยใช้ปลายทางส่วนตัวสามจุด

• คุณสามารถจํากัดการเข้าถึงพื้นที่ทํางานแบบสาธารณะโดยมีหรือไม่มีลิงก์ส่วนตัว หากการเข้าถึงแบบสาธารณะถูกจํากัดและไม่มีลิงก์ส่วนตัว พื้นที่ทํางานจะไม่สามารถเข้าถึงได้จากทุกเครือข่าย อย่างไรก็ตาม ผู้ดูแลระบบพื้นที่ทํางานสามารถใช้ API นโยบายการสื่อสารเพื่อปรับเปลี่ยนกฎการเข้าถึงขาเข้า

• ลิงก์ส่วนตัวระดับพื้นที่ทํางานจะใช้เพื่อสร้างการเชื่อมต่อลิงก์ส่วนตัวไปยังพื้นที่ทํางานเฉพาะ ไม่สามารถใช้เพื่อเชื่อมต่อกับพื้นที่ทํางานอื่นได้ ในการกําหนดค่าที่แสดงในไดอะแกรม ไม่อนุญาตให้เชื่อมต่อกับพื้นที่ทํางาน 2 จาก VNet A ในทางกลับกัน การเชื่อมต่อกับพื้นที่ทํางาน 3 และ 4 จาก VNet A เป็นไปได้หาก VNet A อนุญาตให้เข้าถึงสาธารณะขาออกในการตั้งค่าเครือข่ายไคลเอ็นต์

การเชื่อมต่อกับพื้นที่ทํางาน

เมื่อเชื่อมต่อกับพื้นที่ทํางาน คุณต้องใช้ชื่อโดเมนที่มีคุณสมบัติครบถ้วน (FQDN) ของพื้นที่ทํางาน FQDN ของพื้นที่ทํางานถูกสร้างขึ้นตามรหัสพื้นที่ทํางานและอักขระสองตัวแรกของรหัสอ็อบเจ็กต์พื้นที่ทํางาน ต่อไปนี้เป็นรูปแบบสําหรับ FQDN ของพื้นที่ทํางาน workspaceid คือรหัสอ็อบเจ็กต์พื้นที่ทํางานที่ไม่มีขีดกลาง และ xy แสดงถึงอักขระสองตัวแรกของรหัสออบเจ็กต์พื้นที่ทํางาน ค้นหารหัสอ็อบเจ็กต์พื้นที่ทํางานใน URL หลังกลุ่มเมื่อเปิดหน้าพื้นที่ทํางานจากพอร์ทัล Fabric คุณยังสามารถรับ FQDN ของพื้นที่ทํางานได้โดยการเรียกใช้รายการ API พื้นที่ทํางาน หรือ รับ API พื้นที่ทํางาน

• https://{workspaceid}.z{xy}.w.api.fabric.microsoft.com
• https://{workspaceid}.z{xy}.c.fabric.microsoft.com
• https://{workspaceid}.z{xy}.onelake.fabric.microsoft.com
• https://{workspaceid}.z{xy}.dfs.fabric.microsoft.com
• https://{workspaceid}.z{xy}.blob.fabric.microsoft.com สําหรับสตริงการเชื่อมต่อคลังข้อมูล ให้ใช้ https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com นั่นคือ เพิ่ม z{xy} ไปยังสตริงการเชื่อมต่อคลังสินค้าปกติที่พบภายใต้สตริงการเชื่อมต่อ SQL GUID ใน FQDN สอดคล้องกับ GUID ของผู้เช่าใน Base32 และ GUID พื้นที่ทํางานใน Base32 ตามลําดับ FQDN นี้ไม่พร้อมใช้งานเป็นส่วนหนึ่งของการกําหนดค่า DNS สําหรับปลายทางส่วนตัว

วิธีแก้ไข FQDN ของพื้นที่ทํางานในสภาพแวดล้อมที่แตกต่างกัน

FQDN ของพื้นที่ทํางานแก้ไขเป็นที่อยู่ IP ที่แตกต่างกันตามสภาพแวดล้อมและการกําหนดค่า Private Link ดังที่สรุปไว้ในตารางต่อไปนี้

FQDN ของพื้นที่ทํางานต้องถูกสร้างขึ้นอย่างถูกต้องโดยใช้รหัสออบเจ็กต์พื้นที่ทํางานโดยไม่มีขีดกลางและคํานําหน้า xy ที่ถูกต้อง (อักขระสองตัวแรกของรหัสออบเจ็กต์พื้นที่ทํางาน) ถ้า FQDN ไม่ได้จัดรูปแบบอย่างถูกต้อง FQDN จะไม่แก้ไขเป็นที่อยู่ IP ส่วนตัวที่ต้องการ และการเชื่อมต่อลิงก์ส่วนตัวระดับพื้นที่ทํางานล้มเหลว

เนื้อหาที่เกี่ยวข้อง

• สถานการณ์และข้อจํากัดที่รองรับสําหรับลิงก์ส่วนตัวระดับพื้นที่ทํางาน
• เกี่ยวกับลิงก์ส่วนตัว