为工作区启用出站访问保护后,默认情况下会阻止所有出站连接。 然后,可以通过配置 托管专用终结点来允许访问外部数据源或其他工作区:
- 若要连接到外部数据源,请使用托管专用终结点。
- 若要连接到其他工作区,请将托管专用终结点与专用链接服务一起使用。
本文介绍如何为这两种方案创建托管专用终结点。
注释
在创建托管专用终结点之前,请确保已完成为工作区 启用出站访问保护 的步骤。
允许对外部源进行外部访问权限
若要启用对支持托管专用终结点的外部数据源的出站访问,请在工作区中创建启用了出站访问保护的托管专用终结点。 下图演示了已启用出站访问保护的工作区 1,它通过托管专用终结点安全地连接到外部数据源。
若要启用此方案,请执行以下步骤:
确保 为工作区启用出站访问保护 。
以工作区管理员身份登录到 Fabric,然后转到工作区设置>网络安全>托管专用终结点>,最后创建托管专用终结点。 有关详细步骤,请参阅 “创建托管专用终结点”。
在外部数据源上创建并批准托管的私有终结点后,受保护的出站访问工作区中的资源可以连接到数据源。
允许出站访问租户中的另一个工作区
若要连接到租户中的另一个工作区,请使用托管专用终结点和专用链接服务来启用安全的出站连接。 如本部分所述,通过部署 ARM 模板为目标工作区(图中的工作区 2)创建专用链接服务,然后在出站访问保护工作区(工作区 1)中创建托管专用终结点以连接到目标工作区。
为目标工作区创建专用链接服务
登录到 Azure 门户。
在Azure 门户搜索栏中,搜索“部署自定义模板”,然后从可用选项中选择它。
在 “自定义部署 ”页上,选择 “在编辑器中生成自己的模板”。
在编辑器中,使用以下 ARM 模板创建 Fabric 资源,其中:
-
<resource-name>是为 Fabric 资源选择的名称。 -
<tenant-object-id>是Microsoft Entra 租户 ID。 请参阅 如何查找Microsoft Entra 租户 ID。 -
<workspace-id>是目标工作区的工作区 ID。 在group之后的工作区 URL 中找到它。
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type": "Microsoft.Fabric/privateLinkServicesForFabric", "apiVersion": "2024-06-01", "name": "<resource-name>", "location": "global", "properties": { "tenantId": "<tenant-id>", "workspaceId": "<workspace-id>" } } ] }注释
部署后,可以在输出 JSON 文件中找到专用链接服务详细信息。 复制专用链接服务的资源 ID,以便在下一步中使用。 还可以在资源组中找到专用链接服务资源,但需要选择“ 显示隐藏的资源”。
-
在受保护的工作区中创建托管专用终结点
在出站访问受保护的工作区(工作区 1)中创建托管专用终结点,以允许访问目标工作区(工作区 2)。
在 Fabric 门户中,打开 已启用出站访问保护的工作区。
选择 工作区设置>出站网络。
在 “网络安全 ”页上的 “托管专用终结点”下,选择“ 创建”。
输入托管专用终结点的名称。
在 “资源标识符”下,粘贴在上一部分中创建的专用链接服务的资源 ID。 还可以通过在资源管理器中打开专用链接服务并选择 JSON 视图 来打开资源 JSON,在 Azure 门户中查找资源 ID。
在 “目标”子资源下,选择 “工作区”。 然后选择“创建”。
重要
激活状态显示 “预配” ,审批状态为空,这意味着托管专用终结点请求正在等待审批。 租户管理员必须按照下一部分所述批准请求。
批准托管专用终结点连接
租户管理管理员必须完成以下步骤,批准待审批的托管专属终端请求。
登录到 Azure 门户。
搜索并选择 “专用链接服务”。
选择待处理的连接。
选择模板中指定的名称的连接,然后选择“ 批准”。
大约 15 分钟后,检查托管专用终结点的状态:在 Fabric 门户中,打开出站访问受保护的工作区并转到 工作区设置>出站网络。 在“网络安全”页上,验证激活状态是否 成功 ,审批状态为 “已批准”。
跨工作区的托管专用终结点已经在出站访问受限的工作区和目标工作区之间设置完成。 工作区管理员和参与者现在可以从出站访问受保护的工作区连接到目标工作区中的项目。