Microsoft Fabric 中的工作区出站访问保护使管理员能够保护从工作区中的项到外部资源的出站数据连接。 借助此功能,管理员可以阻止所有出站连接,然后仅允许通过安全连接批准的连接访问外部资源。 你可以对组织的数据安全性进行精细控制,因为你可以限制特定工作区的连接,同时允许其他人保持开放访问。
本文概述了工作区出站访问保护及其配置选项。
如何在工作区级别控制出站访问?
为工作区启用出站访问保护后,默认情况下会阻止来自工作区的所有出站连接。 然后,工作区管理员可以创建例外,以允许特定的出站连接。 这些例外是使用 托管专用终结点建立的。这些终结点是网络连接,可让你通过专用虚拟网络安全地将工作区项目链接到受支持的外部数据源。 还可以结合专用链接服务使用托管专用终结点连接到同一租户中的其他工作区。
使用托管专用终结点允许出站访问
管理员可以使用托管专用终结点创建可从工作区访问的已批准外部资源的允许列表。 默认情况下,启用出站访问保护时,将阻止所有出站连接。 然后,管理员可以配置托管专用终结点,以显式允许连接到工作区外部的资源。
在此图中:
工作区 A 和工作区 B 都启用了出站访问保护。 他们可以通过工作区中的托管专用终结点连接到目标,连接到支持专用终结点的所有资源。 例如,工作区 A 可以连接到 SQL Server,因为它已将托管专用终结点设置为 SQL Server。
启用了出站访问保护的工作区可以连接到同一租户中的另一个工作区。 在此方案中,在指向目标工作区的源工作区中配置托管专用终结点,并在目标工作区上启用专用链接服务。 在关系图中,工作区 B 使用此设置连接到工作区 C,允许工作区 B 中的项访问工作区 C 中的数据。
多个工作区可以通过设置托管专用终结点连接到同一源。 例如,工作区 A 和工作区 B 都可以连接到 SQL Server,因为为这个 SQL Server 的每个工作区设置了托管专用终结点。
支持的项类型
工作区出站访问保护适用于以下项类型。
- Lakehouses
- Notebooks
- Spark 作业定义
- Environments
- 仓库
注意事项和限制
本部分概述了使用工作区出站访问保护时的重要注意事项和限制。
区域
- 出站访问保护仅适用于支持 Fabric 数据工程工作负荷的区域。 有关详细信息,请参阅 Microsoft Fabric 的托管专用终结点概述。
许可与容量
出站访问保护仅支持在 Fabric SKU 上托管的工作区。 不支持其他容量类型和 F SKU 试用。
确保在 Azure 门户中的订阅上重新注册
Microsoft.Network该功能。
具有不支持工件的工作区
如果工作区包含不支持的项目,则工作区管理员在删除这些项目之前无法启用出站访问保护。
如果在工作区上启用了出站访问保护,工作区管理员无法添加不受支持的项目。 必须先禁用出站访问保护,然后工作区管理员可以添加不受支持的项目。
如果工作区是部署管道的一部分,则工作区管理员无法启用出站访问保护,因为不支持部署管道。 同样,如果启用了出站访问保护,则无法将工作区添加到部署管道。
一般限制
现有工作区中的语义模型位于湖仓中,无法支持工作区的出站访问保护。
已启用架构的 Lakehouse 不支持出站访问保护。
在启用了出站访问保护的工作区中,不支持使用
dbo架构从笔记本查询数据仓库文件路径,因为不支持访问基于架构的路径。 若要从笔记本查询仓库,请改用 T-SQL 选项。Fabric 门户 UI 目前不支持同时为工作区启用入站保护(工作区级专用链接)和出站访问保护。 若要同时配置这两个设置,请使用 工作区 - 设置网络通信策略 API,该 API 允许完全管理入站和出站保护策略。