Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частные каналы обеспечивают безопасное, частное подключение между виртуальной сетью и Microsoft Fabric, блокируя общедоступный интернет-доступ к данным и уменьшая риск несанкционированного доступа или нарушений данных. Частный канал Azure и частные конечные точки сети Azure используются для отправки трафика данных в частном порядке с помощью магистральной сетевой инфраструктуры Майкрософт, а не через Интернет.
Fabric поддерживает частные ссылки на уровне клиента и рабочей области. Частные каналы на уровне клиента применяют ограничения сети для всего клиента, обеспечивая защиту всех рабочих областей и ресурсов. Частные ссылки на уровне рабочей области позволяют защитить доступ к конфиденциальным данным или ресурсам в определенных рабочих областях, не требуя изменений на уровне клиента или влияя на другие рабочие области в среде Fabric.
В этой статье представлен обзор частных ссылок на уровне рабочей области в Microsoft Fabric. Подробные инструкции по настройке см. в разделе "Настройка и использование частных ссылок на уровне рабочей области".
Обзор приватного канала на уровне рабочей области
Приватный канал уровня рабочей области сопоставляет рабочую область с определенной виртуальной сетью с помощью службы Приватного канала Azure. Если включен приватный канал, доступ к рабочей области может быть ограничен общедоступным интернетом, гарантируя, что доступ к рабочей области может получить доступ только к ресурсам в утвержденной виртуальной сети (через управляемую частную конечную точку). На следующей схеме показаны различные реализации частных ссылок на уровне рабочей области.
На этой схеме:
Рабочая область 1 ограничивает входящий общедоступный доступ и может получать доступ только с компьютеров в виртуальной сети A и виртуальной сети B с помощью частных ссылок на уровне рабочей области.
Рабочая область 2 ограничивает входящий общедоступный доступ и может быть доступ только с компьютеров в виртуальной сети B через приватный канал уровня рабочей области.
Доступ к рабочей области 3 можно получить из общедоступного Интернета, так как он не настроен входящего трафика. Доступ к нему также можно получить из виртуальной сети A с помощью приватного канала на уровне рабочей области. Эта конфигурация позволяет использовать общедоступный и частный доступ, который не рекомендуется для рабочих сред. Эта настройка должна использоваться только для тестирования, так как она предоставляет рабочую область общедоступному Интернету и не обеспечивает полную защиту входящего трафика.
Доступ к рабочей области 4 можно получить из общедоступного Интернета, так как оно не настроено ограниченное правило общения для входящего трафика.
На схеме показаны следующие ключевые моменты о частных каналах на уровне рабочей области:
Если рабочая область настроена для ограничения входящего общедоступного доступа, она недоступна из общедоступного Интернета. Доступ к нему можно получить только через приватную ссылку на уровне рабочей области.
Служба приватного канала имеет связь "один к одному" с рабочей областью. Как показано на схеме, каждая рабочая область имеет собственную службу приватного канала.
Служба приватного канала рабочей области может иметь несколько частных конечных точек. Например, виртуальная сеть A и виртуальная сеть B подключаются к рабочей области 1 с помощью отдельных частных конечных точек. Ограничение количества частных конечных точек можно найти в поддерживаемых сценариях и ограничениях для частных ссылок на уровне рабочей области.
Виртуальная сеть может подключаться к нескольким рабочим областям, создавая отдельные частные конечные точки для каждой из них. Например, виртуальная сеть B подключается к рабочим областям 1, 2 и 3 с помощью трех частных конечных точек.
Вы можете ограничить общедоступный доступ к рабочей области с приватным каналом или без нее. Если общедоступный доступ ограничен и не существует приватного канала, рабочая область недоступна из всех сетей. Однако администратор рабочей области может использовать API политики коммуникации для изменения правила входящего доступа.
Приватный канал уровня рабочей области используется для установления подключения приватного канала к определенной рабочей области. Его нельзя использовать для подключения к другой рабочей области. В конфигурации, показанной на схеме, подключение к рабочей области 2 из виртуальной сети A запрещено. С другой стороны, подключения к рабочим областям 3 и 4 из виртуальной сети А возможны, если виртуальная сеть A разрешает исходящий общедоступный доступ в параметрах клиентской сети.
Подключение к рабочим областям
При подключении к рабочей области необходимо использовать полное доменное имя рабочей области (FQDN). Полное доменное имя рабочей области создается на основе идентификатора рабочей области и первых двух символов идентификатора объекта рабочей области. Ниже приведены форматы полного доменного имени рабочей области. Идентификатор рабочей области — это идентификатор объекта рабочей области без дефисов, а xy представляет первые два символа идентификатора объекта рабочей области. Найдите идентификатор объекта рабочей области в URL-адресе после группы при открытии страницы рабочей области на портале Fabric. Полное доменное имя рабочей области также можно получить, выполнив API рабочей области списка или API получения рабочей области.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.comhttps://{workspaceid}.z{xy}.blob.fabric.microsoft.com-
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com*то есть добавьте z{xy} в строку подключения к обычному хранилищу.
Разрешение полного доменного имени рабочей области в разных средах
Полное доменное имя рабочей области разрешается для разных IP-адресов в зависимости от среды и конфигурации приватного канала, как описано в следующей таблице.
| Окружающая среда | Разрешение полного доменного имени рабочей области |
|---|---|
| Приватный канал не настроен | Разрешает общедоступный IP-адрес. |
| Настройка приватного канала на уровне клиента | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне клиента. |
| Приватный канал уровня рабочей области настраивается для соответствующей рабочей области | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне рабочей области. Заметка: В этой среде полное доменное имя рабочей области может подключаться только к определенной рабочей области. Его нельзя использовать для доступа к нерабочим ресурсам (например, емкостям, другим рабочим областям или рабочим областям группы). |
| Приватный канал уровня рабочей области настраивается для соответствующей рабочей области и приватного канала уровня клиента также настраивается в той же виртуальной сети. | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне рабочей области. |
| Приватный канал уровня рабочей области настраивается для другой рабочей области | Разрешает общедоступный IP-адрес, если включен резервный доступ к Интернету. Дополнительные сведения о резервном доступе к Интернету для частных зон DNS Azure — Azure DNS | Дополнительные сведения см. в Microsoft Learn . Он не разрешает правильно, не включив резервный доступ к Интернету. |
Полное доменное имя рабочей области должно быть создано правильно с помощью идентификатора объекта рабочей области без дефисов и правильного префикса xy (первые два символа идентификатора объекта рабочей области). Если полное доменное имя не отформатировано правильно, оно не разрешается до предполагаемого частного IP-адреса, а подключение частного канала на уровне рабочей области завершается ошибкой.