Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частные каналы обеспечивают безопасное, частное подключение между виртуальной сетью и Microsoft Fabric. Они блокируют общедоступный интернет-доступ к данным и снижают риск несанкционированного доступа или нарушений данных. Используйте Приватный канал Azure и Azure сетевые частные конечные точки для передачи трафика данных через магистральную сетевую инфраструктуру Microsoft, а не через Интернет.
Fabric поддерживает частные ссылки на уровне клиента и рабочей области. Частные каналы на уровне клиента применяют ограничения сети для всего клиента, обеспечивая защиту всех рабочих областей и ресурсов. Частные ссылки на уровне рабочей области обеспечивают безопасный доступ к конфиденциальным данным или ресурсам в определенных рабочих областях, не требуя изменений на уровне клиента или влияя на другие рабочие области в среде Fabric.
В этой статье представлен обзор частных ссылок на уровне рабочей области в Microsoft Fabric. Подробные инструкции по настройке см. в разделе "Настройка и использование частных ссылок на уровне рабочей области".
Обзор закрытого канала на уровне рабочей области
Приватный канал уровня рабочей области сопоставляет рабочую область с определенной виртуальной сетью с помощью службы Приватный канал Azure. При включении частного канала можно ограничить доступ к рабочей области из общедоступного Интернета, так что доступ к рабочей области смогут получать только ресурсы в пределах утвержденной виртуальной сети (через частную конечную точку). На следующей схеме показаны различные реализации частных ссылок на уровне рабочей области.
На этой схеме:
Рабочая область 1 ограничивает входящий общедоступный доступ. Компьютеры в виртуальной сети A и виртуальной сети B могут получить доступ к ней через частные каналы на уровне рабочей области.
Рабочая область 2 ограничивает входящий общедоступный доступ. Компьютеры в виртуальной сети B могут получить доступ к нему через приватную ссылку на уровне рабочей области.
Рабочая область 3 доступна из общедоступного интернета, так как для неё не настроено ограничивающее правило для входящего трафика. Компьютеры в виртуальной сети B также могут получить доступ к нему через приватную ссылку на уровне рабочей области. Эта конфигурация позволяет использовать общедоступный и частный доступ, который не рекомендуется для рабочих сред. Используйте эту настройку только для тестирования, так как она предоставляет рабочую область общедоступному Интернету и не обеспечивает полную защиту входящего трафика.
Рабочее пространство 4 доступно из общедоступной сети Интернет, поскольку для него не настроено ограничивающее правило для входящих подключений.
На схеме показаны следующие ключевые моменты о частных каналах на уровне рабочей области:
Когда вы настраиваете рабочую область для ограничения входящего общедоступного доступа, она недоступна из общедоступного Интернета. Доступ к нему можно получить только через приватную ссылку на уровне рабочей области.
Служба Private Link находится в отношении "один к одному" с рабочей областью. Как показано на схеме, у каждой рабочей области есть собственная служба Private Link.
Служба Private Link для рабочей области может иметь несколько частных конечных точек. Например, виртуальная сеть A и виртуальная сеть B подключаются к рабочей области 1 через отдельные частные конечные точки. Можно найти ограничение количества частных конечных точек в поддерживаемых сценариях и ограничениях для частных ссылок на уровне рабочей области.
Виртуальная сеть может подключаться к нескольким рабочим областям, создавая отдельные частные конечные точки для каждой из них. Например, виртуальная сеть B подключается к рабочим областям 1, 2 и 3 с помощью трех частных конечных точек.
Вы можете ограничить публичный доступ к рабочей области как при наличии закрытого канала, так и без него. Если вы ограничиваете общедоступный доступ и не создаете приватный канал, рабочая область недоступна во всех сетях. Однако администратор рабочей области может использовать API политики коммуникации для изменения правила входящего доступа.
Приватный канал уровня рабочей области используется для установления подключения приватного канала к определенной рабочей области. Его нельзя использовать для подключения к другой рабочей области. В конфигурации, показанной на схеме, подключение к рабочей области 2 из виртуальной сети A запрещено. С другой стороны, подключения к рабочим областям 3 и 4 из виртуальной сети А возможны, если виртуальная сеть A разрешает исходящий общедоступный доступ в параметрах клиентской сети.
Подключение к рабочим пространствам
Чтобы подключиться к рабочей области с помощью приватного канала, используйте полное доменное имя рабочей области (FQDN).
Полное доменное имя рабочей области создается из идентификатора рабочей области.
https://{workspaceId}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceId}.z{xy}.c.fabric.microsoft.comhttps://{workspaceId}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceId}.z{xy}.dfs.fabric.microsoft.comhttps://{workspaceId}.z{xy}.blob.fabric.microsoft.com
Where:
-
{workspaceId}— это идентификатор рабочей области без дефисов -
zбуквально включается в строку подключения -
{xy}— это первые два символа идентификатора рабочей области
Example:
https://1234567890abcdef1234567890abcdef.z12.w.api.fabric.microsoft.com
В этом примере:
-
1234567890abcdef1234567890abcdef— это идентификатор рабочей области (без дефисов) -
12соответствует первым двум символам идентификатора рабочей области
Подключение к хранилищу данных
При подключении к хранилищу данных формат строки подключения немного отличается. Необходимо добавить z{xy} в обычную строку подключения к складу, указанную в разделе «SQL строка подключения». Полное доменное имя для подключения к хранилищу данных выглядит следующим образом:
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
Where:
- Эти GUID соответствуют GUID клиента и GUID рабочей области соответственно.
Это полное доменное имя недоступно в составе конфигураций DNS для частной конечной точки.
Поиск идентификатора рабочей области
Идентификатор рабочей области можно найти в любом из следующих способов:
- На портале Fabric откройте рабочую область и скопируйте значение после
group=в URL-адресе - Используйте API получения списка рабочих областей или получения рабочей области
Разрешение полного доменного имени рабочей области в разных средах
Полное доменное имя рабочей области разрешается для разных IP-адресов в зависимости от среды и конфигурации приватного канала, как описано в следующей таблице.
| Окружающая среда | Разрешение FQDN рабочего пространства |
|---|---|
| Частное подключение не настроено | Разрешает общедоступный IP-адрес. |
| Частный канал на уровне арендатора настроен | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне клиента. |
| Приватный канал уровня рабочей области настраивается для соответствующей рабочей области | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне рабочей области. Заметка: В этой среде полное доменное имя рабочей области может подключаться только к определенной рабочей области. Его нельзя использовать для доступа к нерабочим ресурсам (например, емкостям, другим рабочим областям или рабочим областям группы). |
| Приватный канал на уровне рабочей области настроен для соответствующей рабочей области, а приватный канал на уровне клиента также настроен в той же виртуальной сети. | Разрешает частный IP-адрес на основе конфигурации приватного канала на уровне рабочей области. |
| Приватный канал на уровне рабочей области настроен для другой рабочей области | Разрешает общедоступный IP-адрес, если включен резервный доступ к Интернету. Дополнительные сведения см. в статье Переключение на Интернет для частных зон DNS Azure — Azure DNS | Microsoft Learn. Без включения переключения на Интернет это не разрешается корректно. |
Полное доменное имя рабочей области должно быть создано правильно с помощью идентификатора объекта рабочей области без дефисов и правильного префикса xy (первые два символа идентификатора объекта рабочей области). Если полное доменное имя не отформатировано правильно, оно не разрешается до предполагаемого частного IP-адреса, а подключение частного канала на уровне рабочей области завершается ошибкой.