Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Privátní propojení poskytují zabezpečené privátní připojení mezi vaší virtuální sítí a Microsoft Fabric, blokuje přístup k vašim datům z veřejného internetu a snižuje riziko neoprávněného přístupu nebo porušení zabezpečení dat. Privátní koncové body Služby Azure Private Link a sítě Azure se používají k privátnímu odesílání datového provozu pomocí páteřní síťové infrastruktury Microsoftu, a ne přes internet.
Prostředky infrastruktury podporují privátní propojení na úrovni tenanta i pracovního prostoru. Privátní propojení na úrovni tenanta používají omezení sítě napříč celým tenantem a zabezpečují všechny pracovní prostory a prostředky. Privátní propojení na úrovni pracovního prostoru umožňují zabezpečit přístup k citlivým datům nebo prostředkům v konkrétních pracovních prostorech bez nutnosti změn v rámci celého tenanta nebo ovlivnění jiných pracovních prostorů ve vašem prostředí Fabric.
Tento článek poskytuje přehled privátních propojení na úrovni pracovního prostoru v Microsoft Fabric. Podrobné pokyny k nastavení najdete v tématu Nastavení a použití privátních propojení na úrovni pracovního prostoru.
Přehled privátního propojení na úrovni pracovního prostoru
Privátní propojení na úrovni pracovního prostoru mapuje pracovní prostor na konkrétní virtuální síť pomocí služby Azure Private Link. Pokud je povolené privátní propojení, je možné omezit veřejný přístup k internetu k pracovnímu prostoru a zajistit tak přístup k pracovnímu prostoru jenom prostředky ve schválené virtuální síti (přes privátní koncový bod). Následující diagram znázorňuje různé implementace privátních propojení na úrovni pracovního prostoru.
V tomto diagramu:
Pracovní prostor 1 omezuje příchozí veřejný přístup a dá se k němu přistupovat jenom z počítačů ve virtuální síti A a virtuální síti B prostřednictvím privátních propojení na úrovni pracovního prostoru.
Pracovní prostor 2 omezuje příchozí veřejný přístup a dá se k němu přistupovat jenom z počítačů ve virtuální síti B prostřednictvím privátního propojení na úrovni pracovního prostoru.
Pracovní prostor 3 je přístupný z veřejného internetu, protože nemá nakonfigurované omezené příchozí komunikační pravidlo. K této síti je také možné přistupovat z virtuální sítě B prostřednictvím privátního propojení na úrovni pracovního prostoru. Tato konfigurace umožňuje veřejný i privátní přístup, který se nedoporučuje pro produkční prostředí. Toto nastavení by se mělo používat jenom pro účely testování, protože zpřístupňuje pracovní prostor veřejnému internetu a neposkytuje úplnou ochranu příchozí sítě.
Pracovní prostor 4 je přístupný z veřejného internetu, protože nemá nakonfigurované omezené příchozí komunikační pravidlo.
Diagram znázorňuje následující klíčové body týkající se privátních propojení na úrovni pracovního prostoru:
Pokud je pracovní prostor nakonfigurovaný tak, aby omezoval příchozí veřejný přístup, není přístupný z veřejného internetu. K této službě je možné přistupovat pouze prostřednictvím privátního propojení na úrovni pracovního prostoru.
Služba private link má vztah 1:1 s pracovním prostorem. Jak je znázorněno v diagramu, každý pracovní prostor má svou vlastní službu privátního propojení.
Služba privátního propojení pracovního prostoru může mít několik privátních koncových bodů. Například virtuální síť A i virtuální síť B se připojují k pracovnímu prostoru 1 prostřednictvím samostatných privátních koncových bodů. Limit počtu privátních koncových bodů najdete v podporovaných scénářích a omezeních privátních propojení na úrovni pracovního prostoru.
Virtuální síť se může připojit k více pracovním prostorům vytvořením samostatných privátních koncových bodů pro každou z nich. Například virtuální síť B se připojuje k pracovním prostorům 1, 2 a 3 pomocí tří privátních koncových bodů.
Veřejný přístup k pracovnímu prostoru s privátním propojením nebo bez ho můžete omezit. Pokud je veřejný přístup omezený a neexistuje žádné privátní propojení, je pracovní prostor nepřístupný ze všech sítí. Správce pracovního prostoru ale může k úpravě příchozího pravidla přístupu použít rozhraní API zásad komunikace.
Privátní propojení na úrovni pracovního prostoru slouží k navázání připojení privátního propojení ke konkrétnímu pracovnímu prostoru. Nedá se použít k připojení k jinému pracovnímu prostoru. V konfiguraci zobrazené v diagramu není povolené připojení k pracovnímu prostoru 2 z virtuální sítě A. Na druhé straně jsou připojení k pracovním prostorům 3 a 4 z virtuální sítě A možná, pokud virtuální síť A umožňuje odchozí veřejný přístup v nastavení klientské sítě.
Připojení k pracovním prostorům
Při připojování k pracovnímu prostoru musíte použít plně kvalifikovaný název domény (FQDN). Plně kvalifikovaný název domény pracovního prostoru se vytvoří na základě ID pracovního prostoru a prvních dvou znaků ID objektu pracovního prostoru. Níže jsou uvedené formáty plně kvalifikovaného názvu domény pracovního prostoru. Id objektu pracovního prostoru je ID objektu pracovního prostoru bez pomlček a xy představuje první dva znaky ID objektu pracovního prostoru. Při otevření stránky pracovního prostoru z portálu Fabric vyhledejte ID objektu pracovního prostoru v adrese URL po skupině. Plně kvalifikovaný název domény pracovního prostoru můžete získat také spuštěním rozhraní API pracovního prostoru Seznam nebo získat rozhraní API pracovního prostoru.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.c.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.com-
https://{workspaceid}.z{xy}.blob.fabric.microsoft.comU připojovacích řetězců datového skladu použijte připojovací řetězec ve formátu z{xy}, tedy přidejte z{xy} k běžnému připojovacímu řetězci skladu, který najdete v připojovacím řetězci SQL. Identifikátory GUID v plně kvalifikovaném názvu domény odpovídají identifikátoru GUID tenanta ve formátu Base32 a identifikátoru GUID pracovního prostoru ve formátu Base32. Tento plně kvalifikovaný název domény (FQDN) není k dispozici jako součást konfigurací DNS pro privátní koncový bod.
Jak se plně kvalifikovaný název domény pracovního prostoru překládá v různých prostředích
Plně kvalifikovaný název domény pracovního prostoru se překládá na různé IP adresy na základě prostředí a konfigurace služby Private Link, jak je shrnuto v následující tabulce.
| Životní prostředí | Překlad plně kvalifikovaného názvu domény pracovního prostoru |
|---|---|
| Není nastavená žádná funkce Private Link | Přeloží se na veřejnou IP adresu. |
| Nastavení služby Private Link na úrovni tenanta | Překládá se na privátní IP adresu na základě konfigurace služby Private Link na úrovni tenanta. |
| Privátní propojení na úrovni pracovního prostoru je nastavené pro odpovídající pracovní prostor. | Překládá se na privátní IP adresu na základě konfigurace privátního propojení na úrovni pracovního prostoru. Poznámka: V tomto prostředí se plně kvalifikovaný název domény pracovního prostoru může připojit pouze ke konkrétnímu pracovnímu prostoru. Nedá se použít pro přístup k nepracovním prostředkům (jako jsou kapacity, jiné pracovní prostory nebo pracovní prostory skupiny). |
| Privátní propojení na úrovni pracovního prostoru je nastavené pro odpovídající pracovní prostor a privátní propojení na úrovni tenanta je také nastavené ve stejné virtuální síti. | Překládá se na privátní IP adresu na základě konfigurace privátního propojení na úrovni pracovního prostoru. |
| Privátní propojení na úrovni pracovního prostoru je nastavené pro jiný pracovní prostor. | Přeloží se na veřejnou IP adresu, pokud je povolená záložní adresa k internetu. Viz záložní připojení k internetu pro zóny Azure Private DNS – Azure DNS | Podrobnosti najdete v Microsoft Learn . Správně se nevyřeší bez povolení náhradního přístupu k internetu. |
Plně kvalifikovaný název domény pracovního prostoru musí být vytvořen správně pomocí ID objektu pracovního prostoru bez pomlček a správné předpony xy (první dva znaky ID objektu pracovního prostoru). Pokud plně kvalifikovaný název domény není správně naformátovaný, nepřeloží se na zamýšlenou privátní IP adresu a připojení privátního propojení na úrovni pracovního prostoru selže.