Compartir a través de

Escenarios y limitaciones admitidos para vínculos privados de nivel de área de trabajo

Los vínculos privados de nivel de área de trabajo de Microsoft Fabric proporcionan una manera segura de conectarse a recursos específicos del área de trabajo a través de una red privada. En este artículo se explican qué escenarios y tipos de elementos se admiten, se resaltan las limitaciones actuales y se ofrecen instrucciones sobre los procedimientos recomendados y la solución de problemas para usar vínculos privados de nivel de área de trabajo.

Puede usar vínculos privados de nivel de área de trabajo para conectarse a los siguientes tipos de elementos en Fabric:

  • Lakehouse, punto de conexión de SQL, acceso directo
  • Conexión directa a través de un punto de conexión de OneLake
  • Cuaderno, definición de trabajo de Spark, Entorno
  • Experimento de aprendizaje automático, modelo de aprendizaje automático
  • Pipeline
  • Copiar trabajo
  • Data Factory montado
  • Almacén
  • Flujos de datos Gen2 (CI/CD)
  • Biblioteca de variables
  • Base de datos reflejada
  • Eventstream
  • Centro de eventos

Notas sobre los tipos de elementos no admitidos

Los siguientes tipos de elementos no se admiten actualmente en áreas de trabajo habilitadas con vínculos privados de nivel de área de trabajo:

  • Tuberías de despliegue
  • Modelos semánticos predeterminados
  • Lakehouses con estructuras
  • Conectores de Spark para SQL Data Warehouse

Si un área de trabajo contiene tipos de elementos no admitidos, el acceso público entrante no se puede restringir para el área de trabajo, incluso si está configurado el vínculo privado de nivel de área de trabajo.

De forma similar, si un área de trabajo ya está configurada para restringir el acceso público entrante, no se pueden crear tipos de elementos no admitidos en esa área de trabajo.

Al trabajar con tipos de elementos no admitidos, tenga en cuenta las consideraciones siguientes.

  • Canalizaciones de implementación: Cuando se asigna un área de trabajo a una canalización de implementación, no se puede configurar para bloquear el acceso público, ya que las canalizaciones de implementación no admiten actualmente vínculos privados de nivel de área de trabajo.

  • Modelos semánticos predeterminados: Los almacenes, almacenes y bases de datos reflejadas existentes usan un modelo semántico predeterminado que no admite vínculos privados de nivel de área de trabajo, lo que impide que se bloquee el acceso público al área de trabajo. Puede omitir esta limitación predeterminada del modelo semántico configurando el área de trabajo para bloquear primero el acceso público y, a continuación, creando un lakehouse, un almacén de datos o una base de datos reflejada.

Opciones de administración para los tipos de elementos admitidos

En esta sección se describe cómo puede administrar los tipos de elementos admitidos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Compatibilidad con Fabric Core

Api con puntos de conexión que contienen v1/workspaces/{workspaceId} vínculos privados de nivel de área de trabajo compatibles porque funcionan dentro del contexto de un área de trabajo específica. Por el contrario, las API de administración usan admin/workspaces/{workspaceId} en sus puntos de conexión y no están cubiertas por vínculos privados de nivel de área de trabajo. Las API de administración siguen siendo accesibles incluso para áreas de trabajo restringidas, ya que la configuración de nivel de inquilino para bloquear el acceso público las rige.

Nota:

  • API de política de comunicación de red: La configuración de red a nivel de espacio de trabajo no restringe la API de política de comunicación de red de los espacios de trabajo. Esta API sigue siendo accesible desde redes públicas, incluso si se bloquea el acceso público al área de trabajo. Se siguen aplicando restricciones de red de nivel de inquilino. Véase también la tabla 1. Acceso a la API de política de comunicación del área de trabajo en función de las configuraciones del inquilino y del vínculo privado.
  • Canalizaciones de implementación: Si alguna área de trabajo de una canalización de implementación está establecida para denegar el acceso público (restringido), las canalizaciones de implementación no se pueden conectar a esa área de trabajo. La configuración de la restricción de entrada está bloqueada para cualquier área de trabajo asignada a una canalización.
  • Uso compartido de elementos: No se admite el uso compartido de elementos. Si los elementos ya se comparten con los usuarios, esos usuarios ya no pueden acceder a los elementos mediante los vínculos compartidos.

Soporte técnico de Lakehouse

Cree y administre Lakehouses en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Compatibilidad con el almacenamiento

Cree y administre almacenes en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Para usar la cadena de conexión de almacenamiento con un vínculo privado de nivel de área de trabajo, agregue z{xy} a la cadena de conexión de almacenamiento normal. Por ejemplo:

https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

Con la cadena de conexión de almacenamiento, también puede acceder a un almacén a través del punto de conexión de flujo de datos tabular (TDS) de SQL en herramientas como SQL Server Management Studio.

Compatibilidad con puntos de conexión de SQL

Busque la cadena de conexión del servicio de enlace privado para un extremo de SQL del área de trabajo mediante el portal de Fabric o la API REST.

Compatibilidad con cuadernos

Administre cuadernos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST.

Compatibilidad con puntos de conexión de Livy

Use el portal de Fabric o las API en áreas de trabajo habilitadas con vínculos privados para crear y ejecutar instrucciones o ejecutar trabajos por lotes mediante puntos de conexión de Livy.

Un trabajo de sesión de Livy establece una sesión de Spark que permanece activa durante la interacción con la API de Livy. Las sesiones de Livy son ideales para cargas de trabajo interactivas. La sesión se inicia al enviar un trabajo y permanece disponible hasta que finaliza explícitamente o el sistema lo finaliza después de 20 minutos de inactividad. Varios trabajos se pueden ejecutar dentro de la misma sesión, compartir el estado y los datos almacenados en caché.

Un trabajo por lotes de Livy implica enviar una aplicación spark para una sola ejecución. A diferencia de un trabajo de sesión de Livy, un trabajo por lotes no mantiene una sesión de Spark persistente. Cada trabajo por lotes de Livy inicia una nueva sesión de Spark que finaliza cuando se completa el trabajo. Este método es adecuado para las tareas que no dependen de los datos almacenados en caché o requieren que se mantenga el estado entre trabajos.

Compatibilidad con la definición de trabajos de Spark

Use el portal de Fabric o las API de las áreas de trabajo habilitadas con vínculos privados para crear, leer, actualizar y eliminar elementos de definición de trabajo de Spark.

Compatibilidad con entornos

Administre los entornos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST del entorno para crear, leer, actualizar y eliminar elementos del entorno.

Nota:

Para Spark, los vínculos privados de nivel de área de trabajo que usan nombres descriptivos no funcionan.

Compatibilidad con experimentos de Aprendizaje automático

Administre experimentos de aprendizaje automático en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Compatibilidad con modelos de Machine Learning

Administre modelos de aprendizaje automático en áreas de trabajo habilitadas con vínculos privados mediante la API REST de Items (MLModel).

Compatibilidad con el pipeline, la tarea de copia y la Fábrica de Datos acoplada.

Administre canalizaciones, copie trabajos y factorías de datos montadas en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las siguientes API REST.

No se admiten los siguientes escenarios:

  • No se admite la copia en el almacenamiento.
  • No se admite la copia en Eventhouse.
  • El almacenamiento provisional de OneLake no se admite actualmente.

Compatibilidad con EventStream

Administre secuencias de eventos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o las API REST para crear elementos de eventstream y ver su topología.

Las API de Eventstream usan una estructura similar a un grafo para definir un elemento eventstream, que consta de cuatro componentes: origen, destino, operador y secuencia.

Actualmente, Eventstream solo admite Workspace Private Link para un conjunto limitado de orígenes y destinos. Si incluye un componente no compatible en la carga de eventstream API, la solicitud puede producir un error.

No se admiten los siguientes escenarios:

  • No se admite el punto de conexión personalizado como origen.
  • No se admite el punto de conexión personalizado como destino.
  • No se admite Eventhouse como destino (con modo de ingesta directa).
  • No se admite el activador como destino.

Compatibilidad con Eventhouse

Administre centros de eventos en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

No se admiten los siguientes escenarios:

  • Consumo de eventos de Eventstreams
  • Puntos de conexión de TDS de SQL Server

Compatibilidad con Flujos de datos Gen2 (CI/CD)

Administre Flujos de datos Gen2 en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Se debe usar una puerta de enlace de datos de red virtual para cada conector de flujo de datos. La puerta de enlace de datos de red virtual debe residir en la misma red virtual que el punto de conexión de vínculo privado de nivel de área de trabajo que usa el área de trabajo.

Conector de flujo de datos de Power Platform: cuando un área de trabajo tiene habilitados los vínculos privados del área de trabajo y el acceso público denegado, para los dos flujos de datos de esa área de trabajo (flujo de datos A y flujo de datos B), ninguno de los flujos de datos podrá conectarse al otro flujo de datos mediante el conector de flujo de datos de Power Platform, ya que el flujo de datos no aparecerá en el navegador.

Compatibilidad con la biblioteca de variables

Administre bibliotecas de variables en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Compatibilidad con bases de datos en espejo

Puede administrar bases de datos reflejadas en áreas de trabajo habilitadas con vínculos privados mediante el portal de Fabric o la API REST.

Nota:

  • Actualmente, el vínculo privado a nivel de área de trabajo se admite para reflejo abierto, reflejo de Azure Cosmos DB y reflejo de SQL Server 2025 (utilizando SQL Server 2025 CTP 2.0 o una versión posterior). Para otros tipos de reflejo de base de datos, si el área de trabajo está configurada para denegar el acceso público entrante, las bases de datos reflejadas activas pasan a un estado de pausa, y no se puede iniciar el reflejo.
  • Para el reflejo abierto, cuando el área de trabajo está configurada para denegar el acceso público entrante, asegúrese de que el editor escriba datos en la zona de aterrizaje de OneLake a través de un enlace privado con el FQDN del área de trabajo.

Herramientas de administración admitidas y no admitidas

  • Puede usar el portal de Fabric o la API REST para administrar todos los tipos de elementos admitidos en áreas de trabajo con vínculos privados del área de trabajo habilitada. Cuando un área de trabajo permite el acceso público, el portal de Fabric continúa funcionando mediante la conectividad pública. Si un área de trabajo está configurada para denegar el acceso público entrante, puede acceder a ella en el portal de Fabric solo cuando la solicitud se origina desde el punto de conexión privado asociado del área de trabajo. Si se intenta acceder desde la conectividad pública o desde un punto de conexión privado diferente, el portal de Fabric muestra un mensaje "Acceso restringido".
  • Es posible que los vínculos profundos directos a una página de nivel 2 (L2) del hub de supervisión no funcionen según lo previsto al usar enlaces privados a nivel de espacio de trabajo. Para acceder a la página L2, primero navegue a la página de Nivel 1 (L1) del hub de monitoreo en el portal de Fabric.
  • SQL Server Management Studio (SSMS) es compatible para conectar a almacenes de datos mediante un vínculo privado a nivel de área de trabajo.
  • El Explorador de Storage se puede usar con vínculos privados de nivel de área de trabajo.
  • El Explorador de Azure Storage, PowerShell, AzCopy y otras herramientas de Azure Storage pueden conectarse a OneLake mediante un vínculo privado.
  • Para usar el Explorador de archivos de OneLake, debe tener acceso al inquilino, ya sea a través del acceso público o de un vínculo privado de inquilino.

Consideraciones y limitaciones

  • La característica private link de nivel de área de trabajo solo se admite en una capacidad de Fabric (SKU F). No se admiten otras capacidades, como la premium (SKU P) y las capacidades de prueba.

  • No se puede eliminar un área de trabajo si se configura un servicio de vínculo privado existente.

  • Solo se puede crear un servicio de vínculo privado por área de trabajo y cada área de trabajo solo puede tener un servicio de vínculo privado. Sin embargo, se pueden crear varios puntos de conexión privados para un único servicio de vínculo privado.

  • El límite de puntos de conexión privados para un área de trabajo es 100. Cree una incidencia de soporte técnico si necesita aumentar este límite.

  • Límite de PLS del área de trabajo que puede crear por inquilino: 500. Cree una incidencia de soporte técnico si necesita aumentar este límite.

  • Se pueden crear hasta 10 servicios de vínculo privado del área de trabajo por minuto.

  • La interfaz de usuario del portal de Fabric no admite actualmente la habilitación de la protección entrante (vínculos privados de nivel de área de trabajo) y la protección de acceso saliente al mismo tiempo para un área de trabajo. Para configurar ambas opciones, use Workspaces - Set Network Communication Policy API, lo que permite la administración completa de las directivas de protección entrante y saliente.

  • Para cargas de trabajo de ingeniería de datos:

    • Para consultar archivos o tablas de Lakehouse desde un área de trabajo que tenga habilitado el vínculo privado de nivel de área de trabajo, debe crear una conexión de punto de conexión privado administrado entre áreas de trabajo para acceder a los recursos de la otra área de trabajo.
    • Puede usar rutas de acceso relativas o completas para consultar archivos o tablas dentro de la misma área de trabajo o usar una conexión de punto de conexión privado administrado entre áreas de trabajo para acceder a ellos desde otra área de trabajo. Para leer archivos en un Lakehouse ubicado en otra área de trabajo, use una ruta de acceso total que incluya el identificador del área de trabajo y el identificador del Lakehouse (no sus nombres para mostrar). Este enfoque garantiza que la sesión de Spark pueda resolver la ruta de acceso correctamente y evitar errores de tiempo de espera de socket. Más información.

  • Puede encontrarse con problemas de Spark en las siguientes regiones cuando la protección de acceso saliente está habilitada para el área de trabajo: Centro de México, Centro de Israel y Centro de España.

  • Limitaciones actuales de Private Link con un centro de eventos:

    • Características de Copilot: las cargas de trabajo de aprendizaje automático pueden experimentar funcionalidad limitada debido a una regresión conocida.
    • Extracción de secuencias de eventos: las cargas de trabajo de Eventstream no admiten actualmente la funcionalidad de sondeo completa.
    • Fabric no admite actualmente la integración del centro de eventos.
    • La ingesta en cola a través de OneLake no está disponible actualmente.
  • La pestaña OneLake Catalog - Govern no está disponible cuando se activa Private Link.
  • La supervisión del espacio de trabajo no se admite actualmente cuando un vínculo privado a nivel de espacio de trabajo está habilitado para un espacio de trabajo.

Errores comunes y solución de problemas

Solicitud denegada por directiva de entrada

Al intentar acceder a un área de trabajo configurada para restringir el acceso público, los usuarios detectan el siguiente error:

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

  • Causa: este error se produce cuando la solicitud se realiza desde una ubicación de red que la directiva de comunicación del área de trabajo no permite.

  • Mitigación:

    1. Compruebe si está en la ubicación de red permitida.
    2. Al usar un vínculo privado de nivel de área de trabajo para acceder al área de trabajo, asegúrese de que usa el FQDN del área de trabajo.

Elementos no admitidos en un área de trabajo

Al intentar establecer un área de trabajo para restringir el acceso público, los usuarios detectan el siguiente error:

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

  • Causa: este error se produce porque el área de trabajo contiene uno o varios elementos que no son compatibles con vínculos privados de nivel de área de trabajo. Como resultado, no puede configurar el área de trabajo para restringir el acceso público.

  • Mitigación: elimine los elementos no admitidos de esta área de trabajo o use en su lugar otro área de trabajo.

Contenido relacionado

  • Last updated on