Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Yksityiset linkit tarjoavat suojatun ja yksityisen yhteyden näennäisverkon ja Microsoft Fabricin välille, mikä estää julkisen Internet-yhteyden tietoihisi ja vähentää luvattoman käytön tai tietomurtojen riskiä. Azure Private Linkin ja Azure Networkingin yksityisiä päätepisteitä käytetään tietoliikenteen lähettämiseen yksityisesti Microsoftin runkoverkkoinfrastruktuurin avulla Internetin sijaan.
Fabric tukee yksityisiä linkkejä sekä vuokraaja- että työtilatasolla. Vuokraajatason yksityiset linkit soveltavat verkkorajoituksia koko vuokraajassa ja suojaavat kaikki työtilat ja resurssit. Työtilatason yksityisten linkkien avulla voit suojata luottamuksellisten tietojen tai resurssien käytön tietyissä työtiloissa ilman, että sinun tarvitsee tehdä vuokraajan laajuisia muutoksia tai vaikuttaa muihin Fabric-ympäristön työtiloihin.
Tässä artikkelissa on yleiskatsaus Microsoft Fabricin työtilatason yksityisistä linkeistä. Yksityiskohtaiset määritysohjeet ovat kohdassa Työtilatason yksityisten linkkien määrittäminen ja käyttäminen.
Työtilatason yksityisen linkin yleiskatsaus
Työtilatason yksityinen linkki yhdistää työtilan tiettyyn näennäisverkkoon Azure Private Link -palvelun avulla. Kun yksityinen linkki on käytössä, työtilan julkista Internet-yhteyttä voidaan rajoittaa, mikä varmistaa, että vain hyväksytyn näennäisverkon resurssit (yksityisen päätepisteen kautta) voivat käyttää työtilaa. Seuraavassa kaaviossa havainnollistetaan työtilatason yksityisten linkkien erilaisia toteutuksia.
Tässä kaaviossa:
Työtila 1 rajoittaa saapuvaa julkista käyttöä, ja sitä voi käyttää vain VNet A:n ja VNet B:n koneista työtilatason yksityisten linkkien kautta.
Työtila 2 rajoittaa saapuvaa julkista käyttöä, ja sitä voi käyttää vain VNet B:n koneista työtilatason yksityisen linkin kautta.
Työtilaa 3 voi käyttää julkisesta Internetistä, koska sille ei ole määritetty rajoitettua saapuvan viestinnän sääntöä. Sitä voi käyttää myös VNet B:stä työtilatason yksityisen linkin kautta. Tämä määritys sallii sekä julkisen että yksityisen käytön, mitä ei suositella tuotantoympäristöissä. Tätä määritystä tulisi käyttää vain testaustarkoituksiin, koska se paljastaa työtilan julkiselle Internetille eikä tarjoa täyttä saapuvan verkon suojausta.
Työtilaa 4 voi käyttää julkisesta Internetistä, koska sille ei ole määritetty rajoitettua saapuvan viestinnän sääntöä.
Kaavio havainnollistaa seuraavia työtilatason yksityisten linkkien keskeisiä kohtia:
Kun työtila on määritetty rajoittamaan saapuvaa julkista käyttöä, sitä ei voi käyttää julkisesta internetistä. Sitä voi käyttää vain työtilatason yksityisen linkin kautta.
Yksityisellä linkkipalvelulla on yksi-yhteen-suhde työtilaan. Kuten kaaviosta näkyy, jokaisella työtilalla on oma yksityinen linkkipalvelunsa.
Työtilan yksityisellä linkkipalvelulla voi olla useita yksityisiä päätepisteitä. Esimerkiksi sekä VNet A että VNet B muodostavat yhteyden työtilaan 1 erillisten yksityisten päätepisteiden kautta. Yksityisten päätepisteiden määrän rajoitus löytyy kohdasta Tuetut skenaariot ja työtilatason yksityisten linkkien rajoitukset
Näennäisverkko voi muodostaa yhteyden useisiin työtiloihin luomalla kullekin erilliset yksityiset päätepisteet. Esimerkiksi virtuaaliverkko B muodostaa yhteyden työtiloihin 1, 2 ja 3 käyttämällä kolmea yksityistä päätepistettä.
Voit rajoittaa työtilan julkista käyttöä yksityisellä linkillä tai ilman. Jos julkinen pääsy on rajoitettu eikä yksityistä linkkiä ole, työtilaan ei pääse kaikista verkoista. Työtilan järjestelmänvalvoja voi kuitenkin muokata saapuvan liikenteen sääntöä viestintäkäytännön ohjelmointirajapinnan avulla.
Työtilatason yksityistä linkkiä käytetään yksityisen linkin muodostamiseen tiettyyn työtilaan. Sitä ei voi käyttää yhteyden muodostamiseen toiseen työtilaan. Kaaviossa esitetyssä määrityksessä yhteyttä työtilaan 2 virtuaaliverkosta A ei sallita. Toisaalta yhteydet työtiloihin 3 ja 4 virtuaaliverkosta A ovat mahdollisia, jos virtuaaliverkko A sallii lähtevän julkisen käytön asiakasverkon asetuksissa.
Yhdistäminen työtiloihin
Kun muodostat yhteyden työtilaan, sinun on käytettävä työtilan täydellistä toimialuenimeä (FQDN). Työtilan FQDN muodostetaan työtilan tunnuksen ja työtilan objektitunnuksen kahden ensimmäisen merkin perusteella. Seuraavassa on työtilan FQDN:n muodot. workspaceid on työtilan objektitunnus ilman viivoja, ja xy edustaa työtilan objektitunnuksen kahta ensimmäistä merkkiä. Etsi työtilan objektin tunnus URL-osoitteesta jälkeen-ryhmästä, kun avaat työtilasivun Fabric-portaalista. Voit myös saada työtilan FQDN:n suorittamalla Luettelo-työtilan ohjelmointirajapinnan tai Hae työtilan ohjelmointirajapinnan.
https://{workspaceid}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceid}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceid}.z{xy}.dfs.fabric.microsoft.comhttps://{workspaceid}.z{xy}.blob.fabric.microsoft.com-
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com*eli lisää z{xy} tavalliseen varastoyhteysmerkkijonoon, joka löytyy SQL-yhteysmerkkijonosta. FQDN:n GUID-tunnukset vastaavat Base32:n vuokraajan GUID-tunnusta ja Base32:n työtilan GUID-tunnusta.
Työtilan FQDN:n ratkaiseminen eri ympäristöissä
Työtilan FQDN ratkaisee eri IP-osoitteet ympäristön ja Private Link -määrityksen perusteella seuraavassa taulukossa esitetyllä tavalla.
| Environment | Työtilan FQDN-tarkkuus |
|---|---|
| Yksityistä linkkiä ei ole määritetty | Ratkaisee julkisen IP-osoitteen. |
| Vuokraajatason Private Link on määritetty | Ratkaisee yksityisen IP-osoitteen vuokraajatason Private Link määrityksen perusteella. |
| Työtilatason yksityinen linkki määritetään vastaavalle työtilalle | Ratkaisee yksityisen IP-osoitteen työtilatason yksityisen linkin määrityksen perusteella. Muistiinpano: Tässä ympäristössä työtilan FQDN voi muodostaa yhteyden vain tiettyyn työtilaan. Sitä ei voi käyttää muiden kuin työtilan resurssien (kuten kapasiteetin, muiden työtilojen tai ryhmätyötilojen) käyttämiseen. |
| Työtilatason yksityinen linkki määritetään vastaavalle työtilalle ja vuokraajatason yksityinen linkki määritetään myös samassa näennäisverkossa | Ratkaisee yksityisen IP-osoitteen työtilatason yksityisen linkin määrityksen perusteella. |
| Työtilatason yksityinen linkki on määritetty toiselle työtilalle | Ratkaisee julkisen IP-osoitteen, jos palautus Internetiin on käytössä. Katso Azuren yksityisten DNS-vyöhykkeiden varaaminen Internetiin – Azure DNS | Microsoft Learn saadaksesi lisätietoja. Se ei ratkea oikein ilman varautumista Internetiin. |
Työtilan FQDN on muodostettava oikein käyttämällä työtilan objektitunnusta ilman viivoja ja oikeaa xy-etuliitettä (työtilan objektitunnuksen kaksi ensimmäistä merkkiä). Jos FQDN:ää ei ole muotoiltu oikein, se ei ratkea aiottua yksityistä IP-osoitetta ja työtilatason yksityisen linkin yhteys epäonnistuu.