Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un endpoint privato gestito può essere usato per stabilire la comunicazione tra aree di lavoro tra un'area di lavoro aperta e un'area di lavoro che limita l'accesso pubblico in ingresso. Ad esempio, se si vuole accedere a una lakehouse in un'area di lavoro con restrizioni in ingresso da un notebook in un'area di lavoro aperta, è possibile configurare un endpoint privato gestito (MPE) per stabilire una connessione sicura tra le due aree di lavoro.
In questo diagramma l'area di lavoro aperta (area di lavoro 1) ha un endpoint privato gestito che si connette all'area di lavoro con restrizioni (area di lavoro 2). Questa configurazione consente al notebook nell'area di lavoro 1 di accedere in modo sicuro alla lakehouse e leggere le tabelle Delta nell'area di lavoro 2 senza esponerle all'accesso pubblico.
Questo articolo illustra come creare un endpoint privato gestito tramite le impostazioni dell'area di lavoro nel portale di Infrastruttura o nell'API.
Passaggio 1: Creare le aree di lavoro
Creare aree di lavoro in Infrastruttura. Questa configurazione prevede sia un'area di lavoro aperta che un'area di lavoro con restrizioni. In questo articolo le aree di lavoro vengono definite come segue:
- L'area di lavoro di origine è l'area di lavoro aperta senza restrizioni di accesso pubblico.
- L'area di lavoro di destinazione è l'area di lavoro che limita l'accesso pubblico in ingresso.
Annotazioni
Questo articolo fa riferimento al nome di dominio completo (FQDN) dell'area di lavoro. Il formato è:
https://{workspaceID}.z{xy}.w.api.fabric.microsoft.com
{workspaceID} Dove è l'ID dell'area di lavoro senza trattini ed {xy} è la prima due lettere dell'ID oggetto dell'area di lavoro (vedere anche Connessione alle aree di lavoro).
È possibile trovare un ID area di lavoro aprendo la pagina dell'area di lavoro nel portale di Fabric e notando l'ID dopo "groups/" nell'URL. È anche possibile trovare un nome di dominio completo dell'area di lavoro usando l'area di lavoro Elenco o Ottenere l'area di lavoro nell'API.
Passaggio 2: Creare un endpoint privato gestito
Creare un endpoint privato gestito nell'area di lavoro di origine (aperta). Usare l'impostazione Area di lavoro nel portale o nell'API seguente:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/managedPrivateEndpoints
Dove {workspaceFQDN} è {workspaceID}.z{xy}.w.api.fabric.microsoft.com
Ad esempio: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/managedPrivateEndpoints
targetPrivateLinkResourceId è l'ID risorsa del collegamento privato nell'area di lavoro con restrizioni. Per creare un endpoint privato gestito nell'area di lavoro di destinazione, è necessario l'ID risorsa del servizio di collegamento privato dell'area di lavoro di destinazione.
È possibile trovare questo ID risorsa in Azure visualizzando il codice JSON della risorsa per l'area di lavoro. Assicurarsi che l'ID dell'area di lavoro nel codice JSON corrisponda all'area di lavoro di destinazione desiderata.
Il proprietario del servizio di collegamento privato per l'area di lavoro 2 deve approvare la richiesta di endpoint privato gestito nel centro >collegamenti privati di AzureConnessioni in sospeso.
Passaggio 3: Creare una lakehouse nell'area di lavoro con restrizioni
Creare una lakehouse nell'area di lavoro di destinazione (con restrizioni) usando l'API Create Lakehouse seguente:
POST https://{workspaceFQDN}/v1/workspaces/{workspaceID}/lakehouses
Dove {workspaceFQDN} è {workspaceID}.z{xy}.w.api.fabric.microsoft.com
Ad esempio: POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/lakehouses
Passaggio 4: Caricare una tabella Delta nel lakehouse
Usare Azure Storage Explorer per caricare la cartella Tabella Delta nell'archiviazione gestita di lakehouse con restrizioni.
Passare ad Azure Storage Explorer, selezionare l'icona di connessione nel menu a sinistra e quindi selezionare contenitore o directory ADLS Gen2.
Accedere con OAuth.
Immettere un nome visualizzato per l'archiviazione e immettere l'URL del contenitore BLOB nel formato seguente:
https://{workspaceFQDN}/{workspaceID}/{lakehouseID}dove
{workspaceFQDN}è{workspaceID}.z{xy}.onelake.fabric.microsoft.comAd esempio:
POST https://aaaaaaaa000011112222bbbbbbbbbbbb.zaa.w.api.fabric.microsoft.com/v1/workspaces/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/bbbbbbbb-1111-2222-3333-cccccccccccc
Selezionare Connetti. La risorsa di archiviazione dovrebbe ora essere visualizzata nella visualizzazione Explorer.
Nella cartella Tabelle caricare la tabella Delta da usare. In questo esempio viene utilizzata la tabella customers .
Passaggio 5: Creare un notebook nell'area di lavoro di origine
Creare un notebook e connetterlo alla lakehouse con restrizioni come indicato di seguito:
Nell'area di lavoro di origine passare a Notebook.
Selezionare + Nuovo notebook.
Selezionare il runtime di Spark.
Connettersi all'area di lavoro di destinazione nel riquadro Esplora risorse.
Incollare il codice seguente:
from pyspark.sql import SparkSession # Read Delta table from the restricted lakehouse using Workspace DNS-based ABFSS URI df = spark.read.format("delta").load( "abfss://{WorkspaceID}@{WorkspaceFQDN}/{LakehouseID}/Tables/customers" )Assicurarsi che:
- Il percorso ABFSS corrisponde alla posizione DNS e tabella del lakehouse.
- L'accesso di rete tra le aree di lavoro aperte e limitate viene stabilito correttamente tramite l'endpoint privato.
Eseguire il notebook. Se l'endpoint privato e le autorizzazioni sono configurati correttamente, il notebook si connette e visualizza il contenuto della tabella Delta dalla lakehouse con restrizioni.