Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La protezione dell'accesso in uscita dell'area di lavoro consente di proteggere i dati controllando le connessioni in uscita dall'area di lavoro ad altre aree di lavoro e origini esterne. Questo articolo illustra scenari comuni per illustrare in che modo la protezione dell'accesso in uscita influisce sui collegamenti, sulle operazioni di copia dei dati e sulla connettività dei notebook.
Notebook
Quando la protezione dell'accesso in uscita è abilitata in un'area di lavoro, i notebook possono fare riferimento a una destinazione solo se un endpoint privato gestito è configurato dall'area di lavoro alla destinazione.
| Fonte | Destinazione | È configurato un endpoint privato gestito? | Il processo notebook/Spark può connettersi alla destinazione? |
|---|---|---|---|
| Notebook (area di lavoro A) | Lakehouse (area di lavoro B) | Sì, un endpoint privato gestito tra aree di lavoro da A a B è configurato in A | Yes |
| Notebook (area di lavoro A) | Lakehouse (area di lavoro B) | NO | NO |
| Notebook (area di lavoro A) | AdLS G2/altra origine dati esterna | Sì, un endpoint privato gestito viene configurato da A all'origine dati esterna | Yes |
| Notebook (area di lavoro A) | AdLS G2/altra origine dati esterna | NO | NO |
Scorciatoie (anteprima)
Quando la protezione dell'accesso in uscita è abilitata in un'area di lavoro, i lakehouse nell'area di lavoro possono avere collegamenti solo a lakehouse in un'altra area di lavoro se un endpoint privato gestito tra aree di lavoro è configurato tra le aree di lavoro.
| Fonte | Destinazione | È configurato un endpoint privato gestito? | Stato collegamento |
|---|---|---|---|
| Lakehouse (area di lavoro A) | Lakehouse (area di lavoro B) | Sì, un endpoint privato gestito tra aree di lavoro da A a B è configurato in A. | Passare |
| Lakehouse (area di lavoro A) | Lakehouse (area di lavoro B) | NO | Non riuscito |
| Lakehouse (area di lavoro A) | Azure Data Lake Storage (ADLS) esterno G2/altra origine dati | Non importa | Non riuscito (i collegamenti esterni non sono supportati) |
Se il collegamento si collega direttamente a un altro collegamento o contiene un altro collegamento, le restrizioni in uscita vengono valutate in sequenza in ogni collegamento. Si supponga, ad esempio, che un collegamento nell'area di lavoro A punti a un collegamento nell'area di lavoro B, che punta a un collegamento nell'area di lavoro C. È necessario disporre di un endpoint privato gestito dall'area di lavoro A all'area di lavoro B e dall'area di lavoro B all'area di lavoro C per risolvere l'intera catena di collegamenti. Non è necessario un endpoint privato gestito dall'area di lavoro A all'area di lavoro C.
Copia dei dati in OneLake (anteprima)
Durante le operazioni di copia dei dati tra due aree di lavoro onelake usando le API di copia di Archiviazione di Azure, OneLake effettua una chiamata in uscita dall'area di lavoro di origine all'area di lavoro di destinazione. Se la protezione dell'accesso in uscita è abilitata nell'area di lavoro di origine, questa chiamata in uscita viene bloccata e l'operazione di copia non riesce. Per consentire lo spostamento dei dati, è necessario creare un endpoint privato gestito dall'area di lavoro di origine all'area di lavoro di destinazione.
L'operazione di copia seguente dall'area di lavoro A all'area di lavoro B viene bloccata quando è abilitata la protezione dell'accesso in uscita, a meno che non sia presente un endpoint privato gestito approvato dall'area di lavoro A all'area di lavoro B.
Sintassi
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceB/LakehouseB.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Copia dei dati tra Archiviazione di Azure e OneLake (anteprima)
Durante le operazioni di copia tra Archiviazione di Azure e OneLake, la direzione delle richieste in uscita viene invertita. L'account di destinazione effettua una chiamata in uscita all'account di origine. Questo comportamento si applica alle operazioni di copia eseguite direttamente con Il BLOB di copia di Archiviazione di Azure dall'URL e Put Block from URL APIs (Put Block from URL API). Si applica anche alle operazioni gestite tramite esperienze di copia come AzCopy e Azure Storage Explorer.
La protezione dell'accesso in uscita limita le chiamate in uscita effettuate dall'area di lavoro di destinazione all'origine. Se l'area di lavoro è la destinazione, la protezione in uscita può impedire la copia dei dati. Tuttavia, se l'area di lavoro è l'origine dell'operazione di copia, la protezione in uscita non blocca il trasferimento, perché l'area di lavoro di origine non avvia una chiamata in uscita.
Ad esempio, l'esempio di AzCopy seguente sposta i dati dall'account di archiviazione di Azure di origine "source" al lakehouse di destinazione in OneLake. Se l'area di lavoro A ha attivato la protezione in uscita, questa operazione di copia viene bloccata e i dati non vengono caricati.
Sintassi
azcopy copy "https://source.blob.core.windows.net/myContainer/sales.csv" "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"
Al contrario, l'area di lavoro A nello scenario seguente è ora l'origine dell'operazione di copia. L'account ADLS esterno è la destinazione. In questo scenario, la protezione dell'accesso in uscita non blocca questa chiamata, perché vengono effettuate solo chiamate in ingresso all'area di lavoro A. Per limitare questi tipi di operazioni, vedere Proteggere il traffico in ingresso.
Sintassi
azcopy copy "https://onelake.dfs.fabric.microsoft.com/WorkspaceA/LakehouseA.Lakehouse/Files/sales.csv" "https://source.blob.core.windows.net/myContainer/sales.csv" --trusted-microsoft-suffixes "fabric.microsoft.com"