Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Privékoppelingen bieden een beveiligde, privéverbinding tussen uw virtuele netwerk en Microsoft Fabric. Ze blokkeren openbare internettoegang tot uw gegevens en beperken het risico op onbevoegde toegang of gegevensschendingen. Gebruik Azure Private Link en Azure Privé-eindpunten voor netwerken om gegevensverkeer privé te verzenden via de backbone-netwerkinfrastructuur van Microsoft in plaats van via internet te gaan.
Fabric ondersteunt privékoppelingen op tenant- en werkruimteniveau. Privékoppelingen op tenantniveau passen netwerkbeperkingen toe voor uw hele tenant, waardoor alle werkruimten en resources worden beveiligd. Privékoppelingen op werkruimteniveau beveiligen de toegang tot gevoelige gegevens of resources in specifieke werkruimten zonder dat er wijzigingen in de hele tenant nodig zijn of die van invloed zijn op andere werkruimten in uw Fabric-omgeving.
Dit artikel bevat een overzicht van privékoppelingen op werkruimteniveau in Microsoft Fabric. Zie Privékoppelingen op werkruimteniveau instellen en gebruiken voor gedetailleerde installatie-instructies.
Overzicht van private link op werkruimteniveau
Een private link op werkruimteniveau wijst een werkruimte toe aan een specifiek virtueel netwerk met behulp van de Azure Private Link-service. Wanneer u een privékoppeling inschakelt, kunt u openbare internettoegang tot de werkruimte beperken, zodat alleen resources binnen een goedgekeurd virtueel netwerk (via een privé-eindpunt) toegang hebben tot de werkruimte. In het volgende diagram ziet u verschillende implementaties van privékoppelingen op werkruimteniveau.
In dit diagram:
Werkruimte 1 beperkt binnenkomende openbare toegang. Machines in VNet A en VNet B hebben er toegang toe via privékoppelingen op werkruimteniveau.
Werkruimte 2 beperkt binnenkomende openbare toegang. Machines in VNet B hebben er toegang toe via een privékoppeling op werkruimteniveau.
Werkruimte 3 is toegankelijk vanaf het openbare internet omdat er geen beperkte regel voor binnenkomende communicatie is geconfigureerd. Machines in VNet B hebben er ook toegang toe via een privékoppeling op werkruimteniveau. Met deze configuratie is zowel openbare als persoonlijke toegang mogelijk. Dit wordt niet aanbevolen voor productieomgevingen. Gebruik deze installatie alleen voor testdoeleinden, omdat de werkruimte beschikbaar wordt gemaakt voor het openbare internet en geen volledige binnenkomende netwerkbeveiliging biedt.
Werkruimte 4 is toegankelijk vanaf het openbare internet omdat er geen beperkte regel voor binnenkomende communicatie is geconfigureerd.
Het diagram illustreert de volgende belangrijke punten over privékoppelingen op werkruimteniveau:
Wanneer u een werkruimte configureert om binnenkomende openbare toegang te beperken, is deze niet toegankelijk vanaf het openbare internet. U hebt er alleen toegang toe via een privékoppeling op werkruimteniveau.
Een Private Link-service heeft een een-op-een-relatie met een werkruimte. Zoals in het diagram wordt weergegeven, heeft elke werkruimte een eigen private link-service.
De private link-service van een werkruimte kan meerdere privé-eindpunten hebben. VNet A en VNet B maken bijvoorbeeld verbinding met werkruimte 1 via afzonderlijke privé-eindpunten. U vindt de limiet van het aantal privé-eindpunten in ondersteunde scenario's en beperkingen voor privékoppelingen op werkruimteniveau.
Een virtueel netwerk kan verbinding maken met meerdere werkruimten door afzonderlijke privé-eindpunten voor elke werkruimte te maken. VNet B maakt bijvoorbeeld verbinding met werkruimten 1, 2 en 3 met behulp van drie privé-eindpunten.
U kunt openbare toegang tot een werkruimte beperken met of zonder een privékoppeling. Als u openbare toegang beperkt en geen privékoppeling maakt, is de werkruimte niet toegankelijk vanuit alle netwerken. Een werkruimtebeheerder kan echter de API voor communicatiebeleid gebruiken om de binnenkomende toegangsregel te wijzigen.
U gebruikt een privékoppeling op werkruimteniveau om een private link-verbinding tot stand te brengen met een specifieke werkruimte. U kunt deze niet gebruiken om verbinding te maken met een andere werkruimte. In de configuratie die in het diagram wordt weergegeven, is een verbinding met Werkruimte 2 van VNet A niet toegestaan. Aan de andere kant zijn verbindingen met werkruimten 3 en 4 van VNet A mogelijk als VNet A uitgaande openbare toegang toestaat in de instellingen van het clientnetwerk.
Verbinding maken met werkruimten
Als u verbinding wilt maken met een werkruimte via een private link, gebruikt u de FQDN (Fully Qualified Domain Name) van de werkruimte.
U maakt de FQDN van de werkruimte op basis van de werkruimte-id.
https://{workspaceId}.z{xy}.w.api.fabric.microsoft.comhttps://{workspaceId}.z{xy}.c.fabric.microsoft.comhttps://{workspaceId}.z{xy}.onelake.fabric.microsoft.comhttps://{workspaceId}.z{xy}.dfs.fabric.microsoft.comhttps://{workspaceId}.z{xy}.blob.fabric.microsoft.com
Where:
-
{workspaceId}is het werkruimte-id zonder streepjes -
zis een letterlijke insluiting in de verbindingsreeks -
{xy}is de eerste twee tekens van de werkruimte-id
Example:
https://1234567890abcdef1234567890abcdef.z12.w.api.fabric.microsoft.com
In dit voorbeeld:
-
1234567890abcdef1234567890abcdefis de werkruimte-id (zonder streepjes) -
12komt overeen met de eerste twee tekens van de werkruimte-id
Verbinding maken met een datawarehouse
Wanneer u verbinding maakt met een datawarehouse, is de verbindingsreeks-indeling iets anders. U moet z{xy} toevoegen aan de reguliere warehouse-verbindingsreeks die u vindt onder SQL-verbindingsreeks. De FQDN voor een datawarehouseverbinding is als volgt:
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
Where:
- De GUID's komen overeen met respectievelijk de tenant-GUID en de werkruimte-GUID.
Deze FQDN is niet beschikbaar als onderdeel van de DNS-configuraties voor het privé-eindpunt.
De workspace-ID zoeken
U vindt de werkruimte-id op een van de volgende manieren:
- Open in de Fabric-portal de werkruimte en kopieer de waarde na
group=in de URL - Gebruik de API Werkruimten weergeven of Werkruimte ophalen
Hoe de FQDN van de werkruimte in verschillende omgevingen wordt opgelost
De FQDN van de werkruimte wordt omgezet in verschillende IP-adressen op basis van de omgeving en de private link-configuratie, zoals samengevat in de volgende tabel.
| Milieu | FQDN-oplossing voor werkruimte |
|---|---|
| Er is geen privékoppeling ingesteld | Wordt omgezet in een openbaar IP-adres. |
| Private Link op tenantniveau is ingesteld | Verwijst naar een privé-IP-adres op basis van de Private Link-configuratie op tenantniveau. |
| Private Link op werkruimteniveau is ingesteld voor de bijbehorende werkruimte | Wordt omgezet naar een privé-IP-adres op basis van de Private Link-configuratie op het niveau van de werkruimte. Notitie: In deze omgeving kan de FQDN van de werkruimte alleen verbinding maken met de specifieke werkruimte. Het kan niet worden gebruikt voor toegang tot niet-werkruimtebronnen (zoals capaciteiten, andere werkruimten of groepswerkruimten). |
| Private Link op werkruimteniveau is ingesteld voor de bijbehorende werkruimte en privékoppeling op tenantniveau wordt ook ingesteld in hetzelfde virtuele netwerk | Wordt omgezet naar een privé-IP-adres op basis van de Private Link-configuratie op het niveau van de werkruimte. |
| Private Link op werkruimteniveau is ingesteld voor een andere werkruimte | Wordt omgezet in een openbaar IP-adres als terugval op internet is ingeschakeld. Terugval naar internet voor Privé-DNS-zones van Azure - Azure DNS | Microsoft Learn voor meer informatie. Het wordt niet correct opgelost zonder terugval naar internet in te schakelen. |
De FQDN van de werkruimte moet correct worden samengesteld op basis van de object-ID van de werkruimte, zonder streepjes, en met het juiste voorvoegsel xy (de eerste twee tekens van de object-ID van de werkruimte). Als de FQDN niet juist is opgemaakt, wordt deze niet omgezet in het beoogde privé-IP-adres en mislukt de private link-verbinding op werkruimteniveau.