私有連結藉由透過 Azure Private Link 和私有端點將流量導向,來提升安全性,確保資料留在 Microsoft 的私有網路中,而非公用網際網路。 Microsoft Fabric 在兩個範圍提供私人連結:租用戶層級和工作區層級。 租用戶層級私人連結 會保護租使用者內的所有工作區,而 工作區層級私人連結 可讓您個別管理特定工作區的網路存取。
本文提供在 Fabric 中設定工作區層級私人連結的指示。
先決條件
- 工作區必須指派給 Fabric 容量 (F SKU)。 不支援其他容量,例如進階 (P SKU) 和試用容量。 你可以進入工作區設定,選擇 工作區類型,如「 重新分配工作區到不同容量」步驟第一步所描述的,來檢查指派。
- Fabric 系統管理員必須啟用租用戶設定 設定工作區層級輸入網路規則。 如需詳細資訊,請參閱 為您的租用戶啟用工作區輸入存取保護。
- 您需要工作區 ID。 在之後的
groupURL 中找到它。 - 您需要租戶識別碼。 在 Fabric 入口網站中,選取右上角的問號,然後選取 [關於 Power BI]。 租用戶ID是租用戶URL的ctid部分。
- 您必須是工作區系統管理員,並具有足夠的 Azure 權限,才能在 Azure 中設定私人連結服務。
- 您必須是工作區系統管理員,才能設定工作區通訊原則。
- 如果這是第一次在租用戶中設定工作區層級私人連結,請在 Azure 中重新註冊 Microsoft.Fabric 資源提供者,以取得包含工作區私人連結資源和私人端點的訂用帳戶。 在 Azure 入口網站中,移至 [訂用帳戶設定>>] [資源提供者],選取 [Microsoft.Fabric],然後選取 [重新註冊]。
步驟 1. 在 Fabric 中建立工作區
在 Fabric 中建立工作區。 請確定工作區已指派給 Fabric 容量。 您可以移至工作區設定並選取 [授權資訊] 來檢查指派,如將 工作區重新指派給不同容量的步驟 1 中所述。
步驟 2. 在 Azure 中建立私人連結服務
若要建立私人連結服務,請遵循下列步驟在 Azure 中部署 ARM 範本:
登入 Azure 入口網站。
從 Azure 入口網站 搜尋列中,搜尋 [ 部署自訂範本 ],然後從可用的選項中選取它。
在 [自訂部署] 頁面上,選取 編輯器中的 [建置您自己的範本]。
在編輯器中,使用下列 ARM 範本建立 Fabric 資源,其中:
-
<resource-name>是您為 Fabric 資源選擇的名稱。 -
<tenant-object-id>是您的 Microsoft Entra 租用戶識別碼。 請參閱如何 尋找您的 Microsoft Entra 租用戶識別碼。 -
<workspace-id>是您作為必要條件的一部分而記下的工作區 ID。
-
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"resources": [
{
"type": "Microsoft.Fabric/privateLinkServicesForFabric",
"apiVersion": "2024-06-01",
"name": "<resource-name>",
"location": "global",
"properties": {
"tenantId": "<tenant-id>",
"workspaceId": "<workspace-id>"
}
}
]
}
您可以在 JSON 檔案中找到 Private Link 服務的詳細數據。
您也可以在資源群組中找到私人連結服務資源,但您必須選取 [ 顯示隱藏的資源]。
步驟 3. 建立虛擬網路
下列程式會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。
建議您為每個工作區層級私人端點保留至少 10 個 IP 位址,以供未來使用。 目前,我們在子網路中為每個工作區層級私人連結建立五個 IP 位址。
登入 Azure 入口網站。
在搜尋方塊中,輸入 虛擬網路 ,然後在搜尋結果中選取它。
在 [ 虛擬網路 ] 頁面上,選取 [+ 建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 價值觀 Subscription 選取您的訂閱。 資源群組 選取您稍早為私人連結服務建立的資源群組,例如 test-PL。 名稱 輸入虛擬網路的名稱,例如 vnet-1。 區域 選取您要起始 Fabric 連線的區域。 ![建立虛擬網路中 [基本] 索引標籤的螢幕擷取畫面。](includes/media/create-virtual-network/create-virtual-network.png)
選取 [下一步 ] 以繼續 [ 安全性 ] 索引標籤。您可以保留預設設定,或根據組織的需求進行修改。
選取 [下一步 ] 以繼續 [ IP 位址 ] 索引標籤。您可以保留預設設定,或根據組織的需求進行修改。
![建立虛擬網路中 [IP 位址] 索引標籤的螢幕擷取畫面。](includes/media/create-virtual-network/custom-deployment-ip-addresses-tab.png)
選取 [儲存]。
選取畫面底部的 檢閱 + 建立 。 驗證通過時,請選取 [建立]。
![建立虛擬網路中 [IP 位址] 索引標籤的螢幕擷取畫面。](includes/media/create-virtual-network/custom-deployment-ip-addresses-tab.png#lightbox)
步驟 4. 建立虛擬機器
登入 Azure 入口網站。
移至 建立資源 > 計算 > 虛擬機器。
在 基本 索引標籤上,輸入或選取下列資訊:
設定 價值觀 Subscription 選取您的 Azure 訂用帳戶。 資源群組 選取您稍早建立私人連結服務時使用的相同資源群組。 虛擬機器名稱 輸入新虛擬機器的名稱。 選取欄位名稱旁的資訊泡泡,以查看有關虛擬機器名稱的重要資訊。 區域 選取您先前建立虛擬網路時使用的相同區域。 可用性選項 若要進行測試,請選擇 [不需要基礎結構備援] 安全類型 保留預設值。 圖片 選取您想要的影像。 例如,選擇 Windows Server 2022。 VM 架構 保留預設值 x64。 大小 選擇尺寸。 用戶名 輸入您選擇的使用者名稱。 密碼 輸入您選擇的密碼。 密碼長度必須至少為 12 個字元,並符合 定義的複雜度需求。 確認密碼 重新輸入密碼。 公用入埠 選擇 [無]。 
選取 [下一步:磁碟]。
在 [磁碟] 索引標籤上,保留預設值,然後選取 [下一步:網路]。
在 [網路 ] 索引標籤上,選取下列資訊:
設定 價值觀 虛擬網路 選取您稍早為此部署建立的虛擬網路。 子網路 選取您稍早在虛擬網路設定中建立的預設子網路 (例如 10.0.0.0/24)。 對於其餘欄位,請保留預設值。
選擇 檢閱 + 創建。 系統會將您帶往 [ 檢閱 + 建立 ] 頁面,Azure 會在其中驗證您的設定。
當您看到驗證通過訊息時,請選取 [建立]。
步驟 5. 建立私人端點
在你在步驟 3 建立的虛擬網路中建立一個私人端點,並指向你在步驟 2 建立的私有連結服務。
在入口網站頂端的搜尋方塊中,輸入 私人端點。 選取 [私人端點]。
選取 [+ 在私人端點中建立]。
在 [建立私人端點] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 價值觀 Subscription 選取您的 Azure 訂用帳戶。 資源群組 選取您稍早在 Azure 中建立私人連結服務時建立的資源群組。 名稱 輸入唯一名稱。 網路介面名稱 輸入 FabricPrivateEndpointNIC。 如果採用此名稱,請建立唯一名稱。 區域 選取您稍早為虛擬網路建立的區域。 ![建立私人端點中 [基本] 索引標籤的螢幕擷取畫面。](media/security-workspace-level-private-links-set-up/create-endpoint-basics-tab.png)
選取 [下一步:資源]。 在 [資源] 窗格中,輸入或選取下列資訊。
設定 價值觀 連接方式 選取 [連線到我目錄中的 Azure 資源]。 Subscription 選取您的訂閱。 資源類型 選取 [Microsoft.Fabric/privateLinkServicesForFabric] Resource 選擇您稍早在 Azure 中建立私人連結服務時建立的 Fabric 資源。 目標子資源 工作區 下圖顯示 [建立私人端點 - 資源] 視窗。
![建立私人端點中 [資源] 索引標籤的螢幕擷取畫面。](media/security-workspace-level-private-links-set-up/create-endpoint-resource-tab.png)
選取 [下一步:虛擬網路]。 在 [虛擬網路] 中,輸入或選取下列資訊。
設定 價值觀 虛擬網路 選取您稍早建立的虛擬網路名稱 (例如 vnet-1)。 子網路 選取您稍早建立的子網路名稱 (例如 subnet-1)。 選取 [下一步:DNS]。 在 「專用 DNS 整合」下,輸入或選取下列資訊。
設定 價值觀 與私人 DNS 區域整合 選取 [ 是]。 專用 DNS 區域 選擇
(新)privatelink.fabric.microsoft.com![建立私人端點中 [DNS] 索引標籤的螢幕擷取畫面。](media/security-workspace-level-private-links-set-up/create-endpoint-dns-tab.png)
選取 [下一步:標籤],然後選取 [ 下一步:檢閱 + 建立]。
選取 ,創建。
步驟 6. 連線到虛擬機器
Azure Bastion 可藉由提供輕量型、以瀏覽器為基礎的連線來保護您的虛擬機器,並且無需以公用 IP 位址將其公開。 如需詳細資訊,請參閱 什麼是 Azure Bastion?。
使用下列步驟連線到您的 VM:
在您稍早建立的虛擬網路中,新增名為 AzureBastionSubnet 的新子網。
在入口網站的搜尋列中,輸入您先前建立的虛擬機器名稱,然後從搜尋結果中選取該虛擬機器。
選取 [連線] 按鈕,然後從下拉式功能表中選擇 [透過堡壘主機連線]。
選取 部署堡壘。
在 [堡壘主機] 頁面上,輸入必要的驗證認證,然後選取 [連線]。
步驟 7. 從虛擬機器私下存取 Fabric
接下來,從您在上一個步驟中建立的虛擬機器,透過私密方式存取 Fabric。 此步驟會確認私人端點已正確設定,而且您可以將 Fabric 工作區完整網域名稱 (FQDN) 解析為私人 IP 位址。
在虛擬機中,打開命令提示符。
輸入下列指令:
nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com其中 workspaceid 是不含破折號的工作區物件 ID, 而 xy 代表工作區物件 ID 的前兩個字元。
z是連接字串中的字面包含,且不包含括號,例如zab或z44。傳回專用 IP 位址。
步驟 8. 拒絕對工作區的公開存取
您可以選擇性地拒絕對工作區的公開存取。 當工作區設定為拒絕公用存取時,表示只能透過工作區層級私人連結存取工作區。 您可以使用 Fabric 入口網站或 Microsoft 圖形 API 來建立拒絕公用存取的存取規則。
備註
拒絕公開存取的工作區層級設定最多可能需要 30 分鐘才能生效。
在 Fabric 入口網站中,選取您要設定的工作區。
選取工作區設定。
選取 輸入網路。
在 工作區連線設定中,選擇 允許來自選定網路及工作區層級私有連結的連線。
![螢幕擷取畫面顯示工作區連線設定,其中已選取 [僅允許來自工作區層級私人連結的連線] 的選項按鈕。](media/security-workspace-level-private-links-set-up/workspace-connection-settings.png)
選取 ,然後套用。 公共網際網路存取現已被封鎖,只有透過工作區層級私有連結的連線才能存取工作區。
![螢幕擷取畫面顯示工作區連線設定,其中已選取 [僅允許來自工作區層級私人連結的連線] 的選項按鈕。](media/security-workspace-level-private-links-set-up/workspace-connection-settings.png#lightbox)
備註
若要授權特定的公共 IP 位址存取工作區,請透過編輯 位址設定建立允許清單。 欲了解更多資訊,請參閱 設定與管理工作空間 IP 防火牆規則。