通过

Fabric 工作区的专用链接

专用链接提供虚拟网络与 Microsoft Fabric 之间的安全专用连接,阻止公共 Internet 访问数据,并减少未经授权的访问或数据泄露的风险。 Azure 专用链接和 Azure 网络专用终结点用于使用Microsoft的主干网络基础结构(而不是通过 Internet)私下发送数据流量。

Fabric 支持租户和工作区级别的专用链接。 租户级专用链接 在整个租户中应用网络限制,保护所有工作区和资源。 工作区级专用链接允许你保护对特定工作区中敏感数据或资源的访问,而无需租户范围的更改或影响 Fabric 环境中的其他工作区。

本文概述了 Microsoft Fabric 中的工作区级专用链接。 有关详细的设置说明,请参阅 “设置和使用工作区级专用链接”。

工作区级专用链接使用 Azure 专用链接服务将工作区映射到特定虚拟网络。 启用专用链接后,可以限制对工作区的公共 Internet 访问,确保只有已批准的虚拟网络中的资源(通过专用终结点)才能访问工作区。 下图说明了工作区级专用链接的各种实现。

说明工作区级专用链接方案的关系图。

在此图中:

  • 工作区 1 限制入站公共访问,只能通过工作区级专用链接从 VNet AVNet B 中的计算机访问。

  • 工作区 2 限制入站公共访问,只能通过工作区级专用链接从 VNet B 中的计算机访问。

  • 可以从公共 Internet 访问工作区 3,因为它未配置受限的入站通信规则。 还可以通过工作区级专用链接从 VNet B 访问它。 此配置允许公共和专用访问,不建议将其用于生产环境。 此设置仅用于测试目的,因为它向公共 Internet 公开工作区,并且不提供完整的入站网络保护。

  • 可以从公共 Internet 访问工作区 4,因为它未配置受限的入站通信规则。

此图说明了有关工作区级专用链接的以下要点:

  • 将工作区配置为限制入站公共访问时,无法从公共 Internet 访问。 只能通过工作区级专用链接访问它。

  • 专用链接服务与工作区具有一对一关系。 如图所示,每个工作区都有自己的专用链接服务。

  • 工作区的专用链接服务可以有多个专用终结点。 例如,VNet A 和 VNet B 都通过单独的专用终结点连接到工作区 1。 在支持的方案和工作区级专用链接的限制中可以找到专用终结点数的限制

  • 虚拟网络可以通过为每个工作区创建单独的专用终结点来连接到多个工作区。 例如,VNet B 使用三个专用终结点连接到工作区 1、2 和 3。

  • 可以限制对具有或不带专用链接的工作区的公共访问。 如果公共访问受到限制,并且不存在专用链接,则无法从所有网络访问工作区。 但是,工作区管理员可以使用通信策略 API 修改入站访问规则。

  • 工作区级专用链接用于建立与特定工作区的专用链接连接。 它不能用于连接到另一个工作区。 在关系图中显示的配置中,不允许从 VNet A 连接到工作区 2。 另一方面,如果 VNet A 允许客户端网络设置中的出站公共访问,则有可能从 VNet A 连接到工作区 3 和 4。

连接到工作区

连接到工作区时,需要使用工作区完全限定的域名(FQDN)。 工作区 FQDN 基于工作区 ID 和工作区对象 ID 的前两个字符构造。 以下是工作区 FQDN 的格式。 workspaceid 是不带短划线的工作区对象 ID,xy 表示工作区对象 ID 的前两个字符。 从 Fabric 门户打开工作区页面时,在 URL 中查找 URL 中的工作区对象 ID。 还可以通过运行列表工作区 API 或获取工作区 API 来获取工作区 FQDN。

  • https://{workspaceid}.z{xy}.w.api.fabric.microsoft.com
  • https://{workspaceid}.z{xy}.onelake.fabric.microsoft.com
  • https://{workspaceid}.z{xy}.dfs.fabric.microsoft.com
  • https://{workspaceid}.z{xy}.blob.fabric.microsoft.com
  • https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com *也就是说,将 z{xy} 添加到 SQL 连接字符串中的常规仓库连接字符串。 FQDN 中的 GUID 分别对应于 Base32 中的租户 GUID 和 Base32 中的工作区 GUID。

工作区 FQDN 在不同环境中如何解析

工作区 FQDN 根据环境和专用链接配置解析为不同的 IP 地址,如下表所述。

环境 工作区 FQDN 解析
未设置专用链接 解析为公共 IP 地址。
已设置租户级专用链接 根据租户级专用链接配置解析为专用 IP 地址。
为相应的工作区设置工作区级专用链接 根据工作区级别的专用链接配置解析为专用 IP 地址。
注意: 在此环境中,工作区 FQDN 只能连接到特定工作区。 它不能用于访问非工作区资源(例如容量、其他工作区或组工作区)。
为相应的工作区设置工作区级专用链接,并且在同一虚拟网络中也设置了租户级专用链接 根据工作区级别的专用链接配置解析为专用 IP 地址。
为不同的工作区设置工作区级专用链接 如果启用了回退到 Internet,则解析为公共 IP 地址。 请参阅 Azure 专用 DNS 区域的回退到 Internet - Azure DNS |Microsoft Learn 了解详细信息。 如果不启用回退到 Internet,它无法正确解析。

必须使用工作区对象 ID 正确构造工作区 FQDN,且没有短划线和正确的 xy 前缀(工作区对象 ID 的前两个字符)。 如果 FQDN 格式不正确,则不会解析为预期的专用 IP 地址,工作区级专用链接连接将失败。

相关内容