专用链接通过 Azure 专用链接和专用终结点路由流量来提高安全性,确保数据保留在Microsoft的专用网络而不是公共 Internet 上。 Microsoft Fabric 在两个范围提供专用链接:租户级别和工作区级别。 租户级专用链接 保护租户中的所有工作区,而 工作区级专用链接 允许单独管理特定工作区的网络访问。
本文提供有关在 Fabric 中设置工作区级专用链接的说明。
先决条件
- 必须将工作区分配给构造容量(F SKU)。 不支持其他容量,例如高级(P SKU)和试用容量。
- Fabric 管理员必须启用租户设置 “配置工作区级入站网络规则”。 有关详细信息,请参阅 为租户启用工作区入站访问保护。
- 需要工作区 ID。 在之后
group的 URL 中找到它。 - 需要租户 ID。 在 Fabric 门户中,选择右上角的问号,然后选择“ 关于 Power BI”。 租户 ID 是租户 URL 的 ctid 部分。
- 必须是工作区管理员,并且有足够的 Azure 权限在 Azure 中设置专用链接服务。
- 必须是工作区管理员才能配置工作区通信策略。
- 如果这是首次在租户中设置工作区级专用链接,请在 Azure 中为包含工作区专用链接资源和专用终结点的订阅重新注册 Microsoft.Fabric 资源提供程序。 在 Azure 门户中,转到 “订阅>设置>资源提供程序”,选择 “Microsoft.Fabric”,然后选择“ 重新注册”。
步骤 1. 在 Fabric 中创建工作区
在 Fabric 中创建工作区。 确保将工作区分配给 Fabric 容量。 可以转到工作区设置并选择 “许可证”信息来检查分配,如 将工作区重新分配到其他容量的步骤 1 中所述。
步骤 2. 在 Azure 中创建专用链接服务
若要创建专用链接服务,请按照以下步骤在 Azure 中部署 ARM 模板:
登录到 Azure 门户。
在Azure 门户搜索栏中,搜索“部署自定义模板”,然后从可用选项中选择它。
在 “自定义部署 ”页上,选择 “在编辑器中生成自己的模板”。
在编辑器中,使用以下 ARM 模板创建 Fabric 资源,其中:
-
<resource-name>是为 Fabric 资源选择的名称。 -
<tenant-object-id>是Microsoft Entra 租户 ID。 请参阅 如何查找Microsoft Entra 租户 ID。 -
<workspace-id>是作为先决条件的一部分记录的工作区 ID。
-
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"resources": [
{
"type": "Microsoft.Fabric/privateLinkServicesForFabric",
"apiVersion": "2024-06-01",
"name": "<resource-name>",
"location": "global",
"properties": {
"tenantId": "<tenant-id>",
"workspaceId": "<workspace-id>"
}
}
]
}
可以在 JSON 文件中找到有关专用链接服务的详细信息。
还可以在资源组中找到专用链接服务资源,但需要选择“ 显示隐藏的资源”。
步骤 3. 创建虚拟网络
以下过程创建包含资源子网、Azure Bastion 子网和 Azure Bastion 主机的虚拟网络。
建议为每个工作区级专用终结点至少保留 10 个 IP 地址,以供将来使用。 目前,我们在子网中为每个工作区级专用链接创建五个 IP 地址。
登录到 Azure 门户。
在搜索框中,输入 虚拟网络 并在搜索结果中选择它。
在“虚拟网络”页面上,选择“+ 创建”。
在创建虚拟网络的基本信息选项卡上输入或选择以下信息:
设置 价值 Subscription 选择订阅。 资源组 选择之前为专用链接服务创建的资源组,例如 test-PL。 名称 输入虚拟网络的名称,例如 vnet-1。 Region 选择要在其中启动与 Fabric 的连接的区域。 
选择 “下一步 ”以转到“ 安全 ”选项卡。可以保留默认设置,也可以根据组织的要求修改默认设置。
选择 “下一步 ”以转到“ IP 地址 ”选项卡。可以保留默认设置,也可以根据组织的要求修改默认设置。
选择“保存”。
选择屏幕底部的 “查看 + 创建 ”。 验证通过时,选择“ 创建”。
步骤 4. 创建虚拟机
登录到 Azure 门户。
转到 “创建资源 > 计算 > 虚拟机”。
在 “基本信息 ”选项卡上,输入或选择以下信息:
设置 价值 Subscription 选择 Azure 订阅。 资源组 选择在创建专用链接服务时之前使用的同一资源组。 虚拟机名称 输入新虚拟机的名称。 选择字段名称旁边的信息气泡以查看有关虚拟机名称的重要信息。 Region 选择之前在创建虚拟网络时使用的同一区域。 可用性选项 若要进行测试,请选择“不需要基础结构冗余” 安全类型 保留默认值。 图像 选择所需的映像。 例如,选择 Windows Server 2022。 VM 体系结构 保留默认值 x64。 大小 选择大小。 用户名 输入选择的用户名。 密码 输入选择的密码。 密码长度必须至少为 12 个字符,并且满足 定义的复杂性要求。 确认密码 重新输入密码。 公共入站端口 选择 “无”。 
选择 “下一步:磁盘”。
在“ 磁盘 ”选项卡上,保留默认值,然后选择“ 下一步:网络”。
在“ 网络 ”选项卡上,选择以下信息:
设置 价值 虚拟网络 选择之前为此部署创建的虚拟网络。 子网 选择前面创建的默认子网(例如,10.0.0.0/24),作为虚拟网络设置的一部分。 对于其余字段,保留默认值。
选择“查看 + 创建”。 你会看到 “查看 + 创建 ”页,其中 Azure 会验证配置。
看到 “验证传递 ”消息时,选择“ 创建”。
步骤 5. 创建专用终结点
在步骤 3 中创建的虚拟网络中创建托管专用终结点,并指向在步骤 2 中创建的专用链接服务。
在门户顶部的搜索框中,输入 专用终结点。 选择 专用终结点。
在专用终结点中选择“+ 创建”。
在“创建专用终结点”的“基本信息”选项卡上,输入或选择以下信息:
设置 价值 Subscription 选择 Azure 订阅。 资源组 选择在 Azure 中创建专用链接服务时之前创建的资源组。 名称 输入唯一名称。 网络接口名称 输入 FabricPrivateEndpointNIC。 如果采用此名称,请创建唯一名称。 Region 选择之前为虚拟网络创建的区域。 
选择 “下一步:资源”。 在 “资源 ”窗格中,输入或选择以下信息。
设置 价值 连接方法 选择“连接到我的目录中的 Azure 资源”。 Subscription 选择订阅。 资源类型 选择 Microsoft.Fabric/privateLinkServicesForFabric Resource 选择在 Azure 中创建专用链接服务时之前创建的 Fabric 资源。 目标子资源 工作区 下图显示了 “创建专用终结点 - 资源 ”窗口。
选择 “下一步:虚拟网络”。 在 虚拟网络中,输入或选择以下信息。
设置 价值 虚拟网络 选择之前创建的虚拟网络名称(例如 vnet-1)。 子网 选择之前创建的子网名称(例如 subnet-1)。 选择 “下一步:DNS”。 在 “专用 DNS 集成”下,输入或选择以下信息。
设置 价值 与专用 DNS 区域集成 选择是。 专用 DNS 区域 选择
(新)privatelink.fabric.microsoft.com
选择 “下一步:标记”,然后选择 “下一步:查看 + 创建”。
选择 创建。
步骤 6. 连接到虚拟机
Azure Bastion 通过提供基于浏览器的轻量级连接来保护虚拟机,而无需通过公共 IP 地址公开它们。 有关详细信息,请参阅 什么是 Azure Bastion?。
使用以下步骤连接到 VM:
在前面创建的虚拟网络中,添加名为 AzureBastionSubnet 的新子网。
在门户的搜索栏中,键入之前创建的虚拟机的名称,并从搜索结果中选择它。
选择 “连接 ”按钮,然后从下拉菜单中选择“ 通过 Bastion 连接 ”。
选择 “部署 Bastion”。
在 Bastion 页上,输入所需的身份验证凭据,然后选择“ 连接”。
步骤 7. 从虚拟机私下访问 Fabric
接下来,从在上一步中创建的虚拟机私下访问 Fabric。 此步骤验证是否已正确配置专用终结点,并且可以将 Fabric 工作区完全限定的域名(FQDN)解析为专用 IP 地址。
在虚拟机中,打开命令提示符。
输入以下命令:
nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com其中 workspaceid 是工作区对象 ID,不带短划线, xy 表示工作区对象 ID 的前两个字符。
返回专用 IP 地址。
步骤 8. 拒绝对工作区的公共访问
可以选择拒绝对工作区的公共访问。 当工作区设置为拒绝公共访问时,这意味着只能通过工作区级别的专用链接访问工作区。 可以使用 Fabric 门户或 Microsoft 图形 API 创建用于拒绝公共访问的访问规则。
注释
拒绝公共访问的工作区级别设置最长可能需要 30 分钟才能生效。
