Microsoft Fabric 中的工作区级专用链接提供了通过专用网络连接到特定工作区资源的安全方法。 本文介绍哪些方案和项目类型受支持,重点介绍当前限制,并提供有关使用工作区级专用链接的最佳做法和故障排除的指导。
工作区级专用链接支持的项类型
可以使用工作区级专用链接连接到 Fabric 中的以下项类型:
- Lakehouse、SQL 终结点、快捷方式
- 通过 OneLake 终结点直接连接
- Notebook、Spark 作业定义、环境
- 机器学习试验,机器学习模型
- 管道
- 复制作业
- 装载的数据工厂
- 仓库
- 数据流 Gen2 (CI/CD)
- 变量库
- 镜像数据库
- Eventstream
- Eventhouse
有关不受支持的项类型的说明
以下项目类型目前在启用工作区级别专用链接的工作区中不受支持:
- 部署管道
- 默认语义模型
- 具有架构的 Lakehouses
- SQL 数据仓库的 Spark 连接器
如果工作区包含任何不受支持的项类型,则即使设置了工作区级专用链接,也无法限制对工作区的入站公共访问。
同样,如果工作区已配置为限制入站公共访问,则无法在该工作区中创建不支持的项目类型。
使用不支持的项目类型时,请注意以下注意事项。
部署管道: 将工作区分配到部署管道时,无法将其配置为阻止公共访问,因为部署管道当前不支持工作区级专用链接。
默认语义模型: 现有的 Lakehouse、仓库和镜像数据库使用默认的语义模型,该模型不支持工作区级别的专用链接,因此无法阻止对工作区的公共访问。 可以通过配置工作区来阻止公共访问,然后创建 lakehouse、warehouse 或镜像数据库来绕过此默认语义模型限制。
支持的项类型的管理选项
本部分介绍如何使用 Fabric 门户或 REST API 在启用了专用链接的工作区中管理支持的项类型。
Fabric Core 支持
包含支持工作区级专用链接的终结点的 v1/workspaces/{workspaceId} API,因为它们在特定工作区的上下文中运行。 相比之下,管理员 API 在其终结点中使用 admin/workspaces/{workspaceId} ,工作区级专用链接并未涵盖这些 API。
即使对于受限工作区,管理员 API 仍可访问,因为阻止公共访问的租户级设置会控制它们。
- 项 - REST API (核心):还检查各个项类型以了解详细信息。
- 文件夹 - REST API (核心)
- Git - REST API (核心)
- 托管专用终结点 - REST API (核心)
- 作业计划程序 - REST API (核心)
- OneLake 数据访问安全性 - 创建或更新数据访问角色 - REST API (核心)
-
OneLake 快捷方式 - REST API (核心)
- 在受限工作区中,可以创建指向其他数据源(如外部存储)或受信任的访问的快捷方式。
- 创建另一个受限工作区的快捷方式时,需要创建托管专用终结点并从 Azure 中的目标工作区专用链接服务所有者获得批准。 有关详细信息,请参阅 跨工作区通信。
- 受限工作区当前不支持快捷转换。
- 标记 - REST API (核心)
- 工作区 - REST API (核心)
- 外部数据共享提供程序 - REST API (核心):收件人需要使用工作区完全限定的域名(FQDN)来访问共享的 OneLake URL。
注释
- 网络通信策略 API: 工作区级网络设置不会限制 工作区网络通信策略 API。 即使阻止了对工作区的公共访问,此 API 仍可从公共网络访问。 租户级网络限制仍适用。 另请参阅 表 1。基于租户和专用链接设置访问工作区通信策略 API。
- 部署管道: 如果部署管道中的任何工作区设置为拒绝公共访问(受限),则部署管道无法连接到该工作区。 对于分配给管道的任何工作区,将阻止配置入站限制。
- 项目共享: 不支持项目共享。 如果项目已与用户共享,则这些用户不能再使用共享链接访问这些项。
Lakehouse 支持
使用 Fabric 门户或 REST API 在启用专用链接的工作区中创建和管理 Lakehouses。
仓库支持
使用 Fabric 门户或 REST API 在启用了专用链接的工作区中创建和管理仓库。
若要将仓库连接字符串与工作区级专用链接一起使用,请将 z{xy} 添加到常规仓库连接字符串。 例如:
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
使用仓库连接字符串,还可以在 SQL Server Management Studio 等工具中通过 SQL 表格数据流(TDS)终结点访问仓库。
SQL 终结点支持
使用 Fabric 门户或 REST API 查找 SQL 终结点的工作区专用链接服务连接字符串。
笔记本支持
通过 Fabric 门户或 REST API 管理在启用专用链接的工作区中的笔记本。
Livy 终结点支持
使用启用了专用链接的工作区中的 Fabric 门户或 API,以使用 Livy 终结点创建和执行语句或运行批处理作业。
Livy 会话作业建立一个 Spark 会话,该会话在与 Livy API 的交互期间保持活动状态。 Livy 会话非常适合交互式工作负载。 提交作业并保持可用状态时,会话将启动,直到显式结束该作业或系统在处于非活动状态 20 分钟后终止该作业。 多个作业可以在同一会话中运行,共享状态和缓存数据。
Livy 批处理作业涉及提交 Spark 应用程序进行单次执行。 与 Livy 会话作业不同,批处理作业不会维护持久性 Spark 会话。 每个 Livy 批处理作业都会启动一个新的 Spark 会话,该会话在作业完成时结束。 此方法适用于不依赖于缓存数据或需要在作业之间维护状态的任务。
Spark 作业定义支持
使用启用了专用链接的工作区中的 Fabric 门户或 API 创建、读取、更新和删除 Spark 作业定义项。
环境支持
使用 Fabric 门户管理使用专用链接启用的工作区中的环境,或使用环境 REST API 创建、读取、更新和删除环境项。
注释
对于 Spark,使用友好名称的工作区级专用链接不起作用。
机器学习试验支持
在配置了专用链接的工作区中,使用 Fabric 门户或 REST API 管理机器学习试验。
机器学习模型支持
使用 项 - REST API (MLModel)在启用了专用链接的工作区中管理机器学习模型。
管道、复制任务和挂载的数据工厂支持
在启用了专用链接的工作区中,使用 Fabric 门户或以下 REST API 管理管道、复制任务和挂载的数据工厂。
不支持以下方案:
- 不支持复制到仓库。
- 不支持复制到 Eventhouse。
- 目前不支持 OneLake 暂存。
Eventstream 支持
使用 Fabric 门户或 REST API 在启用了专用链接的工作区中管理事件流,以创建事件流项并查看其拓扑。
事件流 API 使用类似图形的结构来定义事件流项,其中包含四个组件:源、目标、运算符和流。
目前,Eventstream 仅支持一组有限的源和目标的工作区专用链接。 如果在 Eventstream API 有效负载中包含不受支持的组件,则请求可能会失败。
不支持以下方案:
- 不支持自定义终结点作为源。
- 不支持自定义终结点作为目标。
- 不支持 Eventhouse 作为目标(具有直接引入模式)。
- 不支持将激活器作为目标。
Eventhouse 支持
使用 Fabric 门户或 REST API 管理启用了专用链接的工作区中的事件屋。
不支持以下方案:
- 从 Eventstreams 使用事件
- SQL Server TDS 终结点
数据流 Gen2 (CI/CD) 支持
使用 Fabric 门户或 REST API 在启用了专用链接的工作区中管理数据流 Gen2。
虚拟网络数据网关必须用于每个数据流连接器。 虚拟网络数据网关必须与工作区使用的工作区级专用链接终结点位于同一虚拟网络中。
Power Platform 数据流连接器:当工作区启用了工作区专用链接并拒绝公共访问时,对于该工作区中的任何两个数据流(数据流 A 和数据流 B),两个数据流都将无法使用 Power Platform 数据流连接器连接到其他数据流,因为数据流不会显示在导航器中。
变量库支持
使用 Fabric 门户或 REST API 在启用了专用链接的工作区中管理变量库。
镜像数据库支持
可以使用 Fabric 门户或 REST API 管理使用专用链接启用的工作区中的镜像数据库。
注释
- 目前, 开放镜像、 Azure Cosmos DB 镜像 和 SQL Server 2025 镜像(使用 SQL Server 2025 CTP 2.0 或更高版本)支持工作区级专用链接。 对于其他类型的数据库镜像,如果工作区配置为拒绝入站公共访问,活动镜像数据库进入暂停状态,并且无法启动镜像。
- 对于打开镜像,当工作区配置为拒绝入站公共访问时,请确保发布者通过工作区 FQDN 的专用链接将数据写入 OneLake 登陆区域。
支持的和不支持的管理工具
- 可以使用 Fabric 门户或 REST API 在启用了工作区专用链接的工作区中管理所有 受支持的项类型 。 当工作区允许公共访问时,Fabric 门户将继续使用公共连接功能。 如果工作区配置为拒绝入站公共访问,则只有在请求源自工作区的关联专用终结点时,才能在 Fabric 门户中访问它。 如果尝试从公共连接或其他专用终结点进行访问,Fabric 门户将显示“访问受限”消息。
- 使用工作区级别的专用链接时,指向监控中心 2 级页面的深度链接可能无法按预期正常工作。 可以通过先导航到 Fabric 门户中的“监视中心级别 1”(L1)页来访问 L2 页面。
- 支持 SQL Server Management Studio (SSMS)通过工作区级专用链接连接到仓库。
- 存储资源管理器可与工作区级专用链接一起使用。
- Azure 存储资源管理器、PowerShell、AzCopy 和其他 Azure 存储工具可以通过专用链接连接到 OneLake。
- 若要使用 OneLake 文件资源管理器,必须有权通过公共访问或租户专用链接访问租户。
注意事项和限制
工作区级专用链接功能仅在构造容量(F SKU)中受支持。 不支持其他容量,例如高级(P SKU)和试用容量。
如果为工作区设置了现有的专用链接服务,则无法删除工作区。
每个工作区只能创建一个专用链接服务,每个工作区只能有一个专用链接服务。 但是,可以为单个专用链接服务创建多个专用终结点。
工作区的专用终结点限制为 100。 如果需要增加此限制,请创建支持票证。
每个租户可以创建的工作区 PLS 限制:500。 如果需要增加此限制,请创建支持票证。
每分钟最多可以创建 10 个工作区专用链接服务。
Fabric 门户 UI 目前不支持同时为工作区启用入站保护(工作区级专用链接)和出站访问保护。 若要同时配置这两个设置,请使用 工作区 - 设置网络通信策略 API,该 API 允许完全管理入站和出站保护策略。
对于数据工程工作负载:
- 若要从启用了工作区级专用链接的工作区中查询 Lakehouse 文件或表,必须创建跨工作区托管的专用终结点连接以访问其他工作区中的资源。
- 可以使用相对路径或完整路径来查询同一工作区中的文件或表,或使用跨工作区托管的专用终结点连接从另一个工作区访问它们。 若要读取位于另一个工作区的 Lakehouse 中的文件,请使用包含工作区 ID 和 Lakehouse ID(而不是其显示名称)的完全限定路径。 此方法可确保 Spark 会话能够正确解析路径,并避免套接字超时错误。 了解详细信息
为工作区启用出站访问保护时,可能会遇到以下区域的 Spark 问题:墨西哥中部、以色列中部和西班牙中部。
当前,数据流不支持在相同工作区内将 Fabric Warehouse 或 Fabric Lakehouse 用作数据源或输出目标。
具有 eventhouse 的专用链接的当前限制:
- Copilot 功能:机器学习工作负载可能因已知的性能回退而导致功能受到限制。
- Eventstream 拉取:Eventstream 工作负载当前不支持完整的轮询功能。
- Fabric 当前不支持事件中心集成。
- OneLake 暂不支持排队引入。
- 当启用专用链接时,OneLake 目录 - 管理 选项卡不可用。
- 启用基于工作区的私有链接时,当前不支持工作区监控。
常见错误和故障排除
入站策略拒绝的请求
尝试访问配置为限制公共访问的工作区时,用户遇到以下错误:
"errorCode": "RequestDeniedByInboundPolicy",
"message": "Request is denied due to inbound communication policy"
原因:当从工作区的通信策略不允许的网络位置发出请求时,会发生此错误。
缓解措施:
- 检查你是否位于允许的网络位置。
- 使用工作区级专用链接访问工作区时,请确保使用工作区 FQDN。
工作区中不支持的项目
尝试设置工作区以限制公共访问时,用户遇到以下错误:
"errorCode": "InboundRestrictionNotEligible",
"message": "This workspace contains items that do not comply with requested policy"
原因:发生此错误的原因是工作区包含一个或多个与工作区级专用链接不兼容的项。 因此,无法将工作区配置为限制公共访问。
缓解:删除此工作区中不支持的项目,或者改用其他工作区。