Compartilhar via

Configurar e usar links privados no nível do workspace

Os links privados melhoram a segurança roteando o tráfego por meio do Link Privado do Azure e pontos de extremidade privados, garantindo que os dados permaneçam na rede privada da Microsoft em vez da Internet pública. Microsoft Fabric oferece links privados em dois escopos: nível de locatário e nível de área de trabalho. Links privados de nível de locatário protegem todos os workspaces dentro de um locatário, enquanto links privados de nível de workspace permitem que você gerencie individualmente o acesso à rede de cada workspace específico.

Este artigo fornece instruções para configurar links privados no nível do workspace no Fabric.

Pré-requisitos

  • O ambiente de trabalho deve ser atribuído a uma capacidade do Fabric (F SKUs). Não há suporte para outras capacidades, como capacidades premium (SKU P) e capacidades de avaliação. Você pode verificar a atribuição acessando as configurações do workspace e selecionando o tipo de workspace, conforme descrito na Etapa 1 de Reatribuir um workspace para uma capacidade diferente.
  • Um administrador do Fabric deve habilitar a configuração de locatário Configurar regras de rede de entrada no nível do workspace. Para obter detalhes, consulte Habilitar a proteção de acesso de entrada do workspace para seu locatário.
  • Você precisa da identificação do espaço de trabalho. Localize-o na URL após group.
  • Você precisa da ID do locatário. No portal do Fabric, selecione o ponto de interrogação no canto superior direito e selecione Sobre o Power BI. A ID do locatário é a parte ctid da URL do Locatário.
  • Você deve ser um administrador do workspace e ter permissões suficientes do Azure para configurar um serviço de link privado no Azure.
  • Você deve ser um administrador do workspace para configurar a política de comunicação do workspace.
  • Se esta for a primeira vez que configurar links privados no nível do workspace em seu locatário, registre novamente o provedor de recursos Microsoft.Fabric no Azure para assinaturas que contêm o recurso de link privado do workspace e o ponto de extremidade privado. No portal do Azure, acesse assinaturas>Configurações>Provedores de recursos, selecione Microsoft.Fabric e depois selecione Registrar novamente.

Etapa 1. ** Criar um espaço de trabalho no Fabric

Crie um workspace no ambiente do Fabric. Verifique se o workspace está atribuído a uma capacidade do Fabric. Você pode verificar a atribuição acessando as configurações do workspace e selecionando informações de licença, conforme descrito na Etapa 1 de Reatribuir um workspace para uma capacidade diferente.

Para criar um serviço de link privado, implante um modelo do ARM no Azure seguindo estas etapas:

  1. Entre no portal do Azure.

  2. Na barra de pesquisa do portal do Azure, procure implantar um modelo personalizado e selecione-o nas opções disponíveis.

  3. Na página de implantação personalizada , selecione Criar seu próprio modelo no editor.

  4. No editor, crie um recurso do Fabric usando o seguinte modelo do ARM, em que:

    • <resource-name> é o nome escolhido para o recurso Fabric.
    • <tenant-object-id> é sua ID do inquilino do Microsoft Entra. Veja como encontrar sua ID de locatário do Microsoft Entra.
    • <workspace-id> é o identificador do espaço de trabalho que você anotou como parte dos pré-requisitos.
    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
        {
          "type": "Microsoft.Fabric/privateLinkServicesForFabric",
          "apiVersion": "2024-06-01",
          "name": "<resource-name>",
          "location": "global",
          "properties": {
            "tenantId": "<tenant-id>",
            "workspaceId": "<workspace-id>"
          }
        }
      ]
    }

Você pode encontrar detalhes sobre o Serviço de Link Privado no arquivo JSON.

Você também pode encontrar o recurso de serviço de link privado no grupo de recursos, mas precisa selecionar Mostrar recursos ocultos.

Etapa 3. Criar uma rede virtual

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Azure Bastion.

Recomendamos reservar pelo menos 10 endereços IP para cada endpoint privado ao nível do espaço de trabalho para uso futuro. Atualmente, criamos cinco endereços IP por link privado no nível de espaço de trabalho na sub-rede.

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa, insira redes virtuais e selecione-as nos resultados da pesquisa.

  3. Na página Redes virtuais , selecione + Criar.

  4. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

    Configuração Value
    Subscription Selecione sua assinatura.
    Grupo de recursos Selecione o grupo de recursos que você criou anteriormente para o serviço de link privado, como test-PL.
    Nome Insira um nome para sua rede virtual, como vnet-1.
    Região Selecione a região em que você iniciará a conexão com o Fabric.

    Captura de tela da guia Noções básicas em Criar uma rede virtual.

  5. Selecione Avançar para prosseguir para a guia Segurança . Você pode manter as configurações padrão ou modificá-las de acordo com os requisitos da sua organização.

  6. Selecione Avançar para prosseguir para a guia Endereços IP . Você pode manter as configurações padrão ou modificá-las de acordo com os requisitos da sua organização.

    Captura de tela da guia Endereços IP em Criar uma rede virtual.

  7. Clique em Salvar.

  8. Selecione Examinar + criar na parte inferior da tela. Quando a validação for aprovada, selecione Criar.

Etapa 4. Criar uma máquina virtual

  1. Entre no portal do Azure.

  2. Vá para Criar um recurso > Computação > Máquinas virtuais.

  3. Na guia Noções básicas, insira ou selecione as seguintes informações:

    Configuração Value
    Subscription Selecione sua Assinatura do Azure.
    Grupo de recursos Selecione o mesmo grupo de recursos que você usou anteriormente quando criou o serviço de link privado.
    Nome da máquina virtual Insira um nome para a nova máquina virtual. Selecione a bolha de informações ao lado do nome do campo para ver informações importantes sobre nomes de máquinas virtuais.
    Região Selecione a mesma região usada anteriormente ao criar a rede virtual.
    Opções de disponibilidade Para testar, escolha Nenhuma redundância de infraestrutura necessária
    Tipo de segurança Mantenha o padrão.
    Imagem Selecione a imagem desejada. Por exemplo, escolha o Windows Server 2022.
    Arquitetura da VM Deixe o padrão de x64.
    Tamanho Selecione um tamanho.
    Nome de usuário Insira um nome de usuário de sua escolha.
    Senha Insira uma senha de sua escolha. A senha deve ter pelo menos 12 caracteres e atender aos requisitos de complexidade definidos.
    Confirmar senha Redigite a senha.
    Portas de entrada públicas Escolha Nenhum.

    Captura de tela da guia Criar Noções Básicas da VM.

  4. Selecione Avançar: Discos.

  5. Na guia Discos , deixe os padrões e selecione Avançar: Rede.

  6. Na guia Rede , selecione as seguintes informações:

    Configuração Value
    Rede virtual Selecione a rede virtual que você criou anteriormente para essa implantação.
    Sub-rede Selecione a sub-rede padrão (por exemplo, 10.0.0.0/24) que você criou anteriormente como parte da configuração da rede virtual.

    Para o restante dos campos, mantenha os padrões padrão.

    Captura de tela da guia Criar Rede de VM.

  7. Selecione Examinar + criar. Você é levado para a página Examinar + criar , na qual o Azure valida sua configuração.

  8. Quando você vir a mensagem Validação concluída, selecione Criar.

Etapa 5. Criar um ponto de extremidade privado

Crie um ponto de extremidade privado na rede virtual que você criou na etapa 3 e aponte para o serviço de link privado criado na etapa 2.

  1. Na caixa de pesquisa na parte superior do portal, insira ponto de extremidade privado. Selecione pontos de extremidade privados.

  2. Selecione + Criar em pontos de extremidade privados.

  3. Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as seguintes informações:

    Configuração Value
    Subscription Selecione sua Assinatura do Azure.
    Grupo de recursos Selecione o grupo de recursos que você criou anteriormente ao criar o serviço de link privado no Azure.
    Nome Insira um nome exclusivo.
    Nome do adaptador de rede Insira FabricPrivateEndpointNIC. Se esse nome for usado, crie um nome exclusivo.
    Região Selecione a região que você criou anteriormente para sua rede virtual.

    Captura de tela da guia Noções básicas em Criar um ponto de extremidade privado.

  4. Selecione Avançar: Recurso. No painel Recurso , insira ou selecione as informações a seguir.

    Configuração Value
    Método de conexão Selecione conectar-se a um recurso do Azure em meu diretório.
    Subscription Selecione sua assinatura.
    Tipo de recurso Selecione Microsoft.Fabric/privateLinkServicesForFabric
    Resource Escolha o recurso do Fabric que você criou anteriormente ao criar o serviço de link privado no Azure.
    Sub-fonte de destino espaço de trabalho

    A imagem a seguir mostra a janela Criar um ponto de extremidade privado – Recurso.

    Captura de tela da guia Recurso em Criar um ponto de extremidade privado.

  5. Selecione Avançar: Rede Virtual. Na Rede Virtual, insira ou selecione as informações a seguir.

    Configuração Value
    Rede virtual Selecione o nome da rede virtual que você criou anteriormente (por exemplo , vnet-1).
    Sub-rede Selecione o nome da sub-rede que você criou anteriormente (por exemplo , sub-rede-1).

  6. Selecione Avançar: DNS. Em Integração DNS Privada, insira ou selecione as informações a seguir.

    Configuração Value
    Integrar com a zona DNS privada Selecione Sim.
    Zona DNS privada Selecionar
    (Novo)privatelink.fabric.microsoft.com

    Captura de tela da guia DNS em Criar um ponto de extremidade privado.

  7. Selecione Avançar: Tags, depois Avançar: Revisar + criar.

  8. Selecione Criar.

Etapa 6. Conectar-se à máquina virtual

O Azure Bastion protege suas máquinas virtuais fornecendo conectividade leve baseada em navegador sem a necessidade de expô-las por meio de endereços IP públicos. Para obter mais informações, consulte o que é o Azure Bastion?.

Conecte-se à VM usando as seguintes etapas:

  1. Na rede virtual que você criou anteriormente, adicione uma nova sub-rede chamada AzureBastionSubnet.

    Captura de tela da criação do AzureBastionSubnet.

  2. Na barra de pesquisa do portal, digite o nome da máquina virtual que você criou anteriormente e selecione-o nos resultados da pesquisa.

  3. Selecione o botão Conectar e escolha Conectar via Bastion no menu dropdown.

    Captura de tela da opção Conectar por meio do Bastion.

  4. Selecione Implantar Bastion.

  5. Na página do Bastion , insira as credenciais de autenticação necessárias e selecione Conectar.

Etapa 7. Acessar o Fabric privadamente da máquina virtual

Em seguida, acesse o Fabric de forma privada da máquina virtual que você criou na etapa anterior. Esta etapa verifica se o ponto de extremidade privado está configurado corretamente e se você pode resolver o FQDN (nome de domínio totalmente qualificado) do espaço de trabalho do Fabric para o endereço IP privado.

  1. Na máquina virtual, abra o Prompt de Comando.

  2. Insira o seguinte comando:

    nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com

    onde workspaceid é a ID do objeto de workspace sem traços e xy representa os dois primeiros caracteres da ID do objeto do workspace.

  3. O endereço IP privado é retornado.

Etapa 8. Negar acesso público à área de trabalho

Opcionalmente, você pode negar o acesso público ao workspace. Quando o workspace é definido para negar o acesso público, isso significa que o workspace só pode ser acessado por meio de um link privado no nível de workspace. Você pode usar o portal do Fabric ou a API do Microsoft Graph para criar a regra de acesso para negar acesso público.

Observação

A configuração no nível do workspace para negar o acesso público pode levar até 30 minutos para entrar em vigor.

  1. No portal do Fabric, selecione o workspace que você deseja configurar.

  2. Selecione Configurações do workspace.

  3. Selecione Rede de Entrada.

  4. Nas configurações de conexão do Workspace, selecione Permitir conexões de redes selecionadas e links privados no nível do workspace.

    Captura de tela mostrando as configurações de conexão do espaço de trabalho com o botão de rádio selecionado para a opção Permitir conexões somente de links privados de nível de espaço de trabalho.

  5. Selecione Aplicar. O acesso público à Internet agora está bloqueado, e somente conexões por meio de links privados no nível do espaço de trabalho podem acessar o workspace.

Observação

Para conceder acesso a endereços IP públicos específicos ao workspace, crie uma lista de permissões editando as configurações de endereço. Para obter mais informações, consulte Configurar e gerenciar regras de firewall de IP do workspace.

  • Last updated on