Megosztás a következőn keresztül:

Privát hivatkozások beállítása és használata

  • Cikk

A Fabricben konfigurálhat és használhat olyan végpontot, amely lehetővé teszi a szervezet számára a Fabric privát elérését. A privát végpontok konfigurálásához Fabric-rendszergazdának kell lennie, és rendelkeznie kell az Azure-beli engedélyekkel olyan erőforrások létrehozásához és konfigurálásához, mint a virtuális gépek (virtuális gépek) és a virtuális hálózatok (VNetek).

A Fabric privát végpontokról való biztonságos elérését lehetővé tevő lépések a következők:

  1. Privát végpontok beállítása a Fabrichez.
  2. Hozzon létre egy Microsoft.PowerBI privát kapcsolati szolgáltatásokat a Power BI-erőforráshoz az Azure Portalon.
  3. Hozzon létre egy virtuális hálózatot.
  4. Virtuális gép (VM) létrehozása.
  5. Hozzon létre egy privát végpontot.
  6. Csatlakozzon egy virtuális géphez a Bastion használatával.
  7. Privát hozzáférés a Hálóhoz a virtuális gépről.
  8. Tiltsa le a Fabric nyilvános hozzáférését.

Az alábbi szakaszok további információkat tartalmaznak az egyes lépésekről.

1. lépés Privát végpontok beállítása a Fabrichez

  1. Jelentkezzen be a Hálóba rendszergazdaként.

  2. Nyissa meg a bérlői beállításokat.

  3. Keresse meg és bontsa ki az Azure Private Link beállítást.

  4. Állítsa a kapcsolót Engedélyezve értékre.

    Képernyőkép az Azure Private Link-bérlő beállításról.

A bérlőhöz tartozó privát hivatkozás konfigurálása körülbelül 15 percet vesz igénybe. Ez magában foglalja egy külön teljes tartománynév (teljes tartománynév) konfigurálását a bérlő számára, hogy privát módon kommunikálhasson a Fabric-szolgáltatásokkal.

Ha ez a folyamat befejeződött, lépjen tovább a következő lépésre.

Ez a lépés az Azure Private Endpoint és a Fabric-erőforrás közötti társítás támogatására szolgál.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza az Erőforrás létrehozása lehetőséget.

  3. A Sablon üzembe helyezése területen válassza a Létrehozás lehetőséget.

    Képernyőkép a Sablon létrehozása hivatkozásról az Erőforrás létrehozása szakaszban.

  4. Az Egyéni üzembe helyezés lapon válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.

    Képernyőkép a Saját sablon létrehozása lehetőségről.

  5. A szerkesztőben hozza létre a következő hálóerőforrást az ARM-sablonnal az alábbiak szerint, ahol

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Ha Azure Government-felhőt használ a Power BI-hoz, location a bérlő régiónevének kell lennie. Ha például a bérlő az USA-beli Gov Texasban található, akkor az ARM-sablont kell elhelyeznie "location": "usgovtexas" . A Power BI US Government régióinak listája az USA-hoz készült Power BI kormányzati cikkben található.

    Fontos

    Használja Microsoft.PowerBI/privateLinkServicesForPowerBI értékként type , annak ellenére, hogy az erőforrás a Fabrichez van létrehozva.

  6. Mentse a sablont. Ezután adja meg a következő adatokat.

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza az **Új létrehozása lehetőséget. Adja meg a test-PL nevet. Kattintson az OK gombra.
    Példány részletei Válassza ki a régiót.
    Régió

    Képernyőkép az Egyéni üzembe helyezés alapjai lapról.

  7. A felülvizsgálati képernyőn válassza a Létrehozás lehetőséget a feltételek és feltételek elfogadásához.

    Képernyőkép az Azure Marketplace feltételeiről.

3. lépés Virtuális hálózat létrehozása

Az alábbi eljárás létrehoz egy virtuális hálózatot egy erőforrás-alhálózattal, egy Azure Bastion-alhálózattal és egy Azure Bastion-gazdagéppel.

Az alhálózathoz szükséges IP-címek száma a bérlőn létrehozott kapacitások száma plusz tizenöt. Ha például egy hét kapacitással rendelkező bérlőhöz hoz létre alhálózatot, huszonkét IP-címre lesz szüksége.

  1. Az Azure Portalon keresse meg és válassza ki a virtuális hálózatokat.

  2. A Virtuális hálózatok lapon válassza a + Létrehozás lehetőséget.

  3. A Virtuális hálózat létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza ki a test-PL elemet, a 2. lépésben létrehozott nevet.
    Példány részletei
    Név Adja meg a vnet-1 értéket.
    Régió Válassza ki azt a régiót, ahol kezdeményezni fogja a kapcsolatot a Hálóval.

    Képernyőkép a Virtuális hálózat létrehozása alapismeretek lapról.

  4. A Tovább gombra kattintva lépjen a Biztonság lapra. Az üzleti igény alapján elhagyhatja az alapértelmezett értéket, vagy módosíthatja azt.

  5. A Tovább gombra kattintva lépjen az IP-címek lapra. Az üzleti igény alapján elhagyhatja az alapértelmezett értéket, vagy módosíthatja azt.

    Képernyőkép a virtuális hálózat létrehozása IP-címek lapról.

  6. Válassza a Mentés lehetőséget.

  7. Válassza a Véleményezés + létrehozás lehetőséget a képernyő alján. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.

4. lépés: Virtuális gép létrehozása

A következő lépés egy virtuális gép létrehozása.

  1. Az Azure Portalon nyissa meg az erőforrás-számítási > > virtuális gépek létrehozását.

  2. Az Alapismeretek lapon adja meg vagy válassza ki a következő információkat:

    Beállítások Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki a 2. lépésben megadott erőforráscsoportot.
    Példány részletei
    Virtuális gép neve Adja meg az új virtuális gép nevét. A virtuális gépek nevével kapcsolatos fontos információk megtekintéséhez válassza a mező neve melletti információs buborékot.
    Régió Válassza ki a 3. lépésben kiválasztott régiót.
    Rendelkezésre állási beállítások Teszteléshez válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget
    Biztonsági típus Hagyja meg az alapértelmezett értéket.
    Kép Jelölje ki a kívánt képet. Válassza például a Windows Server 2022-t.
    Virtuálisgép-architektúra Hagyja meg az x64 alapértelmezett értékét.
    Méret Válasszon ki egy méretet.
    RENDSZERGAZDAI FIÓK
    Felhasználónév Adja meg az Ön által választott felhasználónevet.
    Jelszó Adjon meg egy tetszőleges jelszót. A jelszónak legalább 12 karakter hosszúságúnak kell lennie, az összetettségre vonatkozó követelmények teljesülése mellett.
    Jelszó megerősítése Jelszó újraküldése.
    BEJÖVŐPORT-SZABÁLYOK
    Nyilvános bejövő portok Válassza a Nincs lehetőséget.

    Képernyőkép a virtuális gép alapszintű létrehozása lapról.

  3. Válassza a Tovább: Lemezek lehetőséget.

  4. A Lemezek lapon hagyja meg az alapértelmezett értékeket, és válassza a Tovább: Hálózatkezelés lehetőséget.

  5. A Hálózatkezelés lapon válassza ki a következő információkat:

    Beállítások Érték
    Virtuális hálózat Válassza ki a 3. lépésben létrehozott virtuális hálózatot.
    Alhálózat Válassza ki a 3. lépésben létrehozott alapértelmezett (10.0.0.0/24) értéket.

    A többi mezőnél hagyja meg az alapértelmezett értékeket.

    Képernyőkép a virtuálisgép-hálózat létrehozása lapról.

  6. Válassza az Áttekintés + létrehozás lehetőséget. Ekkor megjelenik a Felülvizsgálat + létrehozás lap, ahol az Azure ellenőrzi a konfigurációt.

  7. Amikor megjelenik az Ellenőrzés átadott üzenet, válassza a Létrehozás lehetőséget.

5. lépés Privát végpont létrehozása

A következő lépés egy privát végpont létrehozása a Fabric számára.

  1. A portál tetején található keresőmezőbe írja be a privát végpontot. Válassza ki a privát végpontokat.

  2. Válassza a + Létrehozás privát végpontokban lehetőséget.

  3. A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

    Beállítások Érték
    Projekt részletei
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki a 2. lépésben létrehozott erőforráscsoportot.
    Példány részletei
    Név Írja be a FabricPrivateEndpoint parancsot. Ha ezt a nevet veszi fel, hozzon létre egy egyedi nevet.
    Régió Válassza ki a virtuális hálózathoz létrehozott régiót a 3. lépésben.

    Az alábbi képen a Privát végpont létrehozása – Alapszintű beállítások ablak látható.

    Képernyőkép a Privát végpont létrehozása alapszintű beállítások lapról.

  4. Válassza a Tovább: Erőforrás lehetőséget. Az Erőforrás panelen adja meg vagy válassza ki a következő adatokat:

    Beállítások Érték
    Kapcsolati módszer Válassza ki a csatlakozást egy Azure-erőforráshoz a címtáramban.
    Előfizetés Válassza ki előfizetését.
    Erőforrás típusa Válassza a Microsoft.PowerBI/privateLinkServicesForPowerBI lehetőséget
    Erőforrás Válassza ki a 2. lépésben létrehozott Háló erőforrást.
    Cél-alforrás Bérlő

    Az alábbi képen a Privát végpont létrehozása – Erőforrás ablak látható.

    Képernyőkép a privát végpont erőforrás-ablakának létrehozásáról.

  5. Válassza a Következő: Virtuális hálózat lehetőséget. A Virtuális hálózatban adja meg vagy válassza ki a következő adatokat.

    Beállítások Érték
    HÁLÓZATI
    Virtuális hálózat Válassza ki a 3. lépésben létrehozott vnet-1 elemet.
    Alhálózat Válassza ki a 3. lépésben létrehozott 1. alhálózatot.
    PRIVÁT DNS-INTEGRÁCIÓ
    Integrálás saját DNS-zónával Válassza az Igen lehetőséget.
    Privát DNS-zóna A következők szerint válasszon:
    (Új)privatelink.analysis.windows.net
    (Új)privatelink.pbidedicated.windows.net
    (Új)privatelink.prod.powerquery.microsoft.com

    Képernyőkép a privát végpont DNS-létrehozásának ablakáról.

  6. Válassza a Tovább: Címkék, majd a Következő: Véleményezés + létrehozás lehetőséget.

  7. Válassza a Létrehozás lehetőséget.

6. lépés Csatlakozás virtuális géphez a Bastion használatával

Az Azure Bastion úgy védi a virtuális gépeket, hogy egyszerű, böngészőalapú kapcsolatot biztosít anélkül, hogy nyilvános IP-címeken keresztül kellene őket elérhetővé tenni. További információ: Mi az Azure Bastion?

Csatlakozzon a virtuális géphez az alábbi lépésekkel:

  1. Hozzon létre egy AzureBastionSubnet nevű alhálózatot a 3. lépésben létrehozott virtuális hálózaton.

    Képernyőkép az AzureBastionSubnet létrehozásáról.

  2. A portál keresősávjában adja meg a 4. lépésben létrehozott testVM-et.

  3. Válassza a Csatlakozás gombot, majd a legördülő menüben válassza a Csatlakozás a Bastionon keresztül lehetőséget.

    Képernyőkép a Csatlakozás Bastionon keresztül lehetőségről.

  4. Válassza a Bastion üzembe helyezése lehetőséget.

  5. A Bastion lapon adja meg a szükséges hitelesítési hitelesítő adatokat, majd kattintson a Csatlakozás gombra.

7. lépés Privát hozzáférés a hálóhoz a virtuális gépről

A következő lépés a Fabric privát elérése az előző lépésben létrehozott virtuális gépről a következő lépésekkel:

  1. A virtuális gépen nyissa meg a PowerShellt.

  2. Írja be nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. A következő üzenethez hasonló választ kap, és láthatja, hogy a rendszer visszaadja a magánhálózati IP-címet. Láthatja, hogy a OneLake végpont és a Warehouse végpont is privát IP-címeket ad vissza.

    Képernyőkép a PowerShellben visszaadott IP-címekről.

  4. Nyissa meg a böngészőt, és lépjen a app.fabric.microsoft.com a Háló privát eléréséhez.

8. lépés A Fabric nyilvános hozzáférésének letiltása

Végül opcionálisan letilthatja a Fabric nyilvános hozzáférését.

Ha letiltja a Fabric nyilvános hozzáférését, bizonyos korlátozások lépnek életbe a Fabric-szolgáltatásokhoz való hozzáférésre vonatkozóan, a következő szakaszban leírtak szerint.

Fontos

Ha bekapcsolja az Internet-hozzáférés letiltása funkciót, néhány nem támogatott hálóelem le lesz tiltva. A privát hivatkozásokra vonatkozó korlátozások és szempontok teljes listájának megismerése

A Fabric nyilvános hozzáférésének letiltásához jelentkezzen be rendszergazdaként a Fabricbe, és lépjen a Felügyeleti portálra. Válassza a Bérlői beállítások lehetőséget , és görgessen a Speciális hálózatkezelés szakaszhoz. Engedélyezze a kapcsológombot a Nyilvános internet-hozzáférés letiltása bérlői beállításban.

Képernyőkép a Nyilvános internet-hozzáférés letiltása bérlői beállítás engedélyezéséről.

Körülbelül 15 percet vesz igénybe, amíg a rendszer letiltja a szervezet hálóhoz való hozzáférését a nyilvános internetről.

A privát végpont konfigurációjának befejezése

Miután követte az előző szakaszok lépéseit, és sikeresen konfigurálta a privát hivatkozást, a szervezet a következő konfigurációs beállítások alapján implementálja a privát hivatkozásokat, függetlenül attól, hogy a kijelölés a kezdeti konfigurációra van-e beállítva, vagy később módosul.

Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:

  • A háló csak privát végpontokról érhető el a szervezet számára, és nem érhető el a nyilvános internetről.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat a szolgáltatás letiltja, és nem fog működni.
  • Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, ezért a szolgáltatás letiltja a nyilvános internet-hozzáférés letiltásakor.

Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:

  • A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
  • A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
  • A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a nyilvános interneten keresztül továbbítja, és a Fabric-szolgáltatások engedélyezik.
  • Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat, és nem működnek.

Az alábbi videó bemutatja, hogyan csatlakoztathat mobileszközt a Fabrichez privát végpontok használatával:

Feljegyzés

Ez a videó a Power BI Desktop vagy a Power BI szolgáltatás korábbi verzióit használhatja.

Van még esetleg kérdése? Kérdezze meg a Háló közösségét.

Ha le szeretné tiltani a Private Link beállítást, a beállítás letiltása előtt győződjön meg arról, hogy az összes létrehozott privát végpont és a megfelelő privát DNS-zóna törlődik. Ha a virtuális hálózathoz privát végpontok vannak beállítva, de a Private Link le van tiltva, a virtuális hálózat kapcsolatai sikertelenek lehetnek.

Ha le szeretné tiltani a Private Link beállítást, azt javasoljuk, hogy ezt munkaidőn kívüli időszakban tegye meg. Egyes forgatókönyvek esetében akár 15 percnyi állásidő is igénybe vehet, hogy tükrözze a változást.

Kapcsolódó tartalom