Privát hivatkozások beállítása és használata
A Fabricben konfigurálhat és használhat olyan végpontot, amely lehetővé teszi a szervezet számára a Fabric privát elérését. A privát végpontok konfigurálásához Fabric-rendszergazdának kell lennie, és rendelkeznie kell az Azure-beli engedélyekkel olyan erőforrások létrehozásához és konfigurálásához, mint a virtuális gépek (virtuális gépek) és a virtuális hálózatok (VNetek).
A Fabric privát végpontokról való biztonságos elérését lehetővé tevő lépések a következők:
- Privát végpontok beállítása a Fabrichez.
- Hozzon létre egy Microsoft.PowerBI privát kapcsolati szolgáltatásokat a Power BI-erőforráshoz az Azure Portalon.
- Hozzon létre egy virtuális hálózatot.
- Virtuális gép (VM) létrehozása.
- Hozzon létre egy privát végpontot.
- Csatlakozzon egy virtuális géphez a Bastion használatával.
- Privát hozzáférés a Hálóhoz a virtuális gépről.
- Tiltsa le a Fabric nyilvános hozzáférését.
Az alábbi szakaszok további információkat tartalmaznak az egyes lépésekről.
1. lépés Privát végpontok beállítása a Fabrichez
Keresse meg és bontsa ki az Azure Private Link beállítást.
Állítsa a kapcsolót Engedélyezve értékre.
A bérlőhöz tartozó privát hivatkozás konfigurálása körülbelül 15 percet vesz igénybe. Ez magában foglalja egy külön teljes tartománynév (teljes tartománynév) konfigurálását a bérlő számára, hogy privát módon kommunikálhasson a Fabric-szolgáltatásokkal.
Ha ez a folyamat befejeződött, lépjen tovább a következő lépésre.
2. lépés Microsoft.PowerBI privát kapcsolati szolgáltatások létrehozása Power BI-erőforráshoz az Azure Portalon
Ez a lépés az Azure Private Endpoint és a Fabric-erőforrás közötti társítás támogatására szolgál.
Jelentkezzen be az Azure Portalra.
Válassza az Erőforrás létrehozása lehetőséget.
A Sablon üzembe helyezése területen válassza a Létrehozás lehetőséget.
Az Egyéni üzembe helyezés lapon válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.
A szerkesztőben hozza létre a következő hálóerőforrást az ARM-sablonnal az alábbiak szerint, ahol
<resource-name>
A Háló erőforráshoz választott név.<tenant-object-id>
A Microsoft Entra-bérlő azonosítója. Lásd : Microsoft Entra-bérlőazonosító megkeresése.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Ha Azure Government-felhőt használ a Power BI-hoz,
location
a bérlő régiónevének kell lennie. Ha például a bérlő az USA-beli Gov Texasban található, akkor az ARM-sablont kell elhelyeznie"location": "usgovtexas"
. A Power BI US Government régióinak listája az USA-hoz készült Power BI kormányzati cikkben található.Fontos
Használja
Microsoft.PowerBI/privateLinkServicesForPowerBI
értékkénttype
, annak ellenére, hogy az erőforrás a Fabrichez van létrehozva.Mentse a sablont. Ezután adja meg a következő adatokat.
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza az **Új létrehozása lehetőséget. Adja meg a test-PL nevet. Kattintson az OK gombra. Példány részletei Válassza ki a régiót. Régió A felülvizsgálati képernyőn válassza a Létrehozás lehetőséget a feltételek és feltételek elfogadásához.
3. lépés Virtuális hálózat létrehozása
Az alábbi eljárás létrehoz egy virtuális hálózatot egy erőforrás-alhálózattal, egy Azure Bastion-alhálózattal és egy Azure Bastion-gazdagéppel.
Az alhálózathoz szükséges IP-címek száma a bérlőn létrehozott kapacitások száma plusz tizenöt. Ha például egy hét kapacitással rendelkező bérlőhöz hoz létre alhálózatot, huszonkét IP-címre lesz szüksége.
Az Azure Portalon keresse meg és válassza ki a virtuális hálózatokat.
A Virtuális hálózatok lapon válassza a + Létrehozás lehetőséget.
A Virtuális hálózat létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza ki a test-PL elemet, a 2. lépésben létrehozott nevet. Példány részletei Név Adja meg a vnet-1 értéket. Régió Válassza ki azt a régiót, ahol kezdeményezni fogja a kapcsolatot a Hálóval. A Tovább gombra kattintva lépjen a Biztonság lapra. Az üzleti igény alapján elhagyhatja az alapértelmezett értéket, vagy módosíthatja azt.
A Tovább gombra kattintva lépjen az IP-címek lapra. Az üzleti igény alapján elhagyhatja az alapértelmezett értéket, vagy módosíthatja azt.
Válassza a Mentés lehetőséget.
Válassza a Véleményezés + létrehozás lehetőséget a képernyő alján. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.
4. lépés: Virtuális gép létrehozása
A következő lépés egy virtuális gép létrehozása.
Az Azure Portalon nyissa meg az erőforrás-számítási > > virtuális gépek létrehozását.
Az Alapismeretek lapon adja meg vagy válassza ki a következő információkat:
Beállítások Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki a 2. lépésben megadott erőforráscsoportot. Példány részletei Virtuális gép neve Adja meg az új virtuális gép nevét. A virtuális gépek nevével kapcsolatos fontos információk megtekintéséhez válassza a mező neve melletti információs buborékot. Régió Válassza ki a 3. lépésben kiválasztott régiót. Rendelkezésre állási beállítások Teszteléshez válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget Biztonsági típus Hagyja meg az alapértelmezett értéket. Kép Jelölje ki a kívánt képet. Válassza például a Windows Server 2022-t. Virtuálisgép-architektúra Hagyja meg az x64 alapértelmezett értékét. Méret Válasszon ki egy méretet. RENDSZERGAZDAI FIÓK Felhasználónév Adja meg az Ön által választott felhasználónevet. Jelszó Adjon meg egy tetszőleges jelszót. A jelszónak legalább 12 karakter hosszúságúnak kell lennie, az összetettségre vonatkozó követelmények teljesülése mellett. Jelszó megerősítése Jelszó újraküldése. BEJÖVŐPORT-SZABÁLYOK Nyilvános bejövő portok Válassza a Nincs lehetőséget. Válassza a Tovább: Lemezek lehetőséget.
A Lemezek lapon hagyja meg az alapértelmezett értékeket, és válassza a Tovább: Hálózatkezelés lehetőséget.
A Hálózatkezelés lapon válassza ki a következő információkat:
Beállítások Érték Virtuális hálózat Válassza ki a 3. lépésben létrehozott virtuális hálózatot. Alhálózat Válassza ki a 3. lépésben létrehozott alapértelmezett (10.0.0.0/24) értéket. A többi mezőnél hagyja meg az alapértelmezett értékeket.
Válassza az Áttekintés + létrehozás lehetőséget. Ekkor megjelenik a Felülvizsgálat + létrehozás lap, ahol az Azure ellenőrzi a konfigurációt.
Amikor megjelenik az Ellenőrzés átadott üzenet, válassza a Létrehozás lehetőséget.
5. lépés Privát végpont létrehozása
A következő lépés egy privát végpont létrehozása a Fabric számára.
A portál tetején található keresőmezőbe írja be a privát végpontot. Válassza ki a privát végpontokat.
Válassza a + Létrehozás privát végpontokban lehetőséget.
A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítások Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki a 2. lépésben létrehozott erőforráscsoportot. Példány részletei Név Írja be a FabricPrivateEndpoint parancsot. Ha ezt a nevet veszi fel, hozzon létre egy egyedi nevet. Régió Válassza ki a virtuális hálózathoz létrehozott régiót a 3. lépésben. Az alábbi képen a Privát végpont létrehozása – Alapszintű beállítások ablak látható.
Válassza a Tovább: Erőforrás lehetőséget. Az Erőforrás panelen adja meg vagy válassza ki a következő adatokat:
Beállítások Érték Kapcsolati módszer Válassza ki a csatlakozást egy Azure-erőforráshoz a címtáramban. Előfizetés Válassza ki előfizetését. Erőforrás típusa Válassza a Microsoft.PowerBI/privateLinkServicesForPowerBI lehetőséget Erőforrás Válassza ki a 2. lépésben létrehozott Háló erőforrást. Cél-alforrás Bérlő Az alábbi képen a Privát végpont létrehozása – Erőforrás ablak látható.
Válassza a Következő: Virtuális hálózat lehetőséget. A Virtuális hálózatban adja meg vagy válassza ki a következő adatokat.
Beállítások Érték HÁLÓZATI Virtuális hálózat Válassza ki a 3. lépésben létrehozott vnet-1 elemet. Alhálózat Válassza ki a 3. lépésben létrehozott 1. alhálózatot. PRIVÁT DNS-INTEGRÁCIÓ Integrálás saját DNS-zónával Válassza az Igen lehetőséget. Privát DNS-zóna A következők szerint válasszon:
(Új)privatelink.analysis.windows.net
(Új)privatelink.pbidedicated.windows.net
(Új)privatelink.prod.powerquery.microsoft.comVálassza a Tovább: Címkék, majd a Következő: Véleményezés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
6. lépés Csatlakozás virtuális géphez a Bastion használatával
Az Azure Bastion úgy védi a virtuális gépeket, hogy egyszerű, böngészőalapú kapcsolatot biztosít anélkül, hogy nyilvános IP-címeken keresztül kellene őket elérhetővé tenni. További információ: Mi az Azure Bastion?
Csatlakozzon a virtuális géphez az alábbi lépésekkel:
Hozzon létre egy AzureBastionSubnet nevű alhálózatot a 3. lépésben létrehozott virtuális hálózaton.
A portál keresősávjában adja meg a 4. lépésben létrehozott testVM-et.
Válassza a Csatlakozás gombot, majd a legördülő menüben válassza a Csatlakozás a Bastionon keresztül lehetőséget.
Válassza a Bastion üzembe helyezése lehetőséget.
A Bastion lapon adja meg a szükséges hitelesítési hitelesítő adatokat, majd kattintson a Csatlakozás gombra.
7. lépés Privát hozzáférés a hálóhoz a virtuális gépről
A következő lépés a Fabric privát elérése az előző lépésben létrehozott virtuális gépről a következő lépésekkel:
A virtuális gépen nyissa meg a PowerShellt.
Írja be
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.A következő üzenethez hasonló választ kap, és láthatja, hogy a rendszer visszaadja a magánhálózati IP-címet. Láthatja, hogy a OneLake végpont és a Warehouse végpont is privát IP-címeket ad vissza.
Nyissa meg a böngészőt, és lépjen a app.fabric.microsoft.com a Háló privát eléréséhez.
8. lépés A Fabric nyilvános hozzáférésének letiltása
Végül opcionálisan letilthatja a Fabric nyilvános hozzáférését.
Ha letiltja a Fabric nyilvános hozzáférését, bizonyos korlátozások lépnek életbe a Fabric-szolgáltatásokhoz való hozzáférésre vonatkozóan, a következő szakaszban leírtak szerint.
Fontos
Ha bekapcsolja az Internet-hozzáférés letiltása funkciót, néhány nem támogatott hálóelem le lesz tiltva. A privát hivatkozásokra vonatkozó korlátozások és szempontok teljes listájának megismerése
A Fabric nyilvános hozzáférésének letiltásához jelentkezzen be rendszergazdaként a Fabricbe, és lépjen a Felügyeleti portálra. Válassza a Bérlői beállítások lehetőséget , és görgessen a Speciális hálózatkezelés szakaszhoz. Engedélyezze a kapcsológombot a Nyilvános internet-hozzáférés letiltása bérlői beállításban.
Körülbelül 15 percet vesz igénybe, amíg a rendszer letiltja a szervezet hálóhoz való hozzáférését a nyilvános internetről.
A privát végpont konfigurációjának befejezése
Miután követte az előző szakaszok lépéseit, és sikeresen konfigurálta a privát hivatkozást, a szervezet a következő konfigurációs beállítások alapján implementálja a privát hivatkozásokat, függetlenül attól, hogy a kijelölés a kezdeti konfigurációra van-e beállítva, vagy később módosul.
Ha az Azure Private Link megfelelően van konfigurálva, és a nyilvános internet-hozzáférés letiltása engedélyezve van:
- A háló csak privát végpontokról érhető el a szervezet számára, és nem érhető el a nyilvános internetről.
- A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
- A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket célzó virtuális hálózatból érkező forgalmat a szolgáltatás letiltja, és nem fog működni.
- Előfordulhatnak olyan forgatókönyvek, amelyek nem támogatják a privát hivatkozásokat, ezért a szolgáltatás letiltja a nyilvános internet-hozzáférés letiltásakor.
Ha az Azure Private Link megfelelően van konfigurálva, és letiltja a nyilvános internet-hozzáférést:
- A Fabric-szolgáltatások engedélyezik a nyilvános internetről érkező forgalmat.
- A privát kapcsolatokat támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a privát kapcsolaton keresztül irányítja át.
- A privát kapcsolatokat nem támogató végpontokat és forgatókönyveket megcélzó virtuális hálózatból érkező forgalmat a rendszer a nyilvános interneten keresztül továbbítja, és a Fabric-szolgáltatások engedélyezik.
- Ha a virtuális hálózat úgy van konfigurálva, hogy letiltsa a nyilvános internet-hozzáférést, a virtuális hálózat letiltja azokat a forgatókönyveket, amelyek nem támogatják a privát kapcsolatokat, és nem működnek.
Az alábbi videó bemutatja, hogyan csatlakoztathat mobileszközt a Fabrichez privát végpontok használatával:
Feljegyzés
Ez a videó a Power BI Desktop vagy a Power BI szolgáltatás korábbi verzióit használhatja.
Van még esetleg kérdése? Kérdezze meg a Háló közösségét.
Privát hivatkozás letiltása
Ha le szeretné tiltani a Private Link beállítást, a beállítás letiltása előtt győződjön meg arról, hogy az összes létrehozott privát végpont és a megfelelő privát DNS-zóna törlődik. Ha a virtuális hálózathoz privát végpontok vannak beállítva, de a Private Link le van tiltva, a virtuális hálózat kapcsolatai sikertelenek lehetnek.
Ha le szeretné tiltani a Private Link beállítást, azt javasoljuk, hogy ezt munkaidőn kívüli időszakban tegye meg. Egyes forgatókönyvek esetében akár 15 percnyi állásidő is igénybe vehet, hogy tükrözze a változást.