Szolgáltatáscímkék használata a Power BI-ban
Az Azure-szolgáltatáscímkék és a Power BI használatával engedélyezheti egy Felügyelt Azure SQL-példány (MI) számára a bejövő kapcsolatok engedélyezését a Power BI szolgáltatás. Az Azure-ban a szolgáltatáscímkék az IP-címek meghatározott csoportja, amelyet úgy konfigurálhat, hogy csoportként automatikusan felügyelhető legyen a hálózati biztonsági szabályok frissítéseinek vagy változásainak összetettségének minimalizálása érdekében. A Power BI-jal használt szolgáltatáscímkékkel engedélyezheti egy SQL Managed Instance-példány számára a Power BI szolgáltatás felől bejövő kapcsolatok engedélyezését.
A végpontok Power BI szolgáltatás való használatának sikeres engedélyezéséhez a következő konfigurációk szükségesek:
- Nyilvános végpont engedélyezése a felügyelt SQL-példányban.
- Hozzon létre egy hálózati biztonsági csoport szabályt a bejövő forgalom engedélyezéséhez.
- Adja meg a hitelesítő adatokat a Power BI-ban.
Az alábbi szakaszok ezeket a lépéseket tekintik át egymás után.
Nyilvános végpont engedélyezése
A folyamat első része egy nyilvános végpont engedélyezése a felügyelt SQL-példányban. Tegye a következőket:
Jelentkezzen be az Azure Portalra , és keresse meg a felügyelt SQL-példányt.
A lap bal oldalán válassza a Hálózatkezelés lehetőséget.
Állítsa be a nyilvános végpontot (adatokat) az engedélyezéshez, majd állítsa a minimális TLS-verziót 1.2-esre. Az alábbi képen az Azure Portal képernyője látható.
Válassza a Save (Mentés) lehetőséget a beállítások mentéséhez.
Biztonságicsoport-szabály létrehozása
A következő lépésgyűjteményhez létre kell hoznia egy hálózati biztonsági csoport (NSG) szabályt, amely engedélyezi a bejövő forgalmat a Power BI szolgáltatás. Ez a művelet az Azure Portalon a Power BI "Forrásszolgáltatás-címkéje" használatával, vagy a parancssori felület (CLI) vagy a PowerShell használatával hajtható végre.
Feljegyzés
A beállított szabály prioritásának magasabbnak kell lennie, mint a 4096-os deny_all_inbound szabály, ami azt jelenti, hogy a prioritási értéknek 4096-nál alacsonyabbnak kell lennie. Az alábbi példában egy 400-ás prioritási értéket használunk.
Hivatkozási példaként az alábbi CLI-szkriptet adhatja meg. További információ: az network nsg rule. Előfordulhat, hogy több értéket is módosítania kell a példában, hogy megfelelően működjön a helyzetében. Ezt követően egy PowerShell-szkriptet ad meg.
#login to azure
az login
#set subscription that contains SQL MI instance
$subname = "mysubscriptionname"
az account set --subscription $subname
#set NSG rule for inbound PowerBI traffic
#update $RG to your resource group name
$rg = 'myresourcegroup'
#update $nsg to your Network Security Group name
$nsg = 'nsgresourcename'
# Name the NSG rule
$rule = 'allow_inbound_PowerBI'
#set the priority - this must be higher priority (lower number) than the deny_all_inbound rule
$priority = 400
#specifiy the service tag to use
$servicetag = 'PowerBI'
#specify the public endpoint port defined in step 1
$port = 3342
#set the rule to inbound direction
$direction = 'Inbound'
#set the access type to "Allow"
$access = 'Allow'
#Set the protocol as TCP
$protocol = 'tcp'
#Provide a description for the rule
$desc = 'Allow PowerBI Access to SQL MI for Direct Query or Data Refresh.'
#create the NSG rule
az network nsg rule create -g $rg \
--nsg-name $nsg -n $rule --priority $priority \
--source-address-prefixes $servicetag --destination-address-prefixes '*' \
--destination-port-ranges $port --direction $direction --access $access \
--protocol $protocol --description $desc
Az NSG-szabály létrehozásához a következő PowerShell-szkript található. További információ: Hálózati biztonsági csoport szabály hozzáadása a PowerShellben. Előfordulhat, hogy több értéket is módosítania kell a példában, hogy megfelelően működjön a helyzetében.
#login to azure
Login-AzAccount
#get your subscription ID
Get-AzSubscription
####
#Script to create Network Security Group Rule
###
#enter your subscription ID
Set-AzContext -SubscriptionId "yoursubscriptionID"
#Provide the resource group for your Network Security Group
$RGname="yourRG"
#Enter the port for the SQL Managed Instance Public Endpoint
$port=3342
#name the NSG rule
$rulename="allow_inbound_PowerBI"
#provide the name of the Network Security Group to add the rule to
$nsgname="yourNSG"
#set direction to inbound to allow PowerBI to access SQL MI
$direction ="Inbound"
#set the priority of the rule. Priority must be higher (ie. lower number) than the deny_all_inbound (4096)
$priority=400
#set the service tags for the source to \u201cPowerBI\u201d
$serviceTag = "PowerBI"
# Get the NSG resource
$nsg = Get-AzNetworkSecurityGroup -Name $nsgname -ResourceGroupName $RGname
# Add the inbound security rule.
$nsg | Add-AzNetworkSecurityRuleConfig -Name $rulename -Description "Allow app port" -Access Allow `
-Protocol * -Direction $direction -Priority $priority -SourceAddressPrefix $serviceTag -SourcePortRange * `
-DestinationAddressPrefix * -DestinationPortRange $port
# Update the NSG.
$nsg | Set-AzNetworkSecurityGroup
Adja meg a hitelesítő adatokat a Power BI-ban
A folyamat utolsó része a hitelesítő adatok megadása a Power BI szolgáltatás.
Jelentkezzen be a Power BI szolgáltatás, és keresse meg a felügyelt SQL-példányt használó adatkészlet(ek)et tartalmazó munkaterületet. Az alábbi példában a munkaterület neve ASAdataset , az adathalmaz neve Contoso SQL MI Demo.
Válassza Gépház a jobb felső sarokban, majd válassza a legördülő menü Gépház elemét.
Az Adathalmazok területen bontsa ki az Adatforrás hitelesítő adatai szakaszt .
Válassza a Hitelesítő adatok szerkesztése hivatkozást. A megjelenő párbeszédpanelen adja meg az érvényes hitelesítő adatokat.
Mentse a beállításokat, és lépjen ki. A felügyelt SQL-példány most már úgy van konfigurálva, hogy engedélyezze a bejövő kapcsolatokat a Power BI szolgáltatás.