Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje několik nastavení komunikace přidružených k místní bráně dat. Tato nastavení je potřeba upravit tak, aby podporovala připojení ke zdroji dat a výstupní cílový přístup.
Povolení odchozích připojení Azure
Brána spoléhá na Azure Relay pro cloudové připojení. Brána odpovídajícím způsobem vytvoří odchozí připojení k přidruženému regionu Azure.
Pokud jste zaregistrovali tenanta Power BI nebo tenanta Office 365, vaše oblast Azure se ve výchozím nastavení nastaví na oblast této služby. V opačném případě může být vaše oblast Azure ta, která je k vám nejblíže.
Pokud brána firewall blokuje odchozí připojení, nakonfigurujte ji tak, aby povolovala odchozí připojení z brány do příslušného regionu Azure. Pravidla brány firewall na serveru brány a/nebo proxy serverech zákazníka je potřeba aktualizovat, aby byla umožněna odchozí komunikace ze serveru brány do následujících koncových bodů. Pokud vaše brána firewall nepodporuje zástupné znaky, použijte IP adresy z Azure IP rozsahů adres a značek služby. Mějte na paměti, že se budou muset každý měsíc synchronizovat.
Požadované porty pro fungování brány
Brána komunikuje prostřednictvím následujících odchozích portů: TCP 443, 5671, 5672 a 9350 až 9354. Brána nevyžaduje příchozí porty.
Pokyny k nastavení místní brány firewall nebo proxy serveru pomocí plně kvalifikovaných názvů domén (FQDN) místo použití IP adres, které se můžou změnit, najdete v krocích podpory DNS služby Azure WCF Relay.
Případně povolíte IP adresy pro svou oblast dat ve firewallu. Použijte níže uvedené soubory JSON, které se aktualizují každý týden.
Nebo můžete získat seznam požadovaných portů pravidelným testováním síťových portů v aplikaci brány.
Brána komunikuje se službou Azure Relay pomocí plně kvalifikovaných názvů domén (FQDNs). Pokud vynutíte, aby brána komunikovala přes HTTPS, bude výhradně používat plně kvalifikované názvy domén a nebude komunikovat pomocí IP adres.
Poznámka:
Seznam IP adres datacentra Azure zobrazuje IP adresy ve formátu CIDR (Classless Inter-Domain Routing). Příkladem tohoto zápisu je 10.0.0.0/24, což neznamená od 10.0.0.0 do 10.0.0.24. Přečtěte si další informace o CIDR notaci.
Následující seznam uvádí úplné doménové názvy, které využívá brána. Tyto koncové body jsou potřeba, aby brána fungovala.
| Názvy domén veřejného cloudu | Odchozí porty | Popis |
|---|---|---|
| *.download.microsoft.com | 443 | Používá se ke stažení instalačního programu. Aplikace brány také používá tuto doménu ke kontrole verze a oblasti brány. |
| *.powerbi.com | 443 | Používá se k identifikaci relevantního clusteru Power BI. |
| *.analysis.windows.net | 443 | Používá se k identifikaci relevantního clusteru Power BI. |
| *.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com | 443 | Používá se k ověření aplikace brány pro Microsoft Entra ID a OAuth2. Upozorňujeme, že v rámci procesu přihlašování k Microsoft Entra ID může být vyžadována další adresa URL, která může být jedinečná pro daného tenanta. |
| *.servicebus.windows.net | 5671-5672 | Používá se pro protokol AMQP (Advanced Message Queuing Protocol). |
| *.servicebus.windows.net | 443 a 9350-9354 | Naslouchá službě Azure Relay přes protokol TCP. K získání tokenů řízení přístupu Azure se vyžaduje port 443. |
| *.msftncsi.com | 80 | Používá se k otestování připojení k internetu, pokud se služba Power BI nemůže připojit k bráně. |
| *.dc.services.visualstudio.com | 443 | Používá se appInsights ke shromažďování telemetrie. |
| ecs.office.com | 443 | Používá se pro konfiguraci ECS pro povolení funkcí Mashupu. |
Pro GCC, GCC High a DoD brána používá následující plně kvalifikované názvy domén.
| Porty | GCC | GCC High | Ministerstvo obrany (DoD) |
|---|---|---|---|
| 443 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
| 443 | *.powerbigov.us, *.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
| 443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
| 443 | *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net | Dokumentace k Go Go | Přejít do dokumentace |
| 5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 a 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
| 443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
| 443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
| 443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
| 443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
| 443 | gccmod.ecs.office.com | config.ecs.gov.teams.microsoft.us | config.ecs.dod.teams.microsoft.us |
Brána používá pro China Cloud (Mooncake) následující FQDN.
| Porty | Čínský Cloud (Mooncake) |
|---|---|
| 443 | *.download.microsoft.com |
| 443 | *.powerbi.cn |
| 443 | *.asazure.chinacloudapi.cn |
| 443 | *.login.chinacloudapi.cn |
| 5671-5672 | *.servicebus.chinacloudapi.cn |
| 443 a 9350-9354 | *.servicebus.chinacloudapi.cn |
| 443 | *.chinacloudapi.cn |
| 443 | login.partner.microsoftonline.cn |
| 443 | Žádný ekvivalent Mooncake není nutný ke spuštění brány; používá se pouze ke kontrole sítě během poruch. |
| 443 | Žádný ekvivalent pro Mooncake, který se používá při přihlašování k Microsoft Entra ID. Další informace o koncových bodech MICROSOFT Entra ID najdete v tématu Kontrola koncových bodů v Azure. |
| 443 | applicationinsights.azure.cn |
| 443 | clientconfig.passport.net |
| 443 | aadcdn.msftauth.cn |
| 443 | aadcdn.msauth.cn |
| 443 | mooncake.ecs.office.com |
Poznámka:
Po instalaci a registraci brány jsou jedinými požadovanými porty a IP adresami potřebné službou Azure Relay, jak je popsáno pro servicebus.windows.net v předchozí tabulce. Seznam požadovaných portů můžete získat pravidelným testováním síťových portů v aplikaci brány. Bránu můžete také vynutit ke komunikaci pomocí protokolu HTTPS.
Požadované porty pro spouštění úloh Fabric
Pokud úloha Infrastruktury (například sémantické modely nebo toky dat infrastruktury) obsahuje dotaz, který se připojuje k místním zdrojům dat (přes místní bránu dat) a ke cloudovým zdrojům dat, provede se celý dotaz na místní bráně dat. Aby bylo možné spustit položku úlohy Fabric, musí být otevřené následující koncové body, aby měla místní brána dat přístup k požadovaným zdrojům dat podle potřeby:
| Názvy domén veřejného cloudu | Odchozí porty | Popis |
|---|---|---|
| *.core.windows.net | 443 | Používáno službou Dataflow Gen1 k zápisu dat do Azure Data Lake. |
| *.dfs.fabric.microsoft.com | 443 | Koncový bod používaný službou Dataflow Gen1 a Gen2 k připojení na OneLake. Další informace |
| *.datawarehouse.pbidedicated.windows.net | 1433 | Starý koncový bod používaný tokem Dataflow Gen2 pro připojení k přípravnému jezeře Fabric. Další informace |
| *.datawarehouse.fabric.microsoft.com | 1433 | Nový koncový bod používaný Dataflow Gen2 pro připojení k přípravnému úložišti typu lakehouse Fabric. Další informace |
| *.frontend.clouddatahub.net | 443 | Vyžadováno pro spuštění Fabric Pipeline |
Poznámka:
*.datawarehouse.pbidedicated.windows.net je nahrazován adresou *.datawarehouse.fabric.microsoft.com. Během tohoto procesu přechodu se ujistěte, že jsou oba koncové body otevřené, abyste zajistili aktualizaci Dataflow Gen2.
Kromě toho platí, že pokud se v dotazu úlohy použijí veškerá ostatní cloudová datová připojení (jak zdroje dat, tak výstupní cíle) s místním připojením ke zdroji dat, musíte také otevřít nezbytné síťové koncové body, abyste zajistili, že místní brána dat má přímý přístup k těmto cloudovým zdrojům dat.
Test síťových portů
Pokud chcete otestovat, jestli má brána přístup ke všem požadovaným portům:
Na počítači, kde běží brána, zadejte do vyhledávání ve Windows "brána" a pak vyberte aplikaci Místní datová brána.
Vyberte Diagnostiku. V části Test síťových portů vyberte Spustit nový test.
Když brána spustí test síťových portů, načte ze služby Azure Relay seznam portů a serverů a pak se pokusí připojit ke všem portům. Po opětovném spuštění nového testovacího propojení se dokončí test síťových portů.
Souhrnný výsledek testu je Dokončeno (Úspěšné) nebo Dokončeno (Neúspěšné, viz výsledky posledního testu). Pokud byl test úspěšný, vaše brána se připojila ke všem požadovaným portům. Pokud se test nepovedl, vaše síťové prostředí možná zablokuje požadované porty a servery.
Poznámka:
Brány firewall často občas povolují provoz na blokovaných stránkách. I v případě úspěšného testu možná budete muset přidat tento server na seznam povolených v bráně firewall.
Pokud chcete zobrazit výsledky posledního dokončeného testu, vyberte odkaz Otevřít poslední dokončené výsledky testu. Výsledky testu se otevřou ve výchozím textovém editoru.
Výsledky testu zobrazí seznam všech serverů, portů a IP adres, které vaše brána vyžaduje. Pokud se ve výsledcích testu zobrazí "Uzavřeno" u všech portů, jak je znázorněno na následujícím snímku obrazovky, ujistěte se, že vaše síťové prostředí neblokovalo tato připojení. Možná budete muset kontaktovat správce sítě a otevřít požadované porty.
Vynucení komunikace HTTPS se službou Azure Relay
Bránu můžete vynutit ke komunikaci se službou Azure Relay pomocí protokolu HTTPS místo přímého protokolu TCP.
Poznámka:
Od verze brány z června 2019 a na základě doporučení ze služby Relay se nové instalace místo protokolu TCP standardně nastaví na HTTPS. Toto výchozí chování se nevztahuje na aktualizované instalace.
Aplikaci brány můžete použít k vynucení přijetí tohoto chování bránou. V aplikaci brány vyberte Síť a pak zapněte režim HTTPS.
Po provedení této změny a po výběru možnosti Použít se služba systému Windows brány automaticky restartuje, aby se změna projevila. Tlačítko Použít se zobrazí jenom v případech, kdy provedete změnu.
Pokud chcete z aplikace brány restartovat službu Windows brány, přejděte na Restartovat bránu.
Poznámka:
Pokud brána nemůže komunikovat pomocí protokolu TCP, automaticky používá protokol HTTPS. Výběr v aplikaci brány vždy odráží aktuální hodnotu protokolu.
TLS 1.3 pro provoz brány
Ve výchozím nastavení brána ke komunikaci s služba Power BI používá protokol TLS (Transport Layer Security) 1.3. Abyste zajistili, že veškerý provoz brány používá protokol TLS 1.3, budete možná muset na počítači, na kterém běží služba brány, přidat nebo upravit následující klíče registru.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Poznámka:
Přidání nebo úprava těchto klíčů registru použije změnu u všech aplikací .NET. Informace o změnách registru, které ovlivňují protokol TLS pro jiné aplikace, najdete v nastavení registru TLS (Transport Layer Security).
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnuté ve značce služby a automaticky aktualizuje tuto značku, když dojde ke změně adres, což minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Datová brána má závislosti na následujících značkách služeb.
- Power BI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
Místní brána dat používá azure Relay pro určitou komunikaci. Pro službu Azure Relay však neexistují žádné značky služeb. Značky služeb ServiceBus jsou stále vyžadovány, protože se týkají funkcí front a témat služby, i když nejsou konkrétně určeny pro Azure Relay.
Značka služby AzureCloud představuje všechny globální IP adresy datového centra Azure. Vzhledem k tomu, že služba Azure Relay je založená na službě Azure Compute, jsou veřejné IP adresy služby Azure Relay podmnožinou IP adres AzureCloudu. Další informace: Přehled značek služeb Azure