Nastavení a používání privátních propojení
V prostředcích infrastruktury můžete nakonfigurovat a použít koncový bod, který vaší organizaci umožňuje privátní přístup k prostředkům infrastruktury. Pokud chcete nakonfigurovat privátní koncové body, musíte být správcem prostředků infrastruktury a mít v Azure oprávnění k vytváření a konfiguraci prostředků, jako jsou virtuální počítače a virtuální sítě.
Kroky, které umožňují bezpečný přístup k prostředkům infrastruktury z privátních koncových bodů, jsou:
- Nastavte privátní koncové body pro Prostředky infrastruktury.
- Na webu Azure Portal vytvořte služby privátního propojení Microsoft.PowerBI pro prostředek Power BI.
- Vytvořte virtuální síť.
- Vytvoření virtuálního počítače
- Vytvoření privátního koncového bodu
- Připojení k virtuálnímu počítači pomocí Bastionu.
- Privátní přístup k prostředkům infrastruktury z virtuálního počítače.
- Zakažte veřejný přístup pro Prostředky infrastruktury.
Následující části obsahují další informace pro každý krok.
Krok 1. Nastavení privátních koncových bodů pro Prostředky infrastruktury
Přejděte do nastavení tenanta.
Vyhledejte a rozbalte nastavení služby Azure Private Link.
Nastavte přepínač na Povoleno.
Konfigurace privátního propojení pro vašeho tenanta trvá přibližně 15 minut. To zahrnuje konfiguraci samostatného plně kvalifikovaného názvu domény (plně kvalifikovaný název domény) pro tenanta, aby bylo možné komunikovat soukromě se službami Fabric.
Po dokončení tohoto procesu přejděte k dalšímu kroku.
Krok 2. Vytvoření služeb privátního propojení Microsoft.PowerBI pro prostředek Power BI na webu Azure Portal
Tento krok slouží k podpoře přidružení privátního koncového bodu Azure k vašemu prostředku infrastruktury.
Přihlaste se k portálu Azure.
Vyberte Vytvořit prostředek.
V části Nasazení šablony vyberte Vytvořit.
Na stránce Vlastní nasazení vyberte v editoru vytvořit vlastní šablonu.
V editoru vytvořte následující prostředek infrastruktury pomocí šablony ARM, jak je znázorněno níže, kde
<resource-name>
je název, který zvolíte pro prostředek Fabric.<tenant-object-id>
je ID vašeho tenanta Microsoft Entra. Přečtěte si , jak najít ID tenanta Microsoft Entra.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Pokud používáte cloud Azure Government pro Power BI,
location
měl by to být název oblasti tenanta. Pokud je například tenant v US Gov Texas, měli byste vložit"location": "usgovtexas"
šablonu ARM. Seznam oblastí státní správy USA v Power BI najdete v článku Prostředky infrastruktury pro státní správu USA.Důležité
Použijte
Microsoft.PowerBI/privateLinkServicesForPowerBI
jakotype
hodnotu, i když se prostředek vytváří pro Prostředky infrastruktury.Uložte šablonu. Pak zadejte následující informace.
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte **Vytvořit nový. Jako název zadejte test-PL. Vyberte OK. Podrobnosti o instanci Vyberte oblast. Oblast Na obrazovce kontroly vyberte Vytvořit a přijměte podmínky a ujednání.
Krok 3. Vytvoření virtuální sítě
Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Azure Bastion a hostitelem služby Azure Bastion.
Počet IP adres, které bude vaše podsíť potřebovat, je počet kapacit vašeho tenanta plus pět. Pokud například vytváříte podsíť pro tenanta se sedmi kapacitami, budete potřebovat dvanáct IP adres.
Na webu Azure Portal vyhledejte a vyberte Virtuální sítě.
Na stránce Virtuální sítě vyberte + Vytvořit.
Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-PL, název, který jsme vytvořili v kroku 2. Podrobnosti o instanci Název Zadejte vnet-1. Oblast Vyberte oblast, ve které zahájíte připojení k prostředkům infrastruktury. Výběrem možnosti Další přejděte na kartu Zabezpečení . V závislosti na obchodní potřebě můžete ponechat výchozí nebo změnit.
Výběrem možnosti Další přejděte na kartu IP adresy. V závislosti na obchodní potřebě můžete ponechat výchozí nebo změnit.
Zvolte Uložit.
V dolní části obrazovky vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.
Krok 4. Vytvoření virtuálního počítače
Dalším krokem je vytvoření virtuálního počítače.
Na webu Azure Portal přejděte na Vytvoření výpočetních > virtuálních počítačů prostředků>.
Na kartě Základy zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte skupinu prostředků, kterou jste zadali v kroku 2. Podrobnosti o instanci Virtual machine name Zadejte název nového virtuálního počítače. Výběrem informační bubliny vedle názvu pole zobrazíte důležité informace o názvech virtuálních počítačů. Oblast Vyberte oblast, kterou jste vybrali v kroku 3. Možnosti dostupnosti Pro testování zvolte Bez redundance infrastruktury. Typ zabezpečení Nechte zadanou výchozí hodnotu. Image Vyberte požadovaný obrázek. Zvolte například Windows Server 2022. Architektura virtuálního počítače Ponechte výchozí hodnotu x64. Velikost Vyberte velikost. ÚČET SPRÁVCE Username Zadejte uživatelské jméno podle svého výběru. Heslo Zadejte libovolné heslo. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost. Potvrdit heslo Zadejte znovu heslo. PRAVIDLA PORTŮ PRO PŘÍCHOZÍ SPOJENÍ Veřejné příchozí porty Zvolte Žádné. Vyberte Další: Disky.
Na kartě Disky ponechte výchozí hodnoty a vyberte Další: Sítě.
Na kartě Sítě vyberte následující informace:
Nastavení Hodnota Virtuální síť Vyberte virtuální síť, kterou jste vytvořili v kroku 3. Podsíť Vyberte výchozí hodnotu (10.0.0.0.0/24), kterou jste vytvořili v kroku 3. U zbývajících polí ponecháte výchozí hodnoty.
Vyberte Zkontrolovat a vytvořit. Přejdete na stránku Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.
Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.
Krok 5. Vytvoření privátního koncového bodu
Dalším krokem je vytvoření privátního koncového bodu pro Prostředky infrastruktury.
Do vyhledávacího pole v horní části portálu zadejte privátní koncový bod. Vyberte privátní koncové body.
Vyberte + Vytvořit v privátních koncových bodech.
Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte skupinu prostředků, kterou jste vytvořili v kroku 2. Podrobnosti o instanci Název Zadejte FabricPrivateEndpoint. Pokud se tento název vytvoří, vytvořte jedinečný název. Oblast V kroku 3 vyberte oblast, kterou jste pro virtuální síť vytvořili. Následující obrázek znázorňuje okno Vytvořit privátní koncový bod – Základy .
Vyberte Další: Prostředek. V podokně Prostředek zadejte nebo vyberte následující informace:
Nastavení Hodnota Způsob připojení V adresáři vyberte připojit se k prostředku Azure. Předplatné Vyberte své předplatné. Typ prostředku Vyberte Microsoft.PowerBI/privateLinkServicesForPowerBI. Prostředek Vyberte prostředek infrastruktury, který jste vytvořili v kroku 2. Cílový podsourc Tenant Následující obrázek znázorňuje okno Vytvořit privátní koncový bod – prostředek .
Vyberte Další: Virtuální síť. Ve virtuální síti zadejte nebo vyberte následující informace.
Nastavení Hodnota SÍTÍ Virtuální síť Vyberte vnet-1 , kterou jste vytvořili v kroku 3. Podsíť Vyberte podsíť 1 , kterou jste vytvořili v kroku 3. INTEGRACE PRIVÁTNÍHO DNS Integrovat s privátní zónou DNS Vyberte Ano. Zóna privátního DNS Vyberte
(Nový)privatelink.analysis.windows.net
(Nový)privatelink.pbidedicated.windows.net
(Nový)privatelink.prod.powerquery.microsoft.comVyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Poznámka:
Pokud máte existující privátní koncový bod Power BI, nemusí fungovat pro položky infrastruktury. V současné době potřebujete vytvořit nový privátní koncový bod, abyste získali podporu pro položky Infrastruktury.
Krok 6. Připojení k virtuálnímu počítači pomocí Bastionu
Azure Bastion chrání vaše virtuální počítače tím, že poskytuje jednoduché připojení založené na prohlížeči, aniž by bylo nutné je zveřejnit prostřednictvím veřejných IP adres. Další informace najdete v tématu Co je Azure Bastion?.
Připojení k virtuálnímu počítači pomocí následujícího postupu:
Ve virtuální síti, kterou jste vytvořili v kroku 3, vytvořte podsíť s názvem AzureBastionSubnet.
Na panelu hledání portálu zadejte virtuální počítač testVM , který jsme vytvořili v kroku 4.
Vyberte tlačítko Připojení a v rozevírací nabídce zvolte Připojení prostřednictvím Bastionu.
Vyberte Nasadit Bastion.
Na stránce Bastion zadejte požadované ověřovací přihlašovací údaje a klikněte na Připojení.
Krok 7. Privátní přístup k prostředkům infrastruktury z virtuálního počítače
Dalším krokem je privátní přístup k prostředkům infrastruktury z virtuálního počítače, který jste vytvořili v předchozím kroku, pomocí následujících kroků:
Na virtuálním počítači otevřete PowerShell.
Zadejte
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.Obdržíte odpověď podobnou následující zprávě a uvidíte, že se vrátí privátní IP adresa. Uvidíte, že koncový bod Onelake a koncový bod skladu také vrací privátní IP adresy.
Otevřete prohlížeč a přejděte na app.fabric.com , abyste se k prostředkům infrastruktury dostali soukromě.
Krok 8. Zakázání veřejného přístupu pro Prostředky infrastruktury
Nakonec můžete volitelně zakázat veřejný přístup pro Prostředky infrastruktury.
Pokud zakážete veřejný přístup k prostředkům infrastruktury, zavedou se určitá omezení přístupu ke službám Fabric, jak je popsáno v další části.
Důležité
Když zapnete Blokovat přístup k internetu, zkušební kapacita už nebude fungovat a některé položky infrastruktury budou zakázané.
Pokud chcete zakázat veřejný přístup k prostředkům infrastruktury, přihlaste se k Fabric jako správce a přejděte na portál Správa. Vyberte nastavení tenanta a přejděte do části Pokročilé sítě . Povolte přepínací tlačítko v nastavení Blokovat veřejný internetový přístup tenanta.
Zakázání přístupu organizace k prostředkům infrastruktury z veřejného internetu trvá přibližně 15 minut.
Dokončení konfigurace privátního koncového bodu
Jakmile budete postupovat podle kroků v předchozích částech a privátní propojení se úspěšně nakonfiguruje, vaše organizace implementuje privátní propojení na základě následujících výběrů konfigurace, ať už je výběr nastaven při počáteční konfiguraci nebo následně změněn.
Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:
- Prostředky infrastruktury jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
- Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
- Provoz z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, budou službou blokovány a nebudou fungovat.
- Můžou existovat scénáře, které nepodporují privátní propojení, což proto bude ve službě blokováno, když je povolený blokovat veřejný přístup k internetu.
Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:
- Provoz z veřejného internetu povolí služby Fabric.
- Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
- Přenosy z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, se přenášejí přes veřejný internet a budou povoleny službami Fabric.
- Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, budou scénáře, které nepodporují privátní propojení, blokovány virtuální sítí a nebudou fungovat.
Následující video ukazuje, jak připojit mobilní zařízení k prostředkům infrastruktury pomocí privátních koncových bodů:
Poznámka:
Toto video může používat starší verze Power BI Desktopu nebo služba Power BI.
Máte ještě další otázky? Zeptejte se komunity fabric.
Související obsah
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro