Sdílet prostřednictvím

Nastavení a používání privátních propojení na úrovni tenanta

Microsoft Fabric podporuje zabezpečený přístup k datům prostřednictvím privátních propojení, které používají Azure Private Link a privátní koncové body ke směrování provozu přes páteřní síť Microsoftu místo veřejného internetu. Privátní propojení můžete nakonfigurovat na úrovni tenanta i pracovního prostoru. Tento článek vysvětluje, jak nastavit privátní propojení pro tenanta Fabric.

Pokud chcete nakonfigurovat privátní koncové body, musíte být správcem prostředků infrastruktury a mít v Azure oprávnění k vytváření a konfiguraci prostředků, jako jsou virtuální počítače a virtuální sítě.

Krok 1. Nastavení privátních koncových bodů pro Prostředky infrastruktury

  1. Přihlaste se k Fabric jako správce.

  2. Přejděte do nastavení tenanta.

  3. Vyhledejte a rozbalte nastavení služby Azure Private Link.

  4. Nastavte přepínač na Povoleno.

    Snímek obrazovky znázorňující nastavení tenanta Azure Private Link

Konfigurace privátního propojení pro vašeho tenanta trvá přibližně 15 minut, včetně konfigurace samostatného plně kvalifikovaného názvu domény (plně kvalifikovaného názvu domény), aby tenant komunikoval soukromě se službami Fabric.

Po dokončení tohoto procesu přejděte k dalšímu kroku.

Tento krok slouží k podpoře přidružení privátního koncového bodu Azure k vašemu prostředku infrastruktury.

  1. Přihlaste se k portálu Azure.

  2. Vyberte Vytvořit prostředek.

  3. V části Nasazení šablony vyberte Vytvořit.

    Snímek obrazovky s odkazem Vytvořit šablonu v části Vytvořit prostředek

  4. Na stránce Vlastní nasazení vyberte v editoru vytvořit vlastní šablonu.

    Snímek obrazovky s možností Vytvořit vlastní šablonu

  5. V editoru vytvořte následující prostředek infrastruktury pomocí šablony ARM, jak je znázorněno, kde

    • <resource-name> je název, který zvolíte pro prostředek Fabric.
    • <tenant-object-id> je ID vašeho tenanta Microsoft Entra. Přečtěte si , jak najít ID tenanta Microsoft Entra.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Pokud používáte cloud Azure Government pro Power BI, location měl by to být název oblasti tenanta. Pokud je například tenant v US Gov Texas, měli byste vložit "location": "usgovtexas" šablonu ARM. Seznam oblastí power BI pro státní správu USA najdete v článku o Power BI pro státní správu USA.

    Důležité

    Použijte Microsoft.PowerBI/privateLinkServicesForPowerBI jako type hodnotu, i když se prostředek vytváří pro Prostředky infrastruktury.

  6. Uložte šablonu. Pak zadejte následující informace.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte **Vytvořit nový. Jako název zadejte test-PL. Vyberte OK.
    Podrobnosti o instanci Vyberte oblast.
    Oblast

    Snímek obrazovky s kartou Základy vlastního nasazení

  7. Na obrazovce kontroly vyberte Vytvořit a přijměte podmínky a ujednání.

    Snímek obrazovky s podmínkami Azure Marketplace

Krok 3. Vytvoření virtuální sítě

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Azure Bastion a hostitelem služby Azure Bastion.

Počet IP adres, které vaše podsíť potřebuje, je počet kapacit, které jste vytvořili ve vašem tenantovi a 15. Pokud například vytváříte podsíť pro tenanta se sedmi kapacitami, potřebujete 22 IP adres.

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole zadejte virtuální sítě a ve výsledcích hledání ho vyberte.

  3. Na stránce Virtuální sítě vyberte + Vytvořit.

  4. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Subscription Vyberte své předplatné.
    Skupina zdrojů Vyberte skupinu prostředků, kterou jste vytvořili dříve pro službu private link, například test-PL.
    název Zadejte název vaší virtuální sítě, například vnet-1.
    Oblast Vyberte oblast, ve které zahájíte připojení k prostředkům infrastruktury.

    Snímek obrazovky s kartou Základy v části Vytvoření virtuální sítě

  5. Výběrem možnosti Další přejděte na kartu Zabezpečení . Můžete zachovat výchozí nastavení nebo je upravit podle požadavků vaší organizace.

  6. Výběrem možnosti Další přejděte na kartu IP adresy . Můžete zachovat výchozí nastavení nebo je upravit podle požadavků vaší organizace.

    Snímek obrazovky s kartou IP adresy v části Vytvoření virtuální sítě

  7. Zvolte Uložit.

  8. V dolní části obrazovky vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Krok 4. Vytvoření virtuálního počítače

Dalším krokem je vytvoření virtuálního počítače.

  1. Přihlaste se k portálu Azure.

  2. Přejděte na Vytvoření výpočetních > virtuálních počítačů prostředků>.

  3. Na kartě Základy zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Subscription Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte stejnou skupinu prostředků, kterou jste použili dříve při vytváření služby private link.
    Název virtuálního počítače Zadejte název nového virtuálního počítače. Výběrem informační bubliny vedle názvu pole zobrazíte důležité informace o názvech virtuálních počítačů.
    Oblast Vyberte stejnou oblast, kterou jste použili dříve při vytváření virtuální sítě.
    Možnosti dostupnosti Pro testování zvolte Bez redundance infrastruktury.
    Typ zabezpečení Nechte zadanou výchozí hodnotu.
    Obraz Vyberte požadovaný obrázek. Zvolte například Windows Server 2022.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    velikost Vyberte velikost.
    Uživatelské jméno Zadejte uživatelské jméno podle svého výběru.
    Heslo Zadejte libovolné heslo. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost.
    Potvrzení hesla Zadejte znovu heslo.
    Veřejné příchozí porty Zvolte Žádné.

    Snímek obrazovky s kartou Vytvoření základního virtuálního počítače

  4. Vyberte Další: Disky.

  5. Na kartě Disky ponechte výchozí hodnoty a vyberte Další: Sítě.

  6. Na kartě Sítě vyberte následující informace:

    Nastavení Hodnota
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili dříve pro toto nasazení.
    Subnet Vyberte výchozí podsíť (například 10.0.0.0/24), kterou jste vytvořili dříve v rámci nastavení virtuální sítě.

    U zbývajících polí ponechte výchozí hodnoty.

    Snímek obrazovky s kartou Vytvoření sítě virtuálních počítačů

  7. Vyberte Zkontrolovat a vytvořit. Přejdete na stránku Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.

  8. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

Krok 5. Vytvoření privátního koncového bodu

Dalším krokem je vytvoření privátního koncového bodu pro Prostředky infrastruktury.

  1. Do vyhledávacího pole v horní části portálu zadejte privátní koncový bod. Vyberte privátní koncové body.

  2. Vyberte + Vytvořit v privátních koncových bodech.

  3. Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte skupinu prostředků, kterou jste vytvořili dříve při vytváření služby private link v Azure.
    Podrobnosti o instanci
    Název Zadejte FabricPrivateEndpoint. Pokud se tento název vytvoří, vytvořte jedinečný název.
    Oblast Vyberte oblast, kterou jste vytvořili dříve pro virtuální síť.

    Následující obrázek znázorňuje okno Vytvořit privátní koncový bod – Základy .

    Snímek obrazovky s kartou Základy v části Vytvoření privátního koncového bodu

  4. Vyberte Další: Prostředek. V podokně Prostředek zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Způsob připojení V adresáři vyberte připojit se k prostředku Azure.
    Předplatné Vyberte své předplatné.
    Typ prostředku Vyberte Microsoft.PowerBI/privateLinkServicesForPowerBI.
    Prostředek Vyberte prostředek infrastruktury, který jste vytvořili dříve při vytváření služby privátního propojení v Azure.
    Cílový podsourc Tenant

    Následující obrázek znázorňuje okno Vytvořit privátní koncový bod – prostředek .

    Snímek obrazovky s oknem vytvořit prostředek privátního koncového bodu

  5. Vyberte Další: Virtuální síť. Ve virtuální síti zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    SÍŤOVÁNÍ
    Virtuální síť Vyberte název virtuální sítě, který jste vytvořili dříve (například vnet-1).
    Podsíť Vyberte název podsítě, kterou jste vytvořili dříve (například podsíť-1).
    INTEGRACE PRIVÁTNÍHO DNS
    Integrovat s privátní zónou DNS Vyberte Ano.
    Zóna privátního DNS Vyberte
    (Nový)privatelink.analysis.windows.net
    (Nový)privatelink.pbidedicated.windows.net
    (Nový)privatelink.prod.powerquery.microsoft.com

    Snímek obrazovky s oknem DNS pro vytvoření privátního koncového bodu

  6. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

  7. Vyberte Vytvořit.

Krok 6. Připojení k virtuálnímu počítači pomocí Bastionu

Azure Bastion chrání vaše virtuální počítače tím, že poskytuje jednoduché připojení založené na prohlížeči, aniž by bylo nutné je zveřejnit prostřednictvím veřejných IP adres. Další informace najdete v tématu Co je Azure Bastion?.

Připojte se k virtuálnímu počítači pomocí následujících kroků:

  1. Do virtuální sítě, kterou jste vytvořili dříve, přidejte novou podsíť s názvem AzureBastionSubnet.

    Snímek obrazovky s vytvořením podsítě AzureBastionSubnet

  2. Na panelu hledání na portálu zadejte název virtuálního počítače, který jste vytvořili dříve, a vyberte ho z výsledků hledání.

  3. Vyberte tlačítko Připojit a v rozevírací nabídce zvolte Připojit přes Bastion.

    Snímek obrazovky s možností Připojit přes Bastion

  4. Vyberte Nasadit Bastion.

  5. Na stránce Bastion zadejte požadované ověřovací přihlašovací údaje a pak vyberte Připojit.

Krok 7. Privátní přístup k prostředkům infrastruktury z virtuálního počítače

Dalším krokem je privátní přístup k prostředkům infrastruktury z virtuálního počítače, který jste vytvořili v předchozím kroku, pomocí následujících kroků:

  1. Na virtuálním počítači otevřete PowerShell.

  2. Zadejte nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Obdržíte odpověď podobnou následující zprávě a uvidíte, že se vrátí privátní IP adresa. Vidíte, že koncový bod OneLake a koncový bod skladu také vrací privátní IP adresy.

    Snímek obrazovky zobrazující IP adresy vrácené v PowerShellu

  4. Otevřete prohlížeč a přejděte na app.fabric.microsoft.com , abyste se k prostředkům infrastruktury dostali soukromě.

Krok 8. Zakázání veřejného přístupu pro Prostředky infrastruktury

Nakonec můžete volitelně zakázat veřejný přístup pro Prostředky infrastruktury.

Pokud zakážete veřejný přístup k prostředkům infrastruktury, zavedou se určitá omezení přístupu ke službám Fabric, jak je popsáno v další části.

Důležité

Když zapnete blokovat přístup k internetu, některé nepodporované položky infrastruktury se deaktivují. Seznamte se s úplným seznamem omezeníach

Pokud chcete zakázat veřejný přístup k prostředkům infrastruktury, přihlaste se k Fabric jako správce a přejděte na portál pro správu. Vyberte nastavení tenanta a přejděte do části Pokročilé sítě . Povolte přepínací tlačítko v nastavení Blokovat veřejný internetový přístup tenanta.

Snímek obrazovky s povoleným nastavením blokovat tenanta veřejného přístupu k Internetu

Zakázání přístupu organizace k prostředkům infrastruktury z veřejného internetu trvá přibližně 15 minut.

Dokončení konfigurace privátního koncového bodu

Jakmile dokončíte kroky v předchozích částech a privátní propojení se úspěšně nakonfiguruje, vaše organizace implementuje privátní propojení na základě následujících výběrů konfigurace, ať už je výběr nastavený při počáteční konfiguraci nebo později.

Pokud je služba Azure Private Link správně nakonfigurovaná a je povolený blokování veřejného přístupu kinternetu:

  • Prostředky infrastruktury jsou přístupné jenom pro vaši organizaci z privátních koncových bodů a nejsou přístupné z veřejného internetu.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenášejí přes privátní propojení.
  • Služba blokuje provoz z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení.
  • Můžou existovat scénáře, které nepodporují privátní propojení, která jsou ve službě blokovaná, když je povolený blokovat veřejný přístup k internetu .

Pokud je služba Azure Private Link správně nakonfigurovaná a blokování veřejného přístupu k internetu je zakázané:

  • Provoz z veřejného internetu povoluje služby Fabric.
  • Provoz z koncových bodů cílení na virtuální síť a scénáře, které podporují privátní propojení, se přenáší přes privátní propojení.
  • Přenosy z koncových bodů cílení na virtuální síť a scénáře, které nepodporují privátní propojení, se přenášejí přes veřejný internet a jsou povolené službami Fabric.
  • Pokud je virtuální síť nakonfigurovaná tak, aby blokovala veřejný přístup k internetu, virtuální síť blokuje scénáře, které nepodporují privátní propojení.

Následující video ukazuje, jak připojit mobilní zařízení k prostředkům infrastruktury pomocí privátních koncových bodů:

Poznámka:

Toto video může používat starší verze Power BI Desktopu nebo služba Power BI.

Máte ještě další otázky? Zeptejte se komunity fabric.

Pokud chcete nastavení Private Link zakázat, před zakázáním nastavení se ujistěte, že se odstraní všechny privátní koncové body, které jste vytvořili, a odpovídající privátní zónu DNS. Pokud má vaše virtuální síť nastavené privátní koncové body, ale služba Private Link je zakázaná, může dojít k selhání připojení z této virtuální sítě.

Pokud nastavení Private Link zakážete, doporučujeme to udělat během mimopracovních hodin. V některých scénářích může trvat až 15 minut výpadku, než se změna projeví.

Související obsah

  • Last updated on