Nastavení a používání privátních propojení na úrovni pracovního prostoru

Privátní propojení vylepšují zabezpečení směrováním provozu prostřednictvím služby Azure Private Link a privátních koncových bodů a zajišťují, aby data zůstala v privátní síti Microsoftu místo veřejného internetu. Microsoft Fabric nabízí privátní propojení ve dvou oborech: na úrovni tenanta a na úrovni pracovního prostoru. Privátní propojení na úrovni tenanta zabezpečí všechny pracovní prostory v rámci tenanta, zatímco privátní propojení na úrovni pracovního prostoru umožňují spravovat přístup k síti pro konkrétní pracovní prostory jednotlivě.

Tento článek obsahuje pokyny k nastavení privátních propojení na úrovni pracovního prostoru v prostředcích infrastruktury.

Požadavky

• Pracovní prostor musí být přiřazený ke kapacitě Fabric (SKU F). Jiné kapacity, jako jsou premium (SKU P) a zkušební kapacity, se nepodporují.
• Správce prostředků infrastruktury musí povolit nastavení tenanta Konfigurovat příchozí pravidla sítě na úrovni pracovního prostoru. Podrobnosti najdete v tématu Povolení ochrany příchozího přístupu pracovního prostoru pro vašeho tenanta.
• Potřebujete ID pracovního prostoru. Najděte ji v adrese URL za group.
• Potřebujete ID tenanta. Na portálu Fabric vyberte v pravém horním rohu otazník a pak vyberte O Power BI. ID tenanta je součástíadresy URL tenanta.
• Musíte být správcem pracovního prostoru a mít dostatečná oprávnění Azure k nastavení služby private link v Azure.
• Abyste mohli nakonfigurovat zásady komunikace pracovního prostoru, musíte být správcem pracovního prostoru.
• Pokud v tenantovi nastavujete privátní propojení na úrovni pracovního prostoru poprvé, zaregistrujte poskytovatele prostředků Microsoft.Fabric v Azure pro předplatná obsahující prostředek privátního propojení pracovního prostoru a privátní koncový bod. Na webu Azure Portal přejděte dočásti Poskytovatelé prostředků>>, vyberte Microsoft.Fabric a pak vyberte Znovu zaregistrovat.

Krok 1. Vytvoření pracovního prostoru v prostředcích infrastruktury

Vytvořte pracovní prostor v prostředcích infrastruktury. Ujistěte se, že je pracovní prostor přiřazený ke kapacitě Fabric. Přiřazení můžete zkontrolovat tak, že přejdete do nastavení pracovního prostoru a vyberete Informace o licenci, jak je popsáno v kroku 1 opětovného přiřazení pracovního prostoru k jiné kapacitě.

Krok 2. Vytvoření služby Private Link v Azure

Pokud chcete vytvořit službu privátního propojení, nasaďte šablonu ARM v Azure pomocí následujícího postupu:

1. Přihlaste se do Azure Portalu.

2. Na panelu hledání na webu Azure Portal vyhledejte vlastní šablonu a pak ji vyberte z dostupných možností.

3. Na stránce Vlastní nasazení vyberte v editoru vytvořit vlastní šablonu.

4. V editoru vytvořte prostředek infrastruktury pomocí následující šablony ARM, kde:

   • <resource-name> je název, který zvolíte pro prostředek Fabric.
   • <tenant-object-id> je ID vašeho tenanta Microsoft Entra. Přečtěte si, jak najít ID tenanta Microsoft Entra.
   • <workspace-id> je ID pracovního prostoru, které jste si poznamenali jako součást požadavků.

    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
        {
          "type": "Microsoft.Fabric/privateLinkServicesForFabric",
          "apiVersion": "2024-06-01",
          "name": "<resource-name>",
          "location": "global",
          "properties": {
            "tenantId": "<tenant-id>",
            "workspaceId": "<workspace-id>"
          }
        }
      ]
    }

Podrobnosti o službě Private Link najdete v souboru JSON.

Prostředek služby private link můžete najít také ve skupině prostředků, ale musíte vybrat Možnost Zobrazit skryté prostředky.

Krok 3. Vytvoření virtuální sítě

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Azure Bastion a hostitelem služby Azure Bastion.

Doporučujeme vyhrazovat alespoň 10 IP adres pro každý privátní koncový bod na úrovni pracovního prostoru pro budoucí použití. V současné době v podsíti vytvoříme pět IP adres na privátní propojení na úrovni pracovního prostoru.

1. Přihlaste se do Azure Portalu.

2. Do vyhledávacího pole zadejte virtuální sítě a ve výsledcích hledání ho vyberte.

3. Na stránce Virtuální sítě vyberte + Vytvořit.

4. Na kartě Základyvytvoření virtuální sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Subscription	Vyberte své předplatné.
   Skupina zdrojů	Vyberte skupinu prostředků, kterou jste vytvořili dříve pro službu private link, například test-PL.
   název	Zadejte název vaší virtuální sítě, například vnet-1.
   Oblast	Vyberte oblast, ve které zahájíte připojení k prostředkům infrastruktury.

   

5. Výběrem možnosti Další přejděte na kartu Zabezpečení . Můžete zachovat výchozí nastavení nebo je upravit podle požadavků vaší organizace.

6. Výběrem možnosti Další přejděte na kartu IP adresy . Můžete zachovat výchozí nastavení nebo je upravit podle požadavků vaší organizace.

   

7. Vyberte Uložit.

8. V dolní části obrazovky vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Krok 4. Vytvoření virtuálního počítače

1. Přihlaste se do Azure Portalu.

2. Přejděte na Vytvoření výpočetních > virtuálních počítačů prostředků>.

3. Na kartě Základy zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Subscription	Vyberte své předplatné Azure.
   Skupina zdrojů	Vyberte stejnou skupinu prostředků, kterou jste použili dříve při vytváření služby private link.
   Název virtuálního počítače	Zadejte název nového virtuálního počítače. Výběrem informační bubliny vedle názvu pole zobrazíte důležité informace o názvech virtuálních počítačů.
   Oblast	Vyberte stejnou oblast, kterou jste použili dříve při vytváření virtuální sítě.
   Možnosti dostupnosti	Pro testování zvolte Bez redundance infrastruktury.
   Typ zabezpečení	Ponechte výchozí hodnotu.
   Obraz	Vyberte požadovaný obrázek. Zvolte například Windows Server 2022.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Uživatelské jméno	Zadejte uživatelské jméno podle svého výběru.
   Heslo	Zadejte heslo podle svého výběru. Heslo musí mít délku minimálně 12 znaků a musí splňovat definované požadavky na složitost.
   Potvrzení hesla	Zadejte znovu heslo.
   Veřejné příchozí porty	Zvolte Žádné.

   

4. Vyberte Další: Disky.

5. Na kartě Disky ponechte výchozí hodnoty a vyberte Další: Sítě.

6. Na kartě Sítě vyberte následující informace:

   Nastavení	Hodnota
   Virtuální síť	Vyberte virtuální síť, kterou jste vytvořili dříve pro toto nasazení.
   Podsíť	Vyberte výchozí podsíť (například 10.0.0.0/24), kterou jste vytvořili dříve v rámci nastavení virtuální sítě.

   U zbývajících polí ponechte výchozí hodnoty.

   

7. Vyberte možnost Zkontrolovat a vytvořit. Přejdete na stránku Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.

8. Až se zobrazí zpráva o úspěšném ověření , vyberte Vytvořit.

Krok 5. Vytvoření privátního koncového bodu

Ve virtuální síti, kterou jste vytvořili v kroku 3, vytvořte privátní koncový bod a nasměrujte na službu privátního propojení, kterou jste vytvořili v kroku 2.

1. Do vyhledávacího pole v horní části portálu zadejte privátní koncový bod. Vyberte privátní koncové body.

2. Vyberte + Vytvořit v privátních koncových bodech.

3. Na kartě Základyvytvoření privátního koncového bodu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Subscription	Vyberte své předplatné Azure.
   Skupina zdrojů	Vyberte skupinu prostředků, kterou jste vytvořili dříve při vytváření služby private link v Azure.
   název	Zadejte jedinečný název.
   Název síťového rozhraní	Zadejte FabricPrivateEndpointNIC. Pokud se tento název vytvoří, vytvořte jedinečný název.
   Oblast	Vyberte oblast, kterou jste vytvořili dříve pro virtuální síť.

   

4. Vyberte Další: Prostředek. V podokně Prostředek zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Metoda připojení	V adresáři vyberte připojit se k prostředku Azure.
   Subscription	Vyberte své předplatné.
   Typ prostředku	Vyberte Microsoft.Fabric/privateLinkServicesForFabric.
   Resource	Vyberte prostředek infrastruktury, který jste vytvořili dříve při vytváření služby privátního propojení v Azure.
   Cílový podsourc	pracovní prostor

   Následující obrázek znázorňuje okno Vytvořit privátní koncový bod – prostředek .

   

5. Vyberte Další: Virtuální síť. Ve virtuální síti zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Virtuální síť	Vyberte název virtuální sítě, který jste vytvořili dříve (například vnet-1).
   Podsíť	Vyberte název podsítě, kterou jste vytvořili dříve (například podsíť-1).

6. Vyberte Další: DNS. V části Integrace privátního DNS zadejte nebo vyberte následující informace.

   Nastavení	Hodnota
   Integrace s privátní zónou DNS	Vyberte Ano.
   Privátní zóna DNS	Vybrat (Nový)privatelink.fabric.microsoft.com

   

7. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

8. Vyberte Vytvořit.

Krok 6. Připojení k virtuálnímu počítači

Azure Bastion chrání vaše virtuální počítače tím, že poskytuje jednoduché připojení založené na prohlížeči, aniž by bylo nutné je zveřejnit prostřednictvím veřejných IP adres. Další informace najdete v tématu Co je Azure Bastion?.

Připojte se k virtuálnímu počítači pomocí následujících kroků:

1. Do virtuální sítě, kterou jste vytvořili dříve, přidejte novou podsíť s názvem AzureBastionSubnet.

   

2. Na panelu hledání na portálu zadejte název virtuálního počítače, který jste vytvořili dříve, a vyberte ho z výsledků hledání.

3. Vyberte tlačítko Připojit a v rozevírací nabídce zvolte Připojit přes Bastion .

   

4. Vyberte Nasadit Bastion.

5. Na stránce Bastion zadejte požadované ověřovací přihlašovací údaje a pak vyberte Připojit.

Krok 7. Privátní přístup k prostředkům infrastruktury z virtuálního počítače

Pak privátní přístup k prostředkům Infrastruktury z virtuálního počítače, který jste vytvořili v předchozím kroku. Tento krok ověří, že je privátní koncový bod správně nakonfigurovaný a že můžete přeložit plně kvalifikovaný název domény (FQDN) pracovního prostoru Fabric na privátní IP adresu.

1. Na virtuálním počítači otevřete příkazový řádek.

2. Zadejte následující příkaz:

   nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com

   kde workspaceid je ID objektu pracovního prostoru bez pomlček a xy představuje první dva znaky ID objektu pracovního prostoru.

3. Vrátí se privátní IP adresa.

Krok 8. Odepřít veřejný přístup k pracovnímu prostoru

Volitelně můžete zakázat veřejný přístup k pracovnímu prostoru. Pokud je pracovní prostor nastavený tak, aby odepřel veřejný přístup, znamená to, že k pracovnímu prostoru lze přistupovat pouze přes privátní propojení na úrovni pracovního prostoru. K vytvoření přístupového pravidla pro odepření veřejného přístupu můžete použít portál Fabric nebo rozhraní Microsoft Graph API.

Poznámka:

Nastavení na úrovni pracovního prostoru pro odepření veřejného přístupu může trvat až 30 minut.

Portál Fabric

1. Na portálu Fabric vyberte pracovní prostor, který chcete nakonfigurovat.

2. Vyberte nastavení pracovního prostoru.

3. Vyberte Příchozí sítě.

4. V části Nastavení připojení pracovního prostoru vyberte Povolit připojení pouze z privátních propojení na úrovni pracovního prostoru.

   

5. Vyberte a použijte.

Rozhraní API

Použijte rozhraní API Pracovní prostory – nastavení zásad síťové komunikace k určení pravidla veřejného přístupu pracovního prostoru:

PUT https://api.fabric.microsoft.com/v1/workspaces/{workspaceID}/networking/communicationPolicy

    {
      "inbound": {
        "publicAccessRules": {
          "defaultAction": "Deny"
        }
      }
    }

Použijte rozhraní API pro určení zásad síťové komunikace pracovních prostorů k získání pravidla pro veřejný přístup pracovního prostoru:

GET https://api.fabric.microsoft.com/v1/workspaces/{workspaceID}/networking/communicationPolicy

Rozhraní API zásad komunikace pracovního prostoru můžete použít i v případě, že není nastavené žádné privátní propojení bez ohledu na aktuální zásady komunikace. Následující tabulka ukazuje, kde a kdy je toto rozhraní API přístupné na základě nastavení tenanta a privátního propojení.

Tabulka 1. Přístup k rozhraní API zásad komunikace pracovního prostoru na základě nastavení tenanta a privátního propojení

Nastavení veřejného přístupu na úrovni tenanta	Typ privátního propojení	Přístup z	Je povoleno získat nebo nastavit rozhraní API zásad komunikace pracovního prostoru?
Povoleno (Blokování veřejného přístupu je vypnuté)	Úroveň tenanta	Veřejný internet nebo síť s privátním propojením na úrovni tenanta	Ano, použití api.fabric.microsoft.com plně kvalifikovaného názvu domény specifického pro koncový bod nebo pracovní prostor.
Povoleno (Blokování veřejného přístupu je vypnuté)	Úroveň pracovního prostoru	Síť s privátním propojením na úrovni pracovního prostoru	Ano, pomocí api.fabric.microsoft.com koncového bodu pouze v případě, že klient povoluje odchozí veřejný přístup. Není přístupný pomocí plně kvalifikovaného názvu domény specifického pro pracovní prostor.
Omezeno (blokování veřejného přístupu je zapnuté)	None	Veřejný internet	Ne.
Omezeno (blokování veřejného přístupu je zapnuté)	Úroveň tenanta	Síť s privátním propojením na úrovni tenanta	Ano, použití api.fabric.microsoft.com plně kvalifikovaného názvu domény specifického pro koncový bod nebo pracovní prostor.
Omezeno (blokování veřejného přístupu je zapnuté)	Úroveň pracovního prostoru	Síť s privátním propojením na úrovni pracovního prostoru	Ne.
Omezeno (blokování veřejného přístupu je zapnuté)	Úroveň tenanta a pracovního prostoru	Síť s privátním propojením na úrovni tenanta a privátním propojením na úrovni pracovního prostoru	Ano, pomocí api.fabric.microsoft.com koncového bodu.

Související obsah

• Informace o privátních propojeních
• Přehled privátních propojení na úrovni pracovního prostoru