Del via

Private slutpunkter for sikker adgang til Power BI for klienter i det lokale miljø

Hvis du har konfigureret private links til sikker adgang til data i Power BI ved hjælp af private Azure Links- og Azure Networking-slutpunkter som beskrevet i Private slutpunkter for sikker adgang til Fabric, kan du også give Azure Virtual Machines adgang til Power BI-tjeneste via private IP-adresser.

Du kan udvide dine netværk i det lokale miljø til Azure Virtual Network (VNet) ved hjælp af et ExpressRoute-kredsløb eller en VPN fra websted til websted for at få adgang til og bruge tjenester, der er installeret i Azure Virtual Networks med private forbindelser.

Forstå private slutpunkter for klienter i det lokale miljø

Når der allerede er oprettet adgang til Power BI-tjeneste fra det virtuelle netværk, som er beskrevet i Private slutpunkter for sikker adgang til Fabric, kan du med nogle få yderligere trin udvide privat adgang til Power BI-tjeneste til klienter i det lokale miljø.

I denne artikel beskrives de trin, du skal udføre for at konfigurere sådanne private forbindelser mellem Azure VNet og netværk i det lokale miljø. Hvis du vil fuldføre konfigurationen, skal du allerede have oprettet en ExpressRoute-forbindelse med etableret kommunikation mellem netværk i det lokale miljø og Azure VNet. Du kan finde flere oplysninger om konfiguration af ExpressRoute under Opret og rediger et ExpressRoute-kredsløb.

Følgende netværksdiagram viser, hvordan konfigurationen fungerer.

Image of private links for on premises clients network diagram.

Netværksdiagrammet indeholder en håndfuld komponenter:

  • The Azure VNet
  • Privat DNS zone for navnefortsættelsen af Power BI URL-adresser i private IP-adresser til slutpunkter
  • Privat Azure DNS-fortolker til udvidelse af navngivningsopløsningen for private Azure DNS-zoner til netværket i det lokale miljø
  • ExpressRoute Gateway, ExpressRoute Forbind ion og ExpressRoute-kredsløbet for at etablere forbindelsen mellem netværket i det lokale miljø og Azure VNet
  • DNS-serveren i det lokale miljø til lokal navngivningsløsning og videresende DNS-anmodninger for Power BI-tjeneste til Azure Privat DNS resolver

I følgende afsnit beskrives de trin, der kræves for at konfigurere forbindelse til din eksisterende konfiguration af private slutpunkter for klienter i det lokale miljø.

Konfigurer forbindelser for klienter i det lokale miljø

Følgende liste indeholder en oversigt over de trin, der er nødvendige for at konfigurere adgang til Power BI-tjeneste fra det lokale miljø via privat Peering i ExpressRoute. Afsnit, der følger efter denne liste, indeholder flere detaljer og eksempler, der kan hjælpe med konfigurationen.

En oversigt over de nødvendige trin er beskrevet i følgende trin:

  1. I Azure Virtual Network skal du oprette et undernet til hosting af ExpressRoute Gateway. Det netværk, der er tildelt til undernettet, skal være mindst /27 eller større (/26, /25 osv.), som beskrevet i dokumentationen til ExpressRoute. Navnetildelingen til undernettet skal være GatewaySubnet. Hvis du ændrer eller ændrer navnet på undernettet, deaktiveres konfigurationen.
  2. Udrul en ExpressRoute-gateway i GatewaySubnet. Du kan udrulle ExpressRoute Gateway på forskellige måder, herunder i Azure-administrationsportalen, PowerShell, Azure CLI eller ved hjælp af REST API'er.
  3. Kontrollér, at dit ExpressRoute-kredsløb allerede er installeret og fungerer, og at den private peering er konfigureret korrekt. Hvis du vil bekræfte det, skal du følge selvstudiet, der forklarer , hvordan du opretter privat peering i Azure.
  4. Opret en forbindelse, som er beskrevet i dette selvstudium, for at knytte ExpressRoute Gateway i VNet til ExpressRoute-kredsløbet.
  5. Kontrollér, at værter eller VM'er i det lokale miljø kan få adgang til arbejdsbelastningen eller arbejdsbelastningerne. Du kan starte med at bruge en simpel PING-test, men en bedre bekræftelse er at bruge programmer (f.eks. en HTTP/HTTPS-forbindelse mellem en lokal klient og en webserver i en Virtuel Azure-maskine).
  6. I Azure VNet skal du oprette to undernet for at hoste slutpunkterne for Azure DNS Private Resolver: ét undernet for indgående slutpunkter, ét undernet for udgående slutpunkter.
  7. I Azure Virtual Network skal du oprette en Privat Azure DNS Resolver. Konfigurer det indgående slutpunkt i Azure DNS Private Resolver. Det indgående slutpunkt i Azure DNS Private Resolver giver dig mulighed for at forespørge Azure DNS Private Zones for Power BI-tjeneste s fra et lokalt netværk.
  8. Konfigurer DNS-servere i det lokale miljø med betingelser for den navngivningsopløsning, der er knyttet til de private DNS-zoner for Power BI-tjeneste.

Mens mange af de forrige trin er selvforklarende, fortjener nogle mere forklaring. Følgende afsnit indeholder flere oplysninger om nogle af de forrige konfigurationstrin.

Trin 6: Opret to undernet til værtsslutpunkter

Azure DNS Private Resolver bruger to undernet: ét undernet for det indgående slutpunkt og et andet undernet for det udgående slutpunkt. For slutpunktets undernet for DNS Private Resolver skal du tildele delegering til Microsoft.Network/dnsResolvers. Undernet kan kun delegeres til Microsoft.Network/dnsResolvers og kan ikke bruges til andre tjenester. Uden en sådan delegering mislykkes oprettelsen af det indgående slutpunkt.

På følgende skærmbillede kan du se, hvordan du konfigurerer delegering.

Screenshot of configuring delegation of endpoints.

På følgende skærmbillede vises en anden skærm, der demonstrerer delegering.

Screenshot of another configuration of delegation of endpoints.

Trin 7: Opret en privat Azure DNS-fortolker

Hvis du vil oprette en privat Azure DNS-løsning, skal du udføre Azure Marketplace og søge efter privat DNS-fortolker og vælge det resultat, der vises på følgende skærmbillede.

Screenshot of Azure DNS Private Resolver in the Azure Marketplace.

Konfigurer Azure DNS Private Resolver til VNet. DNS Private Resolver og VNet skal findes i det samme Azure-område.

Azure DNS Private Resolver er baseret på to komponenter: indgående slutpunkter og udgående slutpunkter. Hvis du vil navngive opløsningen af Power BI-URL-adresser i værter/VM'er i det lokale miljø, er det kun det indgående slutpunkt, der kræves. På følgende billede kan du se, hvor du kan konfigurere de indgående slutpunkter.

Screenshot of where to configure the inbound endpoints.

Et indgående slutpunkt aktiverer navnefortsættelse fra enheder i det lokale miljø ved hjælp af en IP-adresse, der er en del af dit private VNet-adresseområde. På Azure Management Portal skal du i den private DNS-fortolker vælge indgående slutpunkter som vist på det forrige billede og derefter vælge Tilføj et slutpunkt som vist på følgende skærmbillede.

Screenshot of where to add inbound endpoints.

Derefter skal du tildele et slutpunktnavn og vælge det undernet, du definerede i forrige trin, som vist på følgende skærmbillede:

Screenshot of naming and assigning an endpoint.

Når udrulningen af det indgående slutpunkt er fuldført, knyttes der automatisk en IP-adresse til det indgående slutpunkt.

Screenshot of an IP address automatically being assigned to an endpoint.

I dette eksempel og vist på det forrige skærmbillede er den IP-adresse, der er tildelt det indgående slutpunkt, 10.7.2.4. Den tildelte IP-adresse bruges i trin 8 som Betinget videresendelses-IP på DNS-serveren i det lokale miljø, som beskrevet mere detaljeret i følgende afsnit.

Trin 8: Konfigurer DNS-servere i det lokale miljø

Hvis du vil løse dine Azure Privat DNS-zoner korrekt fra det lokale miljø, skal du definere de betingede videresendelsesprogrammer, der er knyttet til Power BI-tjeneste, i konfigurationen af din DNS-server i det lokale miljø.

IP-adressen for hver betinget videresendelse peger på IP-adressen for det indgående slutpunkt i Azure DNS Private Resolver.

Følgende skærmbillede viser et eksempel på DNS-betingede videresendelsesposter på Windows-serveren.

Screenshot of an IP address used for the conditional forwarder.

Bekræftelse af vellykket konfiguration

Som sidste trin i konfigurationen skal du logge på Windows-klienten i det lokale miljø og udføre en bekræftelse ved hjælp af nslookup. Hvis den er konfigureret korrekt, modtager du et svar, der ligner følgende meddelelse.

C:\ > nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Server:  UnKnown
Address:  10.1.21.10           <- IP address of on-premises DNs server
Non-authoritative answer:
Name:    <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Address:  10.7.0.5

DEN Power BI-tjeneste URL-adresse oversættes til den private IP, der er tildelt det private slutpunkt, som er konfigureret i VNet og har forbindelse til Power BI-tjeneste.

Overvejelser og begrænsninger

Relateret indhold

Har du flere spørgsmål? Spørg Power BI-community'et.