Freigeben über

Einrichten und Nutzen privater Verbindungen

  • Artikel

In Fabric können Sie einen Endpunkt konfigurieren und verwenden, der es Ihrer Organisation ermöglicht, privat auf Fabric zuzugreifen. Sie müssen Fabric-Administrator*in sein und in Azure über Berechtigungen zum Erstellen und Konfigurieren von Ressourcen wie virtuellen Computern (VMs) und virtuellen Netzwerken (VNets) verfügen, um private Endpunkte konfigurieren zu können.

Folgende Schritte ermöglichen den sicheren Zugriff auf Fabric über private Endpunkte:

  1. Einrichten privater Endpunkte für Fabric.
  2. Erstellen Sie im Azure-Portal einen privaten Microsoft.PowerBI verknüpften Dienst für Power BI-Ressourcen.
  3. Erstellen Sie ein virtuelles Netzwerk.
  4. Erstellen eines virtuellen Computers (VM)
  5. Erstellen Sie einen privaten Endpunkt.
  6. Herstellen einer Verbindung mit einem virtuellen Computer unter Verwendung von Azure Bastion.
  7. Privater Zugriff auf Fabric vom virtuellen Computer aus
  8. Deaktivieren Sie den öffentlichen Zugriff für Fabric.

Die folgenden Abschnitte enthalten weitere Informationen zu den Schritten.

Schritt 1. Einrichten privater Endpunkte für Fabric

  1. Melden Sie sich bei Fabric als Administrator an.

  2. Wechseln Sie zu den Mandanteneinstellungen.

  3. Suchen und erweitern Sie die Einstellung Azure Private Link.

  4. Schalten Sie auf Aktiviert um.

    Screenshot zeigt die Azure Private Link-Mandanteneinstellung.

Es dauert etwa 15 Minuten, um eine privaten Verbindung für Ihren Mandanten zu konfigurieren. Dazu gehört die Konfiguration eines separaten FQDN (vollqualifizierter Domänenname) für den Mandanten, um privat mit Fabric-Diensten zu kommunizieren.

Wenn dieser Vorgang abgeschlossen ist, fahren Sie mit dem nächsten Schritt fortf.

Dieser Schritt wird verwendet, um die Azure privater Endpunkt-Zuordnung mit Ihrer Fabric-Ressource zu unterstützen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Ressource erstellen.

  3. Wählen Sie unter Vorlagenbereitstellung die Option Erstellen aus.

    Screenshot: Link „Vorlage erstellen“ im Abschnitt „Ressource erstellen“.

  4. Wählen Sie auf der Seite Benutzerdefinierte Bereitstellung die Option Eigene Vorlage im Editor erstellen aus.

    Screenshot: Option „Eigene Vorlage erstellen“.

  5. Erstellen Sie im Editor die folgenden Fabric-Ressourcen mit der ARM-Vorlage, wie unten dargestellt.

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Wenn Sie eine Azure Government Cloud für Power BI verwenden, sollte location der Regionsname des Mandanten sein. Wenn sich der Mandant beispielsweise in US Gov Texas befindet, sollten Sie "location": "usgovtexas" in die ARM-Vorlage einfügen. Die Liste der Power BI-Regionen der US-Regierung finden Sie im Artikel zu Power BI for US Government.

    Wichtig

    Verwenden Sie Microsoft.PowerBI/privateLinkServicesForPowerBI als Wert type, auch wenn die Ressource für Fabric erstellt wird.

  6. Speichern Sie die Vorlage. Geben Sie anschließend die folgenden Informationen ein.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie **Neu erstellen. Geben Sie test-PL als Namen ein. Wählen Sie OK aus.
    Instanzendetails Wählen Sie die Region aus.
    Region

    Screenshot des Tabs „Grundlagen“ in der benutzerdefinierten Bereitstellung.

  7. Wählen Sie auf dem Überprüfungsbildschirm Erstellen aus, um die Bestimmungen zu akzeptieren.

    Screenshot: Azure Marketplace-Bestimmungen.

Schritt 3. Erstellen eines virtuellen Netzwerks

Mit der folgenden Prozedur wird ein virtuelles Netzwerk mit einem Ressourcensubnetz, einem Azure Bastion-Subnetz und einem Azure Bastionhost erstellt.

Die Anzahl der IP-Adressen, die Ihr Subnetz benötigt, entspricht der Anzahl der Kapazitäten, die Sie auf Ihrem Mandanten eingerichtet haben, plus fünfzehn. Wenn Sie beispielsweise ein Subnetz für einen Mandanten mit sieben Kapazitäten erstellen, benötigen Sie zweiundzwanzig IP-Adressen.

  1. Suchen Sie im Azure-Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

  2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-PL aus, den Namen, den wir in Schritt 2 erstellt haben.
    Instanzendetails
    Name Geben Sie vnet-1 ein.
    Region Wählen Sie den Bereich aus, in dem Sie die Verbindung mit Fabric initiieren.

    Screenshot: Registerkarte „Allgemeine Informationen“ unter „Virtuelles Netzwerk erstellen“.

  4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu wechseln. Sie können die Standardeinstellung übernehmen oder auf der Grundlage der geschäftlichen Notwendigkeit ändern.

  5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu wechseln. Sie können die Standardeinstellung übernehmen oder auf der Grundlage der geschäftlichen Notwendigkeit ändern.

    Screenshot des Tabs „IP-Adressen“ in „Erstellen eines virtuellen Netzwerks“.

  6. Wählen Sie Speichern.

  7. Wählen Sie unten auf dem Bildschirm die Option Überprüfen + erstellen aus. Klicken Sie nach der Validierung auf Erstellen.

Schritt 4. Erstellen eines virtuellen Computers

Der nächste Schritt ist das Erstellen eines virtuellen Computers.

  1. Gehen Sie im Azure-Portal zu Eine Ressource erstellen > Compute > Virtuelle Computer.

  2. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

    Einstellungen Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement aus.
    Resource group Wählen Sie die Ressourcengruppe aus, die Sie in Schritt 2 angegeben haben.
    Instanzendetails
    Name des virtuellen Computers Geben Sie einen Namen für den neuen virtuellen Computer ein. Wählen Sie die Infoblase neben dem Feldnamen aus, um wichtige Informationen zu Namen virtueller Computer anzuzeigen.
    Region Wählen Sie die Region aus, die Sie in Schritt 3 ausgewählt haben.
    Verfügbarkeitsoptionen Wählen Sie als Test Keine Infrastrukturredundanz erforderlich aus
    Sicherheitstyp Übernehmen Sie den Standardwert.
    Abbildung Wählen Sie das gewünschte Bild aus. Wählen Sie beispielsweise Windows Server 2022 aus.
    VM-Architektur Übernehmen Sie den Standardwert x64.
    Size Wählen Sie eine Größe aus.
    ADMINISTRATORKONTO
    Username Geben Sie einen Benutzernamen Ihrer Wahl ein.
    Kennwort Geben Sie das gewünschte Kennwort ein. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    REGELN FÜR EINGEHENDE PORTS
    Öffentliche Eingangsports Wählen Sie die Option Keine aus.

    Screenshot des Tabs „Grundlagen“ beim Erstellen von virtuellen Computern.

  3. Klicken Sie auf Weiter: Datenträger.

  4. Übernehmen Sie auf der Registerkarte Datenträger die Standardeinstellungen, und wählen Sie Weiter: Netzwerk aus.

  5. Wählen Sie auf der Registerkarte Netzwerk die folgenden Informationen aus:

    Einstellungen Wert
    Virtuelles Netzwerk Wählen Sie das virtuelle Netzwerk aus, das Sie in Schritt 3 erstellt haben.
    Subnet Wählen Sie die Standardeinstellung (10.0.0.0/24) aus, die Sie in Schritt 3 erstellt haben.

    Für die restlichen Feldern behalten Sie die Standardwerte bei.

    Screenshot des Tabs „VM-Netzwerke erstellen“.

  6. Klicken Sie auf Überprüfen + erstellen. Sie werden zur Seite Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.

  7. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Schritt 5. Erstellen eines privaten Endpunkts

Der nächste Schritt besteht darin, einen privaten Endpunkt für Fabric zu erstellen.

  1. Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte aus.

  2. Wählen Sie +Erstellen in Private Endpunkte aus.

  3. Geben Sie auf der Registerkarte Grundlagen der Seite Privaten Endpunkt erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellungen Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement aus.
    Resource group Wählen Sie die Ressourcengruppe aus, die Sie im Schritt 2 erstellt haben.
    Instanzendetails
    Name Geben Sie FabricPrivateEndpoint ein. Wenn dieser Name vergeben ist, erstellen Sie einen eindeutigen Namen.
    Region Wählen Sie die Region, die Sie für Ihr virtuelles Netzwerk in Schritt 3erstellt haben.

    Die folgende Abbildung zeigt das Fenster Privaten Endpunkt erstellen – Grundlagen.

    Screenshot: Registerkarte „Allgemeine Informationen“ unter „Privaten Endpunkt erstellen“.

  4. Klicken Sie auf Weiter: Ressource aus. Geben Sie im Bereich Ressource die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellungen Wert
    Verbindungsmethode Wählen Sie das Herstellen einer Verbindung mit einer Azure-Ressource im eigenen Verzeichnis aus.
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcentyp Wählen Sie Microsoft.PowerBI/privateLinkServicesForPowerBI aus.
    Resource Wählen Sie die Fabric-Ressource aus, die Sie in Schritt 2 erstellt haben.
    Unterressource des Ziels Tenant

    Die folgende Abbildung zeigt das Fenster Privaten Endpunkt erstellen – Ressource.

    Screenshot des „Ressourcen“-Fensters in „Privaten Endpunkt erstellen“.

  5. Wählen Sie Weiter: Virtuelles Netzwerk aus. Geben Sie unter Virtuelles Netzwerk die folgenden Informationen ein, oder wählen Sie sie aus.

    Einstellungen Wert
    NETZWERK
    Virtuelles Netzwerk Wählen Sie vnet-1 aus, das Sie in Schritt 3 erstellt haben.
    Subnet Wählen Sie Subnetz 1 aus, das Sie in Schritt 3 erstellt haben.
    PRIVATE DNS-INTEGRATION
    Integration in eine private DNS-Zone Wählen Sie Ja aus.
    Private DNS-Zone Wählen Sie aus.
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Screenshot des DNS-Fensters beim Erstellen eines privaten Endpunkts.

  6. Wählen Sie Weiter: Tags und dann Weiter: Überprüfen + erstellen aus.

  7. Klicken Sie auf Erstellen.

Schritt 6. Herstellen einer Verbindung mit einem virtuellen Computer unter Verwendung von Azure Bastion

Azure Bastion schützt Ihre virtuellen Computer, indem es eine einfache, browserbasierte Konnektivität bereitstellt, ohne sie über öffentliche IP-Adressen verfügbar zu machen. Weitere Informationen finden Sie unter Was ist Azure Bastion?.

Verbinden Sie mit Ihrem virtuellen Computer über die folgenden Schritte:

  1. Erstellen Sie ein Subnetz namens AzureBastionSubnet im virtuellen Netzwerk, das Sie in Schritt 3 erstellt haben.

    Screenshot der Erstellung von „AzureBastionSubnet“.

  2. Geben Sie in der Suchleiste des Portals testVM ein, das wir in Schritt 4 erstellt haben.

  3. Wählen Sie die Schaltfläche Verbinden und dann im Dropdownmenü Verbinden via Bastion aus.

    Screenshot der Option, mit Bastion eine Verbindung herzustellen.

  4. Wählen Sie Deploy Bastion (Bastion bereitstellen) aus.

  5. Geben Sie auf der Seite Bastion die erforderlichen Anmeldeinformationen für die Authentifizierung ein, und klicken Sie dann auf Verbinden.

Schritt 7. Privates Zugreifen auf Fabric vom virtuellen Computer

Der nächste Schritt besteht darin, über den im vorherigen Schritt erstellten virtuellen Computer privat auf Fabric zuzugreifen, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie auf dem virtuellen Computer PowerShell.

  2. Geben Sie nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net ein.

  3. Sie erhalten eine Antwort ähnlich der folgenden Nachricht und können sehen, dass die private IP-Adresse zurückgegeben wird. Sie können sehen, dass der Onelake-Endpunkt und der Warehouse-Endpunkt auch private IPs zurückgeben.

    Screenshot der zurückgegebenen IP-Adressen in PowerShell.

  4. Öffnen Sie den Browser, und navigieren Sie zu app.fabric.microsoft.com, um privat auf Fabric zuzugreifen.

Schritt 8: Deaktivieren des öffentlichen Zugriffs für Fabric

Schließlich können Sie ggf. den öffentlichen Zugriff für Fabric deaktivieren.

Wenn Sie den öffentlichen Zugriff für Fabric deaktivieren, werden bestimmte Einschränkungen für den Zugriff auf Fabric-Dienste wirksam, wie im nächsten Abschnitt beschrieben.

Wichtig

Wenn Sie die Option Internetzugriff blockieren aktivieren, werden einige nicht unterstützte Fabric-Elemente deaktiviert. Die vollständige Liste der Einschränkungen und Überlegungen finden Sie unter Info zu privaten Links

Um den öffentlichen Zugriff für Fabric zu deaktivieren, melden Sie sich beim Fabric-Dienst als Administrator an, und navigieren Sie zum Admin-Portal. Klicken Sie auf Mandanteneinstellungen, und scrollen Sie zum Abschnitt Advanced Networking (Erweitertes Netzwerk). Aktivieren Sie die Umschaltfläche in der Mandanteneinstellung Öffentlichen Internetzugriff blockieren.

Screenshot der aktivierten Mandanteneinstellung zur Blockierung des Zugriffs auf das öffentliche Internet.

Es dauert ungefähr 15 Minuten, bis das System den Zugriff Ihrer Organisation auf Fabric über das öffentliche Internet deaktiviert hat.

Abschluss der Konfiguration des privaten Endpunkts

Nachdem Sie die Schritte in den vorherigen Abschnitten ausgeführt haben und die private Verbindung erfolgreich konfiguriert wurde, implementiert Ihre Organisation private Verbindungen basierend auf den folgenden Konfigurationsauswahlen, unabhängig davon, ob die Auswahl bei der Erstkonfiguration festgelegt oder danach geändert wird.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierenaktiviert ist:

  • Fabric ist für Ihre Organisationen nur über private Endpunkte und nicht über das öffentliche Internet zugänglich.
  • Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
  • Datenverkehr aus dem virtuellen Netzwerk zu Endpunkten und für Szenarien, die keine privaten Verbindungen unterstützen, wird vom Dienst blockiert und nicht funktionieren.
  • Es kann Szenarien geben, die keine privaten Verbindungen unterstützen und daher vom Dienst blockiert werden, wenn Öffentlichen Internetzugriff blockieren aktiviert ist.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierendeaktiviert ist:

  • Der Datenverkehr aus dem öffentlichen Internet wird von Fabric-Diensten zugelassen.
  • Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
  • Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die keine privaten Verbindungen unterstützen, wird über das öffentliche Internet transportiert und von den Fabric-Diensten zugelassen.
  • Wenn das virtuelle Netzwerk so konfiguriert ist, dass der öffentlichen Internetzugriff blockiert wird, werden Szenarien, die keine privaten Verbindungen unterstützen, vom virtuellen Netzwerk blockiert und funktionieren nicht.

Im folgenden Video wird gezeigt, wie Sie mithilfe von privaten Endpunkten ein mobiles Gerät mit Fabric verbinden:

Hinweis

In diesem Video werden möglicherweise frühere Versionen von Power BI Desktop oder des Power BI-Diensts verwendet.

Weitere Fragen? Fragen Sie die Fabric-Community.

Wenn Sie die Einstellung für private Verknüpfungen deaktivieren möchten, stellen Sie sicher, dass alle privaten Endpunkte, die Sie erstellt haben, und die entsprechende private DNS-Zone gelöscht werden, bevor Sie die Einstellung deaktivieren. Wenn Ihr VNet private Endpunkte eingerichtet hat, aber der private Link deaktiviert ist, können Verbindungen von diesem VNet fehlschlagen.

Wenn Sie die Einstellung "Privater Link" deaktivieren möchten, empfiehlt es sich, dies während der Geschäftszeiten zu tun. Es kann bis zu 15 Minuten Ausfallzeit dauern, bis einige Szenarien die Änderung widerspiegeln.

Zugehöriger Inhalt