Private Endpunkte für den sicheren Zugriff auf Power BI für lokale Clients

2023-08-25

Wenn Sie private Verbindungen für den sicheren Zugriff auf Daten in Power BI konfiguriert haben und dafür Azure Private Link-Instanzen und private Azure-Netzwerkendpunkte verwendet haben wie unter Private Endpunkte für den sicheren Zugriff auf Fabric beschrieben, können Sie auch Azure-VMs für den Zugriff auf den Power BI-Dienst über private IP-Adressen aktivieren.

Sie können Ihre lokalen Netzwerke über eine ExpressRoute-Leitung oder ein Site-to-Site-VPN auf das virtuelle Azure-Netzwerk (VNet) erweitern, um über private Verbindungen auf die in den virtuellen Azure-Netzwerken bereitgestellten Dienste zuzugreifen und diese zu nutzen.

Grundlegendes zu privaten Endpunkten für lokale Clients

Wenn der Zugriff auf den Power BI-Dienst über das virtuelle Netzwerk bereits eingerichtet ist (siehe Private Endpunkte für den sicheren Zugriff auf Fabric), können Sie den privaten Zugriff auf den Power BI-Dienst mit wenigen zusätzlichen Schritten auf lokale Clients erweitern.

In diesem Artikel werden die Schritte beschrieben, die Sie ausführen müssen, um eine solche private Konnektivität zwischen dem Azure-VNet und den lokalen Netzwerken zu konfigurieren. Um die Konfiguration erfolgreich abzuschließen, muss bereits eine ExpressRoute-Verbindung mit eingerichteter Kommunikation zwischen den lokalen Netzwerken und dem Azure-VNET hergestellt worden sein. Ausführlichere Informationen zum ExpressRoute-Setup finden Sie im Artikel zum Erstellen und Ändern einer ExpressRoute-Leitung.

Das folgende Netzwerkdiagramm zeigt die Funktionsweise der Konfiguration:

Image of private links for on premises clients network diagram.

Das Netzwerkdiagramm enthält eine Reihe von Komponenten:

Azure-VNET
Private DNS-Zone für die Namensauflösung von Power BI-URLs in IP-Adressen privater Endpunkte
Azure DNS Private Resolver zum Ausweiten der Namensauflösung von privaten Azure DNS-Zonen auf das lokale Netzwerk
ExpressRoute-Gateway, ExpressRoute-Verbindung und ExpressRoute-Leitung zum Herstellen der Konnektivität zwischen dem lokalen Netzwerk und dem Azure-VNET
Lokaler DNS-Server für die lokale Namensauflösung und zum Weiterleiten der DNS-Anforderungen für den Power BI-Dienst an Azure DNS Private Resolver

In den folgenden Abschnitten werden die Schritte beschrieben, die zum Konfigurieren der Konnektivität mit der vorhandenen Konfiguration privater Endpunkte für lokale Clients erforderlich sind.

Konfigurieren von Verbindungen für lokale Clients

Die folgende Liste bietet eine Übersicht über die erforderlichen Schritte zum Konfigurieren des Zugriffs auf den Power BI-Dienst aus der lokalen Umgebung über privates ExpressRoute-Peering. Die Abschnitte nach dieser Liste enthalten weitere Details und Beispiele für die Konfiguration.

Eine Übersicht über die erforderlichen Schritte finden Sie im Anschluss:

Erstellen Sie im virtuellen Azure-Netzwerk ein Subnetz zum Hosten des ExpressRoute-Gateways. Das dem Subnetz zugewiesene Netzwerk muss mindestens die Größe „/27“ (/26, /25 usw.) haben, wie in der ExpressRoute-Dokumentation beschrieben. Die Namenszuweisung zum Subnetz mussGatewaySubnet sein. Wenn Sie den Subnetznamen ändern, wird Ihre Konfiguration deaktiviert.
Stellen Sie ein ExpressRoute-Gateway in GatewaySubnet bereit. Sie können das ExpressRoute-Gateway auf verschiedene Arten bereitstellen, z. B. im Azure-Verwaltungsportal, über PowerShell, die Azure CLI oder mithilfe von REST-APIs.
Vergewissern Sie sich, dass Ihre ExpressRoute-Leitung bereits bereitgestellt wurde und funktioniert und dass privates Peering ordnungsgemäß konfiguriert ist. Befolgen Sie zum Überprüfen das Tutorial, in dem erläutert wird, wie Sie privates Azure-Peering erstellen.
Erstellen Sie eine Verbindung (siehe dieses Tutorial), um das ExpressRoute-Gateway im VNet mit der ExpressRoute-Leitung zu verknüpfen.
Vergewissern Sie sich, dass die lokalen Hosts oder VMs erfolgreich auf die Workload oder die Workloads zugreifen können. Sie können zunächst einen einfachen PING-Test verwenden. Eine bessere Möglichkeit zur Überprüfung besteht jedoch darin, Anwendungen zu verwenden (z. B. eine HTTP-/HTTPS-Verbindung zwischen einem lokalen Client und einem Webserver auf einer Azure-VM).
Erstellen Sie im Azure-VNET zwei Subnetze, um die Endpunkte von Azure DNS Private Resolver zu hosten: ein Subnetz für eingehende Endpunkte und ein Subnetz für ausgehende Endpunkte.
Erstellen Sie im virtuellen Azure-Netzwerk eine Instanz für Azure DNS Private Resolver. Konfigurieren Sie in Azure DNS Private Resolver den eingehenden Endpunkt. Mit dem eingehenden Endpunkt in Azure DNS Private Resolver können Sie Azure DNS Private Zones für die Power BI-Dienste aus einem lokalen Netzwerk abfragen.
Konfigurieren Sie lokale DNS-Server mit Bedingungsweiterleitungen für die Namensauflösung, die den privaten DNS-Zonen für den Power BI-Dienst zugeordnet ist.

Während viele der vorherigen Schritte selbsterklärend sind, bedürfen einige einer genaueren Erläuterung. In den folgenden Abschnitten finden Sie ausführlichere Informationen zu einigen der vorherigen Konfigurationsschritte.

Schritt 6: Erstellen von zwei Subnetzen zum Hosten von Endpunkten

Azure DNS Private Resolver verwendet zwei Subnetze: ein Subnetz für den eingehenden Endpunkt und ein anderes Subnetz für den ausgehenden Endpunkt. Für die Endpunktsubnetze von DNS Private Resolver müssen Sie die Delegierung an Microsoft.Network/dnsResolvers zuweisen. Die Subnetze können nur an Microsoft.Network/dnsResolvers delegiert und nicht für andere Dienste verwendet werden. Ohne eine solche Delegierung schlägt die Erstellung des eingehenden Endpunkts fehl.

Der folgende Screenshot zeigt, wie die Delegation konfiguriert wird:

Screenshot of configuring delegation of endpoints.

Der folgende Screenshot zeigt einen weiteren Bildschirm, auf dem die Delegierung veranschaulicht wird:

Screenshot of another configuration of delegation of endpoints.

Schritt 7: Erstellen einer Azure DNS Private Resolver-Instanz

Navigieren Sie zum Erstellen einer Azure DNS Private Resolver-Instanz zum Azure Marketplace, und suchen Sie nach DNS Private Resolver. Wählen Sie das im folgenden Screenshot gezeigte Ergebnis aus:

Screenshot of Azure DNS Private Resolver in the Azure Marketplace.

Konfigurieren Sie Azure DNS Private Resolver im VNet. DNS Private Resolver und das VNet müssen in derselben Azure-Region vorhanden sein.

Azure DNS Private Resolver basiert auf zwei Komponenten: dem eingehenden Endpunkt und dem ausgehenden Endpunkt. Für die Namensauflösung von Power BI-URLs auf den lokalen Hosts/VMs ist nur der eingehende Endpunkt erforderlich. Die folgende Abbildung zeigt, wo Sie die eingehenden Endpunkte konfigurieren können:

Screenshot of where to configure the inbound endpoints.

Ein eingehender Endpunkt ermöglicht die Namensauflösung von lokalen Geräten über eine IP-Adresse, die Teil Ihres privaten VNet-Adressbereichs ist. Wählen Sie im Azure-Verwaltungsportal in DNS Private Resolver eingehende Endpunkte aus, wie in der vorherigen Abbildung gezeigt, und wählen Sie dann Endpunkt hinzufügen aus, wie im folgenden Screenshot gezeigt:

Screenshot of where to add inbound endpoints.

Als Nächstes weisen Sie einen Endpunktnamen zu und wählen das Subnetz aus, das Sie im vorherigen Schritt definiert haben, wie im folgenden Screenshot gezeigt:

Screenshot of naming and assigning an endpoint.

Sobald der Prozess der Bereitstellung des eingehenden Endpunkts abgeschlossen ist, wird dem eingehenden Endpunkt automatisch eine IP-Adresse zugeordnet.

Screenshot of an IP address automatically being assigned to an endpoint.

In diesem Beispiel und im vorherigen Screenshot lautet die dem eingehenden Endpunkt zugewiesene IP-Adresse 10.7.2.4. Diese zugewiesene IP-Adresse wird in Schritt 8 als IP-Adresse für bedingte Weiterleitung auf dem lokalen DNS-Server verwendet. Dies ist im folgenden Abschnitt ausführlicher beschrieben.

Schritt 8: Konfigurieren lokaler DNS-Server

Um Ihre privaten Azure DNS-Zonen aus der lokalen Umgebung ordnungsgemäß aufzulösen, definieren Sie die dem Power BI-Dienst zugeordneten bedingten Weiterleitungen in der Konfiguration Ihrer lokalen DNS-Server.

Die IP-Adresse jeder bedingten Weiterleitung verweist auf die IP-Adresse des eingehenden Endpunkts in Azure DNS Private Resolver.

Der folgende Screenshot zeigt ein Beispiel für DNS-Einträge für bedingte Weiterleitungen unter Windows Server:

Screenshot of an IP address used for the conditional forwarder.

Überprüfung der erfolgreichen Konfiguration

Melden Sie sich als letzten Schritt für die Konfiguration beim lokalen Windows-Client an, und führen Sie eine Überprüfung mithilfe von nslookup durch. Bei ordnungsgemäßer Konfiguration erhalten Sie eine Antwort ähnlich der folgenden Meldung:

C:\ > nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Server:  UnKnown
Address:  10.1.21.10           <- IP address of on-premises DNs server
Non-authoritative answer:
Name:    <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Address:  10.7.0.5

Die Power BI-Dienst-URL wird in die private IP-Adresse übersetzt, die dem privaten Endpunkt zugewiesen ist, der im VNet konfiguriert und mit dem Power BI-Dienst verbunden ist.

Überlegungen und Einschränkungen

Sie müssen private Endpunkte konfigurieren, bevor Sie private Endpunkte für lokale Clients aktivieren. Weitere Informationen finden Sie unter Private Endpunkte für den sicheren Zugriff auf Fabric.

Haben Sie dazu Fragen? Fragen an die Power BI-Community

Freigeben über