Configurar y usar vínculos privados
En Fabric, puedes configurar y usar un punto de conexión que permita a la organización acceder a Fabric de forma privada. Para configurar los puntos de conexión privados, debes ser un administrador de Fabric, así como tener permisos en Azure para crear y configurar recursos como máquinas virtuales (VM) y redes virtuales (VNet).
Los pasos que te permiten acceder de forma segura a Fabric desde puntos de conexión privados son los siguientes:
- Configurar los puntos de conexión privados para Fabric.
- Cree un servicio de vínculo privado Microsoft.PowerBI para el recurso de Power BI en Azure Portal.
- Cree una red virtual.
- Creación de una máquina virtual (VM).
- Creación de un punto de conexión privado.
- Conectarse a una VM mediante Bastion.
- Acceder a Fabric de forma privada desde la máquina virtual.
- Deshabilitar el acceso público para Fabric.
En las siguientes secciones se proporciona información adicional sobre cada paso.
Paso 1. Configuración de puntos de conexión privados para Fabric
Inicia sesión en Fabric como administrador.
Busca y expande la configuración Azure Private Link.
Establezca el control de alternancia en Habilitado.
Se tarda unos 15 minutos en configurar un vínculo privado para el inquilino. Esto incluye la configuración de un FQDN independiente (nombre de dominio completo) para el inquilino con el fin de comunicarse de forma privada con los servicios de Fabric.
Una vez que finaliza este proceso, continúa con el siguiente paso.
Paso 2. Creación de un servicio de vínculo privado Microsoft.PowerBI para el recurso de Power BI en Azure Portal
Este paso se usa para admitir la asociación de puntos de conexión privados de Azure con el recurso de Fabric.
Inicie sesión en Azure Portal.
Seleccione Crear un recurso.
En Implementación de plantillas, seleccione Crear.
En la página Implementación personalizada, seleccione Cree su propia plantilla en el editor.
En el editor, crea el siguiente recurso de Fabric mediante la plantilla de ARM, como se muestra a continuación, donde
<resource-name>
es el nombre que eliges para el recurso Fabric.<tenant-object-id>
es el id. de inquilino de Microsoft Entra. Consulta Cómo encontrar el identificador de inquilino de Microsoft Entra.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Si usas una nube de Azure Government para Power BI,
location
debe ser el nombre de la región del inquilino. Por ejemplo, si el inquilino está en US Gov Texas, debes colocar"location": "usgovtexas"
en la plantilla de ARM. La lista de regiones de Power BI para la Administración Pública de EE. UU. se encuentra en el artículo Power BI para la Administración Pública de EE. UU.Importante
Usa
Microsoft.PowerBI/privateLinkServicesForPowerBI
como valortype
, aunque el recurso se cree para Fabric.Guarda la plantilla. A continuación, escriba la siguiente información.
Configuración Valor Detalles del proyecto Suscripción Selecciona tu suscripción. Resource group Selecciona **Crear nuevo. Escribe test-PL como nombre. Seleccione Aceptar. Detalles de instancia Seleccione la región. Region En la pantalla de revisión, seleccione Crear para aceptar los términos y condiciones.
Paso 3. Creación de una red virtual
El procedimiento siguiente crea una red virtual con una subred de recursos, una subred de Azure Bastion y un host de Azure Bastion.
El número de direcciones IP que necesitará la subred se compone del número de capacidades que ha creado del inquilino más quince. Por ejemplo, si vas a crear una subred para un inquilino con siete capacidades, necesitarás veintidós direcciones IP.
En Azure Portal, busque y seleccione Redes virtuales.
En la página Redes virtuales, selecciona + Crear.
En la pestaña Datos básicos de Crear una red virtual, introduce o selecciona la siguiente información:
Configuración Valor Detalles del proyecto Suscripción Selecciona tu suscripción. Resource group Selecciona test-PL, el nombre que creamos en el paso 2. Detalles de instancia Nombre Escriba vnet-1. Region Selecciona la región donde iniciarás la conexión a Fabric. Selecciona Siguiente para continuar con la pestaña Seguridad. Puedes dejar como valor predeterminado o cambiar en función de las necesidades empresariales.
Selecciona Siguiente para continuar con la pestaña direcciones IP. Puedes dejar como valor predeterminado o cambiar en función de las necesidades empresariales.
Seleccione Guardar.
En la parte inferior de la pantalla, selecciona Revisar y crear. Cuando se supere la validación, seleccione Crear.
Paso 4. Creación de una máquina virtual
El siguiente paso es crear una máquina virtual.
En Azure Portal, ve a Crear un recurso > Proceso > Máquina virtual.
En la pestaña Aspectos básicos, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Resource group Selecciona el grupo de recursos que proporcionaste en el paso 2. Detalles de instancia Nombre de la máquina virtual Escriba el nombre de la nueva máquina virtual. Seleccione la burbuja de información junto al nombre del campo para ver información importante sobre los nombres de las máquinas virtuales. Region Selecciona la región seleccionada en el paso 3. Opciones de disponibilidad Para probar, selecciona No se requiere redundancia de la infraestructura Tipo de seguridad deje el valor predeterminado. Imagen Selecciona la imagen que deseas. Por ejemplo, elige Windows Server 2022. Arquitectura VM Deje el valor predeterminado, x64. Size Seleccione un tamaño. CUENTA DE ADMINISTRADOR Nombre de usuario Escriba un nombre de usuario de su elección. Contraseña Escriba una contraseña de su elección. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos. Confirmación de la contraseña Vuelva a escribir la contraseña. REGLAS DE PUERTO DE ENTRADA Puertos de entrada públicos Elige Ninguno. Seleccione Siguiente: Discos.
En la pestaña Discos, deja los valores predeterminados y selecciona Siguiente: Redes.
En la pestaña Redes, selecciona la información siguiente:
Configuración Value Red virtual Selecciona la red virtual que creaste en el paso 3. Subnet Selecciona el valor predeterminado (10.0.0.0/24) que creaste en el paso 3. En el resto de los campos, deja los valores predeterminados.
Seleccione Revisar + crear. Se le remitirá a la página Revisar y crear, donde Azure validará la configuración.
Cuando reciba el mensaje Validación superada, seleccione Crear.
Paso 5. Creación de un punto de conexión privado
El paso siguiente consiste en crear un punto de conexión privado para Fabric.
En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados.
Seleccione + Crear en Puntos de conexión privados.
En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Resource group Seleccione el grupo de recursos que has creado en el paso 2. Detalles de instancia Nombre Escribe FabricPrivateEndpoint. Si el nombre ya existe, cree uno único. Region Selecciona la región que has usado para la red virtual en el paso 3. En la imagen siguiente se muestra la ventana Crear un punto de conexión privado: Conceptos básicos.
Seleccione Siguiente: Resource (Siguiente: Recurso). En el panel Recurso, escribe o selecciona la siguiente información:
Configuración Value Método de conexión Seleccione Connect to an Azure resource in my directory (Conectarse a un recurso de Azure en mi directorio). Subscription Seleccione su suscripción. Tipo de recurso Seleccione Microsoft.PowerBI/privateLinkServicesForPowerBI. Resource Elige el recurso de Fabric que creaste en el paso 2. Subrecurso de destino Inquilino En la imagen siguiente se muestra la ventana Crear un punto de conexión privado: Recurso.
Seleccione Siguiente: Máquinas virtuales. En Red virtual, escriba o seleccione la siguiente información.
Configuración Value REDES Virtual network Selecciona el vnet-1 que creaste en el paso 3. Subnet Selecciona el subnet-1 que creaste en el paso 3. INTEGRACIÓN DE DNS PRIVADO Integración con una zona DNS privada Seleccione Sí. Zona DNS privada Seleccione
(New)privatelink.analysis.windows.net
(New)privatelink.pbidedicated.windows.net
(New)privatelink.prod.powerquery.microsoft.comSeleccione Siguiente: Etiquetas y Siguiente: Revisar y crear.
Seleccione Crear.
Paso 6. Conéctate a la VM mediante Bastion
Azure Bastion protege las máquinas virtuales al proporcionar conectividad ligera basada en explorador sin necesidad de exponerlas a través de direcciones IP públicas. Para más información, consulte ¿Qué es Azure Bastion?.
Conéctate a tu VM siguiendo estos pasos:
Crea una subred en la red virtual que creaste en el paso 3 que se denomine AzureBastionSubnet.
En la barra de búsqueda del portal, escribe el testVM que creamos en el paso 4.
Selecciona el botón Conectar y elige Conectar mediante Bastion en el menú desplegable.
Seleccione Implementar Bastion.
En la página Bastion, escriba las credenciales de autenticación necesarias y, a continuación, haga clic en Conectar.
Paso 7. Acceso a Fabric de forma privada desde la máquina virtual
El paso siguiente consiste en acceder a Fabric de forma privada desde la máquina virtual que ha creado anteriormente. Para ello, sigue estos pasos:
En la máquina virtual, abre PowerShell.
Escriba
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.Recibirás una respuesta similar al siguiente mensaje y podrás ver que se devuelve la dirección IP privada. Puedes ver que el punto de conexión de Onelake y el punto de conexión del almacén también devuelven direcciones IP privadas.
Abre el explorador y ve a app.fabric.microsoft.com para acceder a Fabric de forma privada.
Paso 8. Deshabilita el acceso público para Fabric.
Por último, si lo deseas, puedes deshabilitar el acceso público para Fabric.
Si lo haces, se aplican ciertas restricciones en el acceso a los servicios Fabric, que se describen en la sección siguiente.
Importante
Al activar Bloquear el acceso a Internet, algunos elementos de Fabric no admitidos se deshabilitarán. Obtenga una lista completa de las limitaciones y consideraciones en Acerca de los vínculos privados
Para deshabilitar el acceso público para Fabric, inicia sesión en el servicio Fabric como administrador y ve al portal de administración. Seleccione Configuración de inquilinos y desplácese hasta la sección Redes avanzadas. Habilita el botón de alternancia en la configuración de inquilino Bloqueo del acceso a través de una red de Internet.
El sistema tarda aproximadamente 15 minutos en deshabilitar el acceso de la organización a Fabric desde la red pública de Internet.
Finalización de la configuración del punto de conexión privado
Una vez que haya seguido los pasos descritos en las secciones anteriores y haya configurado correctamente el vínculo privado, la organización implementa vínculos privados en función de las selecciones de configuración siguientes, tanto si la selección se establece en la configuración inicial como si se cambia posteriormente.
Si Azure Private Link está configurado correctamente y la opción Bloquear el acceso público a Internet está habilitada:
- Tu organización solo puede acceder a Fabric desde puntos de conexión privados, y no desde la red pública de Internet.
- El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
- El servicio bloqueará el tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que no admiten vínculos privados y no funcionará.
- Puede haber escenarios en los que no se admitan vínculos privados, por lo que se bloqueará en el servicio cuando la opción Bloqueo del acceso a través de una red de Internet pública esté habilitada.
Si Azure Private Link está configurado correctamente y la opciónBloquear el acceso público a Internet está deshabilitada:
- Los servicios Fabric permitirán el tráfico desde la red pública de Internet.
- El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
- El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que no admiten vínculos privados se transporta por la red pública de Internet y los servicios Fabric lo permitirán.
- Si la red virtual está configurada para bloquear el acceso a través de una red de Internet pública, la red virtual bloqueará los escenarios que no admiten vínculos privados y no funcionarán.
En el vídeo siguiente se muestra cómo conectar un dispositivo móvil a Fabric mediante puntos de conexión privados:
Nota:
Es posible que en este vídeo se usen versiones anteriores de Power BI Desktop o del servicio Power BI.
¿Tiene más preguntas? Pregunta a la comunidad de Fabric.
Deshabilitación de Private Link
Si desea deshabilitar la configuración de Private Link, asegúrese de que se eliminan todos los puntos de conexión privados que creó y la zona DNS privada correspondiente antes de deshabilitar la configuración. Si la red virtual tiene puntos de conexión privados configurados pero Private Link está deshabilitado, es posible que se produzcan errores en las conexiones de esta red virtual.
Si va a deshabilitar la configuración de Private Link, se recomienda hacerlo durante el horario no comercial. Puede tardar hasta 15 minutos en tiempo de inactividad en algunos escenarios para reflejar el cambio.