Ajuster les paramètres de communication pour la passerelle de données locale
Cet article décrit plusieurs paramètres de communication associés à la passerelle de données locale. Il décrit également comment ajuster ces paramètres.
Activer les connexions Azure sortantes
La passerelle s’appuie sur Azure Service Bus pour la connectivité cloud. La passerelle établit de même les connexions sortantes vers sa région Azure associée.
Si vous vous êtes inscrit à un locataire Power BI ou Office 365, votre région Azure est par défaut la région de ce service. Sinon, votre région Azure pourrait être celle qui est la plus proche de vous.
Si un pare-feu bloque les connexions sortantes, vous devez le configurer de façon à autoriser les connexions sortantes de la passerelle vers la région Azure associée.
Ports
La passerelle communique sur les ports sortants suivants : TCP 443, 5671, 5672 et de 9350 à 9354. La passerelle ne nécessite pas de ports entrants.
Nous vous recommandons d’autoriser le Système de noms de domaine (DNS) « *.servicebus.windows.net ». Pour obtenir des conseils sur la configuration de votre pare-feu et/ou proxy local à l’aide de noms de domaine complets (FQDN) au lieu d’utiliser des adresses IP susceptibles de changer, suivez les étapes décrites dans Prise en charge du DNS Azure WCF Relay.
Sinon, autorisez les adresses IP de votre région de données dans votre pare-feu. Utilisez les fichiers JSON répertoriés ci-dessous, qui sont mis à jour chaque semaine.
Vous pouvez également obtenir la liste des ports requis en effectuant le test des ports réseau régulièrement dans l’application de la passerelle.
La passerelle communique avec Service Bus à l’aide de FQDN. Si vous forcez la passerelle à communiquer via HTTPS, elle n’utilisera strictement que les FQDN et ne communiquera pas en utilisant des adresses IP.
Notes
La liste IP du centre de données Azure affiche les adresses IP dans la notation CIDR (Classless Inter-Domain Routing). Un exemple de cette notation est 10.0.0.0/24, ce qui ne signifie pas de 10.0.0.0 à 10.0.0.24. En savoir plus sur la notation CIDR.
La liste suivante décrit les FQDN utilisés par la passerelle.
| Noms de domaine de cloud public | Ports sortants | Description |
|---|---|---|
| *.download.microsoft.com | 80 | Utilisé pour télécharger le programme d’installation. L’application de la passerelle utilise également ce domaine pour vérifier la version et la région de la passerelle. |
| *. powerbi.com | 443 | Utilisé pour identifier le cluster Power BI approprié. |
| *.analysis.windows.net | 443 | Utilisé pour identifier le cluster Power BI approprié. |
| *.login.windows.net, login.live.com, and aadcdn.msauth.net | 443 | Utilisé pour authentifier l’application de la passerelle pour Azure Active Directory (Azure AD) et OAuth2. |
| *.servicebus.windows.net | 5671-5672 | Utilisé pour AMQP (Advanced Message Queuing Protocol). |
| *.servicebus.windows.net | 443 et 9350-9354 | Écoute sur Service Bus Relay via TCP. Le port 443 est requis pour obtenir des jetons Azure Access Control. |
| *.frontend.clouddatahub.net | 443 | Déconseillé et non requis. Ce domaine sera également supprimé de la documentation publique. |
| *.core.windows.net | 443 | Utilisé par les flux de données pour écrire des données dans Azure Data Lake. |
| login.microsoftonline.com | 443 | Utilisé pour authentifier l’application de la passerelle pour Azure AD et OAuth2. |
| *.msftncsi.com | 80 | Utilisé pour tester la connectivité Internet si le service Power BI ne peut pas atteindre la passerelle. |
| *.microsoftonline-p.com | 443 | Utilisé pour authentifier l’application de la passerelle pour Azure AD et OAuth2. |
| *.dc.services.visualstudio.com | 443 | Utilisé par AppInsights pour collecter les données de télémétrie. |
Pour les Clouds de la communauté du secteur public GCC, GCC high et DoD, les FQDN suivants sont utilisés par la passerelle.
| Ports | GCC | GCC High | DoD |
|---|---|---|---|
| 80 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
| 443 | *.powerbigov.us, *.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
| 443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
| 443 | *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net | Voir la documentation | Voir la documentation |
| 5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 et 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
| 443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
| 443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
| 443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
| 443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
Pour le cloud chinois (Mooncake), les FQDN suivants sont utilisés par la passerelle.
| Ports | Cloud chinois (Mooncake) |
|---|---|
| 80 | *.download.microsoft.com |
| 443 | *.powerbi.cn |
| 443 | *.asazure.chinacloudapi.cn |
| 443 | *.login.chinacloudapi.cn |
| 5671-5672 | *.servicebus.chinacloudapi.cn |
| 443 et 9350-9354 | *.servicebus.chinacloudapi.cn |
| 443 | *.chinacloudapi.cn |
| 443 | login.partner.microsoftonline.cn |
| 443 | Pas d’équivalent Mooncake, pas nécessaire pour exécuter la passerelle, uniquement utilisé pour vérifier le réseau en cas de panne |
| 443 | Pas d’équivalent Mooncake, utilisé lors de la connexion Azure AD. Pour plus d’informations sur les points de terminaison Azure AD, accédez à Vérifier les points de terminaison dans Azure |
| 443 | applicationinsights.azure.cn |
| 433 | clientconfig.passport.net |
| 433 | aadcdn.msftauth.cn |
| 433 | aadcdn.msauth.cn |
Notes
Une fois la passerelle installée et inscrite, les seuls ports et adresses IP requis sont ceux requis par Service Bus, comme décrit pour servicebus.windows.net dans le tableau précédent. Vous pouvez obtenir la liste des ports requis en effectuant le test des ports réseau régulièrement dans l’application de la passerelle. Vous pouvez également forcer la passerelle à communiquer en utilisant HTTPS.
Test des ports réseau
Pour vérifier si la passerelle a accès à tous les ports requis :
Sur la machine qui exécute la passerelle, entrez « passerelle » dans la recherche Windows, puis sélectionnez l’application Passerelle de données locale.
Sélectionnez Diagnostics. Sous Test des ports réseau, sélectionnez Démarrer un nouveau test.
Lorsque votre passerelle exécute le test des ports réseau, elle récupère la liste des ports et des serveurs auprès de Service Bus, puis elle tente de se connecter à chacun d’eux. Lorsque le lien Démarrer un nouveau test réapparaît, cela signifie que l’exécution du test des ports réseau est terminée.
Le résultat résumé du test est « Terminé (réussite) » ou « Terminé (échec, voir les derniers résultats des tests) ». Si le test a réussi, cela signifie que votre passerelle s’est connectée à tous les ports nécessaires. Si le test a échoué, cela signifie que votre environnement peut bloquer ces ports et ces serveurs nécessaires.
Notes
Les pare-feux autorisent souvent par intermittence le trafic sur les sites bloqués. Même si un test réussit, vous devrez peut-être autoriser ce serveur sur votre pare-feu.
Pour voir les résultats du dernier test terminé, sélectionnez le lien Ouvrir les derniers résultats des tests terminés. Les résultats du test s’ouvrent dans votre éditeur de texte par défaut.
Les résultats du test répertorient tous les serveurs, ports et adresses IP qui sont nécessaires à votre passerelle. Si les résultats du test indiquent « Fermé » pour des ports (comme illustré dans la capture d’écran suivante), vérifiez que votre environnement réseau ne bloque pas ces connexions. Il peut être nécessaire de contacter votre administrateur réseau pour ouvrir les ports requis.
Forcer les communications HTTPS avec Azure Service Bus
Vous pouvez forcer la passerelle à communiquer avec Service Bus en utilisant HTTPS au lieu d’une connexion TCP directe.
Notes
À compter de la version de juin 2019 de la passerelle et selon les recommandations de Service Bus, les nouvelles installations sont définies sur HTTPS comme valeur par défaut au lieu de TCP. Ce comportement par défaut ne s’applique pas aux installations mises à jour.
Vous pouvez utiliser l’application de la passerelle pour forcer la passerelle à adopter ce comportement. Dans l’application de la passerelle, sélectionnez Réseau, puis activez Mode HTTPS.
Après avoir effectué cette modification, sélectionnez Appliquer. Le service de passerelle Windows redémarre automatiquement pour que la modification prenne effet. Le bouton Appliquer apparaît uniquement lorsque vous effectuez une modification.
Pour redémarrer le service Windows de passerelle à partir de l’application de la passerelle, consultez Redémarrer une passerelle.
Notes
Si la passerelle ne peut pas communiquer à l’aide de TCP, elle utilise automatiquement HTTPS. La sélection dans l’application de la passerelle reflète toujours la valeur de protocole actuelle.
TLS 1.2 pour le trafic d’une passerelle
Par défaut, la passerelle utilise le protocole TLS (Transport Layer Security) 1.2 pour communiquer avec le service Power BI. Pour que tout le trafic de passerelle utilise bien le protocole TLS 1.2, il vous faudra peut-être ajouter ou modifier les clés de Registre suivantes sur l’ordinateur exécutant le service de passerelle.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Notes
L’ajout ou la modification de ces clés de Registre s’appliquent à toutes les applications .NET. Pour plus d’informations sur les modifications du Registre qui affectent le protocole TLS pour d’autres applications, voir Paramètres de Registre pour le protocole TLS.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. La passerelle de données a des dépendances avec les étiquettes de services suivantes :
- PowerBI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
La passerelle de données locale utilise Azure Relay pour certaines communications. Cependant, il n’existe pas d’étiquette de service pour le service Azure Relay. Les étiquettes de services ServiceBus concernent spécifiquement la fonctionnalité Files d’attente et rubriques de service, mais pas pour Azure Relay.
L’étiquette de service AzureCloud représente toutes les adresses IP mondiales du centre de données Azure. Étant donné que le service Azure Relay est basé sur Azure Compute, les adresses IP publiques Azure Relay constituent un sous-ensemble des adresses IP AzureCloud. Plus d’informations : Présentation des étiquettes de services Azure