Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a helyszíni adatátjáróhoz társított kommunikációs beállításokat ismerteti. Ezeket a beállításokat módosítani kell az adatforrás-kapcsolatok és a kimeneti cél elérésének támogatásához.
Kimenő Azure-kapcsolatok engedélyezése
Az átjáró az Azure Relayre támaszkodik a felhőbeli kapcsolatokhoz. Az átjáró ennek megfelelően kimenő kapcsolatokat hoz létre a társított Azure-régióval.
Ha Power BI-bérlőre vagy Office 365-bérlőre regisztrált, az Azure-régió alapértelmezés szerint az adott szolgáltatás régiójába tartozik. Ellenkező esetben az Azure-régió lehet az Önhöz legközelebb eső régió.
Ha egy tűzfal blokkolja a kimenő kapcsolatokat, konfigurálja a tűzfalat úgy, hogy engedélyezze a kimenő kapcsolatokat az átjáróból a társított Azure-régióba. Az átjárókiszolgálóra és/vagy az ügyfél proxykiszolgálóira vonatkozó tűzfalszabályokat frissíteni kell, hogy lehetővé tegyék az átjárókiszolgálóról az alábbi végpontokra irányuló kimenő forgalmat. Ha a tűzfal nem támogatja a helyettesítő karaktereket, használja az Azure IP-címtartományokból és szolgáltatáscímkékből származó IP-címeket. Vegye figyelembe, hogy ezeket minden hónapban szinkronban kell tartani.
Az átjáró működéséhez szükséges portok
Az átjáró a következő kimenő portokon kommunikál: TCP 443, 5671, 5672 és 9350 és 9354 között. Az átjáró nem igényel bejövő portokat.
Az Azure WCF Relay DNS-támogatásának lépéseit követve útmutatást találhat arról, hogyan állíthatja be a helyszíni tűzfalat és/vagy proxyt teljes tartománynevekkel (FQDN-ekkel) a módosítandó IP-címek használata helyett.
Másik lehetőségként engedélyezheti az adatrégió IP-címét a tűzfalon. Használja az alább felsorolt JSON-fájlokat, amelyek hetente frissülnek.
A szükséges portok listáját is lekérheti, ha rendszeresen elvégzi a hálózati portok tesztelését az átjáróalkalmazásban.
Az átjáró FQDN-eket használva kommunikál az Azure Relay-vel. Ha az átjárót HTTPS-en keresztüli kommunikációra kényszeríti, az kizárólag teljes tartományneveket fog használni, és nem fog IP-címekkel kommunikálni.
Megjegyzés
Az Azure-adatközpont IP-listája osztály nélküli tartományközi útválasztás (CIDR) jelölésben jeleníti meg az IP-címeket. Erre a jelölésre példa a 10.0.0.0/24, ami nem jelenti a 10.0.0.0 és 10.0.0.24 közötti időtartamot. További információ a CIDR jelöléséről.
Az alábbi lista az átjáró által használt teljes tartományneveket ismerteti. Ezek a végpontok szükségesek az átjáró működéséhez.
| Nyilvános felhőtartományok nevei | Kimenő portok | Leírás |
|---|---|---|
| *.download.microsoft.com | 443 | A telepítő letöltésére szolgál. Az átjáróalkalmazás ezt a tartományt is használja a verzió és az átjárórégió ellenőrzéséhez. |
| *.powerbi.com | 443 | A Power BI-fürtök azonosítására használják. |
| *.analysis.windows.net | 443 | A Power BI-fürtök azonosítására használják. |
| *.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com | 443 | A Microsoft Entra ID és OAuth2 átjáróalkalmazás hitelesítésére szolgál. Vegye figyelembe, hogy a Microsoft Entra ID bejelentkezési folyamat részeként további URL-címekre lehet szükség, amelyek egyediek lehetnek a bérlők számára. |
| *.servicebus.windows.net | 5671-5672 | Speciális Üzenetsor-kezelési protokollhoz (AMQP) használatos. |
| *.servicebus.windows.net | 443 és 9350-9354 | Hallgatja az Azure Relay-t TCP-n keresztül. Az Azure Access Control-jogkivonatok lekéréséhez a 443-as port szükséges. |
| *.msftncsi.com | 80 | Internetkapcsolat tesztelésére szolgál, ha a Power BI szolgáltatás nem éri el az átjárót. |
| *.dc.services.visualstudio.com | 443 | Az AppInsights a telemetriai adatok gyűjtésére használja. |
| ecs.office.com | 443 | EcS-konfigurációhoz használható a mashup funkciók engedélyezéséhez. |
GCC, GCC High és DoD esetében az átjáró az alábbi teljes tartományneveket használja.
| Portok | GCC | Magas GCC | Védelmi Minisztérium |
|---|---|---|---|
| 443 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
| 443 | *.powerbigov.us, *.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
| 443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
| 443 | *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net | Hajrá, hajrá dokumentáció | Ugrás a dokumentációra |
| 5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 és 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
| 443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
| 443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
| 443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
| 443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
| 443 | gccmod.ecs.office.com | config.ecs.gov.teams.microsoft.us | config.ecs.dod.teams.microsoft.us |
A China Cloud (Mooncake) esetében az átjáró a következő teljes tartományneveket használja.
| Portok | Kínai felhő (Mooncake) |
|---|---|
| 443 | *.download.microsoft.com |
| 443 | *.powerbi.cn |
| 443 | *.asazure.chinacloudapi.cn |
| 443 | *.login.chinacloudapi.cn |
| 5671-5672 | *.servicebus.chinacloudapi.cn |
| 443 és 9350-9354 | *.servicebus.chinacloudapi.cn |
| 443 | *.chinacloudapi.cn |
| 443 | login.partner.microsoftonline.cn |
| 443 | Nincs Mooncake megfelelője – nem szükséges az átjáró futtatásához, csak a hálózat ellenőrzésére szolgál meghibásodási körülmények esetén. |
| 443 | Nincs Mooncake-ekvivalens – a Microsoft Entra ID-hez való bejelentkezés során használatos. A Microsoft Entra ID-végpontokról további információt az Azure-beli végpontok ellenőrzése című témakörben talál. |
| 443 | applicationinsights.azure.cn |
| 443 | clientconfig.passport.net |
| 443 | aadcdn.msftauth.cn |
| 443 | aadcdn.msauth.cn |
| 443 | mooncake.ecs.office.com |
Megjegyzés
Az átjáró telepítése és regisztrálása után az Azure Relay csak a szükséges portokat és IP-címeket igényli, az előző táblázatban szereplő servicebus.windows.net leírtak szerint. A szükséges portok listáját a Hálózati portok teszt rendszeres végrehajtásával szerezheti be az átjáróalkalmazásban. Arra is kényszerítheti az átjárót, hogy HTTPS használatával kommunikáljon.
Szükséges portok a Fabric számítási feladatainak végrehajtásához
Ha a Fabric számítási feladatai (például szemantikai modellek vagy Fabric-adatfolyamok) olyan lekérdezést tartalmaznak, amely a helyszíni adatforrásokhoz (egy helyszíni adatátjárón keresztül) és a felhőbeli adatforrásokhoz csatlakozik, a teljes lekérdezés a helyszíni adatátjárón lesz végrehajtva. Ezért egy Háló számítási feladatelem futtatásához a következő végpontoknak nyitva kell lenniük, hogy a helyszíni adatátjáró láthassa a számítási feladathoz szükséges adatforrásokat:
| Nyilvános felhőbeli tartománynevek | Kimenő portok | Leírás |
|---|---|---|
| *.core.windows.net | 443 | A Dataflow Gen1 az Azure Data Lake-be való adatíráshoz használja. |
| *.dfs.fabric.microsoft.com | 443 | A Dataflow Gen1 és Gen2 által a OneLake-hez való csatlakozáshoz használt végpont. További információ |
| *.datawarehouse.pbidedicated.windows.net | 1433 | A Dataflow Gen2 régi végpontot használja a Fabric átmeneti lakehouse-hoz való csatlakozáshoz. További információ |
| *.datawarehouse.fabric.microsoft.com | 1433 | A Dataflow Gen2 új végpontját használják a Fabric átmeneti lakehouse-hoz való csatlakozáshoz. További információ |
| *.frontend.clouddatahub.net | 443 | A Szövegáramlás végrehajtásához szükséges |
Megjegyzés
A *.datawarehouse.pbidedicated.windows.net helyébe a *.datawarehouse.fabric.microsoft.com lép. Az átmenet folyamata során győződjön meg arról, hogy mindkét végpont nyitva van a Dataflow Gen2 frissítésének érdekében.
Ezenkívül, ha bármely más felhőalapú adatkapcsolatot (adatforrásokat és kimeneti célhelyeket is) helyszíni adatforrás-kapcsolattal használnak egy számítási feladat lekérdezésében, meg kell nyitnia a szükséges végpontokat is annak biztosításához, hogy a helyszíni adatátjáró közvetlen hozzáféréssel rendelkezzen ezekhez a felhőbeli adatforrásokhoz.
Hálózati portok tesztelése
Annak tesztelése, hogy az átjáró hozzáfér-e az összes szükséges porthoz:
Az átjárót futtató gépen írja be az "átjáró" kifejezést a Windows keresésébe, majd válassza ki a helyszíni adatátjáró alkalmazást.
Válassza a Diagnosztika lehetőséget. A Hálózati portok tesztelése területen válassza az Új teszt indítása lehetőséget.
Amikor az átjáró futtatja a hálózati portok tesztelését, lekéri a portok és kiszolgálók listáját az Azure Relayből, majd megpróbál csatlakozni mindegyikhez. Amikor az Új teszt indítása link újra megjelenik, a hálózati portok tesztelése befejeződött.
A teszt összefoglaló eredménye vagy "Befejezve (Sikeres)" vagy "Befejezve (Sikertelen, lásd az utolsó teszteredményeket)". Ha a teszt sikeres volt, az átjáró az összes szükséges porthoz csatlakozott. Ha a teszt sikertelen volt, előfordulhat, hogy a hálózati környezet letiltotta a szükséges portokat és kiszolgálókat.
Megjegyzés
A tűzfalak gyakran időszakosan engedélyezik a tiltott helyek forgalmát. Még ha egy teszt sikeres is, előfordulhat, hogy engedélyeznie kell a kiszolgálót a tűzfalon.
Az utolsó befejezett teszt eredményeinek megtekintéséhez válassza a Legutóbbi befejezett teszt eredményeinek megnyitása hivatkozást. A teszteredmények az alapértelmezett szövegszerkesztőben nyílnak meg.
A teszt eredményei felsorolják az átjáró által igényelt összes kiszolgálót, portot és IP-címet. Ha a teszteredmények a következő képernyőképen látható módon bármelyik porton "Zárva" állapotot mutatnak, győződjön meg arról, hogy a hálózati környezet nem blokkolja ezeket a kapcsolatokat. Előfordulhat, hogy a szükséges portok megnyitásához kapcsolatba kell lépnie a hálózati rendszergazdával.
Kényszerítse az HTTPS-kommunikációt az Azure Relay használatakor
Kényszerítheti az átjárót, hogy közvetlen TCP helyett HTTPS használatával kommunikáljon az Azure Relayrel.
Megjegyzés
A 2019. júniusi átjáró kiadásától kezdve és a Relay javaslatai alapján az új telepítések a TCP helyett alapértelmezés szerint HTTPS-re váltanak. Ez az alapértelmezett viselkedés nem vonatkozik a frissített telepítésekre.
Az átjáróalkalmazással kényszerítheti az átjárót erre a viselkedésre. Az átjáróalkalmazásban válassza a Hálózat lehetőséget, majd kapcsolja be a HTTPS módot.
Miután elvégezte a módosítást, majd kiválasztja az Alkalmaz lehetőséget, az átjáró Windows-szolgáltatása automatikusan újraindul, hogy a módosítás érvénybe léphessen. Az Alkalmaz gomb csak módosításkor jelenik meg.
Az átjáró Windows szolgáltatásának az átjáróalkalmazásból való újraindításához nyissa meg az Átjáró újraindítása lehetőséget.
Megjegyzés
Ha az átjáró tcp használatával nem tud kommunikálni, akkor az automatikusan HTTPS-t használ. Az átjáróalkalmazás kiválasztása mindig az aktuális protokollértéket tükrözi.
TLS 1.3 átjáróforgalomhoz
Alapértelmezés szerint az átjáró a Power BI szolgáltatással a Transport Layer Security (TLS) 1.3-at használva kommunikál. Annak biztosításához, hogy az összes átjáróforgalom TLS 1.3-at használjon, előfordulhat, hogy hozzá kell adnia vagy módosítania kell a következő beállításkulcsokat az átjárószolgáltatást futtató gépen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Megjegyzés
A beállításkulcsok hozzáadása vagy módosítása minden .NET-alkalmazásra alkalmazza a módosítást. A más alkalmazások TLS-ét érintő beállításjegyzék-módosításokról a Transport Layer Security (TLS) beállításjegyzék-beállításai között tájékozódhat.
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. Az adatátjáró a következő szolgáltatáscímkéktől függ:
- PowerBI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
A helyszíni adatátjáró az Azure Relayt használja valamilyen kommunikációhoz. Az Azure Relay szolgáltatáshoz azonban nincsenek szolgáltatáscímkék. A ServiceBus szolgáltatáscímkékre azonban továbbra is szükség van, mert továbbra is a szolgáltatás üzenetsoraihoz és témaköreihez tartoznak, még ha nem is az Azure Relay esetében.
Az AzureCloud szolgáltatáscímke az összes globális Azure Data Center IP-címet jelöli. Mivel az Azure Relay szolgáltatás az Azure Compute-re épül, az Azure Relay nyilvános IP-címei az AzureCloud IP-címek egy részhalmazát képezik. További információ: Az Azure szolgáltatáscímkék áttekintése