Bagikan melalui

Menyiapkan dan menggunakan tautan privat tingkat ruang kerja

Tautan privat meningkatkan keamanan dengan merutekan lalu lintas melalui Azure Private Link dan titik akhir privat, memastikan data tetap berada di jaringan privat Microsoft daripada internet publik. Microsoft Fabric menawarkan tautan privat pada dua cakupan: tingkat penyewa dan tingkat ruang kerja. Tautan privat tingkat penyewa mengamankan semua ruang kerja dalam penyewa, sementara tautan privat tingkat ruang kerja memungkinkan Anda mengelola akses jaringan untuk ruang kerja tertentu satu per satu.

Artikel ini menyediakan instruksi untuk menyiapkan tautan privat tingkat ruang kerja di Fabric.

Prasyarat

  • Ruang kerja harus ditetapkan ke kapasitas Fabric (F SKU). Kapasitas lain, seperti premium (P SKU) dan kapasitas uji coba, tidak didukung.
  • Administrator Fabric harus mengaktifkan pengaturan penyewa Mengonfigurasi aturan jaringan masuk tingkat ruang kerja. Untuk detailnya, lihat Mengaktifkan perlindungan akses masuk ruang kerja untuk penyewa Anda.
  • Anda memerlukan ID ruang kerja. Temukan di URL setelah group.
  • Anda memerlukan ID penyewa. Di portal Fabric, pilih tanda tanya di sudut kanan atas, lalu pilih Tentang Power BI. ID penyewa adalah bagian ctid dari URL Penyewa.
  • Anda harus menjadi admin ruang kerja dan memiliki izin Azure yang memadai untuk menyiapkan layanan tautan privat di Azure.
  • Anda harus menjadi admin ruang kerja untuk mengonfigurasi kebijakan komunikasi ruang kerja.
  • Jika ini pertama kali Anda menyiapkan tautan privat tingkat ruang kerja di tenant Anda, lakukan pendaftaran ulang penyedia sumber daya Microsoft.Fabric di Azure untuk langganan yang memuat sumber daya tautan privat ruang kerja dan titik akhir privat. Di portal Microsoft Azure, bukaPengaturan>Langganan>Penyedia sumber daya, pilih Microsoft.Fabric, lalu pilih Daftar ulang.

Langkah 1. Membuat ruang kerja di Fabric

Buat ruang kerja di Fabric. Pastikan ruang kerja dilakukan penetapan pada kapasitas Fabric. Anda dapat memeriksa tugas dengan masuk ke pengaturan ruang kerja dan memilih Info lisensi, seperti yang dijelaskan pada Langkah 1 dari menetapkan ulang ruang kerja ke kapasitas lain.

Untuk membuat layanan tautan privat, sebarkan templat ARM di Azure dengan mengikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Dari bilah pencarian portal Microsoft Azure, cari sebarkan templat kustom lalu pilih dari opsi yang tersedia.

  3. Pada halaman Penyebaran kustom , pilih Bangun templat Anda sendiri di editor.

  4. Di editor, buat sumber daya Fabric menggunakan templat ARM berikut, di mana:

    • <resource-name> adalah nama yang Anda pilih untuk sumber daya Fabric.
    • <tenant-object-id> adalah ID tenant Microsoft Entra Anda. Lihat Cara menemukan ID penyewa Microsoft Entra Anda.
    • <workspace-id> adalah ID ruang kerja yang Anda catat sebagai bagian dari prasyarat.
    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
        {
          "type": "Microsoft.Fabric/privateLinkServicesForFabric",
          "apiVersion": "2024-06-01",
          "name": "<resource-name>",
          "location": "global",
          "properties": {
            "tenantId": "<tenant-id>",
            "workspaceId": "<workspace-id>"
          }
        }
      ]
    }

Anda dapat menemukan detail tentang Layanan Private Link di file JSON.

Anda juga dapat menemukan sumber daya layanan tautan privat di grup sumber daya, tetapi Anda perlu memilih Tampilkan sumber daya tersembunyi.

Langkah 3. Membuat jaringan virtual

Prosedur berikut membuat jaringan virtual dengan subnet sumber daya, subnet Azure Bastion, dan host Azure Bastion.

Disarankan untuk menyisihkan setidaknya 10 alamat IP untuk setiap titik akhir privat di tingkat ruang kerja untuk digunakan di masa depan. Saat ini, kami membuat lima alamat IP per tautan privat tingkat ruang kerja di subnet.

  1. Masuk ke portal Azure.

  2. Dalam kotak pencarian, masukkan Jaringan virtual dan pilih di hasil pencarian.

  3. Pada halaman Jaringan virtual , pilih + Buat.

  4. Pada tab Dasar dariBuat jaringan virtual, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Subscription Pilih langganan Anda.
    grup Sumber Daya Pilih grup sumber daya yang Anda buat sebelumnya untuk layanan tautan privat, seperti test-PL.
    Nama Masukkan nama untuk jaringan virtual Anda, seperti vnet-1.
    Wilayah Pilih wilayah tempat Anda akan memulai koneksi ke Fabric.

    Cuplikan layar tab Dasar di Membuat jaringan virtual.

  5. Pilih Berikutnya untuk melanjutkan ke tab Keamanan . Anda dapat menyimpan pengaturan default atau mengubahnya sesuai dengan persyaratan organisasi Anda.

  6. Pilih Berikutnya untuk melanjutkan ke tab Alamat IP . Anda dapat menyimpan pengaturan default atau mengubahnya sesuai dengan persyaratan organisasi Anda.

    Cuplikan layar tab Alamat IP di Membuat jaringan virtual.

  7. Pilih Simpan.

  8. Pilih Tinjau + buat di bagian bawah layar. Saat validasi lolos, pilih Buat.

Langkah 4. Membuat mesin virtual

  1. Masuk ke portal Azure.

  2. Buka Membuat sumber daya > Komputasi > Mesin virtual.

  3. Pada tab Dasar , masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Subscription Pilih Langganan Azure Anda.
    grup Sumber Daya Pilih grup sumber daya yang sama dengan yang Anda gunakan sebelumnya saat membuat layanan tautan privat.
    Nama komputer virtual Masukkan nama untuk komputer virtual baru. Pilih gelembung info di samping nama bidang untuk melihat informasi penting tentang nama komputer virtual.
    Wilayah Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya saat membuat jaringan virtual.
    Opsi ketersediaan Untuk pengujian, pilih Tidak diperlukan redundansi infrastruktur
    Jenis Keamanan Biarkan default.
    Citra Pilih gambar yang Anda inginkan. Misalnya, pilih Windows Server 2022.
    Arsitektur VM Biarkan default x64.
    Ukuran Pilih ukuran.
    Nama pengguna Masukkan nama pengguna yang Anda pilih.
    Kata Sandi Masukkan kata sandi yang Anda pilih. Panjang kata sandi harus minimal 12 karakter dan memenuhi persyaratan kompleksitas yang ditentukan.
    Mengonfirmasi kata sandi Masuk kembali kata sandi.
    Port masuk publik Pilih Tidak Ada.

    Cuplikan layar tab Pembuatan Dasar-dasar VM.

  4. Pilih Berikutnya: Disk.

  5. Pada tab Disk , biarkan default dan pilih Berikutnya: Jaringan.

  6. Pada tab Jaringan , pilih informasi berikut ini:

    Pengaturan Nilai
    Jaringan virtual Pilih jaringan virtual yang Anda buat sebelumnya untuk penyebaran ini.
    Subnet Pilih subnet default (misalnya, 10.0.0.0/24) yang Anda buat sebelumnya sebagai bagian dari penyiapan jaringan virtual.

    Untuk bidang lainnya, biarkan pengaturan awal.

    Cuplikan layar tab buat Jaringan VM.

  7. Pilih Tinjau + kreasikan. Anda dibawa ke halaman Tinjau + buat tempat Azure memvalidasi konfigurasi Anda.

  8. Saat Anda melihat pesan Validasi lulus , pilih Buat.

Langkah 5. Membuat titik akhir privat

Buat titik akhir privat di jaringan virtual yang Anda buat di langkah 3, dan arahkan ke layanan tautan privat yang Anda buat di langkah 2.

  1. Dalam kotak pencarian di bagian atas portal, masukkan Titik akhir privat. Pilih Titik akhir privat.

  2. Pilih + Buat di Titik akhir privat.

  3. Pada tab Dasar dari Buat titik akhir privat, masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Subscription Pilih Langganan Azure Anda.
    grup Sumber Daya Pilih grup sumber daya yang Anda buat sebelumnya saat membuat layanan tautan privat di Azure.
    Nama Masukkan nama unik.
    Nama antarmuka jaringan Masukkan FabricPrivateEndpointNIC. Jika nama ini diambil, buat nama unik.
    Wilayah Pilih wilayah yang Anda buat sebelumnya untuk jaringan virtual Anda.

    Tangkapan layar tab Dasar dalam membuat titik akhir pribadi.

  4. Pilih Berikutnya: Sumber Daya. Di panel Sumber Daya , masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Metode koneksi Pilih sambungkan ke sumber daya Azure di direktori saya.
    Subscription Pilih langganan Anda.
    Jenis sumber daya Pilih Microsoft.Fabric/privateLinkServicesForFabric
    Resource Pilih sumber daya Fabric yang Anda buat sebelumnya saat membuat layanan tautan privat di Azure.
    Komponen sumber daya target ruang kerja

    Gambar berikut menunjukkan jendela Buat titik akhir privat - Sumber Daya .

    Cuplikan layar tab Sumber Daya di Membuat titik akhir privat.

  5. Pilih Berikutnya: Virtual Network. Di Virtual Network, masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Jaringan virtual Pilih nama jaringan virtual yang Anda buat sebelumnya (misalnya vnet-1).
    Subnet Pilih nama subnet yang Anda buat sebelumnya (misalnya subnet-1).

  6. Pilih Berikutnya: DNS. Di bawah Integrasi DNS Privat, masukkan atau pilih informasi berikut.

    Pengaturan Nilai
    Integrasikan dengan zona DNS privat Pilih Ya.
    Zona DNS Privat Pilih
    (Baru)privatelink.fabric.microsoft.com

    Cuplikan layar tab DNS di Membuat titik akhir privat.

  7. Pilih Berikutnya: Tag, lalu Berikutnya: Tinjau + buat.

  8. Pilih Buat.

Langkah 6. Menyambungkan ke mesin virtual

Azure Bastion melindungi komputer virtual Anda dengan menyediakan konektivitas berbasis browser yang ringan tanpa perlu mengeksposnya melalui alamat IP publik. Untuk informasi selengkapnya, lihat Apa itu Azure Bastion?.

Sambungkan ke VM Anda menggunakan langkah-langkah berikut:

  1. Di jaringan virtual yang Anda buat sebelumnya, tambahkan subnet baru bernama AzureBastionSubnet.

    Cuplikan layar untuk pembuatan AzureBastionSubnet.

  2. Di bilah pencarian portal, ketik nama komputer virtual yang Anda buat sebelumnya, dan pilih dari hasil pencarian.

  3. Pilih tombol Sambungkan , dan pilih Sambungkan melalui Bastion dari menu dropdown.

    Cuplikan layar opsi Sambungkan melalui Bastion.

  4. Pilih Sebarkan Bastion.

  5. Pada halaman Bastion , masukkan kredensial autentikasi yang diperlukan, lalu pilih Sambungkan.

Langkah 7. Akses Fabric pribadi dari mesin virtual

Selanjutnya, akses Fabric secara privat dari komputer virtual yang Anda buat di langkah sebelumnya. Langkah ini memverifikasi bahwa titik akhir privat dikonfigurasi dengan benar dan Anda dapat mengarahkannya dari nama domain lengkap ruang kerja Fabric (FQDN) ke alamat IP privat.

  1. Di mesin virtual, buka *Command Prompt*.

  2. Masukkan perintah berikut:

    nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com

    di mana workspaceid adalah ID objek ruang kerja tanpa tanda hubung, dan xy mewakili dua karakter pertama ID objek ruang kerja.

  3. Alamat IP privat dikembalikan.

Langkah 8. Menolak akses publik ke ruang kerja

Anda dapat secara opsional menolak akses publik ke ruang kerja. Saat ruang kerja diatur untuk menolak akses publik, itu berarti ruang kerja hanya dapat diakses melalui tautan privat tingkat ruang kerja. Anda dapat menggunakan portal Fabric atau Microsoft Graph API untuk membuat aturan akses untuk menolak akses publik.

Nota

Pengaturan tingkat ruang kerja untuk menolak akses publik dapat memakan waktu hingga 30 menit untuk diterapkan.

  1. Di portal Fabric, pilih ruang kerja yang ingin Anda konfigurasi.

  2. Pilih Pengaturan ruang kerja.

  3. Pilih Jaringan masuk.

  4. Di bawah Pengaturan koneksi ruang kerja, pilih Izinkan koneksi hanya dari tautan privat tingkat ruang kerja.

    Cuplikan layar memperlihatkan pengaturan koneksi Ruang Kerja dengan tombol radio dipilih untuk opsi Izinkan koneksi hanya dari tautan privat tingkat ruang kerja.

  5. Pilih Terapkan.

  • Last updated on