Configurazione delle impostazioni di comunicazione per il gateway dati locale

Questo articolo descrive diverse impostazioni di comunicazione associate al gateway dati locale. Descrive inoltre come configurare tali impostazioni.

Abilitare le connessioni di Azure in uscita

Il gateway si basa sul bus di servizio di Azure per la connettività cloud e di conseguenza stabilisce connessioni in uscita all'area di Azure associata.

Se è stata eseguita la registrazione per il tenant Power BI o per un tenant Office 365, l'area di Azure predefinita corrisponde all'area di tale servizio. Altrimenti, l'area di Azure potrebbe essere quella più vicina all'utente.

Se un firewall blocca le connessioni in uscita, configurarlo in modo da consentire le connessioni in uscita dal gateway all'area di Azure associata.

Porte

Il gateway comunica sulle seguenti porte in uscita: TCP 443, 5671, 5672 e da 9350 a 9354. Non sono richieste porte in ingresso.

È consigliabile abilitare il DNS (Domain Name System) "*.servicebus.windows.net". Per indicazioni su come configurare il firewall e/o il proxy locale usando nomi di dominio completi (FQDN) in alternativa a indirizzi IP soggetti a modifiche, seguire i passaggi in Supporto DNS di Inoltro WCF di Azure.

In alternativa, è consigliabile consentire gli indirizzi IP per l'area dati nel firewall. Usare i file JSON elencati di seguito, che vengono aggiornati con frequenza settimanale.

In alternativa, è possibile ottenere l'elenco delle porte richieste eseguendo periodicamente il test delle porte di rete nell'app del gateway.

Il gateway comunica con il bus di servizio tramite FQDN. Se si forza il gateway a comunicare tramite HTTPS, userà rigorosamente solo gli FQDN e non comunicherà tramite gli indirizzi IP.

Nota

Nell'elenco degli indirizzi IP del data center di Azure sono inclusi gli indirizzi IP in notazione CIDR (Classless Inter-Domain Routing). Un esempio di questa notazione è 10.0.0.0/24, che non significa da 10.0.0.0 a 10.0.0.24. Altre informazioni sulla notazione CIDR.

L'elenco seguente include le descrizioni degli FQDN usati dal gateway.

Nomi di dominio del cloud pubblico Porte in uscita Descrizione
*.download.microsoft.com 80 Usato per scaricare il programma di installazione. Questo dominio viene usato anche dall'app del gateway per verificare la versione e l'area del gateway.
*.powerbi.com 443 Usato per identificare il cluster di Power BI pertinente.
*. analysis.windows.net 443 Usato per identificare il cluster di Power BI pertinente.
*.login.windows.net, login.live.com e aadcdn.msauth.net 443 Usato per autenticare l'app del gateway per Azure Active Directory (Azure AD) e OAuth2.
*.servicebus.windows.net 5671-5672 Usato per il protocollo AMQP (Advanced Message Queuing Protocol).
*.servicebus.windows.net 443 e 9350-9354 Rimane in ascolto sull'inoltro del bus di servizio su TCP. La porta 443 è necessaria per ottenere i token di controllo di accesso di Azure.
*.frontend.clouddatahub.net 443 Deprecato, non è più necessario. Questo dominio verrà rimosso anche dalla documentazione pubblica.
*.core.windows.net 443 Usato da flussi di dati per la scrittura di dati in Azure Data Lake.
login.microsoftonline.com 443 Usato per autenticare l'app del gateway per Azure AD e OAuth2.
*.msftncsi.com 80 Usato per testare la connettività Internet se il servizio Power BI non può raggiungere il gateway.
*.microsoftonline-p.com 443 Usato per autenticare l'app del gateway per Azure AD e OAuth2.
*.dc.services.visualstudio.com 443 Usato da AppInsights per raccogliere i dati di telemetria.

Per GCC, GCC High e DoD, il gateway usa i seguenti FQDN.

Porte GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Vedere la documentazione Vedere la documentazione
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 e 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

Per il cloud Cina (Mooncake), il gateway usa i seguenti FQDN.

Porte Cloud Cina (Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 e 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Nessun equivalente di Mooncake (non necessario per eseguire il gateway): usato solo per controllare la rete in condizioni di errore.
443 Nessun equivalente di Mooncake: usato durante l'accesso ad Azure AD. Per altre informazioni sugli endpoint di Azure AD, vedere Controllare gli endpoint in Azure.
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

Nota

Dopo l'installazione e la registrazione del gateway, le uniche porte e gli unici indirizzi IP necessari sono quelli richiesti dal bus di servizio, come descritto per servicebus.windows.net nella tabella precedente. In alternativa, è possibile ottenere l'elenco delle porte richieste eseguendo periodicamente il test delle porte di rete nell'app del gateway. È anche possibile forzare il gateway a comunicare tramite HTTPS.

Test delle porte di rete

Per verificare se il gateway ha accesso a tutte le porte richieste:

  1. Sul computer che esegue il gateway, immetti "gateway" nella casella ricerca di Windows e quindi selezionare l'app Gateway dati locale.

  2. Selezionare Diagnostica. In Test delle porte di rete selezionare Avvia nuovo test.

    Come avviare un nuovo test delle porte di rete.

Quando il gateway esegue il test delle porte di rete, recupera un elenco di porte e server dal bus di servizio e quindi prova a connettersi a tutti. Quando viene nuovamente visualizzato il collegamento Avvia nuovo test, l'esecuzione del test delle porte di rete è terminata.

Il risultato di riepilogo del test è "Completato (riuscito)" o "Completato (non superato, vedere i risultati dell'ultimo test)". Se il test ha avuto esito positivo, il gateway è riuscito a connettersi a tutte le porte richieste. Se il test ha avuto esito negativo, è possibile che l'ambiente di rete abbia bloccato le porte e i server necessari.

Nota

I firewall spesso consentono il traffico in modo intermittente sui siti bloccati. Anche se un test ha esito positivo, può comunque essere necessario autorizzare un determinato server sul firewall.

Per visualizzare i risultati dell'ultimo test completato, selezionare il collegamento Apri i risultati dell'ultimo test completato. I risultati del test vengono visualizzati nell'editor di testo predefinito.

Nei risultati del test sono elencati tutti i server, le porte e gli indirizzi IP richiesti dal gateway. Se i risultati del test indicano che una porta è chiusa, come mostrato nello screenshot seguente, verificare che l'ambiente di rete non blocchi tale connessione. Per aprire eventuali porte chiuse può essere necessario contattare l'amministratore di rete.

Risultati del test visualizzati nel Blocco note.

Forzare la comunicazione HTTPS con il bus di servizio di Azure

È possibile forzare la comunicazione del gateway con il bus di servizio tramite HTTPS anziché TCP diretto.

Nota

A partire dalla versione del gateway di giugno 2019 e in base a quanto consigliato per il bus di servizio, le nuove installazioni hanno HTTPS invece di TCP come protocollo predefinito. Questo comportamento predefinito non si applica alle installazioni aggiornate.

È possibile usare l'app del gateway per forzare il gateway ad adottare questo comportamento. Nell'app del gateway selezionare Rete e quindi abilitare la modalità HTTPS.

Impostazione della modalità HTTPS.

Dopo aver apportato questa modifica e selezionato Applica, il servizio Windows del gateway si riavvia automaticamente per rendere effettiva la modifica. Il pulsante Applica viene visualizzato solo quando si esegue una modifica.

Per riavviare il servizio Windows del gateway dall'app del gateway, vedere Riavviare un gateway.

Nota

Se il gateway non è in grado di comunicare tramite TCP, viene usato automaticamente HTTPS. La selezione nell'app del gateway riflette sempre il valore del protocollo corrente.

TLS 1.2 per il traffico del gateway

Per impostazione predefinita, il gateway usa il protocollo TLS (Transport Layer Security) 1.2 per comunicare con il servizio Power BI. Per verificare che tutto il traffico del gateway usi TLS 1.2, può essere necessario aggiungere o modificare le chiavi del Registro di sistema seguenti nel computer che esegue il servizio gateway.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Nota

L'aggiunta o la modifica di queste chiavi del Registro di sistema viene applicata a tutte le applicazioni .NET. Per informazioni sulle modifiche del Registro di sistema che influiscono su TLS per altre applicazioni, vedere Impostazioni del Registro di sistema per TLS (Transport Layer Security).

Tag di servizio

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Il gateway dati ha dipendenze dai seguenti tag del servizio:

  • PowerBI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

Il gateway dati locale usa Inoltro di Azure per alcune comunicazioni. Non sono tuttavia presenti tag per il servizio Inoltro di Azure. I tag del servizio ServiceBus riguardano specificamente la funzionalità relativa alle code e agli argomenti del servizio, ma non Inoltro di Azure.

Il tag del servizio AzureCloud rappresenta tutti gli indirizzi IP globali di data center di Azure. Poiché il servizio Inoltro di Azure è basato su Calcolo di Azure, gli indirizzi IP pubblici di Inoltro di Azure sono un sottoinsieme degli indirizzi IP di AzureCloud. Per altre informazioni, vedere Panoramica dei tag del servizio di Azure.

Passaggi successivi