Configurare e usare collegamenti privati

  • Articolo

In Fabric è possibile configurare e usare un endpoint che consente all'organizzazione di accedere privatamente a Fabric. Per configurare gli endpoint privati, è necessario essere un amministratore dell'infrastruttura e disporre delle autorizzazioni in Azure per creare e configurare risorse come macchine virtuali e reti virtuali.

I passaggi che consentono di accedere in modo sicuro a Fabric da endpoint privati sono:

  1. Configurare endpoint privati per Fabric.
  2. Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure.
  3. Creare una rete virtuale.
  4. Creare una macchina virtuale (VM).
  5. Creare un endpoint privato.
  6. Connessione a una macchina virtuale usando Bastion.
  7. Accedere privatamente a Fabric dalla macchina virtuale.
  8. Disabilitare l'accesso pubblico per Fabric.

Le sezioni seguenti forniscono informazioni aggiuntive per ogni passaggio.

Passaggio 1: Configurare endpoint privati per Fabric

  1. Accedere a Fabric come amministratore.

  2. Passare alle impostazioni del tenant.

  3. Trovare ed espandere l'impostazione collegamento privato di Azure.

  4. Impostare l'interruttore su Abilitato.

    Screenshot che mostra collegamento privato di Azure impostazione del tenant.

La configurazione di un collegamento privato per il tenant richiede circa 15 minuti. Ciò include la configurazione di un FQDN separato (nome di dominio completo) per il tenant per comunicare privatamente con i servizi di Fabric.

Al termine di questo processo, passare al passaggio successivo.

Questo passaggio viene usato per supportare l'associazione dell'endpoint privato di Azure alla risorsa infrastruttura.

  1. Accedere al portale di Azure.

  2. Selezionare Crea una risorsa.

  3. In Distribuzione modello selezionare Crea.

    Screenshot del collegamento Crea modello nella sezione Creare una risorsa.

  4. Nella pagina Distribuzione personalizzata selezionare Compila un modello personalizzato nell'editor.

    Screenshot dell'opzione Compila un modello personalizzato.

  5. Nell'editor creare la risorsa Fabric seguente usando il modello di Resource Manager, come illustrato di seguito, dove

    • <resource-name> è il nome scelto per la risorsa infrastruttura.
    • <tenant-object-id> è l'ID tenant di Microsoft Entra. Vedere Come trovare l'ID tenant di Microsoft Entra.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Se si usa un cloud Azure per enti pubblici per Power BI, location deve essere il nome dell'area del tenant. Ad esempio, se il tenant si trova in US Gov Texas, è necessario inserire "location": "usgovtexas" il modello di Resource Manager. L'elenco delle aree del governo degli Stati Uniti per Power BI è disponibile nell'articolo Infrastruttura per il governo degli Stati Uniti.

    Importante

    Usare Microsoft.PowerBI/privateLinkServicesForPowerBI come type valore, anche se la risorsa viene creata per Fabric.

  6. Scegliere Salva per salvare il modello. Immettere quindi le informazioni seguenti.

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare **Crea nuovo. Immettere test-PL come nome. Seleziona OK.
    Dettagli istanza Seleziona l'area.
    Area

    Screenshot della scheda Nozioni di base sulla distribuzione personalizzata.

  7. Nella schermata di revisione selezionare Crea per accettare i termini e le condizioni.

    Screenshot delle condizioni di Azure Marketplace.

Passaggio 3. Creare una rete virtuale

La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.

Il numero di indirizzi IP necessari per la subnet è il numero di capacità nel tenant più cinque. Ad esempio, se si crea una subnet per un tenant con sette capacità, sono necessari dodici indirizzi IP.

  1. Nel portale di Azure cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali, selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-PL, il nome creato nel passaggio 2.
    Dettagli istanza
    Nome Immettere vnet-1.
    Area Selezionare l'area in cui si avvierà la connessione a Fabric.

    Screenshot della scheda Informazioni di base in Creare una rete virtuale.

  4. Selezionare Avanti per passare alla scheda Sicurezza . È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.

  5. Selezionare Avanti per passare alla scheda Indirizzi IP. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.

    Screenshot della scheda Indirizzi IP in Creare una rete virtuale.

  6. Seleziona Salva.

  7. Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida, selezionare Crea.

Passaggio 4. Creare una macchina virtuale

Il passaggio successivo consiste nel creare una macchina virtuale.

  1. Nella portale di Azure passare a Creare una risorsa > Macchine virtuali di calcolo>.

  2. Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse specificato nel passaggio 2.
    Dettagli istanza
    Virtual machine name Immettere un nome per la nuova macchina virtuale. Selezionare la bolla informazioni accanto al nome del campo per visualizzare informazioni importanti sui nomi delle macchine virtuali.
    Area Selezionare l'area selezionata nel passaggio 3.
    Opzioni di disponibilità Per i test scegliere Nessuna ridondanza dell'infrastruttura necessaria
    Tipo di sicurezza Lasciare il valore predefinito.
    Immagine Selezionare l'immagine desiderata. Ad esempio, scegliere Windows Server 2022.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    ACCOUNT AMMINISTRATORE
    Username Immettere un nome utente a scelta.
    Password Immettere una password a scelta. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti.
    Conferma password Reimmettere la password.
    REGOLE PORTA IN INGRESSO
    Porte in ingresso pubbliche Scegliere Nessuno.

    Screenshot della scheda Create VM Basics (Nozioni di base sulla macchina virtuale).

  3. Selezionare Avanti: dischi.

  4. Nella scheda Dischi lasciare le impostazioni predefinite e selezionare Avanti: Rete.

  5. Nella scheda Rete selezionare le informazioni seguenti:

    Impostazioni Valore
    Rete virtuale Selezionare la rete virtuale creata nel passaggio 3.
    Subnet Selezionare il valore predefinito (10.0.0.0/24) creato nel passaggio 3.

    Per il resto dei campi, lasciare le impostazioni predefinite.

    Screenshot della scheda Crea rete VM.

  6. Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.

  7. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Passaggio 5. Creare un endpoint privato

Il passaggio successivo consiste nel creare un endpoint privato per Fabric.

  1. Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.

  2. Selezionare + Crea negli endpoint privati.

  3. Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse creato nel passaggio 2.
    Dettagli istanza
    Nome Immettere FabricPrivateEndpoint. Se il nome è già usato, creare un nome univoco.
    Area Selezionare l'area creata per la rete virtuale nel passaggio 3.

    L'immagine seguente mostra la finestra Crea un endpoint privato - Informazioni di base.

    Screenshot della scheda Informazioni di base in Creare un endpoint privato.

  4. Selezionare Avanti: Risorsa. Nel riquadro Risorsa immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Metodo di connessione Selezionare Connettersi a una risorsa di Azure nella directory.
    Abbonamento Selezionare la propria sottoscrizione.
    Tipo di risorsa Selezionare Microsoft.PowerBI/privateLinkServicesForPowerBI
    Conto risorse Scegliere la risorsa Infrastruttura creata nel passaggio 2.
    Sottorisorsa di destinazione Tenant

    L'immagine seguente mostra la finestra Crea un endpoint privato - Risorsa .

    Screenshot della finestra crea una risorsa endpoint privato.

  5. Selezionare Avanti: Rete virtuale. In Rete virtuale immettere o selezionare le informazioni seguenti.

    Impostazioni Valore
    RETE
    Rete virtuale Selezionare vnet-1 creato nel passaggio 3.
    Subnet Selezionare subnet-1 creata nel passaggio 3.
    INTEGRAZIONE DNS PRIVATO
    Integra con la zona DNS privato Selezionare .
    Zona DNS privato Selezionare
    (Nuovo)privatelink.analysis.windows.net
    (Nuovo)privatelink.pbidedicated.windows.net
    (Nuovo)privatelink.prod.powerquery.microsoft.com

    Screenshot della finestra DNS di creazione dell'endpoint privato.

  6. Selezionare Avanti: Tag, quindi Avanti: Rivedi e crea.

  7. Seleziona Crea.

Nota

Se si dispone di un endpoint privato di Power BI esistente, potrebbe non funzionare per gli elementi di Fabric. Attualmente, è necessario creare un nuovo endpoint privato per ottenere supporto per gli elementi di Fabric.

Passaggio 6. Connessione a una macchina virtuale con Bastion

Azure Bastion protegge le macchine virtuali fornendo connettività leggera basata su browser senza la necessità di esporle tramite indirizzi IP pubblici. Per altre informazioni, vedere Informazioni su Azure Bastion.

Connessione alla macchina virtuale seguendo questa procedura:

  1. Creare una subnet denominata AzureBastionSubnet nella rete virtuale creata nel passaggio 3.

    Screenshot della creazione di AzureBastionSubnet.

  2. Nella barra di ricerca del portale immettere testVM creata nel passaggio 4.

  3. Selezionare il pulsante Connessione e scegliere Connessione tramite Bastion dal menu a discesa.

    Screenshot della Connessione tramite l'opzione Bastion.

  4. Selezionare Distribuisci Bastion.

  5. Nella pagina Bastion immettere le credenziali di autenticazione necessarie e quindi fare clic su Connessione.

Passaggio 7. Accedere a Fabric privatamente dalla macchina virtuale

Il passaggio successivo consiste nell'accedere privatamente a Fabric, dalla macchina virtuale creata nel passaggio precedente, seguendo questa procedura:

  1. Nella macchina virtuale aprire PowerShell.

  2. Immetti nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Si riceve una risposta simile al messaggio seguente e si può vedere che viene restituito l'indirizzo IP privato. È possibile notare che l'endpoint Onelake e l'endpoint warehouse restituiscono anche indirizzi IP privati.

    Screenshot che mostra gli indirizzi IP restituiti in PowerShell.

  4. Aprire il browser e passare a app.fabric.com per accedere privatamente a Fabric.

Passaggio 8. Disabilitare l'accesso pubblico per Fabric

Infine, è possibile disabilitare facoltativamente l'accesso pubblico per Fabric.

Se si disabilita l'accesso pubblico per Fabric, vengono applicati determinati vincoli all'accesso ai servizi di Fabric, come descritto nella sezione successiva.

Importante

Quando si attiva Blocca l'accesso a Internet, la capacità di valutazione non funzionerà più e alcuni elementi di Fabric verranno disabilitati.

Per disabilitare l'accesso pubblico per Fabric, accedere a Fabric come amministratore e passare al portale di Amministrazione. Selezionare Impostazioni tenant e scorrere fino alla sezione Rete avanzata . Abilitare l'interruttore nell'impostazione Blocca tenant accesso Internet pubblico.

Screenshot che mostra l'impostazione del tenant Blocca accesso Internet pubblico abilitata.

Il sistema richiede circa 15 minuti per disabilitare l'accesso dell'organizzazione a Fabric dalla rete Internet pubblica.

Completamento della configurazione dell'endpoint privato

Dopo aver seguito i passaggi delle sezioni precedenti e aver configurato correttamente il collegamento privato, l'organizzazione implementa collegamenti privati in base alle selezioni di configurazione seguenti, indipendentemente dal fatto che la selezione sia impostata alla configurazione iniziale o successivamente modificata.

Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:

  • Fabric è accessibile solo per l'organizzazione da endpoint privati e non è accessibile da Internet pubblico.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
  • Potrebbero esserci scenari che non supportano collegamenti privati, che verranno quindi bloccati nel servizio quando è abilitato Blocca l'accesso a Internet pubblico.

Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

  • Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi di Infrastruttura.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi di Infrastruttura.
  • Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.

Il video seguente illustra come connettere un dispositivo mobile a Fabric usando endpoint privati:

Nota

Questo video potrebbe usare versioni precedenti di Power BI Desktop o il servizio Power BI.

Altre domande? Chiedere alla community dell'infrastruttura.

Contenuto correlato