Configurare e usare collegamenti privati
In Fabric è possibile configurare e usare un endpoint che consente all'organizzazione di accedere privatamente a Fabric. Per configurare gli endpoint privati, è necessario essere un amministratore dell'infrastruttura e disporre delle autorizzazioni in Azure per creare e configurare risorse come macchine virtuali e reti virtuali.
I passaggi che consentono di accedere in modo sicuro a Fabric da endpoint privati sono:
- Configurare endpoint privati per Fabric.
- Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure.
- Creare una rete virtuale.
- Creare una macchina virtuale (VM).
- Creare un endpoint privato.
- Connessione a una macchina virtuale usando Bastion.
- Accedere privatamente a Fabric dalla macchina virtuale.
- Disabilitare l'accesso pubblico per Fabric.
Le sezioni seguenti forniscono informazioni aggiuntive per ogni passaggio.
Passaggio 1: Configurare endpoint privati per Fabric
Accedere a Fabric come amministratore.
Passare alle impostazioni del tenant.
Trovare ed espandere l'impostazione collegamento privato di Azure.
Impostare l'interruttore su Abilitato.
La configurazione di un collegamento privato per il tenant richiede circa 15 minuti. Ciò include la configurazione di un FQDN separato (nome di dominio completo) per il tenant per comunicare privatamente con i servizi di Fabric.
Al termine di questo processo, passare al passaggio successivo.
Passaggio 2. Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure
Questo passaggio viene usato per supportare l'associazione dell'endpoint privato di Azure alla risorsa infrastruttura.
Accedere al portale di Azure.
Selezionare Crea una risorsa.
In Distribuzione modello selezionare Crea.
Nella pagina Distribuzione personalizzata selezionare Compila un modello personalizzato nell'editor.
Nell'editor creare la risorsa Fabric seguente usando il modello di Resource Manager, come illustrato di seguito, dove
<resource-name>
è il nome scelto per la risorsa infrastruttura.<tenant-object-id>
è l'ID tenant di Microsoft Entra. Vedere Come trovare l'ID tenant di Microsoft Entra.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Se si usa un cloud Azure per enti pubblici per Power BI,
location
deve essere il nome dell'area del tenant. Ad esempio, se il tenant si trova in US Gov Texas, è necessario inserire"location": "usgovtexas"
il modello di Resource Manager. L'elenco delle aree del governo degli Stati Uniti per Power BI è disponibile nell'articolo Infrastruttura per il governo degli Stati Uniti.Importante
Usare
Microsoft.PowerBI/privateLinkServicesForPowerBI
cometype
valore, anche se la risorsa viene creata per Fabric.Scegliere Salva per salvare il modello. Immettere quindi le informazioni seguenti.
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare **Crea nuovo. Immettere test-PL come nome. Seleziona OK. Dettagli istanza Seleziona l'area. Area Nella schermata di revisione selezionare Crea per accettare i termini e le condizioni.
Passaggio 3. Creare una rete virtuale
La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.
Il numero di indirizzi IP necessari per la subnet è il numero di capacità nel tenant più cinque. Ad esempio, se si crea una subnet per un tenant con sette capacità, sono necessari dodici indirizzi IP.
Nel portale di Azure cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali, selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-PL, il nome creato nel passaggio 2. Dettagli istanza Nome Immettere vnet-1. Area Selezionare l'area in cui si avvierà la connessione a Fabric. Selezionare Avanti per passare alla scheda Sicurezza . È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.
Selezionare Avanti per passare alla scheda Indirizzi IP. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.
Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida, selezionare Crea.
Passaggio 4. Creare una macchina virtuale
Il passaggio successivo consiste nel creare una macchina virtuale.
Nella portale di Azure passare a Creare una risorsa > Macchine virtuali di calcolo>.
Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:
Impostazioni Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare il gruppo di risorse specificato nel passaggio 2. Dettagli istanza Virtual machine name Immettere un nome per la nuova macchina virtuale. Selezionare la bolla informazioni accanto al nome del campo per visualizzare informazioni importanti sui nomi delle macchine virtuali. Area Selezionare l'area selezionata nel passaggio 3. Opzioni di disponibilità Per i test scegliere Nessuna ridondanza dell'infrastruttura necessaria Tipo di sicurezza Lasciare il valore predefinito. Immagine Selezionare l'immagine desiderata. Ad esempio, scegliere Windows Server 2022. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. ACCOUNT AMMINISTRATORE Username Immettere un nome utente a scelta. Password Immettere una password a scelta. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti. Conferma password Reimmettere la password. REGOLE PORTA IN INGRESSO Porte in ingresso pubbliche Scegliere Nessuno. Selezionare Avanti: dischi.
Nella scheda Dischi lasciare le impostazioni predefinite e selezionare Avanti: Rete.
Nella scheda Rete selezionare le informazioni seguenti:
Impostazioni Valore Rete virtuale Selezionare la rete virtuale creata nel passaggio 3. Subnet Selezionare il valore predefinito (10.0.0.0/24) creato nel passaggio 3. Per il resto dei campi, lasciare le impostazioni predefinite.
Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.
Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.
Passaggio 5. Creare un endpoint privato
Il passaggio successivo consiste nel creare un endpoint privato per Fabric.
Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.
Selezionare + Crea negli endpoint privati.
Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti:
Impostazioni Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare il gruppo di risorse creato nel passaggio 2. Dettagli istanza Nome Immettere FabricPrivateEndpoint. Se il nome è già usato, creare un nome univoco. Area Selezionare l'area creata per la rete virtuale nel passaggio 3. L'immagine seguente mostra la finestra Crea un endpoint privato - Informazioni di base.
Selezionare Avanti: Risorsa. Nel riquadro Risorsa immettere o selezionare le informazioni seguenti:
Impostazioni Valore Metodo di connessione Selezionare Connettersi a una risorsa di Azure nella directory. Abbonamento Selezionare la propria sottoscrizione. Tipo di risorsa Selezionare Microsoft.PowerBI/privateLinkServicesForPowerBI Conto risorse Scegliere la risorsa Infrastruttura creata nel passaggio 2. Sottorisorsa di destinazione Tenant L'immagine seguente mostra la finestra Crea un endpoint privato - Risorsa .
Selezionare Avanti: Rete virtuale. In Rete virtuale immettere o selezionare le informazioni seguenti.
Impostazioni Valore RETE Rete virtuale Selezionare vnet-1 creato nel passaggio 3. Subnet Selezionare subnet-1 creata nel passaggio 3. INTEGRAZIONE DNS PRIVATO Integra con la zona DNS privato Selezionare Sì. Zona DNS privato Selezionare
(Nuovo)privatelink.analysis.windows.net
(Nuovo)privatelink.pbidedicated.windows.net
(Nuovo)privatelink.prod.powerquery.microsoft.comSelezionare Avanti: Tag, quindi Avanti: Rivedi e crea.
Seleziona Crea.
Nota
Se si dispone di un endpoint privato di Power BI esistente, potrebbe non funzionare per gli elementi di Fabric. Attualmente, è necessario creare un nuovo endpoint privato per ottenere supporto per gli elementi di Fabric.
Passaggio 6. Connessione a una macchina virtuale con Bastion
Azure Bastion protegge le macchine virtuali fornendo connettività leggera basata su browser senza la necessità di esporle tramite indirizzi IP pubblici. Per altre informazioni, vedere Informazioni su Azure Bastion.
Connessione alla macchina virtuale seguendo questa procedura:
Creare una subnet denominata AzureBastionSubnet nella rete virtuale creata nel passaggio 3.
Nella barra di ricerca del portale immettere testVM creata nel passaggio 4.
Selezionare il pulsante Connessione e scegliere Connessione tramite Bastion dal menu a discesa.
Selezionare Distribuisci Bastion.
Nella pagina Bastion immettere le credenziali di autenticazione necessarie e quindi fare clic su Connessione.
Passaggio 7. Accedere a Fabric privatamente dalla macchina virtuale
Il passaggio successivo consiste nell'accedere privatamente a Fabric, dalla macchina virtuale creata nel passaggio precedente, seguendo questa procedura:
Nella macchina virtuale aprire PowerShell.
Immetti
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.Si riceve una risposta simile al messaggio seguente e si può vedere che viene restituito l'indirizzo IP privato. È possibile notare che l'endpoint Onelake e l'endpoint warehouse restituiscono anche indirizzi IP privati.
Aprire il browser e passare a app.fabric.com per accedere privatamente a Fabric.
Passaggio 8. Disabilitare l'accesso pubblico per Fabric
Infine, è possibile disabilitare facoltativamente l'accesso pubblico per Fabric.
Se si disabilita l'accesso pubblico per Fabric, vengono applicati determinati vincoli all'accesso ai servizi di Fabric, come descritto nella sezione successiva.
Importante
Quando si attiva Blocca l'accesso a Internet, la capacità di valutazione non funzionerà più e alcuni elementi di Fabric verranno disabilitati.
Per disabilitare l'accesso pubblico per Fabric, accedere a Fabric come amministratore e passare al portale di Amministrazione. Selezionare Impostazioni tenant e scorrere fino alla sezione Rete avanzata . Abilitare l'interruttore nell'impostazione Blocca tenant accesso Internet pubblico.
Il sistema richiede circa 15 minuti per disabilitare l'accesso dell'organizzazione a Fabric dalla rete Internet pubblica.
Completamento della configurazione dell'endpoint privato
Dopo aver seguito i passaggi delle sezioni precedenti e aver configurato correttamente il collegamento privato, l'organizzazione implementa collegamenti privati in base alle selezioni di configurazione seguenti, indipendentemente dal fatto che la selezione sia impostata alla configurazione iniziale o successivamente modificata.
Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:
- Fabric è accessibile solo per l'organizzazione da endpoint privati e non è accessibile da Internet pubblico.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
- Potrebbero esserci scenari che non supportano collegamenti privati, che verranno quindi bloccati nel servizio quando è abilitato Blocca l'accesso a Internet pubblico.
Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:
- Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi di Infrastruttura.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi di Infrastruttura.
- Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.
Il video seguente illustra come connettere un dispositivo mobile a Fabric usando endpoint privati:
Nota
Questo video potrebbe usare versioni precedenti di Power BI Desktop o il servizio Power BI.
Altre domande? Chiedere alla community dell'infrastruttura.
Contenuto correlato
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per