Udostępnij za pośrednictwem


Dostosowywanie ustawień komunikacji dla lokalnej bramy danych

W tym artykule opisano kilka ustawień komunikacji skojarzonych z lokalną bramą danych. Te ustawienia należy dostosować, aby obsługiwać połączenia ze źródłem danych i dostęp do miejsca docelowego danych wyjściowych.

Włączanie wychodzących połączeń platformy Azure

Brama opiera się na usłudze Azure Relay na potrzeby łączności w chmurze. Brama odpowiednio ustanawia połączenia wychodzące ze skojarzonym z nim regionem świadczenia usługi Azure.

Jeśli zarejestrowałeś się przy użyciu dzierżawy usługi Power BI lub Office 365, domyślnym regionem usługi Azure jest region tej usługi. W przeciwnym razie region świadczenia usługi Azure może być najbliżej Ciebie.

Jeśli zapora blokuje połączenia wychodzące, skonfiguruj zaporę tak, aby zezwalała na połączenia wychodzące z bramy do skojarzonego z nią regionu świadczenia usługi Azure. Reguły zapory na serwerze bramy i/lub serwerach proxy klienta muszą zostać zaktualizowane, aby zezwolić na ruch wychodzący z serwera bramy do poniższych punktów końcowych. Jeśli zapora nie obsługuje symboli wieloznacznych, użyj adresów IP z Azure IP Ranges and Service Tags. Należy pamiętać, że będą one synchronizowane co miesiąc.

Wymagane porty dla bramy do działania

Brama komunikuje się na następujących portach wychodzących: TCP 443, 5671, 5672 i od 9350 do 9354. Brama nie wymaga portów wejściowych.

Aby uzyskać wskazówki dotyczące konfigurowania lokalnej zapory i/lub serwera proxy przy użyciu w pełni kwalifikowanych nazw domen (FQDN) zamiast używania adresów IP, które podlegają zmianie, wykonaj kroki opisane w temacie Obsługa dns usługi Azure WCF Relay.

Możesz również zezwolić na adresy IP przypisane do regionu, w którym znajdują się Twoje dane, w konfiguracji zapory sieciowej. Użyj plików JSON wymienionych poniżej, które są aktualizowane co tydzień.

Możesz też uzyskać listę wymaganych portów, wykonując okresowo test portów sieciowych w aplikacji bramowej.

Brama komunikuje się z usługą Azure Relay przy użyciu w pełni kwalifikowanych nazw domen (FQDN). Jeśli wymusisz komunikację bramy za pośrednictwem protokołu HTTPS, będzie ona ściśle używać w pełni kwalifikowanych nazw domen (FQDN) i nie będzie korzystać z adresów IP.

Uwaga

Lista adresów IP centrum danych platformy Azure zawiera adresy IP w notacji CiDR (Classless Inter-Domain Routing). Przykładem tej notacji jest 10.0.0.0/24, co nie oznacza od 10.0.0.0 do 10.0.0.0.24. Dowiedz się więcej o notacji CIDR.

Poniższa lista opisuje nazwy FQDN używane przez bramę. Te punkty końcowe są wymagane do działania bramy.

Nazwy domen chmury publicznej Porty wychodzące opis
*.download.microsoft.com 443 Służy do pobierania instalatora. Aplikacja bramy sieciowej korzysta również z tej domeny do sprawdzania wersji i regionu bramy.
*.powerbi.com 443 Służy do identyfikowania odpowiedniego klastra usługi Power BI.
*.analysis.windows.net 443 Służy do identyfikowania odpowiedniego klastra usługi Power BI.
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com 443 Służy do uwierzytelniania w aplikacji bramy dla Microsoft Entra ID i protokołu OAuth2. Należy pamiętać, że dodatkowe adresy URL mogą być wymagane w ramach procesu logowania Microsoft Entra ID, co może być unikatowe dla dzierżawcy.
*.servicebus.windows.net 5671-5672 Służy do zaawansowanego protokołu kolejkowania komunikatów (AMQP).
*.servicebus.windows.net 443 i 9350-9354 Nasłuchuje za pomocą usługi Azure Relay poprzez protokół TCP. Port 443 jest wymagany do uzyskania tokenów kontroli dostępu platformy Azure.
*.msftncsi.com 80 Służy do testowania łączności z Internetem, jeśli usługa Power BI nie może nawiązać połączenia z bramą.
*.dc.services.visualstudio.com 443 Używane przez usługę AppInsights do zbierania danych telemetrycznych.
ecs.office.com 443 Służy do konfigurowania usługi ECS w celu włączenia funkcji Mashup.

W przypadku GCC, GCC high i DoD następujące nazwy FQDN są używane przez bramę.

Porty GCC GCC High Departament Obrony USA
443 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Przejdź do dokumentacji Przejdź do dokumentacji
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 i 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us
443 gccmod.ecs.office.com config.ecs.gov.teams.microsoft.us config.ecs.dod.teams.microsoft.us

Dla China Cloud (Mooncake) następujące FQDN-y są używane przez bramę.

Porty Chmura w Chinach (Mooncake)
443 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 i 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Brak odpowiednika Mooncake — nie jest wymagany do uruchomienia bramy — używany tylko do sprawdzania sieci w warunkach awaryjnych
443 Brak odpowiednika "Mooncake" — stosowane podczas logowania do usługi Microsoft Entra ID. Aby uzyskać więcej informacji na temat punktów końcowych Microsoft Entra ID, zobacz Sprawdzanie punktów końcowych na platformie Azure
443 applicationinsights.azure.cn
443 clientconfig.passport.net
443 aadcdn.msftauth.cn
443 aadcdn.msauth.cn
443 mooncake.ecs.office.com

Uwaga

Po zainstalowaniu i zarejestrowaniu bramy jedyne wymagane porty i adresy IP są wymagane przez usługę Azure Relay zgodnie z opisem servicebus.windows.net w poprzedniej tabeli. Listę wymaganych portów można uzyskać, okresowo wykonując test portów sieciowych w aplikacji bramy. Możesz również wymusić, aby brama się komunikowała przy użyciu protokołu HTTPS.

Wymagane porty do wykonywania obciążeń infrastruktury Fabric

Gdy obciążenie sieci szkieletowej (na przykład semantyczne modele lub przepływy danych sieci szkieletowej) zawiera zapytanie łączące się z lokalnymi źródłami danych (za pośrednictwem lokalnej bramy danych) i źródłami danych w chmurze, całe zapytanie jest wykonywane w lokalnej bramie danych. W związku z tym, aby uruchomić element roboczy Fabric, następujące punkty końcowe muszą być otwarte, aby lokalna brama danych miała linię widoczności dostępu do wymaganych źródeł danych obciążenia.

Nazwy domen w chmurze publicznej Porty wychodzące opis
*.core.windows.net 443 Używany przez usługę Dataflow Gen1 do zapisywania danych w usłudze Azure Data Lake.
*.dfs.fabric.microsoft.com 443 Punkt końcowy używany przez usługę Dataflow Gen1 i Gen2 do nawiązania połączenia z usługą OneLake. Dowiedz się więcej
*.datawarehouse.pbidedicated.windows.net 1433 Stary punkt końcowy używany przez usługę Dataflow Gen2 do nawiązywania połączenia z magazynem przejściowym Fabric lakehouse. Dowiedz się więcej
*.datawarehouse.fabric.microsoft.com 1433 Nowy punkt końcowy używany przez Dataflow Gen2 do nawiązywania połączenia z przygotowawczym jeziorem danych Fabric. Dowiedz się więcej
*.frontend.clouddatahub.net 443 Wymagane do wykonania procesu Fabric Pipeline

Uwaga

*.datawarehouse.pbidedicated.windows.net jest zastępowany przez *.datawarehouse.fabric.microsoft.com. Podczas tego procesu przejścia upewnij się, że oba punkty końcowe są otwarte, aby zapewnić odświeżanie danych w usłudze Dataflow Gen2.

Ponadto, gdy wszelkie inne połączenia danych w chmurze (zarówno źródła danych, jak i miejsca docelowe danych wyjściowych) są używane z lokalnym połączeniem źródła danych w zapytaniu dotyczącym obciążenia, należy również otworzyć niezbędne punkty końcowe, aby zapewnić, że lokalna brama danych ma dostęp do tych źródeł danych w chmurze.

Test portów sieciowych

Aby sprawdzić, czy brama ma dostęp do wszystkich wymaganych portów:

  1. Na maszynie, na której jest uruchomiona brama, wprowadź ciąg "gateway" w wyszukiwaniu systemu Windows, a następnie wybierz aplikację brama danych usługi lokalnej.

  2. Wybierz pozycję Diagnostyka. W obszarze Test portów sieciowych wybierz pozycję Rozpocznij nowy test.

    Jak uruchomić nowy test portów sieciowych.

Gdy brama uruchamia test portów sieciowych, pobiera listę portów i serwerów z usługi Azure Relay, a następnie próbuje nawiązać połączenie ze wszystkimi z nich. Kiedy link Rozpocznij nowy test ponownie się pojawi, test portów sieciowych został zakończony.

Podsumowanie wyniku testu to "Ukończono (powodzenie)" lub "Ukończono (niepowodzenie, zobacz ostatnie wyniki testu)". Jeśli test zakończył się pomyślnie, brama została połączona ze wszystkimi wymaganymi portami. Jeśli test nie powiedzie się, środowisko sieciowe mogło zablokować wymagane porty i serwery.

Uwaga

Zapory często sporadycznie zezwalają na ruch w zablokowanych witrynach. Nawet jeśli test zakończy się pomyślnie, może być konieczne dodanie tego serwera do listy dozwolonych na zaporze.

Aby wyświetlić wyniki ostatniego ukończonego testu, wybierz link Otwórz wyniki ostatniego ukończonego testu . Wyniki testu są otwierane w domyślnym edytorze tekstów.

Wyniki testu zawierają listę wszystkich serwerów, portów i adresów IP, których wymaga brama. Jeśli wyniki testu są wyświetlane jako "Zamknięte" dla jakichkolwiek portów, jak pokazano na poniższym zrzucie ekranu, upewnij się, że środowisko sieciowe nie zablokowało tych połączeń. Może być konieczne skontaktowanie się z administratorem sieci w celu otwarcia wymaganych portów.

Wyniki testów wyświetlane w Notatniku.

Wymuszanie komunikacji HTTPS z usługą Azure Relay

Możesz wymusić, aby brama komunikowała się z usługą Azure Relay za pomocą HTTPS zamiast bezpośredniego TCP.

Uwaga

Począwszy od czerwcowej wersji bramy 2019 r., zgodnie z zaleceniami Relay, nowe instalacje domyślnie korzystają z HTTPS zamiast TCP. To domyślne zachowanie nie ma zastosowania do zaktualizowanych instalacji.

Możesz użyć aplikacji bramowej, aby wymusić na bramie przyjęcie tego zachowania. W aplikacji bramy wybierz Sieć, a następnie włącz HTTPS tryb.

Ustawianie trybu HTTPS.

Po wprowadzeniu tej zmiany, a następnie wybraniu pozycji Zastosuj usługa bramy systemu Windows zostanie automatycznie uruchomiona ponownie, aby zmiana mogła obowiązywać. Przycisk Zastosuj jest wyświetlany tylko wtedy, gdy wprowadzisz zmianę.

Aby ponownie uruchomić usługę bramy systemu Windows z poziomu aplikacji bramy, przejdź do pozycji Uruchom ponownie bramę.

Uwaga

Jeśli brama nie może komunikować się przy użyciu protokołu TCP, automatycznie używa protokołu HTTPS. Wybór w aplikacji bramki zawsze odzwierciedla aktualną wartość protokołu.

Protokół TLS 1.3 dla ruchu przez bramę sieciową

Domyślnie brama używa protokołu Transport Layer Security (TLS) 1.3 do komunikowania się z usługa Power BI. Aby upewnić się, że cały ruch bramy korzysta z protokołu TLS 1.3, może być konieczne dodanie lub zmodyfikowanie następujących kluczy rejestru na maszynie, na której jest uruchomiona usługa bramy.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Uwaga

Dodanie lub zmodyfikowanie tych kluczy rejestru spowoduje zastosowanie zmiany do wszystkich aplikacji platformy .NET. Aby uzyskać informacje na temat zmian rejestru, które mają wpływ na protokół TLS dla innych aplikacji, zobacz Ustawienia rejestru protokołu Transport Layer Security (TLS).

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Brama danych ma zależności od następujących tagów usługi:

  • Power BI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

Lokalna brama danych używa usługi Azure Relay do komunikacji. Nie ma jednak żadnych tagów dla usługi Azure Relay. Tagi usługi ServiceBus są nadal wymagane, ponieważ dotyczą funkcji kolejek i tematów tej usługi, nawet jeśli nie dotyczą usługi Azure Relay.

Tag usługi AzureCloud reprezentuje wszystkie globalne adresy IP centrum danych platformy Azure. Ponieważ usługa Azure Relay jest oparta na usłudze Azure Compute, publiczne adresy IP usługi Azure Relay są podzbiorem adresów IP usługi AzureCloud. Więcej informacji: Omówienie tagów usługi platformy Azure

Następne kroki