Zdieľať cez

Nastavenie a používanie súkromných prepojení

  • Článok

V službe Fabric môžete nakonfigurovať a použiť koncový bod, ktorý umožní vašej organizácii súkromný prístup k službe Fabric. Ak chcete nakonfigurovať súkromné koncové body, musíte byť správcom služby Fabric a mať v službe Azure povolenia na vytváranie a konfiguráciu prostriedkov, ako sú napríklad virtuálne počítače a virtuálne siete.

Kroky, ktoré vám umožnia bezpečne získať prístup k službe Fabric zo súkromných koncových bodov, sú:

  1. Nastavenie súkromných koncových bodov pre službu Fabric.
  2. Na portáli Azure vytvorte služby súkromného prepojenia Microsoft.PowerBI pre zdroj služby Power BI.
  3. Vytvorte virtuálnu sieť.
  4. Vytvorenie virtuálneho počítača.
  5. Vytvorte súkromný koncový bod.
  6. Pripojenie k virtuálnemu počítaču pomocou bašty.
  7. Súkromný prístup k službe Fabric z virtuálneho počítača.
  8. Zakázať verejný prístup pre službu Fabric.

V nasledujúcich častiach nájdete ďalšie informácie pre jednotlivé kroky.

Krok 1. Nastavenie súkromných koncových bodov pre službu Fabric

  1. Prihláste sa do služby Fabric ako správca.

  2. Prejdite do nastavení nájomníka.

  3. Vyhľadajte a rozbaľte nastavenie Azure Private Link.

  4. Nastavte prepínač do časti Povolené.

    Snímka obrazovky zobrazujúca nastavenie nájomníka služby Azure Private Link.

Konfigurácia súkromného prepojenia pre nájomníka trvá približne 15 minút. To zahŕňa konfiguráciu samostatného úplného názvu domény (FQDN) pre nájomníka na súkromnú komunikáciu so službami Fabric.

Po dokončení tohto procesu prejdite na ďalší krok.

Tento krok sa používa na podporu priradenia súkromného koncového bodu služby Azure k vášmu zdroju služby Fabric.

  1. Prihláste sa do portálu Azurel.

  2. Vyberte položku Vytvoriť prostriedok.

  3. V časti Nasadenie šablóny vyberte položku Vytvoriť.

    Snímka obrazovky prepojenia Vytvoriť šablónu v časti Vytvoriť prostriedok.

  4. Na stránke vlastného nasadenia vyberte v editore položku Vytvoriť vlastnú šablónu.

    Snímka obrazovky znázorňujúca možnosť Vytvoriť vlastnú šablónu.

  5. V editore vytvorte pomocou šablóny ARM nasledujúci zdroj fabricu, ako je znázornené nižšie, kde

    • <resource-name> je názov, ktorý si vyberiete pre prostriedok služby Fabric.
    • <tenant-object-id> je vaše ID nájomníka Microsoft Entra. Pozrite si tému Ako nájsť ID nájomníka Microsoft Entra.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Ak používate cloud Azure Government pre službu Power BI, location mal by byť názov oblasti nájomníka. Ak sa napríklad nájomník nachádza v usa Gov Texas, mali by ste pridať "location": "usgovtexas" šablónu ARM. Zoznam oblastí služby Power BI us Government nájdete v článku Power BI pre štátnu správu USA.

    Dôležité

    Použite ho Microsoft.PowerBI/privateLinkServicesForPowerBI ako type hodnotu, aj keď sa pre službu Fabric vytvára zdroj.

  6. Šablónu uložte. Potom zadajte nasledujúce informácie.

    Nastavenie Hodnota
    Podrobnosti o projekte
    Predplatné Vyberte predplatné.
    Skupina prostriedkov Vyberte položku **Vytvoriť nové. Ako názov zadajte test-PL. Vyberte položku OK.
    Podrobnosti o inštancii Vyberte oblasť.
    Oblasť

    Snímka obrazovky karty Základy vlastného nasadenia.

  7. Na obrazovke recenzie vyberte položku Vytvoriť , aby ste akceptovali podmienky a požiadavky.

    Snímka obrazovky s podmienkami služby Azure Marketplace.

Krok 3. Vytvorenie virtuálnej siete

Nasledujúcim postupom sa vytvorí virtuálna sieť s podsieťou prostriedkov, podsieť Azure Bastion a hostiteľom Azure Bastion.

Počet IP adries, ktoré bude vaša podsieť potrebovať, je počet kapacít v nájomníkovi plus päť. Ak napríklad vytvárate podsieť pre nájomníka so siedmimi kapacitami, budete potrebovať dvanásť IP adries.

  1. Na portáli Azure vyhľadajte a vyberte položku Virtuálne siete.

  2. Na stránke Virtuálne siete vyberte položku + Vytvoriť.

  3. Na karte Základy akcie Vytvoriť virtuálnu sieť zadajte alebo vyberte nasledujúce informácie:

    Nastavenie Hodnota
    Podrobnosti o projekte
    Predplatné Vyberte predplatné.
    Skupina prostriedkov Vyberte test-PL, názov, ktorý sme vytvorili v kroku 2.
    Podrobnosti o inštancii
    Meno Zadajte vnet-1.
    Oblasť Vyberte oblasť, v ktorej budete iniciovať pripojenie k službe Fabric.

    Snímka obrazovky karty Základy v okne Vytvorenie virtuálnej siete.

  4. Ak chcete pokračovať na kartu Zabezpečenie, vyberte položku Ďalej. Môžete odísť ako predvolený alebo zmeniť na základe obchodných potrieb.

  5. Ak chcete prejsť na kartu IP adresy, vyberte položku Ďalej. Môžete odísť ako predvolený alebo zmeniť na základe obchodných potrieb.

    Snímka obrazovky karty IP adresy v okne Vytvorenie virtuálnej siete.

  6. Vyberte položku Uložiť.

  7. V dolnej časti obrazovky vyberte položku Skontrolovať a vytvoriť . Po vykonaní overenia vyberte položku Vytvoriť.

Krok č. 4. Vytvorenie virtuálneho počítača

Ďalším krokom je vytvorenie virtuálneho počítača.

  1. Na portáli Azure prejdite na položku Vytvorenie prostriedku > na výpočet > virtuálnych počítačov.

  2. Na karte Základné informácie zadajte alebo vyberte nasledujúce informácie:

    Nastavenia Hodnota
    Podrobnosti o projekte
    Predplatné Vyberte svoje predplatné na Azure.
    Skupina prostriedkov Vyberte skupinu prostriedkov, ktorú ste zadali v kroku 2.
    Podrobnosti o inštancii
    Názov virtuálneho počítača Zadajte názov nového virtuálneho počítača. Vyberte informačnú bublinu vedľa názvu poľa, aby sa zobrazili dôležité informácie o názvoch virtuálnych počítačov.
    Oblasť Vyberte oblasť, ktorú ste vybrali v kroku 3.
    Možnosti dostupnosti Na testovanie vyberte možnosť Nevyžaduje sa žiadna redundancia infraštruktúry.
    Typ zabezpečenia Ponechajte predvolenú hodnotu.
    Obrázok Vyberte požadovaný obrázok. Vyberte napríklad Windows Server 2022.
    Architektúra virtuálneho počítača Ponechajte predvolenú hodnotu x64.
    Veľkosť Vyberte veľkosť.
    KONTO SPRÁVCU
    Username Zadajte meno používateľa, ktoré ste si vybrali.
    Heslo Zadajte heslo, ktoré ste si vybrali Heslo musí mať najmenej 12 znakov a spĺňať definované požiadavky na zložitosť.
    Potvrdiť heslo Znova zadať heslo.
    PRAVIDLÁ PRE PORTY PRICHÁDZAJÚCEJ KOMUNIKÁCIE
    Verejné porty prichádzajúcej komunikácie Vyberte položku Žiadne.

    Snímka obrazovky s kartou Vytvoriť základy virtuálneho počítača.

  3. Vyberte položku Ďalej: Disky.

  4. Na karte Disky ponechajte predvolené hodnoty a vyberte položku Ďalej: Možnosti siete.

  5. Na karte Možnosti siete vyberte nasledujúce informácie:

    Nastavenia Hodnota
    Virtuálna sieť Vyberte virtuálnu sieť, ktorú ste vytvorili v kroku 3.
    Podsiete Vyberte predvolenú hodnotu (10.0.0.0/24), ktorú ste vytvorili v kroku 3.

    Zvyšné polia ponecháte predvolené hodnoty.

    Snímka obrazovky znázorňujúca kartu Vytváranie sietí virtuálneho počítača.

  6. Vyberte položku Skontrolovať a vytvoriť. Budete presmerovaní na stránku Skontrolovať a vytvoriť , kde Azure overí vašu konfiguráciu.

  7. Keď sa zobrazí hlásenie Overenie prebehlo , vyberte položku Vytvoriť.

Krok č. 5: Vytvorenie súkromného koncového bodu

Ďalším krokom je vytvorenie súkromného koncového bodu pre službu Fabric.

  1. Do vyhľadávacieho poľa v hornej časti portálu zadajte názov Súkromný koncový bod. Vyberte položku Súkromné koncové body.

  2. Vyberte položku + Vytvoriť v súkromných koncových bodoch.

  3. Na karte Základné informácie v časti Vytvorenie súkromného koncového bodu zadajte alebo vyberte nasledujúce informácie:

    Nastavenia Hodnota
    Podrobnosti o projekte
    Predplatné Vyberte svoje predplatné na Azure.
    Skupina prostriedkov Vyberte skupinu prostriedkov, ktorú ste vytvorili v kroku 2.
    Podrobnosti o inštancii
    Meno Zadajte text FabricPrivateEndpoint. Ak je tento názov obsadený, vytvorte jedinečný názov.
    Oblasť V kroku 3 vyberte oblasť, ktorú ste vytvorili pre virtuálnu sieť.

    Na nasledujúcom obrázku je znázornené okno Vytvorenie súkromného koncového bodu – Základné informácie .

    Snímka obrazovky karty Základy v okne Vytvorenie súkromného koncového bodu.

  4. Vyberte položku Ďalej: Prostriedok. Na table Zdroj zadajte alebo vyberte nasledujúce informácie:

    Nastavenia Hodnota
    Metóda pripojenia Vyberte možnosť pripojenia k prostriedku Azure v mojom adresári.
    Predplatné Vyberte predplatné.
    Typ prostriedku Vyberte položky Microsoft.PowerBI/privateLinkServicesForPowerBI
    Resource Vyberte prostriedok služby Fabric, ktorý ste vytvorili v kroku 2.
    Cieľový vedľajší zdroj Nájomník

    Na nasledujúcom obrázku je znázornené okno Vytvorenie súkromného koncového bodu – Prostriedok .

    Snímka obrazovky znázorňujúca okno vytvorenie súkromného koncového bodu prostriedku.

  5. Vyberte položku Ďalej: Virtuálna sieť. Vo virtuálnej sieti zadajte alebo vyberte nasledujúce informácie.

    Nastavenia Hodnota
    SIETE
    Virtuálna sieť Vyberte vnet-1 , ktoré ste vytvorili v kroku 3.
    Podsiete Vyberte podsieť 1 , ktorú ste vytvorili v kroku 3.
    INTEGRÁCIA SO SÚKROMNOU DNS
    Integrácia so súkromnou zónou DNS Vyberte položku Áno.
    Súkromná zóna DNS Vyberte
    (Nový)privatelink.analysis.windows.net
    (Nové)privatelink.pbidedicated.windows.net
    (Nové)privatelink.prod.powerquery.microsoft.com

    Snímka obrazovky znázorňujúca okno Vytvorenie súkromného koncového bodu DNS.

  6. Vyberte položku Ďalej: Značky, potom ďalej : Skontrolovať a vytvoriť.

  7. Vyberte položku Vytvoriť.

Krok č. 6: Pripojenie k virtuálnemu počítaču pomocou bašty

Azure Bastion chráni vaše virtuálne počítače ľahkým pripojením založeným na prehliadači bez toho, aby ich bolo potrebné sprístupniť prostredníctvom verejných IP adries. Ďalšie informácie nájdete v téme Čo je služba Azure Bastion?.

Pripojte sa k virtuálnemu počítaču pomocou týchto krokov:

  1. Vo virtuálnej sieti, ktorú ste vytvorili v kroku 3, vytvorte podsieť s názvom AzureBastionSubnet.

    Snímka obrazovky znázorňujúca vytvorenie služby AzureBastionSubnet.

  2. Do vyhľadávacieho panela portálu zadajte testVM , ktorý sme vytvorili v kroku 4.

  3. Vyberte tlačidlo Pripojiť a v rozbaľovacej ponuke vyberte položku Pripojiť cez baštu.

    Snímka obrazovky možnosti Pripojiť cez baštu.

  4. Vyberte položku Nasadiť baštu.

  5. Na stránke Bastion zadajte požadované prihlasovacie údaje overenia a potom kliknite na položku Pripojiť.

Krok 7. Súkromný prístup k službe Access Fabric z virtuálneho počítača

Ďalším krokom je súkromný prístup k službe Fabric z virtuálneho počítača, ktorý ste vytvorili v predchádzajúcom kroku, a to pomocou nasledujúcich krokov:

  1. Vo virtuálnom počítači otvorte prostredie PowerShell.

  2. Zadajte nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Zobrazí sa odpoveď podobná nasledujúcej správe a uvidíte, že sa vráti súkromná IP adresa. Môžete vidieť, že koncový bod Onelake a koncový bod Warehouse tiež vracajú súkromné IP adresy.

    Snímka obrazovky znázorňujúca IP adresy vrátené v prostredí PowerShell.

  4. Otvorte prehliadač a prejdite na app.fabric.microsoft.com a získajte súkromný prístup k službe Fabric.

Krok 8. Zakázanie verejného prístupu pre službu Fabric

V konečnom dôsledku môžete voliteľne zakázať verejný prístup pre službu Fabric.

Ak zakážete verejný prístup pre službu Fabric, zavedie sa určité obmedzenia prístupu k službám Fabric, ako je popísané v nasledujúcej časti.

Dôležité

Keď zapnete možnosť Blokovať prístup na internet, niektoré nepodporované položky služby Fabric sa vypnú. Úplný zoznam obmedzení a dôležitých informácií nájdete v téme Informácie o súkromných prepojeniach

Ak chcete zakázať verejný prístup pre službu Fabric, prihláste sa do služby Fabric ako správca a prejdite na portál na správu. Vyberte položku Nastavenia nájomníka a posuňte sa na časť Rozšírené možnosti siete . Zapnite tlačidlo prepínania v nastavení nájomníka Blokovať verejný prístup na internet.

Snímka obrazovky zobrazujúca povolené nastavenie nájomníka Blokovať verejný internetový prístup.

Zakázanie prístupu vašej organizácie k službe Fabric z verejného internetu trvá systému približne 15 minút.

Dokončenie konfigurácie súkromného koncového bodu

Po vykonaní krokov v predchádzajúcich častiach a úspešnej konfigurácii súkromného prepojenia implementuje vaša organizácia súkromné prepojenia na základe nasledujúcich výberov konfigurácie, či už je výber nastavený pri počiatočnej konfigurácii alebo následne zmenený.

Ak je služba Azure Private Link správne nakonfigurovaná a možnosť Blokovať verejný prístup na internet je povolená:

  • Služba Fabric je dostupná pre vašu organizáciu len zo súkromných koncových bodov a nie je dostupná z verejného internetu.
  • Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
  • Prenosy z koncových bodov a scenárov, ktoré nepodporujú súkromné prepojenia, budú v službe zablokované a nebudú fungovať.
  • Môžu existovať scenáre, ktoré nepodporujú súkromné prepojenia, a preto budú v službe zablokované, keď je povolená možnosť Blokovať verejný prístup na internet.

Ak je služba Azure Private Link správne nakonfigurovaná a položka Blokovať verejný prístup na internet je zakázaná:

  • Služby fabricu môžu povoliť prenos z verejného internetu.
  • Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
  • Prenosy z virtuálnych sieťových cieľových koncových bodov a scenáre, ktoré nepodporujú súkromné prepojenia, sa prenášajú prostredníctvom verejného internetu a budú povolené službami Fabric.
  • Ak je virtuálna sieť nakonfigurovaná na blokovanie verejného prístupu na internet, scenáre, ktoré nepodporujú súkromné prepojenia, budú zablokované virtuálnou sieťou a nebudú fungovať.

Nasledujúce video ukazuje postup pripojenia mobilného zariadenia k službe Fabric pomocou súkromných koncových bodov:

Poznámka

Toto video môže používať staršie verzie aplikácie Power BI Desktop alebo služba Power BI.

Máte ďalšie otázky? Spýtajte sa komunity služby Fabric.

V prípade, že chcete zakázať nastavenie súkromného prepojenia, pred zakázaním nastavenia súkromného prepojenia skontrolujte, či boli odstránené všetky súkromné koncové body, ktoré ste vytvorili, a zodpovedajúcu súkromnú zónu DNS. Ak má váš VNet nastavený súkromný koncový bod, ale súkromné prepojenie je zakázané, pripojenia z tejto VNet môžu zlyhať.

Súvisiaci obsah