Nastavenie a používanie súkromných prepojení

V službe Fabric môžete nakonfigurovať a použiť koncový bod, ktorý umožní vašej organizácii súkromný prístup k službe Fabric. Ak chcete nakonfigurovať súkromné koncové body, musíte byť správcom služby Fabric a mať v službe Azure povolenia na vytváranie a konfiguráciu prostriedkov, ako sú napríklad virtuálne počítače a virtuálne siete.

Kroky, ktoré vám umožnia bezpečne získať prístup k službe Fabric zo súkromných koncových bodov, sú:

1. Nastavenie súkromných koncových bodov pre službu Fabric.
2. Na portáli Azure vytvorte služby súkromného prepojenia Microsoft.PowerBI pre zdroj služby Power BI.
3. Vytvorte virtuálnu sieť.
4. Vytvorenie virtuálneho počítača.
5. Vytvorte súkromný koncový bod.
6. Pripojenie k virtuálnemu počítaču pomocou bašty.
7. Súkromný prístup k službe Fabric z virtuálneho počítača.
8. Zakázať verejný prístup pre službu Fabric.

V nasledujúcich častiach nájdete ďalšie informácie pre jednotlivé kroky.

Krok 1. Nastavenie súkromných koncových bodov pre službu Fabric

1. Prihláste sa do služby Fabric ako správca.

2. Prejdite do nastavení nájomníka.

3. Vyhľadajte a rozbaľte nastavenie Azure Private Link.

4. Nastavte prepínač do časti Povolené.

   

Konfigurácia súkromného prepojenia pre nájomníka trvá približne 15 minút. To zahŕňa konfiguráciu samostatného úplného názvu domény (FQDN) pre nájomníka na súkromnú komunikáciu so službami Fabric.

Po dokončení tohto procesu prejdite na ďalší krok.

Krok 2. Vytvorenie služby súkromného prepojenia Microsoft.PowerBI pre zdroj služby Power BI na portáli Azure

Tento krok sa používa na podporu priradenia súkromného koncového bodu služby Azure k vášmu zdroju služby Fabric.

1. Prihláste sa do portálu Azurel.

2. Vyberte položku Vytvoriť prostriedok.

3. V časti Nasadenie šablóny vyberte položku Vytvoriť.

   

4. Na stránke vlastného nasadenia vyberte v editore položku Vytvoriť vlastnú šablónu.

   

5. V editore vytvorte pomocou šablóny ARM nasledujúci zdroj fabricu, ako je znázornené nižšie, kde

   • <resource-name> je názov, ktorý si vyberiete pre prostriedok služby Fabric.
   • <tenant-object-id> je vaše ID nájomníka Microsoft Entra. Pozrite si tému Ako nájsť ID nájomníka Microsoft Entra.

   {
     "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {},
     "resources": [
         {
             "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
             "apiVersion": "2020-06-01",
             "name" : "<resource-name>",
             "location": "global",
             "properties" : 
             {
                  "tenantId": "<tenant-object-id>"
             }
         }
     ]
   }
   

   Ak používate cloud Azure Government pre službu Power BI, location mal by byť názov oblasti nájomníka. Ak sa napríklad nájomník nachádza v usa Gov Texas, mali by ste pridať "location": "usgovtexas" šablónu ARM. Zoznam oblastí služby Power BI us Government nájdete v článku Power BI pre štátnu správu USA.

   Dôležité

   Použite ho Microsoft.PowerBI/privateLinkServicesForPowerBI ako type hodnotu, aj keď sa pre službu Fabric vytvára zdroj.

6. Šablónu uložte. Potom zadajte nasledujúce informácie.

   Nastavenie	Hodnota
   Podrobnosti o projekte
   Predplatné	Vyberte predplatné.
   Skupina prostriedkov	Vyberte položku **Vytvoriť nové. Ako názov zadajte test-PL. Vyberte položku OK.
   Podrobnosti o inštancii	Vyberte oblasť.
   Oblasť

   

7. Na obrazovke recenzie vyberte položku Vytvoriť , aby ste akceptovali podmienky a požiadavky.

   

Krok 3. Vytvorenie virtuálnej siete

Nasledujúcim postupom sa vytvorí virtuálna sieť s podsieťou prostriedkov, podsieť Azure Bastion a hostiteľom Azure Bastion.

Počet IP adries, ktoré bude vaša podsieť potrebovať, je počet kapacít, ktoré ste vytvorili v nájomníkovi, plus pätnásť. Ak napríklad vytvárate podsieť pre nájomníka so siedmimi kapacitami, budete potrebovať dvadsaťdva IP adries.

1. Na portáli Azure vyhľadajte a vyberte položku Virtuálne siete.

2. Na stránke Virtuálne siete vyberte položku + Vytvoriť.

3. Na karte Základy akcie Vytvoriť virtuálnu sieť zadajte alebo vyberte nasledujúce informácie:

   Nastavenie	Hodnota
   Podrobnosti o projekte
   Predplatné	Vyberte predplatné.
   Skupina prostriedkov	Vyberte test-PL, názov, ktorý sme vytvorili v kroku 2.
   Podrobnosti o inštancii
   Meno	Zadajte vnet-1.
   Oblasť	Vyberte oblasť, v ktorej budete iniciovať pripojenie k službe Fabric.

   

4. Ak chcete pokračovať na kartu Zabezpečenie, vyberte položku Ďalej. Môžete odísť ako predvolený alebo zmeniť na základe obchodných potrieb.

5. Ak chcete prejsť na kartu IP adresy, vyberte položku Ďalej. Môžete odísť ako predvolený alebo zmeniť na základe obchodných potrieb.

   

6. Vyberte položku Uložiť.

7. V dolnej časti obrazovky vyberte položku Skontrolovať a vytvoriť . Po vykonaní overenia vyberte položku Vytvoriť.

Krok č. 4. Vytvorenie virtuálneho počítača

Ďalším krokom je vytvorenie virtuálneho počítača.

1. Na portáli Azure prejdite na položku Vytvorenie prostriedku > na výpočet > virtuálnych počítačov.

2. Na karte Základné informácie zadajte alebo vyberte nasledujúce informácie:

   Nastavenia	Hodnota
   Podrobnosti o projekte
   Predplatné	Vyberte svoje predplatné na Azure.
   Skupina prostriedkov	Vyberte skupinu prostriedkov, ktorú ste zadali v kroku 2.
   Podrobnosti o inštancii
   Názov virtuálneho počítača	Zadajte názov nového virtuálneho počítača. Vyberte informačnú bublinu vedľa názvu poľa, aby sa zobrazili dôležité informácie o názvoch virtuálnych počítačov.
   Oblasť	Vyberte oblasť, ktorú ste vybrali v kroku 3.
   Možnosti dostupnosti	Na testovanie vyberte možnosť Nevyžaduje sa žiadna redundancia infraštruktúry.
   Typ zabezpečenia	Ponechajte predvolenú hodnotu.
   Obrázok	Vyberte požadovaný obrázok. Vyberte napríklad Windows Server 2022.
   Architektúra virtuálneho počítača	Ponechajte predvolenú hodnotu x64.
   Veľkosť	Vyberte veľkosť.
   KONTO SPRÁVCU
   Username	Zadajte meno používateľa, ktoré ste si vybrali.
   Heslo	Zadajte heslo, ktoré ste si vybrali Heslo musí mať najmenej 12 znakov a spĺňať definované požiadavky na zložitosť.
   Potvrdiť heslo	Znova zadať heslo.
   PRAVIDLÁ PRE PORTY PRICHÁDZAJÚCEJ KOMUNIKÁCIE
   Verejné porty prichádzajúcej komunikácie	Vyberte položku Žiadne.

   

3. Vyberte položku Ďalej: Disky.

4. Na karte Disky ponechajte predvolené hodnoty a vyberte položku Ďalej: Možnosti siete.

5. Na karte Možnosti siete vyberte nasledujúce informácie:

   Nastavenia	Hodnota
   Virtuálna sieť	Vyberte virtuálnu sieť, ktorú ste vytvorili v kroku 3.
   Podsiete	Vyberte predvolenú hodnotu (10.0.0.0/24), ktorú ste vytvorili v kroku 3.

   Zvyšné polia ponecháte predvolené hodnoty.

   

6. Vyberte položku Skontrolovať a vytvoriť. Budete presmerovaní na stránku Skontrolovať a vytvoriť , kde Azure overí vašu konfiguráciu.

7. Keď sa zobrazí hlásenie Overenie prebehlo , vyberte položku Vytvoriť.

Krok č. 5: Vytvorenie súkromného koncového bodu

Ďalším krokom je vytvorenie súkromného koncového bodu pre službu Fabric.

1. Do vyhľadávacieho poľa v hornej časti portálu zadajte názov Súkromný koncový bod. Vyberte položku Súkromné koncové body.

2. Vyberte položku + Vytvoriť v súkromných koncových bodoch.

3. Na karte Základné informácie v časti Vytvorenie súkromného koncového bodu zadajte alebo vyberte nasledujúce informácie:

   Nastavenia	Hodnota
   Podrobnosti o projekte
   Predplatné	Vyberte svoje predplatné na Azure.
   Skupina prostriedkov	Vyberte skupinu prostriedkov, ktorú ste vytvorili v kroku 2.
   Podrobnosti o inštancii
   Meno	Zadajte text FabricPrivateEndpoint. Ak je tento názov obsadený, vytvorte jedinečný názov.
   Oblasť	V kroku 3 vyberte oblasť, ktorú ste vytvorili pre virtuálnu sieť.

   Na nasledujúcom obrázku je znázornené okno Vytvorenie súkromného koncového bodu – Základné informácie .

   

4. Vyberte položku Ďalej: Prostriedok. Na table Zdroj zadajte alebo vyberte nasledujúce informácie:

   Nastavenia	Hodnota
   Metóda pripojenia	Vyberte možnosť pripojenia k prostriedku Azure v mojom adresári.
   Predplatné	Vyberte predplatné.
   Typ prostriedku	Vyberte položky Microsoft.PowerBI/privateLinkServicesForPowerBI
   Resource	Vyberte prostriedok služby Fabric, ktorý ste vytvorili v kroku 2.
   Cieľový vedľajší zdroj	Nájomník

   Na nasledujúcom obrázku je znázornené okno Vytvorenie súkromného koncového bodu – Prostriedok .

   

5. Vyberte položku Ďalej: Virtuálna sieť. Vo virtuálnej sieti zadajte alebo vyberte nasledujúce informácie.

   Nastavenia	Hodnota
   SIETE
   Virtuálna sieť	Vyberte vnet-1 , ktoré ste vytvorili v kroku 3.
   Podsiete	Vyberte podsieť 1 , ktorú ste vytvorili v kroku 3.
   INTEGRÁCIA SO SÚKROMNOU DNS
   Integrácia so súkromnou zónou DNS	Vyberte položku Áno.
   Súkromná zóna DNS	Vybrať (Nový)privatelink.analysis.windows.net (Nové)privatelink.pbidedicated.windows.net (Nové)privatelink.prod.powerquery.microsoft.com

   

6. Vyberte položku Ďalej: Značky, potom ďalej : Skontrolovať a vytvoriť.

7. Vyberte položku Vytvoriť.

Krok č. 6: Pripojenie k virtuálnemu počítaču pomocou bašty

Azure Bastion chráni vaše virtuálne počítače ľahkým pripojením založeným na prehliadači bez toho, aby ich bolo potrebné sprístupniť prostredníctvom verejných IP adries. Ďalšie informácie nájdete v téme Čo je služba Azure Bastion?.

Pripojte sa k virtuálnemu počítaču pomocou týchto krokov:

1. Vo virtuálnej sieti, ktorú ste vytvorili v kroku 3, vytvorte podsieť s názvom AzureBastionSubnet.

   

2. Do vyhľadávacieho panela portálu zadajte testVM , ktorý sme vytvorili v kroku 4.

3. Vyberte tlačidlo Pripojiť a v rozbaľovacej ponuke vyberte položku Pripojiť cez baštu.

   

4. Vyberte položku Nasadiť baštu.

5. Na stránke Bastion zadajte požadované prihlasovacie údaje overenia a potom kliknite na položku Pripojiť.

Krok 7. Súkromný prístup k službe Access Fabric z virtuálneho počítača

Ďalším krokom je súkromný prístup k službe Fabric z virtuálneho počítača, ktorý ste vytvorili v predchádzajúcom kroku, a to pomocou nasledujúcich krokov:

1. Vo virtuálnom počítači otvorte prostredie PowerShell.

2. Zadajte nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

3. Zobrazí sa odpoveď podobná nasledujúcej správe a uvidíte, že sa vráti súkromná IP adresa. Môžete vidieť, že koncový bod Onelake a koncový bod Warehouse tiež vracajú súkromné IP adresy.

   

4. Otvorte prehliadač a prejdite na app.fabric.microsoft.com a získajte súkromný prístup k službe Fabric.

Krok 8. Zakázanie verejného prístupu pre službu Fabric

V konečnom dôsledku môžete voliteľne zakázať verejný prístup pre službu Fabric.

Ak zakážete verejný prístup pre službu Fabric, zavedie sa určité obmedzenia prístupu k službám Fabric, ako je popísané v nasledujúcej časti.

Dôležité

Keď zapnete možnosť Blokovať prístup na internet, niektoré nepodporované položky služby Fabric sa vypnú. Úplný zoznam obmedzení a dôležitých informácií nájdete v téme Informácie o súkromných prepojeniach

Ak chcete zakázať verejný prístup pre službu Fabric, prihláste sa do služby Fabric ako správca a prejdite na portál na správu. Vyberte položku Nastavenia nájomníka a posuňte sa na časť Rozšírené možnosti siete . Zapnite tlačidlo prepínania v nastavení nájomníka Blokovať verejný prístup na internet.

Zakázanie prístupu vašej organizácie k službe Fabric z verejného internetu trvá systému približne 15 minút.

Dokončenie konfigurácie súkromného koncového bodu

Po vykonaní krokov v predchádzajúcich častiach a úspešnej konfigurácii súkromného prepojenia implementuje vaša organizácia súkromné prepojenia na základe nasledujúcich výberov konfigurácie, či už je výber nastavený pri počiatočnej konfigurácii alebo následne zmenený.

Ak je služba Azure Private Link správne nakonfigurovaná a možnosť Blokovať verejný prístup na internet je povolená:

• Služba Fabric je dostupná pre vašu organizáciu len zo súkromných koncových bodov a nie je dostupná z verejného internetu.
• Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
• Prenosy z koncových bodov a scenárov, ktoré nepodporujú súkromné prepojenia, budú v službe zablokované a nebudú fungovať.
• Môžu existovať scenáre, ktoré nepodporujú súkromné prepojenia, a preto budú v službe zablokované, keď je povolená možnosť Blokovať verejný prístup na internet.

Ak je služba Azure Private Link správne nakonfigurovaná a položka Blokovať verejný prístup na internet je zakázaná:

• Služby fabricu môžu povoliť prenos z verejného internetu.
• Prenosy z koncových bodov a scenárov, ktoré podporujú súkromné prepojenia, sa prenášajú prostredníctvom súkromného prepojenia.
• Prenosy z virtuálnych sieťových cieľových koncových bodov a scenáre, ktoré nepodporujú súkromné prepojenia, sa prenášajú prostredníctvom verejného internetu a budú povolené službami Fabric.
• Ak je virtuálna sieť nakonfigurovaná na blokovanie verejného prístupu na internet, scenáre, ktoré nepodporujú súkromné prepojenia, budú zablokované virtuálnou sieťou a nebudú fungovať.

Nasledujúce video ukazuje postup pripojenia mobilného zariadenia k službe Fabric pomocou súkromných koncových bodov:

Poznámka

Toto video môže používať staršie verzie aplikácie Power BI Desktop alebo služba Power BI.

Máte ďalšie otázky? Spýtajte sa komunity služby Fabric.

Zakázať súkromné prepojenie

Ak chcete zakázať nastavenie Private Link, uistite sa, že pred zakázaním nastavenia sa odstránia všetky súkromné koncové body, ktoré ste vytvorili, a zodpovedajúcu súkromnú zónu DNS. Ak má vaša sieť VNet nastavené súkromné koncové body, ale rozhranie Private Link je zakázané, pripojenia z tejto siete VNet môžu zlyhať.

Ak sa chystáte nastavenie Private Link zakázať, odporúča sa, aby ste tak urobili počas pracovných hodín mimo pracovných hodín. Pre niektoré scenáre môže trvať až 15 minút výpadkov, kým sa zmena prejavila.

Súvisiaci obsah

• Informácie o súkromných prepojeniach