Zdieľať cez

Súkromné koncové body na zabezpečený prístup k službe Power BI pre lokálnych klientov

Ak ste nakonfigurovali súkromné prepojenia na zabezpečený prístup k údajom v službe Power BI pomocou súkromných prepojení Azure a súkromných koncových bodov siete Azure, ako je to popísané v súkromných koncových bodoch na zabezpečenie prístupu k službe Fabric, môžete tiež povoliť virtuálnym počítačom Azure prístup k služba Power BI prostredníctvom súkromných IP adries.

Svoje lokálne siete môžete rozšíriť na Azure Virtual Network (VNet) prostredníctvom okruhu ExpressRoute alebo siete VPN od lokality k lokalite a získať tak prístup k službám nasadeným vo virtuálnych sieťach Azure so súkromnými pripojeniami.

Vysvetlenie súkromných koncových bodov pre lokálnych klientov

Keď je už vytvorený prístup k služba Power BI z virtuálnej siete popísaný v časti Súkromné koncové body na zabezpečený prístup k službe Fabric, pomocou niekoľkých ďalších krokov môžete rozšíriť súkromný prístup k služba Power BI lokálnym klientom.

Tento článok popisuje kroky potrebné na konfiguráciu takéhoto súkromného pripojenia medzi azure VNet a lokálnymi sieťami. Na úspešné dokončenie konfigurácie je už potrebné mať úspešné pripojenie ExpressRoute s vytvorenou komunikáciou medzi lokálnymi sieťami a Azure VNet. Ďalšie informácie o nastavení ExpressRoute nájdete v téme Vytvorenie a úprava okruhu ExpressRoute.

Nasledujúci sieťový diagram znázorňuje, ako konfigurácia funguje.

Image of private links for on premises clients network diagram.

Sieťový diagram obsahuje niekoľko komponentov:

  • The Azure VNet
  • Súkromná zóna DNS na rozlíšenie názvov URL adries služby Power BI v súkromných IP adresách koncového bodu
  • Súkromné riešenie Azure DNS na predĺženie rozlíšenia pomenovania súkromných zón DNS služby Azure na lokálnu sieť
  • Okruhu ExpressRoute Gateway, ExpressRoute Pripojenie ion a ExpressRoute na vytvorenie pripojenia medzi lokálnou sieťou a Azure VNet
  • Lokálny server DNS na lokálne rozlíšenie pomenovania a na preposielanie žiadostí DNS pre služba Power BI do nástroja na riešenie súkromnej DNS služby Azure

Nasledujúce časti popisujú kroky potrebné na konfiguráciu pripojenia k existujúcej konfigurácii súkromných koncových bodov pre lokálnych klientov.

Konfigurácia pripojení pre lokálnych klientov

Nasledujúci zoznam obsahuje prehľad krokov potrebných na konfiguráciu prístupu k služba Power BI z lokálnych prostredníctvom súkromných partnerských vzťahov ExpressRoute. V častiach nasledujúcich po tomto zozname nájdete viac podrobností a príkladov, ktoré vám pomôžu s konfiguráciou.

Prehľad potrebných krokov je popísaný v nasledujúcich krokoch:

  1. Vo virtuálnej sieti služby Azure vytvorte podsieť na hosťovanie brány ExpressRoute. Sieť priradená k podsiete musí byť aspoň /27 alebo väčšia (/26, /25 atď.), ako je popísané v dokumentácii ExpressRoute. Priradenie názvu podsiete musí byť GatewaySubnet. Zmenou alebo úpravou názvu podsiete sa konfigurácia zakáže.
  2. Nasadenie brány ExpressRoute na gatewaySubnet. Bránu ExpressRoute gateway môžete nasadiť rôznymi spôsobmi, napríklad na portáli na správu služby Azure, v prostredí PowerShell, Azure CLI alebo pomocou rozhraní REST API.
  3. Overte, či je váš okruh ExpressRoute už nasadený a funguje, a či je súkromné partnerské prihlásenie správne nakonfigurované. Overte si to pomocou kurzu, ktorý vysvetľuje , ako vytvoriť súkromné partnerské rovesníčka služby Azure.
  4. Vytvorte pripojenie – kroky popísané v tomto kurze na prepojenie brány ExpressRoute Gateway na VNet do okruhu ExpressRoute.
  5. Overte, či lokálni hostitelia alebo VM môžu úspešne pristupovať k vyťaženiu alebo vyťaženiu. Môžete začať s použitím jednoduchého testu PING, ale lepšie je overiť použitie aplikácií (napríklad pripojenie HTTP/HTTPS medzi lokálnym klientom a webovým serverom vo virtuálnych počítačoch Azure).
  6. Na lokalite Azure VNet vytvorte dve podsiete na hosťovanie koncových bodov služby Azure DNS Private Resolver: jednu podsieť pre vstupné koncové body, jednu podsieť pre odchádzajúce koncové body.
  7. V rámci virtuálnej siete služby Azure vytvorte súkromný nástroj Azure DNS Resolver. V súkromnom riešení Azure DNS nakonfigurujte vstupné koncové body. Koncový bod prichádzajúcej komunikácie v súkromnom riešení Azure DNS umožňuje dotazovať súkromné zóny Azure DNS pre služba Power BI z lokálnej siete.
  8. Nakonfigurujte lokálne DNS servery s forwardermi podmienok na rozlíšenie pomenovania priradené k súkromným zónam DNS pre služba Power BI.

Hoci mnohé z predchádzajúcich krokov sú dostatočne zrozumiteľné, niektoré si zaslúžia viac vysvetlení. V nasledujúcich častiach nájdete viac podrobností o niektorých predchádzajúcich krokoch konfigurácie.

Krok č. 6: Vytvorenie dvoch podsieťí na hosťovanie koncových bodov

Súkromný nástroj Azure DNS Resolver používa dve podsiete: jednu podsieť pre koncový bod prichádzajúcej komunikácie a druhú podsieť pre odchádzajúci koncový bod. Pre podsiete koncového bodu služby DNS Private Resolver musíte delegovať na lokalitu Microsoft.Network/dnsResolvers. Podsiete je možné delegovať iba na lokalitu Microsoft.Network/dnsResolvers a nemožno ich použiť pre iné služby. Bez tohto delegovania zlyhá vytvorenie vstupného koncového bodu.

Nasledujúca snímka obrazovky znázorňuje spôsob konfigurácie delegovania.

Screenshot of configuring delegation of endpoints.

Nasledujúca snímka obrazovky znázorňuje ďalšiu obrazovku ukazujúcu delegovanie.

Screenshot of another configuration of delegation of endpoints.

Krok 7: Vytvorenie súkromného resolver služby Azure DNS

Ak chcete vytvoriť súkromný nástroj Azure DNS Resolver, spravte službu Azure Marketplace a vyhľadajte súkromné riešenie DNS a vyberte výsledok uvedený na nasledujúcej snímke obrazovky.

Screenshot of Azure DNS Private Resolver in the Azure Marketplace.

Nakonfigurujte súkromný nástroj Azure DNS Resolver na VNet. Dns Private Resolver a VNet musia existovať v rovnakej oblasti Azure.

Súkromný nástroj Azure DNS Private Resolver je založený na dvoch súčastiach: koncových bodoch prichádzajúcej komunikácie a výstupnom koncovom bode. Na rozlíšenie rozlíšenia URL adries služby Power BI v lokálnych hostiteľoch alebo virtuálnych počítačoch sa vyžaduje iba vstupné koncové body. Na nasledujúcom obrázku je znázornené, kde môžete nakonfigurovať vstupné koncové body.

Screenshot of where to configure the inbound endpoints.

Výstupný koncový bod umožňuje rozlíšenie názvu z lokálnych zariadení pomocou IP adresy, ktorá je súčasťou vášho súkromného priestoru s adresou VNet. Na portáli azure Management Portal v súkromnom riešení DNS vyberte vstupné koncové body tak, ako je to znázornené na predchádzajúcom obrázku, a potom vyberte položku Pridať koncový bod , ako je to znázornené na nasledujúcej snímke obrazovky.

Screenshot of where to add inbound endpoints.

Ďalej priraďte názov koncového bodu a vyberte podsieť, ktorú ste definovali v predchádzajúcom kroku, ako je to znázornené na nasledujúcej snímke obrazovky:

Screenshot of naming and assigning an endpoint.

Po dokončení procesu nasadenia koncového bodu prichádzajúcej komunikácie sa IP adresa automaticky pridruží ku koncovému bodu prichádzajúcej komunikácie.

Screenshot of an IP address automatically being assigned to an endpoint.

V tomto príklade, ako je znázornené na predchádzajúcej snímke obrazovky, je IP adresa priradená ku koncovému bodu prichádzajúcej komunikácie 10.7.2.4. Táto priradená IP adresa sa v kroku 8 používa ako IP adresa podmieneného presmerovania na lokálnom serveri DNS, ktorá je podrobnejšie popísaná v nasledujúcej časti.

Krok 8: Konfigurácia lokálnych serverov DNS

Ak chcete správne vyriešiť svoje zóny Azure Private DNS z lokálneho prostredia, definujte podmienené presmerovania priradené k služba Power BI v konfigurácii lokálneho servera DNS.

IP adresa každého podmieneného presmerovania odkazuje na IP adresu koncového bodu prichádzajúcej komunikácie v súkromnom riešení Azure DNS.

Nasledujúca snímka obrazovky znázorňuje príklad položiek podmieneného presmerovania DNS v systéme Windows Server.

Screenshot of an IP address used for the conditional forwarder.

Overenie úspešnej konfigurácie

Ako posledný krok konfigurácie sa prihláste do lokálneho klienta Windows a overte to pomocou platformy nslookup. Ak je správne nakonfigurovaný, dostanete odpoveď podobnú nasledujúcej správe.

C:\ > nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Server:  UnKnown
Address:  10.1.21.10           <- IP address of on-premises DNs server
Non-authoritative answer:
Name:    <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
Address:  10.7.0.5

URL služba Power BI sa prekladá do súkromnej IP adresy priradenej k súkromnému koncovému bodu, ktorá je nakonfigurovaná na VNet a pripojená k služba Power BI.

Dôležité informácie a obmedzenia

Súvisiaci obsah

Máte ďalšie otázky? Spýtajte sa Komunita Power BI.