調整內部部署的資料閘道的通訊設定 \(部分機器翻譯\)

本文介紹與內部部署資料閘道相關的幾種通訊設定。 也介紹如何調整這些設定。

啟用 Azure 連線 (輸出)

閘道依靠 Azure 服務匯流排進行雲端連線。 閘道會相應地建立與其關聯的 Azure 區域輸出連結。

如果您完成 Power BI 租用戶或 Office 365 租用戶的註冊,Azure 區域預設為該服務的區域。 否則,Azure 區域可能是最靠近您的那一個。

若防火牆封鎖了輸出連線,您就必須設定防火牆允許資料閘道與其相關 Azure 區域之間的輸出連線。

連接埠

閘道通訊在下列輸出連結埠上進行:TCP 443、5671、5672 以及從 9350 到 9354。 閘道不需要輸入連接埠。

建議您允許 "*.servicebus.windows.net" 網域名稱系統 (DNS)。 有關如何使用完整網域名稱 (FQDN) 而不是使用可能變更的 IP 位址來設定本機防火牆和/或 Proxy 的指南,請按照 Azure WCF 轉送 DNS 支援中的步驟進行。

或者,您可以在防火牆中允許您的資料區域的 IP 位址。 使用下方列出的 JSON 檔案,這些檔案每週更新一次。

或者,您可以定期在閘道應用程式中執行網路連接埠測試,取得必要連接埠的清單。

閘道使用 FQDN 與服務匯流排進行通訊。 如果您強制閘道透過 HTTPS 進行通訊,則會完全使用 FQDN 通訊,而不會使用 IP 位址。

注意

Azure DataCenter IP 清單顯示無類別網域間路由 (CIDR) 標記法的 IP 位址。 此標記法的範例是 10.0.0.0/24,這不是指從 10.0.0.0 到 10.0.0.24。 深入瞭解 CIDR 標記法

下列清單說明閘道所使用的 FQDN。

公用雲端網域名稱 輸出連接埠 描述
*.download.microsoft.com 80 用於下載安裝程式。 資料閘道應用程式也使用此網域檢查版本和閘道區域。
*.powerbi.com 443 用於識別相關的 Power BI 叢集。
*.analysis.windows.net 443 用於識別相關的 Power BI 叢集。
*.login.windows.net、login.live.com 以及 aadcdn.msauth.net 443 用來驗證 Azure Active Directory (Azure AD) 和 OAuth2 的閘道應用程式。
*.servicebus.windows.net 5671-5672 用於進階訊息佇列通訊協定 (AMQP)。
*.servicebus.windows.net 443 和 9350-9354 透過 TCP 接聽服務匯流排轉送。 需要連接埠 443 才能取得 Azure 存取控制權杖。
*.frontend.clouddatahub.net 443 已取代且不需要。 此網域也會從公用文件中移除。
*.core.windows.net 443 供資料流程使用在將資料寫入 Azure Data Lake。
login.microsoftonline.com 443 用於驗證 Azure AD 和 OAuth2 的閘道應用程式。
*.msftncsi.com 80 當 Power BI 服務無法與閘道連線,可用於測試網際網路連線能力。
*.microsoftonline-p.com 443 用於驗證 Azure AD 和 OAuth2 的閘道應用程式。
*.dc.services.visualstudio.com 443 AppInsights 用來收集遙測。

對於 GCC、GCC High 和 DoD,閘道會使用以下 FQDN。

連接埠 GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net 請參閱文件 請參閱文件
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 和 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

對於中國雲端 (Mooncake),閘道會使用以下 FQDN。

連接埠 中國雲端 (Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.asazure.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 和 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 沒有 Mooncake 對等項目—不需要執行閘道—僅用於在失敗情況下檢查網路
443 沒有 Mooncake 對等項目—在 Azure AD 登入期間使用。 如需 Azure AD 端點的詳細資訊,請移至查看 Azure 中的端點
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

注意

安裝並註冊閘道之後,服務匯流排所需的連接埠和 IP 位址就是唯一需要的部分 (如前表內 servicebus.windows.net 的說明)。 您可以定期在閘道應用程式中執行網路連接埠測試,取得必要連接埠的清單。 您也可以強制閘道使用 HTTPS 進行通訊

網路連接埠測試

測試閘道是否有所有必要連接埠的存取權:

  1. 在執行閘道的電腦上,在 Windows Search 中輸入「閘道」,然後選取 [內部部署的資料閘道] 應用程式。

  2. 選取 [診斷]。 在網路連接埠測試底下,選取 [開始新測試]。

    如何開始新的網路連接埠測試。

執行網路連接埠測試時,您的閘道會從服務匯流排擷取一份連接埠和伺服器清單,然後嘗試連線到清單上所有伺服器和連接埠。 當開始新的測試連結重新出現時,網路連接埠測試即已完成執行。

測試的結果摘要為「已完成 (已成功)」或「已完成 (失敗,查看最後測試結果)」。 如果測試成功,則您的閘道已成功連線到所有必要的連接埠。 如果測試失敗,則您的網路環境可能封鎖了這些必要的連接埠和伺服器。

注意

防火牆通常會間歇性地允許已封鎖網站上的流量。 即使測試成功,您可能仍需要在防火牆上將該伺服器列入允許清單。

如下所示,若要檢視最後完成的測試結果,請選取 [開啟最後完成的測試結果] 連結。 測試結果會用預設文字編輯器開啟。

測試結果會列出閘道所需的所有伺服器、連接埠和 IP 位址。 如果測試結果對下方螢幕擷取畫面內的任何連接埠顯示「關閉」,請確保您的網路環境並未封鎖連線。 您可能需要連絡網路系統管理員,以開啟必要的連接埠。

記事本中顯示的測試結果。

強制使用 Azure 服務匯流排進行 HTTPS 通訊

您可以強制閘道使用 HTTPS 與服務匯流排進行通訊,而不使用 TCP。

注意

從 2019 年 6 月的閘道版本開始,根據 Azure 服務匯流排的建議,新的安裝預設值為 HTTPS 而非 TCP。 此預設行為不適用於安裝更新。

您可以使用閘道應用程式來強制閘道採用這種行為。 在閘道應用程式中,選取 [網路],然後開啟 [HTTPS 模式]。

設定 HTTPS 模式。

在您進行此變更然後選取 [套用] 後,閘道 Windows 服務會自動重新啟動,讓變更生效。 只有在您進行變更時,[套用] 按鈕才會顯示。

若要從閘道應用程式重新啟動閘道 Windows 服務,請參閱重新啟動閘道

注意

如果閘道無法使用 TCP 進行通訊,其會自動使用 HTTPS。 閘道應用程式中的選項都會反映目前的通訊協定值。

適用於閘道流量的 TLS 1.2

根據預設,閘道會使用傳輸層安全性 (TLS) 1.2 來與 Power BI 服務通訊。 若要確保所有閘道流量使用 TLS 1.2,您可能需要在執行閘道服務的電腦上新增或修改下列登錄機碼。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

注意

新增或修改這些登錄機碼會將變更套用至所有 .NET 應用程式。 如需影響其他應用程式之 TLS 之登錄變更的資訊,請參閱 Transport Layer Security (TLS) registry settings (傳輸層安全性 (TLS) 登錄設定)。

服務標籤

服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 資料閘道已相依於以下服務標籤:

  • PowerBI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

內部部署的資料閘道使用 Azure 轉送進行某些通訊。 但是,Azure 轉送服務沒有服務標籤。 將 ServiceBus 服務標籤專用於服務佇列和主題功能,但不適用於 Azure 轉送。

AzureCloud 服務標籤表示所有的全域 Azure 資料中心 IP 位址。 因為 Azure 轉送服務是建立在 Azure 計算之上的,所以 Azure 轉送公用 IP 是 AzureCloud IP 的子集。 其他資訊:Azure 服務標籤概觀

下一步