調整內部部署的資料閘道的通訊設定 \(部分機器翻譯\)
本文說明與內部部署數據網關相關聯的數個通訊設定。 必須調整這些設定,以支援數據源連線和輸出目的地存取。
啟用輸出 Azure 連線
網關依賴 Azure 轉寄來進行雲端連線。 閘道會對應地建立與其相關聯 Azure 區域的輸出連線。
如果您已註冊 Power BI 租使用者或 Office 365 租使用者,您的 Azure 區域會預設為該服務的區域。 否則,您的 Azure 區域可能是最接近您的區域。
如果防火牆封鎖輸出連線,請將防火牆設定為允許從網關到其相關聯 Azure 區域的輸出連線。 閘道伺服器和/或客戶 Proxy 伺服器上的防火牆規則必須更新,才能允許從閘道伺服器到下列端點的輸出流量。 如果您的防火牆不支援通配符,請使用來自 Azure IP 範圍和服務標籤的 IP 位址。 請注意,每個月都必須保持同步。
連接埠
閘道會在下列輸出埠上通訊:TCP 443、5671、5672,以及從 9350 到 9354。 閘道不需要輸入埠。
我們建議您允許 「*.servicebus.windows.net」 功能變數名稱系統 (DNS)。 如需有關如何使用完整域名設定內部部署防火牆和/或 Proxy 的指引,而不要使用可能變更的IP位址,請遵循 Azure WCF 轉送 DNS 支援中的步驟。
或者,您也可以在防火牆中允許數據區域的IP位址。 使用下面所列的 JSON 檔案,這會每周更新一次。
或者,您可以定期在閘道應用程式中執行 網路埠測試 ,以取得所需的埠清單。
閘道會使用 FQDN 與 Azure 轉寄通訊。 如果您強制網關透過 HTTPS 進行通訊,則只會使用 FQDN,而且不會使用 IP 位址進行通訊。
注意
Azure 資料中心 IP 清單會顯示無類別網路變數間路由 (CIDR) 表示法中的 IP 位址。 這個表示法的範例是 10.0.0.0/24,這並不表示從 10.0.0.0 到 10.0.0.24。 深入瞭解 CIDR 表示法。
下列清單描述閘道所使用的 FQDN。 閘道需要這些端點才能運作。
| 公用雲端功能變數名稱 | 輸出連接埠 | 描述 |
|---|---|---|
| *.download.microsoft.com | 80 | 用來下載安裝程式。 閘道應用程式也會使用此網域來檢查版本和閘道區域。 |
| *.powerbi.com | 443 | 用來識別相關的Power BI 叢集。 |
| *.analysis.windows.net | 443 | 用來識別相關的Power BI 叢集。 |
| *.login.windows.net、login.live.com、aadcdn.msauth.net、login.microsoftonline.com、*.microsoftonline-p.com | 443 | 用來驗證 Microsoft Entra ID 和 OAuth2 的閘道應用程式。 請注意,在 Microsoft Entra ID 登入程式中,可能需要額外的 URL,此程式對租使用者而言是唯一的。 |
| *.servicebus.windows.net | 5671-5672 | 用於進階消息佇列通訊協定(AMQP)。 |
| *.servicebus.windows.net | 443 和 9350-9354 | 透過 TCP 接聽 Azure 轉播。 需要埠 443 才能取得 Azure 存取控制 令牌。 |
| *.msftncsi.com | 80 | 用來測試 Power BI 服務 無法連線到閘道的因特網連線能力。 |
| *.dc.services.visualstudio.com | 443 | 由 AppInsights 用來收集遙測。 |
| *.frontend.clouddatahub.net | 443 | 網狀架構管線執行的必要專案。 |
針對 GCC、GCC high 和 DoD,閘道會使用下列 FQDN。
| 連接埠 | GCC | GCC High | DoD |
|---|---|---|---|
| 80 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
| 443 | *.powerbigov.us、*.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
| 443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
| 443 | *.login.windows.net、*.login.live.com、*.aadcdn.msauth.net | Go go 檔 | 移至檔 |
| 5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 和 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
| 443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
| 443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
| 443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
| 443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
針對中國雲端(Mooncake),閘道會使用下列 FQDN。
| 連接埠 | 中國雲(月餅) |
|---|---|
| 80 | *.download.microsoft.com |
| 443 | *.powerbi.cn |
| 443 | *.asazure.chinacloudapi.cn |
| 443 | *.login.chinacloudapi.cn |
| 5671-5672 | *.servicebus.chinacloudapi.cn |
| 443 和 9350-9354 | *.servicebus.chinacloudapi.cn |
| 443 | *.chinacloudapi.cn |
| 443 | login.partner.microsoftonline.cn |
| 443 | 沒有Mooncake對等專案,不需要執行閘道,只會在失敗狀況期間用來檢查網路 |
| 443 | 沒有 Mooncake 對等專案—在 Microsoft Entra ID 登入期間使用。 如需 Microsoft Entra 識別符端點的詳細資訊,請移至檢查 Azure 中的端點 |
| 443 | applicationinsights.azure.cn |
| 433 | clientconfig.passport.net |
| 433 | aadcdn.msftauth.cn |
| 433 | aadcdn.msauth.cn |
注意
安裝並註冊閘道之後,Azure 轉寄所需的埠和IP位址是唯一需要的埠和IP位址,如上表所述 servicebus.windows.net。 您可以在閘道應用程式中定期執行 網路埠測試 ,以取得必要埠的清單。 您也可以強制閘道 使用 HTTPS 進行通訊。
使用 OPDG 開啟數據流 Gen1 和 Gen2 的額外埠
在 Fabric Data Factory 內的數據流 Gen1 和 Gen2 中,當 Mashup 查詢結合內部部署數據源(透過內部部署數據網關聯機)與雲端數據源時,整個查詢會在內部部署數據網關上執行。 因此,必須開啟下列 endpints,才能允許內部部署數據閘道對雲端數據源的視線存取。
| 公用雲端功能變數名稱 | 輸出連接埠 | 描述 |
|---|---|---|
| *.core.windows.net | 443 | 數據流 Gen1 用來將數據寫入 Azure Data Lake。 |
| *.datawarehouse.pbidedicated.windows.net | 1433 | 數據流 Gen2 的舊端點可連線到預備湖屋。 深入了解 |
| *.datawarehouse.fabric.microsoft.com | 1433 | 數據流 Gen2 用來連線到預備 Lakehouse 的新端點。 深入了解 |
| *.dfs.fabric.microsoft.com | 1433 | 數據流 Gen2 用來連線到 OneLake 的端點。 |
注意
*.datawarehouse.pbidedicated.windows.net 正由 *.datawarehouse.fabric.microsoft.com 取代。 在此轉換程式期間,請務必開啟這兩個端點,以確保數據流 Gen2 重新整理。
網路埠測試
若要測試閘道是否能夠存取所有必要的埠:
在執行閘道的電腦上,於 Windows 搜尋中輸入「閘道」,然後選取 內部部署數據閘道 應用程式。
選取 [診斷]。 在 [網络埠測試] 底下,選取 [啟動新測試]。
當您的閘道執行網路埠測試時,它會從 Azure 轉送擷取埠和伺服器清單,然後嘗試連線到所有埠。 當 [ 開始新的測試 ] 連結再次出現時,網路埠測試已完成。
測試的摘要結果為「已完成」或「已完成」(失敗,請參閱最後一個測試結果)。 如果測試成功,您的閘道會連線到所有必要的埠。 如果測試失敗,您的網路環境可能已封鎖必要的埠和伺服器。
注意
防火牆通常會間歇性地允許封鎖站臺上的流量。 即使測試成功,您仍可能需要在防火牆上列出該伺服器。
若要檢視上次完成測試的結果,請選取 [ 開啟上次完成的測試結果 ] 連結。 測試結果會在預設文本編輯器中開啟。
測試結果會列出閘道所需的所有伺服器、埠和IP位址。 如果測試結果顯示任何埠的「已關閉」,如下列螢幕快照所示,請確定您的網路環境並未封鎖這些連線。 您可能需要連絡網路管理員以開啟必要的埠。
強制與 Azure 轉播進行 HTTPS 通訊
您可以使用 HTTPS 來強制閘道與 Azure 轉寄通訊,而不是直接 TCP。
注意
從 2019 年 6 月閘道版本開始,並根據來自轉寄的建議,新的安裝預設為 HTTPS,而不是 TCP。 此預設行為不適用於更新的安裝。
您可以使用 閘道應用程式 來強制閘道採用此行為。 在閘道應用程式中,選取 [ 網络],然後開啟 HTTPS 模式。
進行這項變更后,然後選取 [ 套用],網關 Windows 服務會自動重新啟動,讓變更生效。 只有在您進行變更時,才會顯示 [ 套用 ] 按鈕。
若要從閘道應用程式重新啟動閘道 Windows 服務,請移至 [重新啟動閘道]。
注意
如果閘道無法使用 TCP 進行通訊,它會自動使用 HTTPS。 閘道應用程式中的選取專案一律會反映目前的通訊協定值。
閘道流量的 TLS 1.3
根據預設,閘道會使用傳輸層安全性 (TLS) 1.3 與 Power BI 服務 通訊。 若要確保所有閘道流量都使用 TLS 1.3,您可能需要在執行閘道服務的電腦上新增或修改下列登錄機碼。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
注意
新增或修改這些登錄機碼會將變更套用至所有 .NET 應用程式。 如需影響其他應用程式 TLS 之登錄變更的相關信息,請移至 傳輸層安全性 (TLS) 登錄設定。
服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 數據閘道具有下列服務標籤的相依性:
- PowerBI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
內部部署數據閘道會使用 Azure 轉寄來進行某些通訊。 不過,Azure 轉寄服務沒有服務標籤。 不過,仍需要 ServiceBus 服務標籤,因為它們仍然與服務佇列和主題功能有關,即使不適用於 Azure 轉播也一樣。
AzureCloud 服務標籤代表所有全域 Azure 資料中心 IP 位址。 由於 Azure 轉寄服務是以 Azure 計算為基礎所建置,因此 Azure 轉寄公用 IP 是 AzureCloud IP 的子集。 詳細資訊: Azure 服務標籤概觀
下一步
意見反應
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱 https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應