Compartir a través de

Configuración y uso de vínculos privados de nivel de inquilino

Microsoft Fabric admite el acceso seguro a los datos a través de vínculos privados, que usan Azure Private Link y puntos de conexión privados para enrutar el tráfico a través de la red troncal privada de Microsoft en lugar de la red pública de Internet. Puede configurar vínculos privados tanto en el inquilino como en el nivel de área de trabajo. En este artículo se explica cómo configurar vínculos privados para un inquilino de Fabric.

Antes de empezar, revise la información de Vínculos privados para inquilinos de Fabric. Para configurar los puntos de conexión privados, debes ser un administrador de Fabric, así como tener permisos en Azure para crear y configurar recursos como máquinas virtuales (VM) y redes virtuales (VNet).

Paso 1. Configuración de puntos de conexión privados para Fabric

  1. Inicia sesión en Fabric como administrador.

  2. Ve a la configuración del inquilino.

  3. Busca y expande la configuración Azure Private Link.

  4. Establezca el control de alternancia en Habilitado.

    Captura de pantalla de la configuración de inquilinos de Azure Private Link.

Se tarda unos 15 minutos en configurar un vínculo privado para el inquilino, incluida la configuración de un FQDN independiente (nombre de dominio completo) para que el inquilino se comunique de forma privada con los servicios de Fabric.

Una vez que finaliza este proceso, continúa con el siguiente paso.

Este paso se usa para admitir la asociación de puntos de conexión privados de Azure con el recurso de Fabric.

  1. Inicie sesión en Azure Portal.

  2. Seleccione Crear un recurso.

  3. En Implementación de plantillas, seleccione Crear.

    Captura de pantalla del vínculo Crear plantilla en la sección Crear un recurso.

  4. En la página Implementación personalizada, seleccione Cree su propia plantilla en el editor.

    Captura de pantalla de la opción Crear su propia plantilla.

  5. En el editor, cree el siguiente recurso de Fabric mediante la plantilla de ARM como se muestra, donde

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Si usas una nube de Azure Government para Power BI, location debe ser el nombre de la región del inquilino. Por ejemplo, si el inquilino está en US Gov Texas, debes colocar "location": "usgovtexas" en la plantilla de ARM. La lista de regiones de Power BI para la Administración Pública de EE. UU. se encuentra en el artículo Power BI para la Administración Pública de EE. UU.

    Importante

    Usa Microsoft.PowerBI/privateLinkServicesForPowerBI como valor type, aunque el recurso se cree para Fabric.

  6. Guarda la plantilla. A continuación, escriba la siguiente información.

    Configuración Valor
    Detalles del proyecto
    Suscripción Selecciona tu suscripción.
    Grupo de recursos Selecciona **Crear nuevo. Escribe test-PL como nombre. Seleccione Aceptar.
    Detalles de instancia Seleccione la región.
    Region

    Captura de pantalla de la página Implementación personalizada.

  7. En la pantalla de revisión, seleccione Crear para aceptar los términos y condiciones.

    Captura de pantalla de los términos de Azure Marketplace.

Paso 3. Creación de una red virtual

El procedimiento siguiente crea una red virtual con una subred de recursos, una subred de Azure Bastion y un host de Azure Bastion.

El número de direcciones IP que necesita la subred es el número de capacidades que creó en el inquilino más 15. Por ejemplo, si va a crear una subred para un inquilino con siete capacidades, necesita 22 direcciones IP.

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda, escriba Redes virtuales y selecciónela en los resultados de la búsqueda.

  3. En la página Redes virtuales, selecciona + Crear.

  4. En la pestaña Datos básicos de Crear una red virtual, introduce o selecciona la siguiente información:

    Configuración Valor
    Subscription Selecciona tu suscripción.
    Grupo de recursos Seleccione el grupo de recursos que creó anteriormente para el servicio private link, como test-PL.
    Nombre Escriba un nombre para la red virtual, como vnet-1.
    Region Selecciona la región donde iniciarás la conexión a Fabric.

    Captura de pantalla de la pestaña Aspectos básicos en Crear una red virtual.

  5. Seleccione Siguiente para continuar con la pestaña Seguridad . Puede mantener la configuración predeterminada o modificarla según los requisitos de su organización.

  6. Seleccione Siguiente para continuar con la pestaña Direcciones IP . Puede mantener la configuración predeterminada o modificarla según los requisitos de su organización.

    Captura de pantalla de la pestaña Direcciones IP para crear una red virtual.

  7. Seleccione Guardar.

  8. En la parte inferior de la pantalla, selecciona Revisar y crear. Cuando se supera la validación, seleccione Crear.

Paso 4. Creación de una máquina virtual

El siguiente paso es crear una máquina virtual.

  1. Inicie sesión en Azure Portal.

  2. Vaya a Creación de una máquina virtual de proceso > de recursos>.

  3. En la pestaña Aspectos básicos, escriba o seleccione la siguiente información:

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione el mismo grupo de recursos que usó anteriormente al crear el servicio private link.
    Nombre de la máquina virtual Escriba el nombre de la nueva máquina virtual. Seleccione la burbuja de información junto al nombre del campo para ver información importante sobre los nombres de las máquinas virtuales.
    Region Seleccione la misma región que usó anteriormente al crear la red virtual.
    Opciones de disponibilidad Para probar, selecciona No se requiere redundancia de la infraestructura
    Tipo de seguridad deje el valor predeterminado.
    Imagen Selecciona la imagen que deseas. Por ejemplo, elige Windows Server 2022.
    Arquitectura de máquina virtual Deje el valor predeterminado, x64.
    Tamaño Seleccione un tamaño.
    Nombre de usuario Escriba un nombre de usuario de su elección.
    Contraseña Escriba una contraseña de su elección. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.
    Confirmar contraseña Vuelva a escribir la contraseña.
    Puertos de entrada públicos Elige Ninguno.

    Captura de pantalla de la pestaña de creación de VM básicos.

  4. Seleccione Siguiente: Discos.

  5. En la pestaña Discos, deja los valores predeterminados y selecciona Siguiente: Redes.

  6. En la pestaña Redes, selecciona la información siguiente:

    Configuración Valor
    Red virtual Seleccione la red virtual que creó anteriormente para esta implementación.
    Subred Seleccione la subred predeterminada (por ejemplo, 10.0.0.0/24) que creó anteriormente como parte de la configuración de la red virtual.

    Para el resto de los campos, deje los valores predeterminados.

    Captura de pantalla de la pestaña de creación de red de VM.

  7. Seleccione Revisar + crear. Se le remitirá a la página Revisar y crear, donde Azure validará la configuración.

  8. Cuando reciba el mensaje Validación superada, seleccione Crear.

Paso 5. Creación de un punto de conexión privado

El paso siguiente consiste en crear un punto de conexión privado para Fabric.

  1. En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados.

  2. Seleccione + Crear en Puntos de conexión privados.

  3. En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:

    Configuración Valor
    Detalles del proyecto
    Suscripción Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione el grupo de recursos que creó anteriormente al crear el servicio private link en Azure.
    Detalles de instancia
    Nombre Escribe FabricPrivateEndpoint. Si el nombre ya existe, cree uno único.
    Region Seleccione la región que creó anteriormente para la red virtual.

    En la imagen siguiente se muestra la ventana Crear un punto de conexión privado: Conceptos básicos.

    Captura de pantalla de la pestaña Aspectos básicos en Crear un punto de conexión privado.

  4. Seleccione Siguiente: Resource (Siguiente: Recurso). En el panel Recurso, escribe o selecciona la siguiente información:

    Configuración Valor
    Método de conexión Seleccione Connect to an Azure resource in my directory (Conectarse a un recurso de Azure en mi directorio).
    Suscripción Selecciona tu suscripción.
    Tipo de recurso Seleccione Microsoft.PowerBI/privateLinkServicesForPowerBI.
    Resource Elija el recurso fabric que creó anteriormente al crear el servicio private link en Azure.
    Subrecurso de destino Inquilino

    En la imagen siguiente se muestra la ventana Crear un punto de conexión privado: Recurso.

    Captura de pantalla de la ventana de creación de un punto de conexión privado.

  5. Seleccione Siguiente: Máquinas virtuales. En Red virtual, escriba o seleccione la siguiente información.

    Configuración Valor
    REDES
    Red virtual Seleccione el nombre de red virtual que creó anteriormente (por ejemplo , vnet-1).
    Subnet Seleccione el nombre de subred que creó anteriormente (por ejemplo , subred-1).
    INTEGRACIÓN DE DNS PRIVADO
    Integración con una zona DNS privada Seleccione .
    Zona DNS privada Seleccione
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Captura de pantalla de la ventana de creación de DNS para un punto de conexión privado

  6. Seleccione Siguiente: Etiquetas y Siguiente: Revisar y crear.

  7. Seleccione Crear.

Paso 6. Conéctate a la VM mediante Bastion

Azure Bastion protege las máquinas virtuales al proporcionar conectividad ligera basada en explorador sin necesidad de exponerlas a través de direcciones IP públicas. Para más información, consulte ¿Qué es Azure Bastion?.

Conéctate a tu VM siguiendo estos pasos:

  1. En la red virtual que creó anteriormente, agregue una nueva subred denominada AzureBastionSubnet.

    Captura de pantalla de la creación de AzureBastionSubnet.

  2. En la barra de búsqueda del portal, escriba el nombre de la máquina virtual que creó anteriormente y selecciónelo en los resultados de la búsqueda.

  3. Selecciona el botón Conectar y elige Conectar mediante Bastion en el menú desplegable.

    Captura de pantalla de la opción Conectar mediante Bastion.

  4. Seleccione Implementar Bastion.

  5. En la página Bastion , escriba las credenciales de autenticación necesarias y seleccione Conectar.

Paso 7. Acceso a Fabric de forma privada desde la máquina virtual

El paso siguiente consiste en acceder a Fabric de forma privada desde la máquina virtual que ha creado anteriormente. Para ello, sigue estos pasos:

  1. En la máquina virtual, abre PowerShell.

  2. Escriba nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Recibirás una respuesta similar al siguiente mensaje y podrás ver que se devuelve la dirección IP privada. Puedes ver que el punto de conexión de OneLake y el punto de conexión del almacén también devuelven direcciones IP privadas.

    Captura de pantalla de las direcciones IP devueltas en PowerShell.

  4. Abre el explorador y ve a app.fabric.microsoft.com para acceder a Fabric de forma privada.

Paso 8. Deshabilita el acceso público para Fabric.

Por último, si lo deseas, puedes deshabilitar el acceso público para Fabric.

Si lo haces, se aplican ciertas restricciones en el acceso a los servicios Fabric, que se describen en la sección siguiente.

Importante

Al activar Bloquear el acceso a Internet, algunos elementos de Fabric no admitidos se deshabilitan. Conozca la lista completa de limitaciones y consideraciones en Acerca de los vínculos privados.

Para deshabilitar el acceso público para Fabric, inicia sesión en el servicio Fabric como administrador y ve al portal de administración. Seleccione Configuración de inquilinos y desplácese hasta la sección Redes avanzadas. Habilita el botón de alternancia en la configuración de inquilino Bloqueo del acceso a través de una red de Internet.

Captura de pantalla de la configuración de inquilinos para bloquear el acceso a través de una red de Internet pública.

El sistema tarda aproximadamente 15 minutos en deshabilitar el acceso de la organización a Fabric desde la red pública de Internet.

Finalización de la configuración del punto de conexión privado

Una vez completados los pasos de las secciones anteriores y el vínculo privado se ha configurado correctamente, la organización implementa vínculos privados en función de las siguientes selecciones de configuración, tanto si la selección se establece tras la configuración inicial como si se ha cambiado más adelante.

Si Azure Private Link está configurado correctamente y la opción Bloquear el acceso público a Internet está habilitada:

  • Tu organización solo puede acceder a Fabric desde puntos de conexión privados, y no desde la red pública de Internet.
  • El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
  • El servicio bloquea el tráfico desde los puntos de conexión y los escenarios que no admiten vínculos privados.
  • Podría haber escenarios que no admitan vínculos privados, que se bloquean en el servicio cuando está habilitado Bloquear el acceso público a Internet .

Si Azure Private Link está configurado correctamente y la opciónBloquear el acceso público a Internet está deshabilitada:

  • Los servicios de Fabric permiten el tráfico desde la red pública de Internet.
  • El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que admiten vínculos privados se transporta a través del vínculo privado.
  • El tráfico de la red virtual que tiene como destino puntos de conexión y escenarios que no admiten vínculos privados se transporta a través de la red pública de Internet y los servicios de Fabric lo permiten.
  • Si la red virtual está configurada para bloquear el acceso público a Internet, la red virtual bloquea los escenarios que no admiten vínculos privados.

En el vídeo siguiente se muestra cómo conectar un dispositivo móvil a Fabric mediante puntos de conexión privados:

Nota:

Es posible que en este vídeo se usen versiones anteriores de Power BI Desktop o del servicio Power BI.

¿Tiene más preguntas? Pregunta a la comunidad de Fabric.

Si desea deshabilitar la configuración de Private Link, asegúrese de que se eliminan todos los puntos de conexión privados que creó y la zona DNS privada correspondiente antes de deshabilitar la configuración. Si la red virtual tiene puntos de conexión privados configurados, pero Private Link está deshabilitado, se podrían producir errores en las conexiones de esta red virtual.

Si va a deshabilitar la configuración de Private Link, se recomienda hacerlo durante las horas que no sean de negocio. Puede tardar hasta 15 minutos en tiempo de inactividad en algunos escenarios para reflejar el cambio.

Contenido relacionado

  • Last updated on