Udostępnij przez

Konfigurowanie i używanie linków prywatnych na poziomie dzierżawy

Usługa Microsoft Fabric obsługuje bezpieczny dostęp do danych za pośrednictwem linków prywatnych, które używają usługi Azure Private Link i prywatnych punktów końcowych do kierowania ruchu przez sieć prywatną firmy Microsoft zamiast publicznego Internetu. Można skonfigurować łącza prywatne zarówno na poziomie dzierżawy, jak i obszaru roboczego. W tym artykule wyjaśniono, jak skonfigurować łącza prywatne dla dzierżawy usługi Fabric.

Przed rozpoczęciem przejrzyj informacje w sekcji Linki prywatne dla dzierżaw sieci szkieletowej. Aby skonfigurować prywatne punkty końcowe, musisz być administratorem sieci szkieletowej i mieć uprawnienia na platformie Azure do tworzenia i konfigurowania zasobów, takich jak maszyny wirtualne i sieci wirtualne.

Krok 1. Konfigurowanie prywatnych punktów końcowych dla sieci szkieletowej

  1. Zaloguj się do sieci szkieletowej jako administrator.

  2. Przejdź do ustawień dzierżawy.

  3. Znajdź i rozwiń ustawienie Azure Private Link.

  4. Ustaw przełącznik na Włączone.

    Zrzut ekranu przedstawiający ustawienie dzierżawy usługi Azure Private Link.

Skonfigurowanie łącza prywatnego dla dzierżawy zajmuje około 15 minut, w tym skonfigurowanie oddzielnej nazwy FQDN (w pełni kwalifikowanej nazwy domeny) dla dzierżawy w celu komunikowania się prywatnie z usługami sieci szkieletowej.

Po zakończeniu tego procesu przejdź do następnego kroku.

Ten krok służy do obsługi skojarzenia prywatnego punktu końcowego platformy Azure z zasobem sieci szkieletowej.

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Utwórz zasób.

  3. W obszarze Wdrażanie szablonu wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający link Tworzenie szablonu w sekcji Tworzenie zasobu.

  4. Na stronie Wdrożenie niestandardowe wybierz pozycję Utwórz własny szablon w edytorze.

    Zrzut ekranu przedstawiający opcję Kompiluj własny szablon.

  5. W edytorze utwórz następujący zasób sieci szkieletowej przy użyciu szablonu usługi ARM, jak pokazano poniżej

    • <resource-name> to nazwa wybrana dla zasobu sieć szkieletowa.
    • <tenant-object-id> to identyfikator dzierżawy firmy Microsoft Entra. Zobacz Jak znaleźć identyfikator dzierżawy usługi Microsoft Entra.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Jeśli używasz chmury Azure Government dla usługi Power BI, location powinna być nazwą regionu dzierżawy. Jeśli na przykład dzierżawa znajduje się w us Gov Texas, należy umieścić "location": "usgovtexas" go w szablonie usługi ARM. Listę regionów usługi Power BI US Government można znaleźć w artykule Power BI for US Government (Usługa Power BI dla instytucji rządowych USA).

    Ważne

    Użyj Microsoft.PowerBI/privateLinkServicesForPowerBI jako type wartości, mimo że zasób jest tworzony dla sieci szkieletowej.

  6. Zapisz szablon. Następnie wprowadź następujące informacje.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycję **Utwórz nową. Wprowadź nazwę test-PL. Wybierz przycisk OK.
    Szczegóły wystąpienia Wybierz region.
    Region (Region)

    Zrzut ekranu przedstawiający kartę Podstawy wdrażania niestandardowego.

  7. Na ekranie przeglądu wybierz pozycję Utwórz , aby zaakceptować warunki i postanowienia.

    Zrzut ekranu przedstawiający warunki witryny Azure Marketplace.

Krok 3. Tworzenie sieci wirtualnej

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Azure Bastion.

Liczba adresów IP potrzebnych w podsieci to liczba pojemności utworzonych w dzierżawie oraz 15. Jeśli na przykład tworzysz podsieć dla dzierżawy z siedmioma pojemnościami, potrzebujesz 22 adresów IP.

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania wprowadź Sieci wirtualne i wybierz je w wynikach wyszukiwania.

  3. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

  4. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Subscription Wybierz subskrypcję.
    Grupa zasobów Wybierz utworzoną wcześniej grupę zasobów dla usługi łącza prywatnego, na przykład test-PL.
    Nazwa Wprowadź nazwę sieci wirtualnej, na przykład vnet-1.
    Region Wybierz region, w którym zainicjujesz połączenie z siecią szkieletową.

    Zrzut ekranu przedstawiający kartę Podstawowe w sekcji Tworzenie sieci wirtualnej.

  5. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia . Ustawienia domyślne można zachować lub zmodyfikować zgodnie z wymaganiami organizacji.

  6. Wybierz przycisk Dalej , aby przejść do karty Adresy IP . Ustawienia domyślne można zachować lub zmodyfikować zgodnie z wymaganiami organizacji.

    Zrzut ekranu przedstawiający kartę Adresy IP w obszarze Tworzenie sieci wirtualnej.

  7. Wybierz pozycję Zapisz.

  8. Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu. Po zakończeniu walidacji wybierz pozycję Utwórz.

Krok 4. Tworzenie maszyny wirtualnej

Następnym krokiem jest utworzenie maszyny wirtualnej.

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Utwórz zasób > Maszyny wirtualne obliczeniowe>.

  3. Na karcie Podstawowe wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Subscription Wybierz swoją Subskrypcję platformy Azure.
    Grupa zasobów Wybierz tę samą grupę zasobów, która została użyta wcześniej podczas tworzenia usługi łącza prywatnego.
    Nazwa maszyny wirtualnej Wprowadź nazwę nowej maszyny wirtualnej. Wybierz bąbelek informacyjny obok nazwy pola, aby wyświetlić ważne informacje o nazwach maszyn wirtualnych.
    Region Wybierz ten sam region, który był wcześniej używany podczas tworzenia sieci wirtualnej.
    Opcje dostępności Na potrzeby testowania wybierz pozycję Brak wymaganej nadmiarowości infrastruktury
    Typ zabezpieczeń Pozostaw wartość domyślną.
    Obraz Wybierz żądany obraz. Na przykład wybierz pozycję Windows Server 2022.
    Architektura maszyny wirtualnej Pozostaw wartość domyślną x64.
    rozmiar Wybierz rozmiar.
    Nazwa użytkownika Wprowadź wybraną nazwę użytkownika.
    Hasło Wprowadź wybrane hasło. Hasło musi mieć co najmniej 12 znaków i spełniać zdefiniowane wymagania dotyczące złożoności.
    Potwierdź hasło Ponownie wprowadź hasło.
    Publiczne porty wejściowe Wybierz pozycję Brak.

    Zrzut ekranu przedstawiający kartę Tworzenie podstaw maszyny wirtualnej.

  4. Wybierz pozycję Dalej: dyski.

  5. Na karcie Dyski pozostaw wartości domyślne i wybierz pozycję Dalej: Sieć.

  6. Na karcie Sieć wybierz następujące informacje:

    Ustawienie Wartość
    Sieć wirtualna Wybierz sieć wirtualną utworzoną wcześniej dla tego wdrożenia.
    Subnet Wybierz domyślną podsieć (na przykład 10.0.0.0/24), która została utworzona wcześniej w ramach konfiguracji sieci wirtualnej.

    W pozostałych polach pozostaw wartości domyślne.

    Zrzut ekranu przedstawiający kartę Tworzenie sieci maszyn wirtualnych.

  7. Wybierz pozycję Przejrzyj i utwórz. Zostanie wyświetlona strona Przeglądanie i tworzenie , na której platforma Azure weryfikuje konfigurację.

  8. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

Krok 5. Tworzenie prywatnego punktu końcowego

Następnym krokiem jest utworzenie prywatnego punktu końcowego dla sieci szkieletowej.

  1. W polu wyszukiwania w górnej części portalu wprowadź prywatny punkt końcowy. Wybierz pozycję Prywatne punkty końcowe.

  2. Wybierz pozycję + Utwórz w prywatnych punktach końcowych.

  3. Na karcie Podstawy w obszarze Tworzenie prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

    Ustawienia Wartość
    Szczegóły projektu
    Subskrypcja Wybierz swoją Subskrypcję platformy Azure.
    Grupa zasobów Wybierz utworzoną wcześniej grupę zasobów podczas tworzenia usługi łącza prywatnego na platformie Azure.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość FabricPrivateEndpoint. Jeśli ta nazwa zostanie pobrana, utwórz unikatową nazwę.
    Region (Region) Wybierz utworzony wcześniej region dla sieci wirtualnej.

    Na poniższej ilustracji przedstawiono okno Tworzenie prywatnego punktu końcowego — Podstawy .

    Zrzut ekranu przedstawiający kartę Podstawowe w sekcji Tworzenie prywatnego punktu końcowego.

  4. Wybierz pozycję Dalej: Zasób. W okienku Zasób wprowadź lub wybierz następujące informacje:

    Ustawienia Wartość
    Metoda połączenia Wybierz pozycję Połącz z zasobem platformy Azure w moim katalogu.
    Subskrypcja Wybierz subskrypcję.
    Typ zasobu Wybierz pozycję Microsoft.PowerBI/privateLinkServicesForPowerBI
    Zasób Wybierz zasób sieci szkieletowej utworzony wcześniej podczas tworzenia usługi łącza prywatnego na platformie Azure.
    Docelowy podźródło Dzierżawa

    Na poniższej ilustracji przedstawiono okno Tworzenie prywatnego punktu końcowego — zasób .

    Zrzut ekranu przedstawiający okno tworzenia zasobu prywatnego punktu końcowego.

  5. Wybierz pozycję Dalej: Sieć wirtualna. W obszarze Sieć wirtualna wprowadź lub wybierz następujące informacje.

    Ustawienia Wartość
    SIECI
    Sieć wirtualna Wybierz utworzoną wcześniej nazwę sieci wirtualnej (na przykład vnet-1).
    Podsieć Wybierz utworzoną wcześniej nazwę podsieci (na przykład podsieć-1).
    INTEGRACJA Z PRYWATNĄ USŁUGĄ DNS
    Integruj z prywatną strefą DNS Wybierz opcję Tak.
    Prywatna strefa DNS Wybierz pozycję
    (Nowy)privatelink.analysis.windows.net
    (Nowy)privatelink.pbidedicated.windows.net
    (Nowy)privatelink.prod.powerquery.microsoft.com

    Zrzut ekranu przedstawiający okno tworzenia prywatnego punktu końcowego DNS.

  6. Wybierz pozycję Dalej: Tagi, a następnie Dalej: Przejrzyj i utwórz.

  7. Wybierz pozycję Utwórz.

Krok 6. Nawiązywanie połączenia z maszyną wirtualną przy użyciu usługi Bastion

Usługa Azure Bastion chroni maszyny wirtualne, zapewniając uproszczoną łączność opartą na przeglądarce bez konieczności uwidaczniania ich za pośrednictwem publicznych adresów IP. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

Nawiąż połączenie z maszyną wirtualną, wykonując następujące czynności:

  1. W utworzonej wcześniej sieci wirtualnej dodaj nową podsieć o nazwie AzureBastionSubnet.

    Zrzut ekranu przedstawiający tworzenie podsieci AzureBastionSubnet.

  2. Na pasku wyszukiwania portalu wpisz nazwę utworzonej wcześniej maszyny wirtualnej i wybierz ją z wyników wyszukiwania.

  3. Wybierz przycisk Połącz, a następnie z menu rozwijanego wybierz pozycję Połącz za pośrednictwem usługi Bastion.

    Zrzut ekranu przedstawiający opcję Połącz za pośrednictwem usługi Bastion.

  4. Wybierz pozycję Wdróż usługę Bastion.

  5. Na stronie Bastion wprowadź wymagane poświadczenia uwierzytelniania, a następnie wybierz pozycję Połącz.

Krok 7. Dostęp do sieci szkieletowej prywatnie z maszyny wirtualnej

Następnym krokiem jest uzyskanie dostępu do sieci szkieletowej prywatnie z poziomu maszyny wirtualnej utworzonej w poprzednim kroku, wykonując następujące kroki:

  1. Na maszynie wirtualnej otwórz program PowerShell.

  2. Wprowadź nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Otrzymasz odpowiedź podobną do następującej i zobaczysz, że zwracany jest prywatny adres IP. Zobaczysz, że punkt końcowy usługi OneLake i punkt końcowy magazynu również zwracają prywatne adresy IP.

    Zrzut ekranu przedstawiający adresy IP zwrócone w programie PowerShell.

  4. Otwórz przeglądarkę i przejdź do app.fabric.microsoft.com , aby uzyskać dostęp do sieci szkieletowej prywatnie.

Krok 8. Wyłączanie dostępu publicznego dla sieci szkieletowej

Na koniec możesz opcjonalnie wyłączyć dostęp publiczny dla sieci szkieletowej.

Jeśli wyłączysz dostęp publiczny dla sieci Szkieletowej, zostaną wprowadzone pewne ograniczenia dostępu do usług Sieci szkieletowej, zgodnie z opisem w następnej sekcji.

Ważne

Po włączeniu pozycji Blokuj dostęp do Internetu niektóre nieobsługiwane elementy sieci szkieletowej stają się wyłączone. Zapoznaj się z pełną listą ograniczeń i zagadnień w temacie Informacje o linkach prywatnych.

Aby wyłączyć dostęp publiczny dla sieci Szkieletowej, zaloguj się do sieci szkieletowej jako administrator i przejdź do portalu administracyjnego. Wybierz pozycję Ustawienia dzierżawy i przewiń do sekcji Zaawansowane sieci . Włącz przycisk przełącznika w ustawieniu Blokuj publiczny dostęp do Internetu.

Zrzut ekranu przedstawiający włączone ustawienie Blokuj publiczny dostęp do Internetu.

Wyłączenie dostępu organizacji do sieci szkieletowej z publicznego Internetu trwa około 15 minut.

Uzupełnianie konfiguracji prywatnego punktu końcowego

Po wykonaniu kroków opisanych w poprzednich sekcjach i pomyślnym skonfigurowaniu linku prywatnego organizacja implementuje łącza prywatne na podstawie następujących wyborów konfiguracji, niezależnie od tego, czy wybór zostanie ustawiony podczas początkowej konfiguracji, czy później został zmieniony.

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i włączono opcję Blokuj publiczny dostęp doInternetu:

  • Sieć szkieletowa jest dostępna tylko dla organizacji z prywatnych punktów końcowych i nie jest dostępna z publicznego Internetu.
  • Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne są transportowane za pośrednictwem łącza prywatnego.
  • Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, są blokowane przez usługę.
  • Mogą istnieć scenariusze, które nie obsługują łączy prywatnych, które są blokowane w usłudze po włączeniu opcji Blokuj publiczny dostęp do Internetu .

Jeśli usługa Azure Private Link jest prawidłowo skonfigurowana i opcja Blokuj publiczny dostęp do Internetu jest wyłączona:

  • Ruch z publicznego Internetu jest dozwolony przez usługi sieci Szkieletowej.
  • Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy obsługujących łącza prywatne jest transportowany za pośrednictwem łącza prywatnego.
  • Ruch z sieci wirtualnej przeznaczonych dla punktów końcowych i scenariuszy, które nie obsługują łączy prywatnych, jest transportowany za pośrednictwem publicznego Internetu i jest dozwolony przez usługi sieci szkieletowej.
  • Jeśli sieć wirtualna jest skonfigurowana do blokowania publicznego dostępu do Internetu, scenariusze, które nie obsługują łączy prywatnych, są blokowane przez sieć wirtualną.

W poniższym wideo pokazano, jak połączyć urządzenie przenośne z usługą Fabric przy użyciu prywatnych punktów końcowych:

Uwaga

To wideo może używać wcześniejszych wersji programu Power BI Desktop lub usługa Power BI.

Masz więcej pytań? Zapytaj społeczność sieci szkieletowej.

Jeśli chcesz wyłączyć ustawienie usługi Private Link, przed wyłączeniem ustawienia upewnij się, że wszystkie utworzone prywatne punkty końcowe i odpowiednia prywatna strefa DNS zostaną usunięte. Jeśli sieć wirtualna ma skonfigurowane prywatne punkty końcowe, ale usługa Private Link jest wyłączona, połączenia z tej sieci wirtualnej mogą zakończyć się niepowodzeniem.

Jeśli zamierzasz wyłączyć ustawienie usługi Private Link, zaleca się wykonanie tej czynności w godzinach pracy poza biznesem. W niektórych scenariuszach może upłynąć do 15 minut przestoju, aby odzwierciedlić zmianę.

Powiązana zawartość

  • Last updated on