ตั้งค่าและใช้ลิงก์ส่วนตัวระดับผู้เช่า

Microsoft Fabric รองรับการเข้าถึงข้อมูลที่ปลอดภัยผ่านลิงก์ส่วนตัว ซึ่งใช้ Azure Private Link และปลายทางส่วนตัวเพื่อกําหนดเส้นทางการรับส่งข้อมูลผ่านแกนหลักของเครือข่ายส่วนตัวของ Microsoft แทนที่จะเป็นอินเทอร์เน็ตสาธารณะ คุณสามารถกําหนดค่าลิงก์ส่วนตัวได้ทั้งในระดับผู้เช่าและพื้นที่ทํางาน บทความนี้อธิบายวิธีการตั้งค่าลิงก์ส่วนตัวสําหรับผู้เช่า Fabric

ก่อนที่คุณจะเริ่มต้น ให้ตรวจสอบข้อมูลใน ลิงก์ส่วนตัวสําหรับผู้เช่า Fabric ในการกําหนดค่าจุดสิ้นสุดส่วนตัว คุณต้องเป็นผู้ดูแลระบบ Fabric และมีสิทธิ์ใน Azure เพื่อสร้างและกําหนดค่าทรัพยากร เช่น เครื่องเสมือน (VM) และเครือข่ายเสมือน (VNets)

ขั้นตอนที่ 1 ตั้งค่าจุดสิ้นสุดส่วนตัวสําหรับ Fabric

1. ลงชื่อเข้าใช้ Fabric ในฐานะผู้ดูแลระบบ

2. ไปที่การตั้งค่าผู้เช่า

3. ค้นหาและขยายการตั้งค่า Azure Private Link

4. ตั้งค่าการสลับเป็น เปิดใช้งานแล้ว

   

ใช้เวลาประมาณ 15 นาทีในการกําหนดค่าลิงก์ส่วนตัวสําหรับผู้เช่าของคุณ รวมถึงการกําหนดค่า FQDN แยกต่างหาก (ชื่อโดเมนที่มีคุณสมบัติครบถ้วน) สําหรับผู้เช่าเพื่อสื่อสารแบบส่วนตัวกับบริการ Fabric

เมื่อกระบวนการนี้เสร็จสิ้น ให้ย้ายไปยังขั้นตอนถัดไป

ขั้นตอนที่ 2 สร้างบริการลิงก์ส่วนตัวของ Microsoft.PowerBI สําหรับทรัพยากร Power BI ในพอร์ทัล Azure

ขั้นตอนนี้ใช้เพื่อสนับสนุนการเชื่อมโยงจุดสิ้นสุดส่วนตัวของ Azure กับทรัพยากร Fabric ของคุณ

1. ลงชื่อเข้าใช้ พอร์ทัล Azure

2. เลือก สร้างทรัพยากร

3. ภายใต้ การปรับใช้เทมเพลต ให้เลือก สร้าง

   

4. บนหน้า การปรับใช้แบบกําหนดเอง ให้เลือก สร้างเทมเพลตของคุณเอง ในตัวแก้ไข

   

5. ในตัวแก้ไข ให้สร้างทรัพยากร Fabric ต่อไปนี้โดยใช้เทมเพลต ARM ตามที่แสดง โดยที่

   • <resource-name> คือชื่อที่คุณเลือกสําหรับทรัพยากร Fabric
   • <tenant-object-id> เป็นรหัสผู้เช่า Microsoft Entra ของคุณ ดู วิธีการค้นหา ID ผู้เช่า Microsoft Entra ของคุณ

   {
     "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {},
     "resources": [
         {
             "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
             "apiVersion": "2020-06-01",
             "name" : "<resource-name>",
             "location": "global",
             "properties" : 
             {
                  "tenantId": "<tenant-object-id>"
             }
         }
     ]
   }
   

   ถ้าคุณกําลังใช้ระบบคลาวด์ของรัฐบาล Azure สําหรับ Power BI location ควรเป็นชื่อภูมิภาคของผู้เช่า ตัวอย่างเช่น ถ้าผู้เช่าอยู่ใน US Gov Texas คุณควรใส่ "location": "usgovtexas" ในเทมเพลต ARM รายการภูมิภาคของส่วนราชการสหรัฐ Power BI สามารถพบได้ใน บทความ Power BI สําหรับส่วนราชการสหรัฐ

   สำคัญ

   ใช้ Microsoft.PowerBI/privateLinkServicesForPowerBI เป็น type ค่า แม้ว่าทรัพยากรจะถูกสร้างขึ้นสําหรับ Fabric

6. บันทึกเทมเพลต จากนั้นป้อนข้อมูลต่อไปนี้

   การตั้งค่า	ค่า
   รายละเอียดโครงการ
   การสมัครใช้งาน	เลือกการสมัครใช้งานของคุณ
   กลุ่มทรัพยากร	เลือก **สร้างใหม่ ป้อน test-PL เป็นชื่อ เลือก ตกลง
   รายละเอียดอินสแตนซ์	เลือกภูมิภาค
   ขอบเขต

   

7. บนหน้าจอตรวจสอบ ให้เลือก สร้าง เพื่อยอมรับข้อกําหนดและเงื่อนไข

   

ขั้นตอนที่ 3 สร้างเครือข่ายเสมือน

ขั้นตอนต่อไปนี้สร้างเครือข่ายเสมือนที่มีเครือข่ายย่อยของทรัพยากร เครือข่ายย่อย Azure Bastion และโฮสต์ Azure Bastion

จํานวนที่อยู่ IP ที่ซับเน็ตของคุณต้องการคือจํานวนความจุที่คุณสร้างขึ้นบนผู้เช่าบวก 15 ตัวอย่างเช่น หากคุณกําลังสร้างซับเน็ตสําหรับผู้เช่าที่มีความจุเจ็ดรายการ คุณต้องมีที่อยู่ IP 22 รายการ

1. ลงชื่อเข้าใช้ พอร์ทัล Azure

2. ในช่องค้นหา ให้ป้อน เครือข่าย เสมือน และเลือกในผลการค้นหา

3. บนหน้า เครือข่ายเสมือน เลือก+ สร้าง

4. บนแท็บ พื้นฐาน ของ สร้างเครือข่ายเสมือน ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   การสมัครสมาชิก	เลือกการสมัครใช้งานของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรที่คุณสร้างไว้ก่อนหน้านี้สําหรับบริการลิงก์ส่วนตัว เช่น test-PL
   ชื่อ	ป้อนชื่อสําหรับเครือข่ายเสมือนของคุณ เช่น vnet-1
   บริเวณ	เลือกภูมิภาคที่คุณจะเริ่มต้นการเชื่อมต่อกับ Fabric

   

5. เลือก ถัดไป เพื่อไปยังแท็บ ความปลอดภัย คุณสามารถคงการตั้งค่าเริ่มต้นหรือแก้ไขได้ตามความต้องการขององค์กร

6. เลือก ถัดไป เพื่อไปยังแท็บ ที่อยู่ IP คุณสามารถคงการตั้งค่าเริ่มต้นหรือแก้ไขได้ตามความต้องการขององค์กร

   

7. เลือก บันทึก

8. เลือก ตรวจสอบ + สร้าง ที่ด้านล่างของหน้าจอ เมื่อผ่านการตรวจสอบความถูกต้อง เลือกสร้าง

ขั้นตอนที่ 4 สร้างเครื่องเสมือน

ขั้นตอนถัดไปคือการสร้างเครื่องเสมือน

1. ลงชื่อเข้าใช้ พอร์ทัล Azure

2. ไปที่ สร้างทรัพยากร > เครื่องเสมือนการประมวลผล>

3. บนแท็บ พื้นฐาน ให้ใส่หรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   การสมัครสมาชิก	เลือกการสมัครใช้งาน Azure ของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรเดียวกันกับที่คุณใช้ก่อนหน้านี้เมื่อคุณสร้างบริการลิงก์ส่วนตัว
   ชื่อเครื่องเสมือน	ป้อนชื่อสําหรับเครื่องเสมือนใหม่ เลือกฟองข้อมูลที่อยู่ถัดจากชื่อเขตข้อมูลเพื่อดูข้อมูลสําคัญเกี่ยวกับชื่อเครื่องเสมือน
   บริเวณ	เลือกภูมิภาคเดียวกับที่คุณใช้ก่อนหน้านี้เมื่อสร้างเครือข่ายเสมือน
   ตัวเลือกความพร้อมใช้งาน	สําหรับการทดสอบ เลือก ไม่จําเป็นต้องมีการสํารองโครงสร้างพื้นฐาน
   ประเภทความปลอดภัย	ปล่อยค่าเริ่มต้นไว้
   ภาพ	เลือกรูปภาพที่คุณต้องการ ตัวอย่างเช่น เลือก Windows Server 2022
   สถาปัตยกรรม VM	ปล่อยค่าเริ่มต้นไว้เป็น x64
   ขนาด	เลือกขนาด
   ชื่อผู้ใช้	ป้อนชื่อผู้ใช้ตามที่คุณต้องการ
   รหัสผ่าน	ป้อนรหัสผ่านที่คุณเลือก รหัสผ่านต้องมีความยาวอย่างน้อย 12 อักขระและตรงตาม ข้อกําหนดความซับซ้อนที่กําหนดไว้
   ยืนยันรหัสผ่าน	ใส่รหัสผ่านอีกครั้ง
   พอร์ตขาเข้าสาธารณะ	เลือกไม่มี

   

4. เลือก ถัดไป: ดิสก์

5. บนแท็บดิสก์ ให้ปล่อยค่าเริ่มต้นไว้และเลือก ถัดไป: เครือข่าย

6. บนแท็บ เครือข่าย ให้เลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   เครือข่ายเสมือน	เลือกเครือข่ายเสมือนที่คุณสร้างขึ้นก่อนหน้านี้สําหรับการปรับใช้นี้
   ซับเน็ต	เลือกซับเน็ตเริ่มต้น (ตัวอย่างเช่น 10.0.0.0/24) ที่คุณสร้างขึ้นก่อนหน้านี้เป็นส่วนหนึ่งของการตั้งค่าเครือข่ายเสมือน

   สําหรับฟิลด์ที่เหลือ ให้ปล่อยให้เป็นค่าเริ่มต้น

   

7. เลือก ตรวจสอบ + สร้าง คุณจะไปที่ หน้า ตรวจสอบ + สร้าง ซึ่ง Azure จะตรวจสอบการกําหนดค่าของคุณ

8. เมื่อคุณเห็นข้อความ ผ่านการตรวจสอบแล้ว ให้เลือก สร้าง

ขั้นตอนที่ 5 สร้างจุดสิ้นสุดส่วนตัว

ขั้นตอนถัดไปคือการสร้างจุดสิ้นสุดส่วนตัวสําหรับ Fabric

1. ในกล่องค้นหาที่ด้านบนของพอร์ทัล ให้ป้อน จุดสิ้นสุดส่วนตัว เลือก จุดสิ้นสุดส่วนตัว

2. เลือก + สร้าง ใน จุดสิ้นสุดส่วนตัว

3. บนแท็บ พื้นฐาน ของ สร้างปลายทางส่วนตัว ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   รายละเอียดโครงการ
   การสมัครใช้งาน	เลือกการสมัครใช้งาน Azure ของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรที่คุณสร้างไว้ก่อนหน้านี้เมื่อสร้างบริการลิงก์ส่วนตัวใน Azure
   รายละเอียดอินสแตนซ์
   ชื่อ	ป้อน FabricPrivateEndpoint ถ้ามีการนําชื่อนี้ไปใช้ ให้สร้างชื่อที่ไม่ซ้ํากัน
   ขอบเขต	เลือกภูมิภาคที่คุณสร้างไว้ก่อนหน้านี้สําหรับเครือข่ายเสมือนของคุณ

   รูปภาพต่อไปนี้แสดงหน้าต่าง สร้างจุดปลายทางส่วนตัว - พื้นฐาน

   

4. เลือก ถัดไป: ทรัพยากร ในบานหน้าต่าง ทรัพยากร ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   วิธีการเชื่อมต่อ	เลือกเชื่อมต่อกับทรัพยากร Azure ในไดเรกทอรีของฉัน
   การสมัครใช้งาน	เลือกการสมัครใช้งานของคุณ
   ชนิดของทรัพยากร	เลือก Microsoft.PowerBI/privateLinkServicesForPowerBI
   ทรัพยากร	เลือกทรัพยากร Fabric ที่คุณสร้างไว้ก่อนหน้านี้เมื่อสร้างบริการลิงก์ส่วนตัวใน Azure
   ทรัพยากรย่อยเป้าหมาย	ผู้เช่า

   รูปภาพต่อไปนี้แสดงหน้าต่าง สร้างจุดปลายทางส่วนตัว - ทรัพยากร

   

5. เลือก ถัดไป: เครือข่ายเสมือน ใน เครือข่ายเสมือน ให้ป้อนหรือเลือกข้อมูลต่อไปนี้

   การตั้งค่า	ค่า
   เครือ ข่าย
   เครือข่ายเสมือนจริง	เลือกชื่อเครือข่ายเสมือนที่คุณสร้างขึ้นก่อนหน้านี้ (ตัวอย่างเช่น vnet-1)
   เครือข่ายย่อย	เลือกชื่อซับเน็ตที่คุณสร้างไว้ก่อนหน้านี้ (เช่น ซับเน็ต-1)
   การผสานรวม DNS ส่วนตัว
   ผสานรวมเข้ากับพื้นที่ DNS ส่วนตัว	เลือก ใช่
   พื้นที่ DNS ส่วนตัว	เลือก (ใหม่)privatelink.analysis.windows.net (ใหม่)privatelink.pbidedicated.windows.net (ใหม่)privatelink.prod.powerquery.microsoft.com

   

6. เลือก ถัดไป: แท็ก จากนั้น: ตรวจสอบ + สร้าง

7. เลือก สร้าง

ขั้นตอนที่ 6 เชื่อมต่อกับ VM โดยใช้ Bastion

Azure Bastion ช่วยปกป้องเครื่องเสมือนของคุณด้วยการเชื่อมต่อที่มีน้ําหนักเบาและผ่านเบราว์เซอร์โดยไม่จําเป็นต้องเปิดเผยผ่านที่อยู่ IP สาธารณะ สําหรับข้อมูลเพิ่มเติม โปรดดู ที่ Azure Bastion คืออะไร

เชื่อมต่อกับ VM ของคุณโดยใช้ขั้นตอนต่อไปนี้:

1. ในเครือข่ายเสมือนที่คุณสร้างไว้ก่อนหน้านี้ ให้เพิ่มซับเน็ตใหม่ที่ชื่อ AzureBastionSubnet

   

2. ในแถบค้นหาของพอร์ทัล ให้พิมพ์ชื่อของเครื่องเสมือนที่คุณสร้างไว้ก่อนหน้านี้ และเลือกจากผลการค้นหา

3. เลือก ปุ่มเชื่อมต่อ และเลือก เชื่อมต่อผ่าน Bastion จากเมนูดรอปดาวน์

   

4. เลือก ปรับใช้ Bastion

5. ในหน้า Bastion ให้ป้อนข้อมูลรับรองความถูกต้องที่จําเป็น จากนั้นเลือก เชื่อมต่อ

ขั้นตอนที่ 7 เข้าถึง Fabric ได้แบบส่วนตัวจากเครื่องเสมือน

ขั้นตอนถัดไปคือการเข้าถึง Fabric แบบส่วนตัวจากเครื่องเสมือนที่คุณสร้างขึ้นในขั้นตอนก่อนหน้าโดยใช้ขั้นตอนต่อไปนี้:

1. ในเครื่องเสมือน เปิด PowerShell

2. ป้อน nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net

3. คุณได้รับข้อความตอบกลับที่คล้ายกับข้อความต่อไปนี้ และสามารถเห็นว่ามีการส่งกลับที่อยู่ IP ส่วนตัว คุณจะเห็นว่าจุดสิ้นสุด OneLake และจุดสิ้นสุด Warehouse ส่งคืน IP ส่วนตัวเช่นกัน

   

4. เปิดเบราว์เซอร์แล้วไปที่ app.fabric.microsoft.com เพื่อเข้าถึง Fabric แบบส่วนตัว

ขั้นตอนที่ 8 ปิดใช้งานการเข้าถึงสาธารณะสําหรับ Fabric

ในที่สุดคุณสามารถเลือกปิดใช้งานการเข้าถึงสาธารณะสําหรับ Fabric ได้

ถ้าคุณปิดใช้งานการเข้าถึงสาธารณะสําหรับ Fabric ข้อจํากัดบางอย่างในการเข้าถึงบริการ Fabric จะถูกนําไปใช้ ตามที่อธิบายไว้ในส่วนถัดไป

หากต้องการปิดใช้งานการเข้าถึงสาธารณะสําหรับ Fabric ให้ลงชื่อเข้าใช้ Fabric ในฐานะผู้ดูแลระบบ และนําทางไปยัง พอร์ทัลผู้ดูแลระบบ เลือก การตั้งค่า ผู้เช่า แล้วเลื่อนไปที่ ส่วน เครือข่าย ขั้นสูง เปิดใช้งานปุ่มสลับใน การตั้งค่าผู้เช่าบล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะ

ใช้เวลาประมาณ 15 นาทีในการปิดใช้งานการเข้าถึง Fabric ขององค์กรของคุณจากอินเทอร์เน็ตสาธารณะ

การทําให้การกําหนดค่าจุดปลายทางส่วนตัวเสร็จสมบูรณ์

เมื่อคุณทําตามขั้นตอนในส่วนก่อนหน้านี้และกําหนดค่าลิงก์ส่วนตัวสําเร็จแล้ว องค์กรของคุณจะใช้ลิงก์ส่วนตัวตามการเลือกการตั้งค่าคอนฟิกต่อไปนี้

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ ปิดกั้นการเข้าถึง อินเทอร์เน็ตสาธารณะจะ เปิดใช้งาน:

• Fabric สามารถเข้าถึงได้สําหรับองค์กรของคุณจากจุดสิ้นสุดส่วนตัวเท่านั้น และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ
• การรับส่งข้อมูลจากจุดสิ้นสุดและสถานการณ์การกําหนดเป้าหมายเครือข่ายเสมือนที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
• การรับส่งข้อมูลจากเครือข่ายเสมือน ที่ กําหนดเป้าหมายปลายทางและสถานการณ์ที่ไม่สนับสนุนลิงก์ส่วนตัวจะถูกบล็อกโดยบริการ
• อาจมีสถานการณ์ที่ไม่สนับสนุนการเชื่อมโยงส่วนตัว ซึ่งถูกบล็อกที่บริการเมื่อเปิดใช้งาน บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะ

หากมีการกําหนดค่าลิงก์ส่วนตัวของ Azure อย่างถูกต้องและ บล็อกการเข้าถึง อินเทอร์เน็ตสาธารณะถูก ปิดใช้งาน:

• การรับส่งข้อมูลจากอินเทอร์เน็ตสาธารณะได้รับอนุญาตโดยบริการ Fabric
• การรับส่งข้อมูลจากเครือข่ายเสมือนที่กําหนดเป้าหมายปลายทางและสถานการณ์สมมติที่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านลิงก์ส่วนตัว
• การรับส่งข้อมูลจากเครือข่ายเสมือน ที่ กําหนดเป้าหมายปลายทางและสถานการณ์ที่ไม่สนับสนุนลิงก์ส่วนตัวจะถูกส่งผ่านอินเทอร์เน็ตสาธารณะ และได้รับอนุญาตโดยบริการ Fabric
• ถ้าเครือข่ายเสมือนถูกกําหนดค่าให้บล็อกการเข้าถึงอินเทอร์เน็ตสาธารณะสถานการณ์ที่ไม่สนับสนุนการเชื่อมโยงส่วนตัวจะถูกบล็อกโดยเครือข่ายเสมือน

วิดีโอต่อไปนี้แสดงวิธีการเชื่อมต่ออุปกรณ์เคลื่อนที่กับ Fabric โดยใช้จุดสิ้นสุดส่วนตัว:

มีคำถามเพิ่มเติมหรือไม่? ถามชุมชน Fabric

ปิดใช้งานลิงก์ส่วนตัว

หากคุณต้องการปิดใช้งานการตั้งค่าลิงก์ส่วนตัว โปรดตรวจสอบให้แน่ใจว่าจุดสิ้นสุดส่วนตัวทั้งหมดที่คุณสร้างขึ้นและโซน DNS ส่วนตัวที่สอดคล้องกันจะถูกลบออกก่อนที่จะปิดใช้งานการตั้งค่า ถ้าเครือข่ายเสมือนของคุณมีการตั้งค่าปลายทางส่วนตัว แต่ Private Link ถูกปิดใช้งาน การเชื่อมต่อจากเครือข่ายเสมือนนี้อาจล้มเหลว

หากคุณกําลังจะปิดใช้งานการตั้งค่าลิงก์ส่วนตัว ขอแนะนําให้ทําเช่นนั้นในช่วงเวลานอกเวลาทําการ อาจใช้เวลาหยุดทํางานถึง 15 นาทีสําหรับบางสถานการณ์เพื่อสะท้อนถึงการเปลี่ยนแปลง

เนื้อหาที่เกี่ยวข้อง

• เกี่ยวกับลิงก์ส่วนตัวระดับผู้เช่า
• เกี่ยวกับลิงก์ส่วนตัวระดับพื้นที่ทํางาน