ตั้งค่าและใช้ลิงก์ส่วนตัวระดับพื้นที่ทํางาน

ลิงก์ส่วนตัวปรับปรุงความปลอดภัยโดยการกําหนดเส้นทางการรับส่งข้อมูลผ่าน Azure Private Link และปลายทางส่วนตัว เพื่อให้มั่นใจว่าข้อมูลจะอยู่บนเครือข่ายส่วนตัวของ Microsoft แทนที่จะเป็นอินเทอร์เน็ตสาธารณะ Microsoft Fabric นําเสนอลิงก์ส่วนตัวในสองขอบเขต: ระดับผู้เช่าและระดับพื้นที่ทํางาน ลิงก์ส่วนตัวระดับผู้เช่า จะรักษาความปลอดภัยพื้นที่ทํางานทั้งหมดภายในผู้เช่า ในขณะที่ ลิงก์ส่วนตัวระดับพื้นที่ทํางาน ช่วยให้คุณสามารถจัดการการเข้าถึงเครือข่ายสําหรับพื้นที่ทํางานเฉพาะทีละรายการได้

บทความนี้ให้คําแนะนําสําหรับการตั้งค่าลิงก์ส่วนตัวระดับพื้นที่ทํางานใน Fabric

ข้อกําหนดเบื้องต้น

• ต้องกําหนดพื้นที่ทํางานให้กับความจุ Fabric (F SKU) ความจุอื่นๆ เช่น พรีเมียม (P SKU) และความจุการทดลองใช้ จะไม่ได้รับการสนับสนุน
• ผู้ดูแลระบบ Fabric ต้องเปิดใช้งานการตั้งค่าผู้เช่า กําหนดค่ากฎเครือข่ายขาเข้าระดับพื้นที่ทํางาน สําหรับรายละเอียด โปรดดู เปิดใช้งานการป้องกันการเข้าถึงขาเข้าของพื้นที่ทํางานสําหรับผู้เช่าของคุณ
• คุณต้องมีรหัสพื้นที่ทํางาน ค้นหาใน URL หลังจาก group.
• คุณต้องมีรหัสผู้เช่า ในพอร์ทัล Fabric ให้เลือกเครื่องหมายคําถามที่มุมขวาบน จากนั้นเลือก เกี่ยวกับ Power BI รหัสผู้เช่าเป็นส่วน ctid ของ URL ของผู้เช่า
• คุณต้องเป็นผู้ดูแลระบบพื้นที่ทํางานและมีสิทธิ์ Azure เพียงพอในการตั้งค่าบริการลิงก์ส่วนตัวใน Azure
• คุณต้องเป็นผู้ดูแลระบบพื้นที่ทํางานเพื่อกําหนดค่านโยบายการสื่อสารพื้นที่ทํางาน
• หากนี่เป็นครั้งแรกที่ตั้งค่าลิงก์ส่วนตัวระดับพื้นที่ทํางานในผู้เช่าของคุณ ให้ลงทะเบียนผู้ให้บริการทรัพยากร Microsoft.Fabric ใน Azure อีกครั้งสําหรับการสมัครใช้งานที่มีทรัพยากรลิงก์ส่วนตัวของพื้นที่ทํางานและจุดสิ้นสุดส่วนตัว ในพอร์ทัล Azure ไปที่ การตั้งค่า>ใช้งาน >ผู้ให้บริการทรัพยากร เลือก Microsoft.Fabric แล้วเลือก ลงทะเบียนใหม่

ขั้นตอนที่ 1. หลังจากนั้น สร้างพื้นที่ทํางานใน Fabric

สร้างพื้นที่ทํางานใน Fabric ตรวจสอบให้แน่ใจว่าพื้นที่ทํางานถูกกําหนดให้กับความจุ Fabric คุณสามารถตรวจสอบการมอบหมายได้โดยไปที่การตั้งค่าพื้นที่ทํางานและเลือก ข้อมูลสิทธิ์การใช้งาน ตามที่อธิบายไว้ในขั้นตอนที่ 1 ของการมอบหมายพื้นที่ทํางานใหม่ให้กับความจุอื่น

ขั้นตอนที่ 2. ถัดไป สร้างบริการลิงก์ส่วนตัวใน Azure

เมื่อต้องการสร้างบริการลิงก์ส่วนตัว ให้ปรับใช้เทมเพลต ARM ใน Azure โดยทําตามขั้นตอนเหล่านี้:

1. ลงชื่อเข้าใช้พอร์ทัล Azure

2. จากแถบค้นหาพอร์ทัล Azure ให้ค้นหา ปรับใช้เทมเพลตแบบกําหนดเอง แล้วเลือกจากตัวเลือกที่พร้อมใช้งาน

3. บนหน้า การปรับใช้แบบกําหนดเอง ให้เลือก สร้างเทมเพลตของคุณเองในตัวแก้ไข

4. ในตัวแก้ไข ให้สร้างทรัพยากร Fabric โดยใช้เทมเพลต ARM ต่อไปนี้ โดยที่:

   • <resource-name> คือชื่อที่คุณเลือกสําหรับทรัพยากร Fabric
   • <tenant-object-id> คือรหัสผู้เช่า Microsoft Entra ของคุณ ดู วิธีค้นหารหัสผู้เช่า Microsoft Entra ของคุณ
   • <workspace-id> คือรหัสพื้นที่ทํางานที่คุณจดบันทึกไว้เป็นส่วนหนึ่งของข้อกําหนดเบื้องต้น

    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
        {
          "type": "Microsoft.Fabric/privateLinkServicesForFabric",
          "apiVersion": "2024-06-01",
          "name": "<resource-name>",
          "location": "global",
          "properties": {
            "tenantId": "<tenant-id>",
            "workspaceId": "<workspace-id>"
          }
        }
      ]
    }

คุณสามารถดูรายละเอียดเกี่ยวกับบริการลิงก์ส่วนตัวได้ในไฟล์ JSON

คุณยังสามารถค้นหาทรัพยากรบริการลิงก์ส่วนตัวในกลุ่มทรัพยากร แต่คุณต้องเลือก แสดงทรัพยากรที่ซ่อนอยู่

ขั้นตอนที่ 3 สร้างเครือข่ายเสมือน

กระบวนงานต่อไปนี้จะสร้างเครือข่ายเสมือนที่มีซับเน็ตทรัพยากร ซับเน็ต Azure Bastion และโฮสต์ Azure Bastion

เราขอแนะนําให้สงวนที่อยู่ IP อย่างน้อย 10 รายการสําหรับตําแหน่งข้อมูลส่วนตัวระดับพื้นที่ทํางานแต่ละรายการสําหรับการใช้งานในอนาคต ปัจจุบัน เราสร้างที่อยู่ IP ห้ารายการต่อลิงก์ส่วนตัวระดับพื้นที่ทํางานในซับเน็ต

1. ลงชื่อเข้าใช้พอร์ทัล Azure

2. ในช่องค้นหา ให้ป้อน เครือข่าย เสมือน และเลือกในผลการค้นหา

3. บนหน้า เครือข่ายเสมือน ให้เลือก + สร้าง

4. บนแท็บ พื้นฐาน ของ สร้างเครือข่ายเสมือน ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   การสมัครสมาชิก	เลือกการสมัครใช้งานของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรที่คุณสร้างไว้ก่อนหน้านี้สําหรับบริการลิงก์ส่วนตัว เช่น test-PL
   ชื่อ	ป้อนชื่อสําหรับเครือข่ายเสมือนของคุณ เช่น vnet-1
   บริเวณ	เลือกภูมิภาคที่คุณจะเริ่มการเชื่อมต่อกับ Fabric

   

5. เลือก ถัดไป เพื่อไปยังแท็บ ความปลอดภัย คุณสามารถคงการตั้งค่าเริ่มต้นหรือแก้ไขได้ตามความต้องการขององค์กร

6. เลือก ถัดไป เพื่อไปยังแท็บ ที่อยู่ IP คุณสามารถคงการตั้งค่าเริ่มต้นหรือแก้ไขได้ตามความต้องการขององค์กร

   

7. เลือก บันทึก

8. เลือก รีวิว + สร้าง ที่ด้านล่างของหน้าจอ เมื่อการตรวจสอบผ่านแล้ว ให้เลือก สร้าง

ขั้นตอนที่ 4. หลังจากนั้น สร้างเครื่องเสมือน

1. ลงชื่อเข้าใช้พอร์ทัล Azure

2. ไปที่ สร้างทรัพยากร > เครื่องเสมือนการประมวลผล>

3. บนแท็บ พื้นฐาน ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   การสมัครสมาชิก	เลือกการสมัครใช้งาน Azure ของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรเดียวกันกับที่คุณใช้ก่อนหน้านี้เมื่อคุณสร้างบริการลิงก์ส่วนตัว
   ชื่อเครื่องเสมือน	ป้อนชื่อสําหรับเครื่องเสมือนใหม่ เลือกฟองข้อมูลถัดจากชื่อฟิลด์เพื่อดูข้อมูลสําคัญเกี่ยวกับชื่อเครื่องเสมือน
   บริเวณ	เลือกภูมิภาคเดียวกับที่คุณใช้ก่อนหน้านี้เมื่อสร้างเครือข่ายเสมือน
   ตัวเลือกความพร้อมใช้งาน	สําหรับการทดสอบ ให้เลือก ไม่จําเป็นต้องใช้ ความซ้ําซ้อนของโครงสร้างพื้นฐาน
   ประเภทความปลอดภัย	ปล่อยให้เป็นค่าเริ่มต้น
   ภาพ	เลือกรูปภาพที่คุณต้องการ ตัวอย่างเช่น เลือก Windows Server 2022
   สถาปัตยกรรม VM	ปล่อยให้ค่าเริ่มต้นเป็น x64
   ขนาด	เลือกขนาด
   ชื่อผู้ใช้	ป้อนชื่อผู้ใช้ที่คุณเลือก
   รหัสผ่าน	ป้อนรหัสผ่านที่คุณเลือก รหัสผ่านต้องมีความยาวอย่างน้อย 12 อักขระและตรงตามข้อกําหนดความซับซ้อนที่กําหนดไว้
   ยืนยันรหัสผ่าน	ป้อนรหัสผ่านอีกครั้ง
   พอร์ตขาเข้าสาธารณะ	เลือก ไม่มี

   

4. เลือก ถัดไป: ดิสก์

5. บนแท็บ ดิสก์ ให้ปล่อยให้เป็นค่าเริ่มต้นและเลือก ถัดไป: เครือข่าย

6. บนแท็บ เครือข่าย ให้เลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   เครือข่ายเสมือน	เลือกเครือข่ายเสมือนที่คุณสร้างขึ้นก่อนหน้านี้สําหรับการปรับใช้นี้
   ซับเน็ต	เลือกซับเน็ตเริ่มต้น (ตัวอย่างเช่น 10.0.0.0/24) ที่คุณสร้างขึ้นก่อนหน้านี้เป็นส่วนหนึ่งของการตั้งค่าเครือข่ายเสมือน

   สําหรับฟิลด์ที่เหลือ ให้ปล่อยให้เป็นค่าเริ่มต้น

   

7. เลือก ตรวจสอบ + สร้าง คุณจะถูกนําไปยังหน้า รีวิว + สร้าง ที่ Azure ตรวจสอบการกําหนดค่าของคุณ

8. เมื่อคุณเห็นข้อความ ผ่านการตรวจสอบความถูกต้อง ให้เลือก สร้าง

ขั้นตอนที่ 5 สร้างปลายทางส่วนตัว

สร้างจุดสิ้นสุดส่วนตัวในเครือข่ายเสมือนที่คุณสร้างขึ้นในขั้นตอนที่ 3 และชี้ไปที่บริการลิงก์ส่วนตัวที่คุณสร้างขึ้นในขั้นตอนที่ 2

1. ในกล่องค้นหาที่ด้านบนของพอร์ทัล ให้ป้อน จุดสิ้นสุดส่วนตัว เลือก จุดสิ้นสุดส่วนตัว

2. เลือก + สร้างในจุดสิ้นสุดส่วนตัว

3. บนแท็บ พื้นฐาน ของ สร้างจุดสิ้นสุดส่วนตัว ให้ป้อนหรือเลือกข้อมูลต่อไปนี้:

   การตั้งค่า	ค่า
   การสมัครสมาชิก	เลือกการสมัครใช้งาน Azure ของคุณ
   กลุ่มทรัพยากร	เลือกกลุ่มทรัพยากรที่คุณสร้างไว้ก่อนหน้านี้เมื่อสร้างบริการลิงก์ส่วนตัวใน Azure
   ชื่อ	ป้อนชื่อที่ไม่ซ้ํากัน
   ชื่ออินเทอร์เฟซเครือข่าย	ป้อน FabricPrivateEndpointNIC หากใช้ชื่อนี้ ให้สร้างชื่อที่ไม่ซ้ํากัน
   บริเวณ	เลือกภูมิภาคที่คุณสร้างไว้ก่อนหน้านี้สําหรับเครือข่ายเสมือนของคุณ

   

4. เลือก ถัดไป: ทรัพยากร ในบานหน้าต่าง ทรัพยากร ให้ป้อนหรือเลือกข้อมูลต่อไปนี้

   การตั้งค่า	ค่า
   วิธีการเชื่อมต่อ	เลือก เชื่อมต่อกับทรัพยากร Azure ในไดเรกทอรีของฉัน
   การสมัครสมาชิก	เลือกการสมัครใช้งานของคุณ
   ประเภททรัพยากร	เลือก Microsoft.Fabric/privateLinkServicesForFabric
   ทรัพยากร	เลือกทรัพยากร Fabric ที่คุณสร้างไว้ก่อนหน้านี้เมื่อสร้างบริการลิงก์ส่วนตัวใน Azure
   ทรัพยากรย่อยเป้าหมาย	พื้นที่ทำงาน

   รูปภาพต่อไปนี้แสดงหน้าต่าง สร้างจุดสิ้นสุดส่วนตัว - ทรัพยากร

   

5. เลือก ถัดไป: เครือข่ายเสมือน ใน Virtual Network ให้ป้อนหรือเลือกข้อมูลต่อไปนี้

   การตั้งค่า	ค่า
   เครือข่ายเสมือน	เลือกชื่อเครือข่ายเสมือนที่คุณสร้างไว้ก่อนหน้านี้ (ตัวอย่างเช่น vnet-1)
   ซับเน็ต	เลือกชื่อซับเน็ตที่คุณสร้างไว้ก่อนหน้านี้ (เช่น ซับเน็ต-1)

6. เลือก ถัดไป: DNS ภายใต้ การรวม DNS ส่วนตัว ให้ป้อนหรือเลือกข้อมูลต่อไปนี้

   การตั้งค่า	ค่า
   ผสานรวมกับโซน DNS ส่วนตัว	เลือก ใช่
   โซน DNS ส่วนตัว	เลือก (ใหม่)privatelink.fabric.microsoft.com

   

7. เลือก ถัดไป: แท็ก จากนั้นเลือก ถัดไป: ตรวจสอบ + สร้าง

8. เลือก สร้าง

ขั้นตอนที่ 6 เชื่อมต่อกับเครื่องเสมือน

Azure Bastion ปกป้องเครื่องเสมือนของคุณด้วยการให้การเชื่อมต่อบนเบราว์เซอร์ที่มีน้ําหนักเบาโดยไม่จําเป็นต้องเปิดเผยผ่านที่อยู่ IP สาธารณะ สําหรับข้อมูลเพิ่มเติม โปรดดู Azure Bastion คืออะไร.

เชื่อมต่อกับ VM ของคุณโดยใช้ขั้นตอนต่อไปนี้:

1. ในเครือข่ายเสมือนที่คุณสร้างไว้ก่อนหน้านี้ ให้เพิ่มซับเน็ตใหม่ที่ชื่อ AzureBastionSubnet

   

2. ในแถบค้นหาของพอร์ทัล ให้พิมพ์ชื่อของเครื่องเสมือนที่คุณสร้างไว้ก่อนหน้านี้ และเลือกจากผลการค้นหา

3. เลือกปุ่ม เชื่อมต่อ แล้วเลือก เชื่อมต่อผ่าน Bastion จากเมนูแบบเลื่อนลง

   

4. เลือก ปรับใช้ Bastion

5. ในหน้า Bastion ให้ป้อนข้อมูลรับรองความถูกต้องที่จําเป็น จากนั้นเลือก เชื่อมต่อ

ขั้นตอนที่ 7. หลังจากนั้น เข้าถึง Fabric แบบส่วนตัวจากเครื่องเสมือน

จากนั้น ให้เข้าถึง Fabric แบบส่วนตัวจากเครื่องเสมือนที่คุณสร้างขึ้นในขั้นตอนก่อนหน้า ขั้นตอนนี้จะตรวจสอบว่าตําแหน่งข้อมูลส่วนตัวได้รับการกําหนดค่าอย่างถูกต้อง และคุณสามารถแก้ไขชื่อโดเมนที่ผ่านการรับรองเต็มรูปแบบ (FQDN) ของพื้นที่ทํางาน Fabric เป็นที่อยู่ IP ส่วนตัวได้

1. ในเครื่องเสมือน ให้เปิด พร้อมท์คําสั่ง

2. ป้อนคําสั่งต่อไปนี้:

   nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com

   โดยที่ workspaceid คือรหัสวัตถุพื้นที่ทํางานที่ไม่มีขีดกลาง และ xy แสดงถึงอักขระสองตัวแรกของรหัสอ็อบเจ็กต์พื้นที่ทํางาน

3. ที่อยู่ IP ส่วนตัวจะถูกส่งคืน

ขั้นตอนที่ 8. หลังจากนั้น ปฏิเสธการเข้าถึงพื้นที่ทํางานแบบสาธารณะ

คุณสามารถเลือกปฏิเสธการเข้าถึงพื้นที่ทํางานแบบสาธารณะได้ เมื่อพื้นที่ทํางานถูกตั้งค่าให้ปฏิเสธการเข้าถึงสาธารณะ หมายความว่าพื้นที่ทํางานสามารถเข้าถึงได้ผ่านลิงก์ส่วนตัวระดับพื้นที่ทํางานเท่านั้น คุณสามารถใช้พอร์ทัล Fabric หรือ Microsoft Graph API เพื่อสร้างกฎการเข้าถึงสําหรับการปฏิเสธการเข้าถึงแบบสาธารณะ

    {
      "inbound": {
        "publicAccessRules": {
          "defaultAction": "Deny"
        }
      }
    }