通过

设置和使用租户级专用链接

Microsoft Fabric 支持通过专用链接保护数据访问,这些链接使用 Azure 专用链接和专用终结点通过Microsoft的专用网络主干而不是公共 Internet 路由流量。 可以在租户和工作区级别配置专用链接。 本文介绍如何为 Fabric 租户设置专用链接。

在开始之前,请查看 Fabric 租户的专用链接中的信息。 要配置专用终结点,你必须是 Fabric 管理员,并且有权在 Azure 中创建和配置虚拟机 (VM) 和虚拟网络 (VNet) 等资源。

步骤 1. 为 Fabric 设置专用终结点

  1. 以管理员身份登录 Fabric

  2. 转到租户设置

  3. 查找并展开设置 Azure 专用链接

  4. 将切换设置为“启用”。

    显示 Azure 专用链接租户设置的屏幕截图。

为租户配置专用链接大约需要 15 分钟,包括为租户配置单独的 FQDN(完全限定域名),以便与 Fabric 服务私下通信。

此过程完成后,便可继续下一步。

此步骤用于支持 Azure 专用终结点与 Fabric 资源关联。

  1. 登录到 Azure 门户

  2. 选择“创建资源”。

  3. 在“模板部署”下,选择“创建”。

    “创建资源”部分中的“创建模板”链接的屏幕截图。

  4. 在“自定义部署”页上,选择“在编辑器中生成自己的模板”。

    “生成自己的模板”选项的屏幕截图。

  5. 在编辑器中,使用 ARM 模板创建以下 Fabric 资源,如下所示,其中

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    如果使用的是用于 Power BI 的 Azure 政府云,location 应是租户的区域名称。 例如,假设租户在 US Gov 德克萨斯州,则应在 ARM 模板中输入 "location": "usgovtexas"。 可在美国政府 Power BI 一文中找到 Power BI 美国政府区域列表。

    重要

    Microsoft.PowerBI/privateLinkServicesForPowerBI 用作 type 值,即使正在为 Fabric 创建资源。

  6. 保存模板。 然后输入以下信息。

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择**“新建”。 为 test-PL 输入名称。 选择“确定”
    实例详细信息 选择区域。
    区域

    自定义部署基本信息选项卡的屏幕截图。

  7. 在查看屏幕上,选择“创建”以接受条款和条件。

    Azure 市场条款的屏幕截图。

步骤 3. 创建虚拟网络

以下过程创建包含资源子网、Azure Bastion 子网和 Azure Bastion 主机的虚拟网络。

子网需要的 IP 地址数是你在租户上创建的容量数加上 15 个。 例如,如果要为具有 7 个容量的租户创建子网,则需要 22 个 IP 地址。

  1. 登录到 Azure 门户

  2. 在搜索框中,输入 虚拟网络 并在搜索结果中选择它。

  3. 在“虚拟网络”页面上,选择“+ 创建”。

  4. 创建虚拟网络基本信息选项卡上输入或选择以下信息:

    设置
    Subscription 选择订阅。
    资源组 选择之前为专用链接服务创建的资源组,例如 test-PL
    名称 输入虚拟网络的名称,例如 vnet-1
    Region 选择要在其中与 Fabric 启动连接的区域。

    “创建虚拟网络”中“基本信息”选项卡的屏幕截图。

  5. 选择 “下一步 ”以转到“ 安全 ”选项卡。可以保留默认设置,也可以根据组织的要求修改默认设置。

  6. 选择 “下一步 ”以转到“ IP 地址 ”选项卡。可以保留默认设置,也可以根据组织的要求修改默认设置。

    “创建虚拟网络”的“IP 地址”的屏幕截图。

  7. 选择“保存”。

  8. 在屏幕底部选择“查看 + 创建”。 验证通过后,选择“创建”。

步骤 4. 创建虚拟机

下一步为创建虚拟机。

  1. 登录到 Azure 门户

  2. 转到 “创建资源 > 计算 > 虚拟机”。

  3. 在“基本信息”选项卡上,输入或选择以下信息:

    设置
    Subscription 选择 Azure 订阅。
    资源组 选择在创建专用链接服务时之前使用的同一资源组。
    虚拟机名称 输入新虚拟机的名称。 选择字段名称旁边的信息气泡,以查看有关虚拟机名称的重要信息。
    Region 选择之前在创建虚拟网络时使用的同一区域。
    可用性选项 测试时,选择“无需基础结构冗余”
    安全类型 保留默认值。
    图像 选择需要的图像。 例如,选择 Windows Server 2022
    VM 体系结构 保留默认值“x64”。
    大小 选择一个大小。
    用户名 输入所选用户名。
    密码 输入所选密码。 密码必须至少 12 个字符长,且符合定义的复杂性要求
    确认密码 重新输入密码。
    公共入站端口 选择“无”

    创建 VM 基本信息选项卡的屏幕截图。

  4. 在完成时选择“下一步:磁盘”

  5. 在“磁盘”选项卡上保留默认值,然后选择“下一步:网络”

  6. 在“网络”选项卡中,选择以下信息:

    设置
    虚拟网络 选择之前为此部署创建的虚拟网络。
    Subnet 选择前面创建的默认子网(例如,10.0.0.0/24),作为虚拟网络设置的一部分。

    对于其余字段,保留默认值。

    创建 VM 网络选项卡的屏幕截图。

  7. 选择“查看 + 创建”。 随后你会转到“查看 + 创建”页,Azure 将在此页面验证配置。

  8. 看到“验证通过”消息时,选择“创建” 。

步骤 5。 创建专用终结点

下一步是为 Fabric 创建专用终结点。

  1. 在门户顶部的搜索框中,输入“专用终结点”。 选择“专用终结点”。

  2. 在“专用终结点”中选择“+ 创建”。

  3. 在“创建专用终结点”的“基本信息”选项卡上,输入或选择以下信息

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择在 Azure 中创建专用链接服务时之前创建的资源组。
    实例详细信息
    名称 输入 FabricPrivateEndpoint。 如果此名称已被使用,请创建唯一的名称。
    区域 选择之前为虚拟网络创建的区域。

    下图显示了“创建专用终结点 - 基本信息”窗口。

    “创建专用终结点”中“基本信息”选项卡的屏幕截图。

  4. 在完成时选择“下一步:资源”。 在“资源”窗格中,输入或选择以下信息:

    设置
    连接方法 选择“连接到我的目录中的 Azure 资源”。
    订阅 选择订阅。
    资源类型 选择 Microsoft.PowerBI/privateLinkServicesForPowerBI
    资源 选择在 Azure 中创建专用链接服务时之前创建的 Fabric 资源。
    目标子资源 租户

    下图显示了“创建专用终结点 - 资源”窗口。

    创建专用终结点资源窗口的屏幕截图。

  5. 选择“下一步: 虚拟网络”。 在“虚拟网络”中,输入或选择以下信息。

    设置
    网络
    虚拟网络 选择之前创建的虚拟网络名称(例如 vnet-1)。
    子网 选择之前创建的子网名称(例如 subnet-1)。
    专用 DNS 集成
    与专用 DNS 区域集成 请选择
    专用 DNS 区域 选择
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (新)privatelink.prod.powerquery.microsoft.com

    创建专用终结点 DNS 窗口的屏幕截图。

  6. 依次选择“下一步: 标记”、“下一步: 查看 + 创建” 。

  7. 选择创建

步骤 6。 使用 Bastion 连接到 VM

Azure Bastion 通过提供基于浏览器的轻量级连接来保护虚拟机,而无需通过公共 IP 地址进行公开。 有关详细信息,请参阅什么是 Azure Bastion?

使用以下步骤连接到 VM:

  1. 在前面创建的虚拟网络中,添加名为 AzureBastionSubnet 的新子网。

    创建 AzureBastionSubnet 的屏幕截图。

  2. 在门户的搜索栏中,键入之前创建的虚拟机的名称,并从搜索结果中选择它。

  3. 选择“连接”按钮,然后从下拉菜单中选择“通过 Bastion 连接”

    通过 Bastion 选项连接的屏幕截图。

  4. 选择“部署 Bastion”。

  5. Bastion 页上,输入所需的身份验证凭据,然后选择“ 连接”。

步骤 7. 从 VM 私密访问 Fabric

接下来,使用以下步骤从你在上一步中创建的虚拟机私密访问 Fabric:

  1. 在虚拟机中,打开 PowerShell。

  2. 输入 nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net

  3. 你会收到类似于以下消息的回复,并可以看到返回了专用 IP 地址。 可以看到 OneLake 终结点和仓库终结点还返回专用 IP。

    显示返回的 IP 地址的屏幕截图。

  4. 打开浏览器并转到 app.fabric.microsoft.com,以私密访问 Fabric。

步骤 8。 禁用 Fabric 的公共访问

最后,可以选择禁用 Fabric 的公共访问。

如果禁用 Fabric 的公共访问,则会实施对 Fabric 服务访问的某些约束,这在下一部分中进行了介绍。

重要

启用 “阻止 Internet 访问”时,将禁用一些不支持的 Fabric 项。 了解 关于专用链接的限制和注意事项的完整列表。

要禁用 Fabric 的公共访问,请以管理员身份登录到 Fabric,然后导航到“管理员门户”。 选择“租户设置”并滚动到“高级网络”部分 。 在“阻止公共 Internet 访问”租户设置中启用切换按钮。

启用“阻止公共 Internet 访问租户”设置的屏幕截图。

系统大约需要 15 分钟才能禁止你的组织通过公共 Internet 访问 Fabric。

完成专用终结点配置

完成上一部分中的步骤并成功配置专用链接后,组织将基于以下配置选择实现专用链接,无论选择是在初始配置上设置还是以后更改。

如果正确配置了 Azure 专用链接并启用了阻止公共 Internet 访问:

  • 只能通过专用终结点访问组织的 Fabric,而不能通过公共 Internet 访问它。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 服务会阻止来自虚拟网络目标终结点的流量和 不支持 专用链接的方案。
  • 在某些情况下,不支持专用链接,当启用 阻止公共 Internet 访问 时,服务中会阻止这些链接。

如果正确配置了 Azure 专用链接并禁用了“阻止公共 Internet 访问”:

  • Fabric 服务允许来自公共 Internet 的流量。
  • 通过专用链接传输来自虚拟网络目标终结点的流量和支持专用链接的方案。
  • 来自虚拟网络的目标终结点和 不支持 专用链接的方案的流量通过公共 Internet 传输,Fabric 服务允许。
  • 如果虚拟网络配置为阻止公共 Internet 访问,则虚拟网络会阻止不支持专用链接的方案。

以下视频演示如何使用专用终结点将移动设备连接到 Fabric:

注意

此视频可能使用的是早期版本的 Power BI Desktop 或 Power BI 服务。

更多问题? 询问 Fabric 社区

如果要禁用专用链接设置,请确保在禁用该设置之前删除自己创建的所有专用终结点和相应的专用 DNS 区域。 如果虚拟网络设置了专用终结点,但禁用了专用链接,则来自此虚拟网络的连接可能会失败。

如果要禁用专用链接设置,建议在非业务时间内执行此作。 在某些情况下,可能需要长达 15 分钟的停机时间来反映更改。

相关内容

  • Last updated on