В этой статье приведены ответы на распространенные вопросы о подключении к учетным записям хранения, источникам данных, брандмауэрам и IP-адресам.
Резервное копирование и восстановление
Как выполнить резервное копирование и восстановление с помощью учетной записи хранения, которая находится за брандмауэром?
Службы Azure Analysis Services не используют фиксированные IP-адреса или теги служб. Диапазоном IP-адресов, используемых серверами Analysis Services, может быть диапазон IP-адресов для региона Azure. Так как IP-адреса сервера являются переменными и могут меняться с течением времени, правила брандмауэра должны разрешать весь диапазон IP-адресов региона Azure, в которых находится ваш сервер.
Моя учетная запись хранения Azure находится в другом регионе от сервера служб Analysis Services. Как настроить параметры брандмауэра учетной записи хранения?
Если учетная запись хранения связана с другим регионом, настройте параметры брандмауэра для учетной записи хранения, чтобы разрешить доступ из выбранных сетей. В поле Диапазон адресов брандмауэра укажите диапазон IP-адресов для региона, в котором находится сервер Analysis Services. Получить диапазоны IP-адресов для регионов Azure можно на странице Диапазоны IP-адресов Azure и теги службы в общедоступном облаке. Настройка параметров брандмауэра учетной записи хранения для разрешения доступа со всех сетей поддерживается, однако выбор выбранных сетей и указание диапазона IP-адресов предпочтительнее.
Моя учетная запись хранения Azure находится в том же регионе, что и сервер служб Analysis Services. Как настроить параметры брандмауэра учетной записи хранения?
Так как сервер служб Analysis Services и учетная запись хранения находятся в одном регионе, обмен данными между ними использует внутренние диапазоны IP-адресов, поэтому настройка брандмауэра для использования выбранных сетей и указание диапазона IP-адресов не поддерживается. Если для политик организации требуется брандмауэр, необходимо настроить его, чтобы разрешить доступ из всех сетей.
Подключения к источнику данных
У меня есть виртуальная сеть для моей системы источника данных. Как разрешить серверам Служб Analysis Services доступ к базе данных из виртуальной сети?
Службы Azure Analysis Services не могут присоединиться к виртуальной сети. Лучшим решением здесь является установка и настройка локального шлюза данных в виртуальной сети, а затем настройка серверов Служб Analysis Services с помощью свойства сервера AlwaysUseGateway . Дополнительные сведения см. в статье Использование шлюза для источников данных в виртуальной сети Azure.
У меня есть исходная база данных за брандмауэром. Как настроить брандмауэр, чтобы разрешить доступ к серверу Служб Analysis Services?
Службы Azure Analysis Services не используют фиксированные IP-адреса или теги служб. Диапазоном IP-адресов, используемых серверами Analysis Services, может быть диапазон IP-адресов для региона Azure. Необходимо предоставить полный диапазон IP-адресов для региона Azure сервера в правилах брандмауэра исходной базы данных. Другой и, возможно, более безопасный вариант заключается в настройке локального шлюза данных. Затем можно настроить серверы служб Analysis Services с помощью свойства сервера AlwaysUseGateway, а затем убедиться, что локальный шлюз данных имеет IP-адрес, разрешенный правилами брандмауэра источника данных.
Учетные записи электронной почты потребителей
Можно ли пригласить учетные записи электронной почты потребителей (например, outlook.com и gmail.com) клиенту и предоставить разрешения на доступ к Службам Azure Analysis Services?
Да, Службы Azure Analysis Services поддерживают учетные записи B2C (учетные записи электронной почты потребителей, приглашенные в клиент Сервера). Однако существуют ограничения для таких учетных записей, например одно Sign-On из отчетов динамического подключения службы Power BI, возможно, не поддерживаются для некоторых поставщиков учетных записей электронной почты потребителей.
Приложения Azure с IP-адресом
Я использую приложение на основе Azure (например, Функции Azure, Фабрика данных Azure) с IP-адресом, изменяющимся на лету. Как управлять правилами брандмауэра служб Azure Analysis Services, чтобы динамически разрешать IP-адрес, в котором выполняется мое приложение?
Службы Azure Analysis Services не поддерживают частные ссылки, виртуальные сети или теги служб. Существуют некоторые решения с открытым кодом (например, https://github.com/mathwro/Scripts/blob/master/Azure/AllowAzure-AnalysisServer.ps1), которые обнаруживают IP-адрес клиентского приложения, а также автоматически и временно обновляют правила брандмауэра.
Клиент, который находится за брандмауэром, может включить правило на основе URL-адресов
Я использую клиент с брандмауэром между клиентом и Интернетом для доступа к Службам Azure Analysis Services. Какой URL-адрес следует настроить, чтобы разрешить трафик проходить через брандмауэр
- api.powerbi.com
- login.windows.net
- *.asazure.windows.net