Поделиться через

Настройка и использование приватных ссылок на уровне клиента

Microsoft Fabric поддерживает безопасный доступ к данным через частные каналы, которые используют Приватный канал Azure и частные конечные точки для маршрутизации трафика через магистраль частной сети Майкрософт, а не через общедоступный Интернет. Частные ссылки можно настроить как на клиенте, так и на уровне рабочей области. В этой статье объясняется, как настроить частные ссылки для клиента Fabric.

Чтобы настроить частные конечные точки, необходимо быть администратором Fabric и иметь разрешения в Azure для создания и настройки ресурсов, таких как виртуальные машины (виртуальные машины) и виртуальные сети (виртуальные сети).

Шаг 1. Настройка частных конечных точек для Fabric

  1. Войдите в Fabric от имени администратора.

  2. Перейдите к параметрам клиента.

  3. Найдите и разверните параметр Приватный канал Azure.

  4. Установите для переключателя значение "Включено".

    Снимок экрана: параметр клиента Приватный канал Azure.

Для настройки приватного канала для клиента требуется около 15 минут, включая настройку отдельного полного доменного имени (полное доменное имя) для частного взаимодействия клиента со службами Fabric.

По завершении этого процесса перейдите к следующему шагу.

Этот шаг используется для поддержки связи частной конечной точки Azure с ресурсом Fabric.

  1. Войдите на портал Azure.

  2. Выберите Создать ресурс.

  3. В разделе "Развертывание шаблона" выберите "Создать".

    Снимок экрана: ссылка

  4. На странице Настраиваемое развертывание выберите Создать собственный шаблон в редакторе.

    Снимок экрана: параметр

  5. В редакторе создайте следующий ресурс Fabric с помощью шаблона ARM, как показано ниже.

    • <resource-name> — это имя, выбранное для ресурса Fabric.
    • <tenant-object-id> — это идентификатор клиента Microsoft Entra. Узнайте , как найти идентификатор клиента Microsoft Entra.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Если вы используете Azure для государственных организаций облако для Power BI, location должно быть именем региона клиента. Например, если клиент находится в US Gov Техас, необходимо поместить "location": "usgovtexas" его в шаблон ARM. Список регионов Power BI для государственных организаций США можно найти в статье Power BI для государственных организаций США.

    Внимание

    Используйте Microsoft.PowerBI/privateLinkServicesForPowerBI в качестве type значения, даже если ресурс создается для Fabric.

  6. Сохраните шаблон. Введите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Нажмите кнопку **Создать. Введите test-PL в качестве имени. Нажмите ОК.
    Сведения об экземпляре Выберите регион.
    Область/регион

    Снимок экрана: вкладка

  7. На экране проверки нажмите кнопку "Создать ", чтобы принять условия.

    Снимок экрана: условия Azure Marketplace.

Шаг 3. Создание виртуальной сети

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона Azure.

Количество IP-адресов, необходимых подсети, — это количество емкостей, созданных в клиенте плюс 15. Например, если вы создаете подсеть для клиента с семью емкостями, вам потребуется 22 IP-адреса.

  1. Войдите на портал Azure.

  2. В поле поиска введите виртуальные сети и выберите его в результатах поиска.

  3. На странице Виртуальные сети выберите команду + Создать.

  4. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Параметр Значение
    Subscription Выберите свою подписку.
    Группа ресурсов Выберите группу ресурсов, созданную ранее для службы приватного канала, например test-PL.
    Имя Введите имя виртуальной сети, например vnet-1.
    Регион Выберите регион, в котором вы инициируете подключение к Fabric.

    Снимок экрана: вкладка

  5. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ". Параметры по умолчанию можно сохранить или изменить в соответствии с требованиями вашей организации.

  6. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов . Параметры по умолчанию можно сохранить или изменить в соответствии с требованиями вашей организации.

    Снимок экрана: вкладка

  7. Выберите Сохранить.

  8. Выберите "Рецензирование" и "Создать " в нижней части экрана. После завершения проверки нажмите кнопку Создать.

Шаг 4. Создание виртуальной машины

Следующим шагом является создание виртуальной машины.

  1. Войдите на портал Azure.

  2. Перейдите к разделу "Создание виртуальных машин вычислений > ресурсов>".

  3. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Параметр Значение
    Subscription Выберите свою подписку Azure.
    Группа ресурсов Выберите ту же группу ресурсов, которую вы использовали ранее при создании службы приватного канала.
    Имя виртуальной машины Введите имя новой виртуальной машины. Выберите пузырек сведений рядом с именем поля, чтобы просмотреть важные сведения о именах виртуальных машин.
    Регион Выберите тот же регион, который вы использовали ранее при создании виртуальной сети.
    Параметры доступности Для тестирования выберите "Без избыточности инфраструктуры"
    Тип безопасности Оставьте значение по умолчанию.
    Образ Выберите нужное изображение. Например, выберите Windows Server 2022.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Имя пользователя Введите выбранное имя пользователя.
    Пароль Введите выбранный пароль. Пароль должен содержать минимум 12 символов и соответствовать заданным требованиям к сложности.
    Подтверждение пароля Введите пароль еще раз.
    Общедоступные входящие порты Выберите "Нет".

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее" — диски.

  5. На вкладке "Диски" оставьте значения по умолчанию и нажмите кнопку "Далее: Сеть".

  6. На вкладке "Сеть" выберите следующие сведения:

    Параметр Значение
    Виртуальная сеть Выберите виртуальную сеть, созданную ранее для этого развертывания.
    Подсеть Выберите подсеть по умолчанию (например, 10.0.0.0/24), созданную ранее в рамках настройки виртуальной сети.

    Для остальных полей оставьте значения по умолчанию.

    Снимок экрана: вкладка

  7. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

  8. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Шаг 5. Создание частной конечной точки

Следующим шагом является создание частной конечной точки для Fabric.

  1. В поле поиска в верхней части портала введите Частная конечная точка. Выберите Частные конечные точки.

  2. Выберите + Создать в разделе Частные конечные точки.

  3. На вкладке "Основные сведения" для создания частной конечной точки введите или выберите следующие сведения:

    Настройки Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов, созданную ранее при создании службы приватного канала в Azure.
    Сведения об экземпляре
    Имя. Введите FabricPrivateEndpoint. Если это имя используется, создайте уникальное имя.
    Область/регион Выберите регион, созданный ранее для виртуальной сети.

    На следующем рисунке показано окно "Создание частной конечной точки — Основные сведения".

    Снимок экрана: вкладка

  4. По завершении выберите Далее: Ресурс. В области ресурсов введите или выберите следующие сведения:

    Настройки Значение
    Способ подключения Выберите "подключиться к ресурсу Azure в моем каталоге".
    Отток подписок Выберите свою подписку.
    Тип ресурса Выбор Microsoft.PowerBI/privateLinkServicesForPowerBI
    Ресурс Выберите ресурс Fabric, созданный ранее при создании службы приватного канала в Azure.
    Целевой подресурс Клиент

    На следующем рисунке показан окно "Создание частной конечной точки — ресурс ".

    Снимок экрана: окно создания ресурса частной конечной точки.

  5. Выберите Далее: Виртуальная сеть. В диалоговом окне Виртуальная сеть введите или выберите следующие данные.

    Настройки Значение
    СЕТИ
    Виртуальная сеть Выберите имя виртуальной сети, созданное ранее (например , vnet-1).
    Подсеть Выберите имя подсети, созданное ранее (например, подсеть-1).
    ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
    Интегрировать с частной зоной DNS Выберите Да.
    Частная зона DNS Выберите
    (Новое)privatelink.analysis.windows.net
    (Новое)privatelink.pbidedicated.windows.net
    (Новое)privatelink.prod.powerquery.microsoft.com

    Снимок экрана: окно создания частной конечной точки DNS.

  6. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  7. Нажмите кнопку создания.

Шаг 6. Подключение к виртуальной машине с помощью Бастиона

Бастион Azure защищает виртуальные машины, предоставляя упрощенное подключение на основе браузера без необходимости предоставлять их через общедоступные IP-адреса. Подробные сведения см. в статье Что такое Бастион Azure?

Подключитесь к виртуальной машине, выполнив следующие действия.

  1. В созданной ранее виртуальной сети добавьте новую подсеть с именем AzureBastionSubnet.

    Снимок экрана: создание AzureBastionSubnet.

  2. В строке поиска портала введите имя созданной ранее виртуальной машины и выберите ее в результатах поиска.

  3. Нажмите кнопку "Подключиться " и выберите " Подключить через бастион " в раскрывающемся меню.

    Снимок экрана: параметр

  4. Выберите Развернуть Бастион.

  5. На странице Бастиона введите необходимые учетные данные проверки подлинности, а затем нажмите кнопку "Подключить".

Шаг 7. Доступ к Fabric в частном порядке из виртуальной машины

Следующим шагом является частный доступ к Fabric из виртуальной машины, созданной на предыдущем шаге, с помощью следующих действий:

  1. На виртуальной машине откройте PowerShell.

  2. Введите nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Вы получите ответ, аналогичный приведенному ниже сообщению, и увидите, что возвращается частный IP-адрес. Вы увидите, что конечная точка OneLake и конечная точка хранилища также возвращают частные IP-адреса.

    Снимок экрана: IP-адреса, возвращенные в PowerShell.

  4. Откройте браузер и перейдите к app.fabric.microsoft.com для доступа к Fabric в частном порядке.

Шаг 8. Отключение общедоступного доступа для Fabric

Наконец, можно отключить общедоступный доступ для Fabric.

При отключении общедоступного доступа для Fabric некоторые ограничения доступа к службам Fabric применяются, как описано в следующем разделе.

Внимание

При включении блокировки доступа к Интернету некоторые неподдерживаемые элементы Fabric становятся отключенными. Полный список ограничений и рекомендаций см. в разделе "Сведения о частных ссылках".

Чтобы отключить общедоступный доступ для Fabric, войдите в Fabric в качестве администратора и перейдите на портал администрирования. Выберите параметры клиента и прокрутите страницу до раздела "Расширенная сеть ". Включите переключатель в параметре клиента Block Public Internet Access .

Снимок экрана: включен параметр клиента

Для отключения доступа вашей организации к Fabric из общедоступного Интернета требуется примерно 15 минут.

Завершение конфигурации частной конечной точки

Завершив действия, описанные в предыдущих разделах, и приватный канал успешно настроен, ваша организация реализует частные ссылки на основе следующих выборов конфигурации, если выбрана начальная конфигурация или изменена позже.

Если Приватный канал Azure настроена правильно и включена блокировка общедоступного доступа к Интернету:

  • Структура доступна только для вашей организации из частных конечных точек и недоступна из общедоступного Интернета.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, направленный на конечные точки и сценарии, которые не поддерживают частные каналы, блокируется службой.
  • Могут возникнуть сценарии, которые не поддерживают частные ссылки, которые блокируются в службе при включении блокировки общедоступного доступа к Интернету .

Если Приватный канал Azure настроена правильно, и блокировка общедоступного доступа кИнтернету отключена:

  • Трафик из общедоступного Интернета разрешен службами Fabric.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенный для конечных точек и сценариев , не поддерживающих частные каналы, передается через общедоступный Интернет и разрешен службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, блокируются виртуальной сетью.

В следующем видео показано, как подключить мобильное устройство к Fabric с помощью частных конечных точек:

Примечание.

Это видео может использовать более ранние версии Power BI Desktop или служба Power BI.

Есть еще вопросы? Спросите сообщество Fabric.

Если вы хотите отключить параметр Приватный канал, убедитесь, что все созданные частные конечные точки и соответствующая частная зона DNS удаляются перед отключением параметра. Если в виртуальной сети настроены частные конечные точки, но приватный канал отключен, подключения из этой виртуальной сети могут завершиться ошибкой.

Если вы собираетесь отключить параметр приватного канала, рекомендуется сделать это в нерабочие часы. Для некоторых сценариев может потребоваться до 15 минут простоя.

Связанный контент