Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частные каналы повышают безопасность путем маршрутизации трафика через Приватный канал Azure и частные конечные точки, обеспечивая сохранение данных в частной сети Майкрософт, а не через общедоступный Интернет. Microsoft Fabric предлагает частные ссылки на двух уровнях: уровне арендатора и уровне рабочей области. Частные каналы уровня клиента защищают все рабочие области в клиенте, а частные каналы уровня рабочей области позволяют управлять сетевым доступом для определенных рабочих областей по отдельности.
В этой статье приведены инструкции по настройке приватных ссылок на уровне рабочей области в Fabric.
Предпосылки
- Рабочая область должна быть назначена производительности Fabric (F SKU). Другие емкости, такие как премиум (P SKU) и пробные емкости, не поддерживаются. Чтобы проверить назначение, перейдите к параметрам рабочей области и выберите тип рабочей области, как описано на шаге 1 переназначения рабочей области в другую емкость.
- Администратор Fabric должен включить клиентский параметр Настроить правила входящего сетевого трафика на уровне рабочего пространства. Дополнительные сведения см. в разделе "Включение защиты входящего доступа рабочей области" для клиента.
- Вам нужен идентификатор рабочей области. Найдите его в URL-адресе после
group. - Вам нужен идентификатор клиента. На портале Fabric выберите вопросительный знак в правом верхнем углу, а затем выберите "О Power BI". Идентификатор арендатора — это часть ctidURL-адреса арендатора.
- Вы должны быть администратором рабочей области и иметь достаточные разрешения Azure для настройки службы приватного канала в Azure.
- Чтобы настроить политику связи с рабочей областью, необходимо быть администратором рабочей области.
- Если вы в первый раз настраиваете частные ссылки на уровне рабочей области в вашем клиенте, повторно зарегистрируйте поставщика ресурсов Microsoft.Fabric в Azure для подписок, содержащих ресурс частной ссылки рабочей области и конечную точку. На портале Azure перейдите кпоставщикам ресурсов>>, выберите Microsoft.Fabric и снова зарегистрируйтесь.
Шаг 1. Создание рабочей области в Fabric
Создайте рабочую область в Fabric. Убедитесь, что рабочая область назначена на емкость Fabric. Чтобы проверить назначение, перейдите к параметрам рабочей области и выберите сведения о лицензии, как описано на шаге 1 переназначения рабочей области в другую емкость.
Шаг 2. Создание службы private link в Azure
Чтобы создать службу приватного канала, разверните шаблон ARM в Azure, выполнив следующие действия.
Войдите на портал Azure.
На панели поиска портала Azure найдите опцию развернуть пользовательский шаблон и выберите ее из доступных параметров.
На странице "Пользовательское развертывание " выберите "Создать собственный шаблон" в редакторе.
В редакторе создайте ресурс Fabric с помощью следующего шаблона ARM, где:
-
<resource-name>— это имя, выбранное для ресурса Fabric. -
<tenant-object-id>— это идентификатор клиента Microsoft Entra. Узнайте , как найти идентификатор клиента Microsoft Entra. -
<workspace-id>— это идентификатор рабочей области, который вы указали в рамках предварительных требований.
-
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"resources": [
{
"type": "Microsoft.Fabric/privateLinkServicesForFabric",
"apiVersion": "2024-06-01",
"name": "<resource-name>",
"location": "global",
"properties": {
"tenantId": "<tenant-id>",
"workspaceId": "<workspace-id>"
}
}
]
}
Сведения о службе приватного канала можно найти в JSON-файле.
Вы также можете найти ресурс службы Private Link в группе ресурсов, но необходимо выбрать "Показать скрытые ресурсы".
Шаг 3. Создание виртуальной сети
Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона Azure.
Рекомендуется резервировать по крайней мере 10 IP-адресов для каждой частной конечной точки на уровне рабочей области для дальнейшего использования. В настоящее время мы создаём пять IP-адресов для приватной ссылки в рабочей области на уровне подсети.
Войдите на портал Azure.
В поле поиска введите виртуальные сети и выберите его в результатах поиска.
На странице "Виртуальные сети " нажмите кнопку "+ Создать".
На вкладке Основы раздела Создание виртуальной сети введите или выберите следующие сведения:
Настройки Ценность Subscription Выберите подписку. Группа ресурсов Выберите группу ресурсов, созданную ранее для службы приватного соединения, например test-PL. Имя Введите имя виртуальной сети, например vnet-1. Регион Выберите регион, в котором вы инициируете подключение к Fabric. 
Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ". Параметры по умолчанию можно сохранить или изменить в соответствии с требованиями вашей организации.
Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов . Параметры по умолчанию можно сохранить или изменить в соответствии с требованиями вашей организации.
Нажмите кнопку "Сохранить".
Выберите "Рецензирование" и "Создать " в нижней части экрана. При прохождении проверки нажмите кнопку "Создать".
Шаг 4. Создание виртуальной машины
Войдите на портал Azure.
Перейдите к Создать ресурс > Вычисления > Виртуальные машины.
На вкладке "Основные сведения" введите или выберите следующие сведения:
Настройки Ценность Subscription Выберите подписку Azure. Группа ресурсов Выберите ту же группу ресурсов, которую вы использовали ранее при создании службы приватного канала. Имя виртуальной машины Введите имя новой виртуальной машины. Выберите пузырек сведений рядом с именем поля, чтобы просмотреть важные сведения о именах виртуальных машин. Регион Выберите тот же регион, который вы использовали ранее при создании виртуальной сети. Параметры доступности Для тестирования выберите "Без избыточности инфраструктуры" Тип безопасности Оставьте значение по умолчанию. Образ Выберите нужное изображение. Например, выберите Windows Server 2022. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Имя пользователя Введите имя пользователя по вашему выбору. Пароль Введите пароль по вашему выбору. Пароль должен иметь по крайней мере 12 символов и соответствовать определенным требованиям сложности. Подтверждение пароля Повторное ввод пароля. Общедоступные входящие порты Выберите "Нет". 
Нажмите кнопку "Далее" — диски.
На вкладке "Диски" оставьте значения по умолчанию и нажмите кнопку "Далее: Сеть".
На вкладке "Сеть" выберите следующие сведения:
Настройки Ценность Виртуальная сеть Выберите виртуальную сеть, созданную ранее для этого развертывания. Подсеть Выберите подсеть по умолчанию (например, 10.0.0.0/24), созданную ранее в рамках настройки виртуальной сети. Для остальных полей оставьте значения по умолчанию.
Выберите Review + create. Вы перейдете на страницу проверки и создания , где Azure проверяет конфигурацию.
Когда появится сообщение "Проверка пройдена" , нажмите кнопку "Создать".
Шаг 5. Создание частной конечной точки
Создайте частную конечную точку в виртуальной сети, созданной на шаге 3, и наведите указатель на службу приватного канала, созданную на шаге 2.
В поле поиска в верхней части портала введите Private endpoint. Выберите частные конечные точки.
Выберите + Создать в разделе Частные конечные точки.
На вкладке "Основные сведения " для создания частной конечной точки введите или выберите следующие сведения:
Настройки Ценность Subscription Выберите подписку Azure. Группа ресурсов Выберите группу ресурсов, созданную ранее при создании службы приватного канала в Azure. Имя Введите уникальное имя. Имя сетевого интерфейса Введите FabricPrivateEndpointNIC. Если это имя уже занято, создайте уникальное имя. Регион Выберите регион, созданный ранее для виртуальной сети. 
Нажмите кнопку "Далее": ресурс. В области ресурсов введите или выберите следующие сведения.
Настройки Ценность Метод подключения Выберите подключение к ресурсу Azure в моем каталоге. Subscription Выберите подписку. Тип ресурса Выберите Microsoft.Fabric/privateLinkServicesForFabric Resource Выберите ресурс Fabric, созданный ранее при создании службы приватного канала в Azure. Целевой подресурс workspace На следующем рисунке показано окно «Создание частной конечной точки — ресурс».
Нажмите кнопку "Далее" — виртуальная сеть. В виртуальной сети введите или выберите следующие сведения.
Настройки Ценность Виртуальная сеть Выберите имя виртуальной сети, созданное ранее (например , vnet-1). Подсеть Выберите имя подсети, созданное ранее (например, подсеть-1). Нажмите кнопку "Далее": DNS. В разделе "Интеграция с частным DNS" введите или выберите следующие сведения.
Настройки Ценность Интеграция с частной зоной DNS Нажмите кнопку "Да". Частная зона DNS Выберите
(Новое)privatelink.fabric.microsoft.com
Нажмите Далее: теги, затем Далее: Просмотр и создание.
Нажмите кнопку "Создать".
Шаг 6. Подключение к виртуальной машине
Бастион Azure защищает виртуальные машины, предоставляя легкое подключение через браузер без необходимости открывать их через общедоступные IP-адреса. Дополнительные сведения см. в статье "Что такое Бастион Azure?".
Подключитесь к виртуальной машине, выполнив следующие действия.
В созданной ранее виртуальной сети добавьте новую подсеть с именем AzureBastionSubnet.
В строке поиска портала введите имя созданной ранее виртуальной машины и выберите ее в результатах поиска.
Нажмите кнопку "Подключиться " и выберите "Подключить через бастион " в раскрывающемся меню.
Выберите Развернуть бастион.
На странице Бастиона введите необходимые учетные данные проверки подлинности, а затем нажмите кнопку "Подключить".
Шаг 7. Доступ к Fabric в частном порядке из виртуальной машины
Затем получите доступ к Fabric из виртуальной машины, созданной на предыдущем шаге, в приватном режиме. На этом шаге проверяется правильно ли настроена частная конечная точка, и вы можете разрешить полное доменное имя рабочей области Fabric (FQDN) на частный IP-адрес.
На виртуальной машине откройте командную строку.
Введите следующую команду:
nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.comwhere workspaceid — это идентификатор объекта рабочей области без дефисов, а xy представляет первые два символа идентификатора объекта рабочей области.
Возвращается частный IP-адрес.
Шаг 8. Запрет общедоступного доступа к рабочей области
При необходимости можно запретить общедоступный доступ к рабочей области. Если для рабочей области задано запрет открытого доступа, это означает, что рабочая область может быть доступна только через приватный канал уровня рабочей области. Портал Fabric или API Microsoft Graph можно использовать для создания правила доступа для запрета общедоступного доступа.
Замечание
Параметру уровня рабочей области для ограничения общедоступного доступа может потребоваться до 30 минут, чтобы вступить в силу.
На портале Fabric выберите рабочую область, которую вы хотите настроить.
Выберите параметры рабочей области.
Выберите входящий трафик сети.
В разделе "Параметры подключения к рабочей области" выберите "Разрешить подключения" из выбранных сетей и частных ссылок на уровне рабочей области.
Нажмите кнопку "Применить". Общедоступный доступ к Интернету теперь заблокирован, и доступ к рабочей области можно получить только через частные каналы на уровне рабочей области.
Замечание
Чтобы предоставить доступ к рабочей области определенным общедоступным IP-адресам, создайте список разрешений, изменив конфигурации адресов. Дополнительные сведения см. в разделе "Настройка правил брандмауэра IP-адресов рабочей области и управление ими".