Προσαρμογή ρυθμίσεων επικοινωνίας για την πύλη δεδομένων εσωτερικής εγκατάστασης

Αυτό το άρθρο περιγράφει διάφορες ρυθμίσεις επικοινωνίας που σχετίζονται με την πύλη δεδομένων εσωτερικής εγκατάστασης. Αυτές οι ρυθμίσεις πρέπει να προσαρμοστούν για την υποστήριξη συνδέσεων προέλευσης δεδομένων και πρόσβασης προορισμού εξόδου.

Ενεργοποίηση εξερχόμενων συνδέσεων Azure

Η πύλη βασίζεται στην αναμετάδοση Azure για συνδεσιμότητα στο cloud. Η πύλη δημιουργεί αντίστοιχα εξερχόμενες συνδέσεις με τη σχετική περιοχή του Azure.

Εάν έχετε εγγραφεί είτε για έναν μισθωτή Power BI είτε για έναν μισθωτή Office 365, η περιοχή σας Azure λαμβάνει από προεπιλογή την περιοχή αυτής της υπηρεσίας. Διαφορετικά, η περιοχή σας Azure μπορεί να είναι η πλησιέστερη σε εσάς.

Εάν ένα τείχος προστασίας αποκλείει τις εξερχόμενες συνδέσεις, ρυθμίστε τις παραμέτρους του τείχους προστασίας ώστε να επιτρέπει εξερχόμενες συνδέσεις από την πύλη στη σχετική περιοχή του Azure. Οι κανόνες τείχους προστασίας στον διακομιστή πύλης ή/και στους διακομιστές μεσολάβησης του πελάτη πρέπει να ενημερωθούν ώστε να επιτρέπουν την εξερχόμενη κυκλοφορία από τον διακομιστή πύλης στα παρακάτω τελικά σημεία. Εάν το τείχος προστασίας σας δεν υποστηρίζει χαρακτήρες μπαλαντέρ, χρησιμοποιήστε τότε τις διευθύνσεις IP από περιοχές διευθύνσεων IP του Azure και ετικέτες υπηρεσίας. Σημειώστε ότι θα πρέπει να διατηρούνται συγχρονισμένα κάθε μήνα.

Θύρες

Η πύλη επικοινωνεί με τις ακόλουθες θύρες εξερχομένων: TCP 443, 5671, 5672 και από 9350 έως 9354. Η πύλη δεν απαιτεί θύρες εισερχόμενης κυκλοφορίας.

Συνιστούμε να επιτρέψετε το σύστημα ονομάτων τομέων (DNS) "*.servicebus.windows.net". Για οδηγίες σχετικά με τον τρόπο ρύθμισης του τείχους προστασίας ή/και του διακομιστή μεσολάβησης εσωτερικής εγκατάστασης χρησιμοποιώντας πλήρως προσδιορισμένα ονόματα τομέα (FQDN) αντί να χρησιμοποιήσετε διευθύνσεις IP που υπόκεινται σε αλλαγές, ακολουθήστε τα βήματα στην Υποστήριξη DNS αναμετάδοσης Azure WCF.

Εναλλακτικά, επιτρέπετε τις διευθύνσεις IP για την περιοχή δεδομένων σας στο τείχος προστασίας σας. Χρησιμοποιήστε τα αρχεία JSON που παρατίθενται παρακάτω, τα οποία ενημερώνονται κάθε εβδομάδα.

Εναλλακτικά, μπορείτε να λάβετε τη λίστα των απαιτούμενων θυρών εκτελώντας τις θύρες δικτύου δοκιμαστικά περιοδικά στην εφαρμογή πύλης.

Η πύλη επικοινωνεί με την αναμετάδοση Azure χρησιμοποιώντας FQDN. Εάν επιβιβάσετε την επικοινωνία της πύλης μέσω HTTPS, θα χρησιμοποιεί αυστηρά και μόνο FQDN και δεν θα επικοινωνεί χρησιμοποιώντας διευθύνσεις IP.

Σημείωση

Η λίστα διευθύνσεων IP κέντρων δεδομένων Azure εμφανίζει διευθύνσεις IP σε σημειογραφία δρομολόγησης μεταξύ τομέων (CIDR) χωρίς κλάση. Ένα παράδειγμα αυτής της σημειογραφίας είναι το 10.0.0.0/24, το οποίο δεν σημαίνει από 10.0.0.0 έως 10.0.0.24. Μάθετε περισσότερα σχετικά με τη σημειογραφία CIDR.

Η παρακάτω λίστα περιγράφει FQDN που χρησιμοποιούνται από την πύλη. Αυτά τα τελικά σημεία απαιτούνται για τη λειτουργία της πύλης.

Ονόματα τομέα δημόσιου cloud Θύρες εξερχόμενης κυκλοφορίας Περιγραφή
*.download.microsoft.com 80 Χρησιμοποιείται για τη λήψη του προγράμματος εγκατάστασης. Η εφαρμογή πύλης χρησιμοποιεί επίσης αυτόν τον τομέα για να ελέγξει την έκδοση και την περιοχή πύλης.
*.powerbi.com 443 Χρησιμοποιείται για την αναγνώριση του σχετικού συμπλέγματος Power BI.
*.analysis.windows.net 443 Χρησιμοποιείται για την αναγνώριση του σχετικού συμπλέγματος Power BI.
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com 443 Χρησιμοποιείται για τον έλεγχο ταυτότητας της εφαρμογής πύλης για το Αναγνωριστικό Microsoft Entra και το OAuth2. Σημειώστε ότι μπορεί να απαιτούνται πρόσθετες διευθύνσεις URL ως μέρος της διαδικασίας εισόδου με το Microsoft Entra ID, η οποία μπορεί να είναι μοναδική για έναν μισθωτή.
*.servicebus.windows.net 5671-5672 Χρησιμοποιείται για το Advanced Message Queuing Protocol (AMQP).
*.servicebus.windows.net 443 και 9350-9354 Παρακολουθεί την αναμετάδοση Azure μέσω TCP. Η θύρα 443 απαιτείται για τη λήψη διακριτικών ελέγχου πρόσβασης του Azure.
*.msftncsi.com 80 Χρησιμοποιείται για τον έλεγχο της σύνδεσης στο Internet εάν η υπηρεσία Power BI δεν μπορεί να φτάσει στην πύλη.
*.dc.services.visualstudio.com 443 Χρησιμοποιείται από το AppInsights για τη συλλογή τηλεμετρίας.
*.frontend.clouddatahub.net 443 Απαιτείται για την εκτέλεση της διοχέτευσης Fabric.

Για τα GCC, GCC high και DoD, τα ακόλουθα FQDN χρησιμοποιούνται από την πύλη.

Θύρες GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Μετάβαση στην τεκμηρίωση Μετάβαση στην τεκμηρίωση
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 και 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

Για το Cloud Κίνας (Mooncake), τα ακόλουθα FQDN χρησιμοποιούνται από την πύλη.

Θύρες Cloud Κίνας (Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 και 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Δεν υπάρχει ισοδύναμο Mooncake, το οποίο δεν απαιτείται για την εκτέλεση της πύλης, το οποίο χρησιμοποιείται μόνο για τον έλεγχο του δικτύου κατά τη διάρκεια συνθηκών αποτυχίας
443 Δεν υπάρχει ισοδύναμο Mooncake— χρησιμοποιείται κατά την είσοδο κατά την είσοδο με το Αναγνωριστικό Entra της Microsoft. Για περισσότερες πληροφορίες σχετικά με τα τελικά σημεία αναγνωριστικού Microsoft Entra, μεταβείτε στην ενότητα Έλεγχος των τελικών σημείων στο Azure
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

Σημείωση

Μετά την εγκατάσταση και την καταχώρηση της πύλης, οι μόνες απαιτούμενες θύρες και διευθύνσεις IP είναι εκείνες που απαιτούνται από την αναμετάδοση Azure, όπως περιγράφεται για servicebus.windows.net στον προηγούμενο πίνακα. Μπορείτε να λάβετε τη λίστα των απαιτούμενων θυρών εκτελώντας περιοδικά τον έλεγχο θυρών δικτύου στην εφαρμογή πύλης. Μπορείτε επίσης να επιβιβάσετε την επικοινωνία της πύλης με χρήση HTTPS.

Άνοιγμα θυρών για τα Fabric Dataflow Gen1 και Gen2 με χρήση της πύλης

Όταν κάθε φόρτος εργασίας που βασίζεται σε συνδυασμό δεδομένων (για παράδειγμα, Μοντέλα σημασιολογίας, Ροές δεδομένων Fabric κ.ο.κ.) περιέχει ένα ερώτημα που συνδέεται σε προελεύσεις δεδομένων εσωτερικής εγκατάστασης (χρησιμοποιώντας μια πύλη δεδομένων εσωτερικής εγκατάστασης) και σε προελεύσεις δεδομένων cloud, εκτελείται ολόκληρο το ερώτημα στον μηχανισμό συνδυασμού δεδομένων της πύλης δεδομένων εσωτερικής εγκατάστασης. Επομένως, τα τελικά σημεία πρέπει να είναι ανοιχτά για να επιτρέπεται η πύλη δεδομένων εσωτερικής εγκατάστασης σε όλους τους φόρτους εργασίας που βασίζονται σε συνδυασμό ώστε να έχουν πρόσβαση οπτικής απεικόνισης στις προελεύσεις δεδομένων cloud τόσο για την προέλευση δεδομένων όσο και για τον προορισμό εξόδου.

Ειδικά για τα Fabric Dataflow Gen1 και Gen2, τα παρακάτω τελικά σημεία πρέπει επίσης να είναι ανοιχτά για να επιτρέπεται η πρόσβαση της πύλης δεδομένων εσωτερικής εγκατάστασης στο Azure Data Lake και στις προελεύσεις δεδομένων cloud προεργασίας Fabric.

Ονόματα τομέα δημόσιου cloud Θύρες εξερχόμενης κυκλοφορίας Περιγραφή
*.core.windows.net 443 Χρησιμοποιείται από το Dataflow Gen1 για την εγγραφή δεδομένων στο Azure Data Lake.
*.dfs.fabric.microsoft.com 1433 Τελικό σημείο που χρησιμοποιείται από τα Dataflow Gen1 και Gen2 για σύνδεση στο OneLake. Μάθετε περισσότερα
*.datawarehouse.pbidedicated.windows.net 1433 Παλιό τελικό σημείο που χρησιμοποιείται από το Dataflow Gen2 για σύνδεση στο lakehouse προεργασίας. Μάθετε περισσότερα
*.datawarehouse.fabric.microsoft.com 1433 Νέο τελικό σημείο που χρησιμοποιείται από το Dataflow Gen2 για σύνδεση στο lakehouse προεργασίας. Μάθετε περισσότερα

Σημείωση

*.datawarehouse.pbidedicated.windows.net αντικαθίσταται από *.datawarehouse.fabric.microsoft.com. Κατά τη διάρκεια αυτής της διαδικασίας μετάβασης, βεβαιωθείτε ότι έχετε και τα δύο τελικά σημεία ανοικτά για να εξασφαλίσετε την ανανέωση του Dataflow Gen2.

Δοκιμή θυρών δικτύου

Για να ελέγξετε εάν η πύλη έχει πρόσβαση σε όλες τις απαιτούμενες θύρες:

  1. Στον υπολογιστή που εκτελεί την πύλη, πληκτρολογήστε "πύλη" στην αναζήτηση των Windows και, στη συνέχεια, επιλέξτε την εφαρμογή πύλης δεδομένων εσωτερικής εγκατάστασης.

  2. Επιλέξτε Διαγνωστικά. Στην περιοχή Δοκιμή θυρών δικτύου, επιλέξτε Έναρξη νέας δοκιμής.

    Πώς μπορείτε να ξεκινήσετε μια νέα δοκιμή θυρών δικτύου.

Όταν η πύλη σας εκτελεί τη δοκιμή θυρών δικτύου, ανακτά μια λίστα θυρών και διακομιστών από την αναμετάδοση Azure και, στη συνέχεια, επιχειρεί να συνδεθεί σε όλες. Όταν εμφανιστεί ξανά η σύνδεση Έναρξη νέας δοκιμής , η δοκιμή θυρών δικτύου ολοκληρώθηκε.

Το αποτέλεσμα της δοκιμής σύνοψης είναι είτε "Ολοκληρώθηκε (Ολοκληρώθηκε με επιτυχία)" είτε "Ολοκληρώθηκε (Αποτυχία, δείτε τα τελευταία αποτελέσματα δοκιμής)". Εάν η δοκιμή ολοκληρωθεί με επιτυχία, η πύλη σας συνδέθηκε σε όλες τις απαιτούμενες θύρες. Εάν η δοκιμή αποτύχει, το περιβάλλον του δικτύου σας μπορεί να έχει αποκλείσει τις απαιτούμενες θύρες και διακομιστές.

Σημείωση

Τα τείχη προστασίας συχνά επιτρέπουν κατά διαστήματα την κυκλοφορία σε αποκλεισμένους χώρους. Ακόμη και αν μια δοκιμή είναι επιτυχής, ίσως χρειαστεί να προσθέσετε μια λίστα επιτρεπόμενων στον συγκεκριμένο διακομιστή στο τείχος προστασίας σας.

Για να δείτε τα αποτελέσματα της τελευταίας ολοκληρωμένης δοκιμής, επιλέξτε τη σύνδεση Αποτελεσμάτων τελευταίας ολοκληρωμένης δοκιμής . Τα αποτελέσματα της δοκιμής ανοίγουν στο προεπιλεγμένο πρόγραμμα επεξεργασίας κειμένου.

Τα αποτελέσματα της δοκιμής παραθέτουν όλους τους διακομιστές, θύρες και διευθύνσεις IP που απαιτεί η πύλη σας. Εάν τα αποτελέσματα της δοκιμής εμφανίζουν την ένδειξη "Κλειστό" για οποιεσδήποτε θύρες, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης, βεβαιωθείτε ότι το περιβάλλον δικτύου σας δεν απέκλεισε αυτές τις συνδέσεις. Ίσως χρειαστεί να επικοινωνήσετε με τον διαχειριστή του δικτύου σας για να ανοίξετε τις απαιτούμενες θύρες.

Αποτελέσματα δοκιμής που εμφανίζονται στο Σημειωματάριο.

Επιβολή επικοινωνίας HTTPS με αναμετάδοση Azure

Μπορείτε να επισπεύσετε την επικοινωνία της πύλης με την αναμετάδοση Azure χρησιμοποιώντας HTTPS αντί για άμεσο TCP.

Σημείωση

Ξεκινώντας από την έκδοση πύλης Ιουνίου 2019 και βάσει προτάσεων από την αναμετάδοση, οι νέες εγκαταστάσεις έχουν ως προεπιλογή το HTTPS αντί του TCP. Αυτή η προεπιλεγμένη συμπεριφορά δεν ισχύει για ενημερωμένες εγκαταστάσεις.

Μπορείτε να χρησιμοποιήσετε την εφαρμογή πύλης για να επισπώσετε την πύλη να υιοθετήσει αυτήν τη συμπεριφορά. Στην εφαρμογή πύλης, επιλέξτε Δίκτυο και, στη συνέχεια, ενεργοποιήστε τη λειτουργία HTTPS.

Ρύθμιση της λειτουργίας HTTPS.

Αφού κάνετε αυτήν την αλλαγή και, στη συνέχεια, επιλέξετε Εφαρμογή, η υπηρεσία πύλης των Windows επανεκκινείται αυτόματα, έτσι ώστε η αλλαγή να μπορεί να εφαρμοστεί. Το κουμπί Εφαρμογή εμφανίζεται μόνο όταν κάνετε μια αλλαγή.

Για να επανεκκινήσετε την υπηρεσία πύλης των Windows από την εφαρμογή πύλης, μεταβείτε στην επανεκκίνηση μιας πύλης.

Σημείωση

Εάν η πύλη δεν μπορεί να επικοινωνήσει χρησιμοποιώντας το TCP, χρησιμοποιεί αυτόματα HTTPS. Η επιλογή στην εφαρμογή πύλης αντικατοπτρίζει πάντα την τρέχουσα τιμή του πρωτοκόλλου.

TLS 1.3 για κυκλοφορία πύλης

Από προεπιλογή, η πύλη χρησιμοποιεί Transport Layer Security (TLS) 1.3 για επικοινωνία με την υπηρεσία Power BI. Για να εξασφαλίσετε ότι όλη η κυκλοφορία πύλης χρησιμοποιεί TLS 1.3, ίσως χρειαστεί να προσθέσετε ή να τροποποιήσετε τα παρακάτω κλειδιά μητρώου στον υπολογιστή που εκτελεί την υπηρεσία πύλης.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Σημείωση

Η προσθήκη ή τροποποίηση αυτών των κλειδιών μητρώου εφαρμόζει την αλλαγή σε όλες τις εφαρμογές .NET. Για πληροφορίες σχετικά με τις αλλαγές στο μητρώο που επηρεάζουν το TLS για άλλες εφαρμογές, μεταβείτε στις Ρυθμίσεις μητρώου Transport Layer Security (TLS).

Ετικέτες υπηρεσίας

Μια ετικέτα υπηρεσίας αντιπροσωπεύει μια ομάδα προθημάτων διευθύνσεων IP από μια δεδομένη υπηρεσία Azure. Η Microsoft διαχειρίζεται τα προθέματα διευθύνσεων που περιλαμβάνονται από την ετικέτα υπηρεσίας και ενημερώνει αυτόματα την ετικέτα υπηρεσίας καθώς αλλάζουν οι διευθύνσεις, ελαχιστοποιώντας την πολυπλοκότητα των συχνών ενημερώσεων στους κανόνες ασφάλειας δικτύου. Η πύλη δεδομένων έχει εξαρτήσεις στις ακόλουθες ετικέτες υπηρεσίας:

  • PowerBI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

Η πύλη δεδομένων εσωτερικής εγκατάστασης χρησιμοποιεί αναμετάδοση Azure για ορισμένες επικοινωνίες. Ωστόσο, δεν υπάρχουν ετικέτες υπηρεσίας για την υπηρεσία αναμετάδοσης Azure. Ωστόσο, οι ετικέτες υπηρεσίας ServiceBus εξακολουθούν να απαιτούνται καθώς εξακολουθούν να αφορούν τις ουρές υπηρεσίας και τη δυνατότητα θεμάτων, παρόλο που όχι για την αναμετάδοση Azure.

Η ετικέτα υπηρεσίας AzureCloud αντιπροσωπεύει όλες τις καθολικές διευθύνσεις IP του Κέντρου δεδομένων Azure. Δεδομένου ότι η υπηρεσία αναμετάδοσης Azure βασίζεται στην υπολογιστική λειτουργία Azure, τα δημόσια αναγνωριστικά αναμετάδοσης του Azure είναι ένα υποσύνολο των IPs του AzureCloud. Περισσότερες πληροφορίες: Επισκόπηση ετικετών υπηρεσίας Azure

Επόμενα βήματα