Προσαρμογή ρυθμίσεων επικοινωνίας για την πύλη δεδομένων εσωτερικής εγκατάστασης
Αυτό το άρθρο περιγράφει διάφορες ρυθμίσεις επικοινωνίας που σχετίζονται με την πύλη δεδομένων εσωτερικής εγκατάστασης. Αυτές οι ρυθμίσεις πρέπει να προσαρμοστούν για την υποστήριξη συνδέσεων προέλευσης δεδομένων και πρόσβασης προορισμού εξόδου.
Η πύλη βασίζεται στην αναμετάδοση Azure για συνδεσιμότητα στο cloud. Η πύλη δημιουργεί αντίστοιχα εξερχόμενες συνδέσεις με τη σχετική περιοχή του Azure.
Εάν έχετε εγγραφεί είτε για έναν μισθωτή Power BI είτε για έναν μισθωτή Office 365, η περιοχή σας Azure λαμβάνει από προεπιλογή την περιοχή αυτής της υπηρεσίας. Διαφορετικά, η περιοχή σας Azure μπορεί να είναι η πλησιέστερη σε εσάς.
Εάν ένα τείχος προστασίας αποκλείει τις εξερχόμενες συνδέσεις, ρυθμίστε τις παραμέτρους του τείχους προστασίας ώστε να επιτρέπει εξερχόμενες συνδέσεις από την πύλη στη σχετική περιοχή του Azure. Οι κανόνες τείχους προστασίας στον διακομιστή πύλης ή/και στους διακομιστές μεσολάβησης του πελάτη πρέπει να ενημερωθούν ώστε να επιτρέπουν την εξερχόμενη κυκλοφορία από τον διακομιστή πύλης στα παρακάτω τελικά σημεία. Εάν το τείχος προστασίας σας δεν υποστηρίζει χαρακτήρες μπαλαντέρ, χρησιμοποιήστε τότε τις διευθύνσεις IP από περιοχές διευθύνσεων IP του Azure και ετικέτες υπηρεσίας. Σημειώστε ότι θα πρέπει να διατηρούνται συγχρονισμένα κάθε μήνα.
Η πύλη επικοινωνεί με τις ακόλουθες θύρες εξερχομένων: TCP 443, 5671, 5672 και από 9350 έως 9354. Η πύλη δεν απαιτεί θύρες εισερχόμενης κυκλοφορίας.
Συνιστούμε να επιτρέψετε το σύστημα ονομάτων τομέων (DNS) "*.servicebus.windows.net". Για οδηγίες σχετικά με τον τρόπο ρύθμισης του τείχους προστασίας ή/και του διακομιστή μεσολάβησης εσωτερικής εγκατάστασης χρησιμοποιώντας πλήρως προσδιορισμένα ονόματα τομέα (FQDN) αντί να χρησιμοποιήσετε διευθύνσεις IP που υπόκεινται σε αλλαγές, ακολουθήστε τα βήματα στην Υποστήριξη DNS αναμετάδοσης Azure WCF.
Εναλλακτικά, επιτρέπετε τις διευθύνσεις IP για την περιοχή δεδομένων σας στο τείχος προστασίας σας. Χρησιμοποιήστε τα αρχεία JSON που παρατίθενται παρακάτω, τα οποία ενημερώνονται κάθε εβδομάδα.
Εναλλακτικά, μπορείτε να λάβετε τη λίστα των απαιτούμενων θυρών εκτελώντας τις θύρες δικτύου δοκιμαστικά περιοδικά στην εφαρμογή πύλης.
Η πύλη επικοινωνεί με την αναμετάδοση Azure χρησιμοποιώντας FQDN. Εάν επιβιβάσετε την επικοινωνία της πύλης μέσω HTTPS, θα χρησιμοποιεί αυστηρά και μόνο FQDN και δεν θα επικοινωνεί χρησιμοποιώντας διευθύνσεις IP.
Σημείωση
Η λίστα διευθύνσεων IP κέντρων δεδομένων Azure εμφανίζει διευθύνσεις IP σε σημειογραφία δρομολόγησης μεταξύ τομέων (CIDR) χωρίς κλάση. Ένα παράδειγμα αυτής της σημειογραφίας είναι το 10.0.0.0/24, το οποίο δεν σημαίνει από 10.0.0.0 έως 10.0.0.24. Μάθετε περισσότερα σχετικά με τη σημειογραφία CIDR.
Η παρακάτω λίστα περιγράφει FQDN που χρησιμοποιούνται από την πύλη. Αυτά τα τελικά σημεία απαιτούνται για τη λειτουργία της πύλης.
Ονόματα τομέα δημόσιου cloud | Θύρες εξερχόμενης κυκλοφορίας | Περιγραφή |
---|---|---|
*.download.microsoft.com | 80 | Χρησιμοποιείται για τη λήψη του προγράμματος εγκατάστασης. Η εφαρμογή πύλης χρησιμοποιεί επίσης αυτόν τον τομέα για να ελέγξει την έκδοση και την περιοχή πύλης. |
*.powerbi.com | 443 | Χρησιμοποιείται για την αναγνώριση του σχετικού συμπλέγματος Power BI. |
*.analysis.windows.net | 443 | Χρησιμοποιείται για την αναγνώριση του σχετικού συμπλέγματος Power BI. |
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com | 443 | Χρησιμοποιείται για τον έλεγχο ταυτότητας της εφαρμογής πύλης για το Αναγνωριστικό Microsoft Entra και το OAuth2. Σημειώστε ότι μπορεί να απαιτούνται πρόσθετες διευθύνσεις URL ως μέρος της διαδικασίας εισόδου με το Microsoft Entra ID, η οποία μπορεί να είναι μοναδική για έναν μισθωτή. |
*.servicebus.windows.net | 5671-5672 | Χρησιμοποιείται για το Advanced Message Queuing Protocol (AMQP). |
*.servicebus.windows.net | 443 και 9350-9354 | Παρακολουθεί την αναμετάδοση Azure μέσω TCP. Η θύρα 443 απαιτείται για τη λήψη διακριτικών ελέγχου πρόσβασης του Azure. |
*.msftncsi.com | 80 | Χρησιμοποιείται για τον έλεγχο της σύνδεσης στο Internet εάν η υπηρεσία Power BI δεν μπορεί να φτάσει στην πύλη. |
*.dc.services.visualstudio.com | 443 | Χρησιμοποιείται από το AppInsights για τη συλλογή τηλεμετρίας. |
*.frontend.clouddatahub.net | 443 | Απαιτείται για την εκτέλεση της διοχέτευσης Fabric. |
Για τα GCC, GCC high και DoD, τα ακόλουθα FQDN χρησιμοποιούνται από την πύλη.
Θύρες | GCC | GCC High | DoD |
---|---|---|---|
80 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
443 | *.powerbigov.us, *.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
443 | *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net | Μετάβαση στην τεκμηρίωση | Μετάβαση στην τεκμηρίωση |
5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
443 και 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
Για το Cloud Κίνας (Mooncake), τα ακόλουθα FQDN χρησιμοποιούνται από την πύλη.
Θύρες | Cloud Κίνας (Mooncake) |
---|---|
80 | *.download.microsoft.com |
443 | *.powerbi.cn |
443 | *.asazure.chinacloudapi.cn |
443 | *.login.chinacloudapi.cn |
5671-5672 | *.servicebus.chinacloudapi.cn |
443 και 9350-9354 | *.servicebus.chinacloudapi.cn |
443 | *.chinacloudapi.cn |
443 | login.partner.microsoftonline.cn |
443 | Δεν υπάρχει ισοδύναμο Mooncake, το οποίο δεν απαιτείται για την εκτέλεση της πύλης, το οποίο χρησιμοποιείται μόνο για τον έλεγχο του δικτύου κατά τη διάρκεια συνθηκών αποτυχίας |
443 | Δεν υπάρχει ισοδύναμο Mooncake— χρησιμοποιείται κατά την είσοδο κατά την είσοδο με το Αναγνωριστικό Entra της Microsoft. Για περισσότερες πληροφορίες σχετικά με τα τελικά σημεία αναγνωριστικού Microsoft Entra, μεταβείτε στην ενότητα Έλεγχος των τελικών σημείων στο Azure |
443 | applicationinsights.azure.cn |
433 | clientconfig.passport.net |
433 | aadcdn.msftauth.cn |
433 | aadcdn.msauth.cn |
Σημείωση
Μετά την εγκατάσταση και την καταχώρηση της πύλης, οι μόνες απαιτούμενες θύρες και διευθύνσεις IP είναι εκείνες που απαιτούνται από την αναμετάδοση Azure, όπως περιγράφεται για servicebus.windows.net στον προηγούμενο πίνακα. Μπορείτε να λάβετε τη λίστα των απαιτούμενων θυρών εκτελώντας περιοδικά τον έλεγχο θυρών δικτύου στην εφαρμογή πύλης. Μπορείτε επίσης να επιβιβάσετε την επικοινωνία της πύλης με χρήση HTTPS.
Όταν κάθε φόρτος εργασίας που βασίζεται σε συνδυασμό δεδομένων (για παράδειγμα, Μοντέλα σημασιολογίας, Ροές δεδομένων Fabric κ.ο.κ.) περιέχει ένα ερώτημα που συνδέεται σε προελεύσεις δεδομένων εσωτερικής εγκατάστασης (χρησιμοποιώντας μια πύλη δεδομένων εσωτερικής εγκατάστασης) και σε προελεύσεις δεδομένων cloud, εκτελείται ολόκληρο το ερώτημα στον μηχανισμό συνδυασμού δεδομένων της πύλης δεδομένων εσωτερικής εγκατάστασης. Επομένως, τα τελικά σημεία πρέπει να είναι ανοιχτά για να επιτρέπεται η πύλη δεδομένων εσωτερικής εγκατάστασης σε όλους τους φόρτους εργασίας που βασίζονται σε συνδυασμό ώστε να έχουν πρόσβαση οπτικής απεικόνισης στις προελεύσεις δεδομένων cloud τόσο για την προέλευση δεδομένων όσο και για τον προορισμό εξόδου.
Ειδικά για τα Fabric Dataflow Gen1 και Gen2, τα παρακάτω τελικά σημεία πρέπει επίσης να είναι ανοιχτά για να επιτρέπεται η πρόσβαση της πύλης δεδομένων εσωτερικής εγκατάστασης στο Azure Data Lake και στις προελεύσεις δεδομένων cloud προεργασίας Fabric.
Ονόματα τομέα δημόσιου cloud | Θύρες εξερχόμενης κυκλοφορίας | Περιγραφή |
---|---|---|
*.core.windows.net | 443 | Χρησιμοποιείται από το Dataflow Gen1 για την εγγραφή δεδομένων στο Azure Data Lake. |
*.dfs.fabric.microsoft.com | 1433 | Τελικό σημείο που χρησιμοποιείται από τα Dataflow Gen1 και Gen2 για σύνδεση στο OneLake. Μάθετε περισσότερα |
*.datawarehouse.pbidedicated.windows.net | 1433 | Παλιό τελικό σημείο που χρησιμοποιείται από το Dataflow Gen2 για σύνδεση στο lakehouse προεργασίας. Μάθετε περισσότερα |
*.datawarehouse.fabric.microsoft.com | 1433 | Νέο τελικό σημείο που χρησιμοποιείται από το Dataflow Gen2 για σύνδεση στο lakehouse προεργασίας. Μάθετε περισσότερα |
Σημείωση
*.datawarehouse.pbidedicated.windows.net αντικαθίσταται από *.datawarehouse.fabric.microsoft.com. Κατά τη διάρκεια αυτής της διαδικασίας μετάβασης, βεβαιωθείτε ότι έχετε και τα δύο τελικά σημεία ανοικτά για να εξασφαλίσετε την ανανέωση του Dataflow Gen2.
Για να ελέγξετε εάν η πύλη έχει πρόσβαση σε όλες τις απαιτούμενες θύρες:
Στον υπολογιστή που εκτελεί την πύλη, πληκτρολογήστε "πύλη" στην αναζήτηση των Windows και, στη συνέχεια, επιλέξτε την εφαρμογή πύλης δεδομένων εσωτερικής εγκατάστασης.
Επιλέξτε Διαγνωστικά. Στην περιοχή Δοκιμή θυρών δικτύου, επιλέξτε Έναρξη νέας δοκιμής.
Όταν η πύλη σας εκτελεί τη δοκιμή θυρών δικτύου, ανακτά μια λίστα θυρών και διακομιστών από την αναμετάδοση Azure και, στη συνέχεια, επιχειρεί να συνδεθεί σε όλες. Όταν εμφανιστεί ξανά η σύνδεση Έναρξη νέας δοκιμής , η δοκιμή θυρών δικτύου ολοκληρώθηκε.
Το αποτέλεσμα της δοκιμής σύνοψης είναι είτε "Ολοκληρώθηκε (Ολοκληρώθηκε με επιτυχία)" είτε "Ολοκληρώθηκε (Αποτυχία, δείτε τα τελευταία αποτελέσματα δοκιμής)". Εάν η δοκιμή ολοκληρωθεί με επιτυχία, η πύλη σας συνδέθηκε σε όλες τις απαιτούμενες θύρες. Εάν η δοκιμή αποτύχει, το περιβάλλον του δικτύου σας μπορεί να έχει αποκλείσει τις απαιτούμενες θύρες και διακομιστές.
Σημείωση
Τα τείχη προστασίας συχνά επιτρέπουν κατά διαστήματα την κυκλοφορία σε αποκλεισμένους χώρους. Ακόμη και αν μια δοκιμή είναι επιτυχής, ίσως χρειαστεί να προσθέσετε μια λίστα επιτρεπόμενων στον συγκεκριμένο διακομιστή στο τείχος προστασίας σας.
Για να δείτε τα αποτελέσματα της τελευταίας ολοκληρωμένης δοκιμής, επιλέξτε τη σύνδεση Αποτελεσμάτων τελευταίας ολοκληρωμένης δοκιμής . Τα αποτελέσματα της δοκιμής ανοίγουν στο προεπιλεγμένο πρόγραμμα επεξεργασίας κειμένου.
Τα αποτελέσματα της δοκιμής παραθέτουν όλους τους διακομιστές, θύρες και διευθύνσεις IP που απαιτεί η πύλη σας. Εάν τα αποτελέσματα της δοκιμής εμφανίζουν την ένδειξη "Κλειστό" για οποιεσδήποτε θύρες, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης, βεβαιωθείτε ότι το περιβάλλον δικτύου σας δεν απέκλεισε αυτές τις συνδέσεις. Ίσως χρειαστεί να επικοινωνήσετε με τον διαχειριστή του δικτύου σας για να ανοίξετε τις απαιτούμενες θύρες.
Μπορείτε να επισπεύσετε την επικοινωνία της πύλης με την αναμετάδοση Azure χρησιμοποιώντας HTTPS αντί για άμεσο TCP.
Σημείωση
Ξεκινώντας από την έκδοση πύλης Ιουνίου 2019 και βάσει προτάσεων από την αναμετάδοση, οι νέες εγκαταστάσεις έχουν ως προεπιλογή το HTTPS αντί του TCP. Αυτή η προεπιλεγμένη συμπεριφορά δεν ισχύει για ενημερωμένες εγκαταστάσεις.
Μπορείτε να χρησιμοποιήσετε την εφαρμογή πύλης για να επισπώσετε την πύλη να υιοθετήσει αυτήν τη συμπεριφορά. Στην εφαρμογή πύλης, επιλέξτε Δίκτυο και, στη συνέχεια, ενεργοποιήστε τη λειτουργία HTTPS.
Αφού κάνετε αυτήν την αλλαγή και, στη συνέχεια, επιλέξετε Εφαρμογή, η υπηρεσία πύλης των Windows επανεκκινείται αυτόματα, έτσι ώστε η αλλαγή να μπορεί να εφαρμοστεί. Το κουμπί Εφαρμογή εμφανίζεται μόνο όταν κάνετε μια αλλαγή.
Για να επανεκκινήσετε την υπηρεσία πύλης των Windows από την εφαρμογή πύλης, μεταβείτε στην επανεκκίνηση μιας πύλης.
Σημείωση
Εάν η πύλη δεν μπορεί να επικοινωνήσει χρησιμοποιώντας το TCP, χρησιμοποιεί αυτόματα HTTPS. Η επιλογή στην εφαρμογή πύλης αντικατοπτρίζει πάντα την τρέχουσα τιμή του πρωτοκόλλου.
Από προεπιλογή, η πύλη χρησιμοποιεί Transport Layer Security (TLS) 1.3 για επικοινωνία με την υπηρεσία Power BI. Για να εξασφαλίσετε ότι όλη η κυκλοφορία πύλης χρησιμοποιεί TLS 1.3, ίσως χρειαστεί να προσθέσετε ή να τροποποιήσετε τα παρακάτω κλειδιά μητρώου στον υπολογιστή που εκτελεί την υπηρεσία πύλης.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Σημείωση
Η προσθήκη ή τροποποίηση αυτών των κλειδιών μητρώου εφαρμόζει την αλλαγή σε όλες τις εφαρμογές .NET. Για πληροφορίες σχετικά με τις αλλαγές στο μητρώο που επηρεάζουν το TLS για άλλες εφαρμογές, μεταβείτε στις Ρυθμίσεις μητρώου Transport Layer Security (TLS).
Μια ετικέτα υπηρεσίας αντιπροσωπεύει μια ομάδα προθημάτων διευθύνσεων IP από μια δεδομένη υπηρεσία Azure. Η Microsoft διαχειρίζεται τα προθέματα διευθύνσεων που περιλαμβάνονται από την ετικέτα υπηρεσίας και ενημερώνει αυτόματα την ετικέτα υπηρεσίας καθώς αλλάζουν οι διευθύνσεις, ελαχιστοποιώντας την πολυπλοκότητα των συχνών ενημερώσεων στους κανόνες ασφάλειας δικτύου. Η πύλη δεδομένων έχει εξαρτήσεις στις ακόλουθες ετικέτες υπηρεσίας:
- PowerBI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
Η πύλη δεδομένων εσωτερικής εγκατάστασης χρησιμοποιεί αναμετάδοση Azure για ορισμένες επικοινωνίες. Ωστόσο, δεν υπάρχουν ετικέτες υπηρεσίας για την υπηρεσία αναμετάδοσης Azure. Ωστόσο, οι ετικέτες υπηρεσίας ServiceBus εξακολουθούν να απαιτούνται καθώς εξακολουθούν να αφορούν τις ουρές υπηρεσίας και τη δυνατότητα θεμάτων, παρόλο που όχι για την αναμετάδοση Azure.
Η ετικέτα υπηρεσίας AzureCloud αντιπροσωπεύει όλες τις καθολικές διευθύνσεις IP του Κέντρου δεδομένων Azure. Δεδομένου ότι η υπηρεσία αναμετάδοσης Azure βασίζεται στην υπολογιστική λειτουργία Azure, τα δημόσια αναγνωριστικά αναμετάδοσης του Azure είναι ένα υποσύνολο των IPs του AzureCloud. Περισσότερες πληροφορίες: Επισκόπηση ετικετών υπηρεσίας Azure