Configurare e usare collegamenti privati

  • Articolo

In Fabric è possibile configurare e usare un endpoint che consenta all'organizzazione di accedere privatamente a Fabric. Per configurare gli endpoint privati è necessario essere un amministratore di Fabric e avere le autorizzazioni in Azure per creare e configurare risorse quali macchine virtuali (VM) e reti virtuali (VNet).

I passaggi che consentono di accedere in modo sicuro a Fabric da endpoint privati sono:

  1. Configurare endpoint privati per Fabric.
  2. Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure.
  3. Creare una rete virtuale.
  4. Creare una macchina virtuale (VM).
  5. Creare un endpoint privato.
  6. Connettersi a una macchina virtuale usando Azure Bastion.
  7. Accedere a Fabric privatamente dalla macchina virtuale.
  8. Disabilitare l'accesso pubblico per Fabric.

Le sezioni seguenti includono informazioni aggiuntive per ogni passaggio.

Passaggio 1: Configurare endpoint privati per Fabric.

  1. Accedere a Fabric come amministratore.

  2. Passare alle impostazioni del tenant.

  3. Trovare ed espandere l'impostazione collegamento privato di Azure.

  4. Impostare l'interruttore su Abilitato.

    Schermata che mostra l'impostazione del tenant di collegamento privato di Azure.

La configurazione di un collegamento privato per il tenant richiede circa 15 minuti. Ciò include la configurazione di un FQDN separato (nome di dominio completo) per il tenant per comunicare privatamente con i servizi di Fabric.

Al termine di questo processo, procedere al passaggio successivo.

Questo passaggio viene usato per supportare l'associazione dell'endpoint privato di Azure alla risorsa Fabric.

  1. Accedere al portale di Azure.

  2. Selezionare Crea una risorsa.

  3. In Distribuzione modello selezionare Crea.

    Screenshot del collegamento Crea modello nella sezione Creare una risorsa.

  4. Nella pagina di distribuzione personalizzata, selezionare Creare un modello personalizzato nell'editor.

    Screenshot dell'opzione Compila un modello personalizzato.

  5. Nell'editor,, creare la risorsa Fabric seguente usando il modello di ARM, come illustrato di seguito, dove

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Se si usa un cloud di Azure per enti pubblici per Power BI, location deve essere il nome dell'area del tenant. Ad esempio, se il tenant si trova in US Gov Texas, è necessario inserire "location": "usgovtexas" nel modello di ARM. L'elenco delle aree del governo degli Stati Uniti per Power BI è disponibile nell'articolo Power BI per il governo degli Stati Uniti.

    Importante

    Usare Microsoft.PowerBI/privateLinkServicesForPowerBI come valore type, anche se la risorsa viene creata per Fabric.

  6. Scegliere Salva per salvare il modello. Immettere quindi le informazioni seguenti.

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare **Crea nuovo. Inserisci test-PL come nome. Seleziona OK.
    Dettagli istanza Seleziona l'area.
    Paese

    Screenshot della scheda Nozioni di base sulla distribuzione personalizzata.

  7. Nella schermata di revisione selezionare Crea per accettare i termini e le condizioni.

    Screenshot delle condizioni di Azure Marketplace.

Passaggio 3. Creare una rete virtuale

La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.

Il numero di indirizzi IP necessari alla subnet è costituito dal numero di capacità create nel tenant più 15. Ad esempio, se si crea una subnet per un tenant con sette capacità, saranno necessari 22 indirizzi IP.

  1. Nel portale di Azure cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-PL, il nome creato nel passaggio 2.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare l'area in cui si avvierà la connessione a Fabric.

    Screenshot della scheda Informazioni di base in Creare una rete virtuale.

  4. Selezionare Avanti per passare alla scheda Sicurezza. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.

  5. Selezionare Avanti per passare alla scheda Indirizzi IP. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.

    Screenshot della scheda Indirizzi IP per la creazione di una rete virtuale.

  6. Seleziona Salva.

  7. Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida, selezionare Crea.

Passaggio 4. Creare una macchina virtuale

Il passaggio successivo consiste nel creare una macchina virtuale.

  1. Nella portale di Azure, accedere a Crea una risorsa > Calcolo > Macchine virtuali.

  2. Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse specificato nel passaggio 2.
    Dettagli istanza
    Virtual machine name Inserire un nome per la nuova macchina virtuale. Selezionare la bolla di informazioni accanto al nome del campo per visualizzare informazioni importanti sui nomi delle macchine virtuali.
    Paese Selezionare l'area selezionata nel passaggio 3.
    Opzioni di disponibilità Per i test, scegliere La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Lasciare il valore predefinito.
    Immagine Selezionare l'immagine desiderata. Ad esempio, scegliere Windows Server 2022.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    ACCOUNT AMMINISTRATORE
    Username Immettere un nome utente a scelta.
    Password Immettere una password a scelta. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti.
    Conferma password Reimmettere la password.
    REGOLE PORTA IN INGRESSO
    Porte in ingresso pubbliche Scegliere Nessuna

    Screenshot della scheda Crea dati principali VM.

  3. Selezionare Avanti: dischi.

  4. Nella scheda Dischi, lasciare le impostazioni predefinite e selezionare Avanti: Rete.

  5. Nella scheda Rete, selezionare le informazioni seguenti:

    Impostazioni Valore
    Rete virtuale Selezionare la rete virtuale creata nel passaggio 3.
    Subnet Selezionare il valore predefinito (10.0.0.0/24) creato nel passaggio 3.

    Usare le impostazioni predefinite nei campi rimanenti.

    Screenshot della scheda Crea rete VM.

  6. Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.

  7. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Passaggio 5. Creare un endpoint privato

Il passaggio successivo consiste nel creare un endpoint privato per Fabric.

  1. Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.

  2. Selezionare + Crea in Endpoint privati.

  3. Nella scheda Informazioni di base di Crea un endpoint privato, immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli di progetto
    Abbonamento Selezionare la sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse creato nel passaggio 2.
    Dettagli istanza
    Nome Immettere FabricPrivateEndpoint. Se il nome è già usato, creare un nome univoco.
    Paese Selezionare l'area creata per la rete virtuale nel passaggio 3.

    La figura seguente mostra la finestra Crea un endpoint privato - Informazioni di base.

    Screenshot della scheda Informazioni di base in Creare un endpoint privato.

  4. Selezionare Avanti: Risorsa. Nel riquadro Risorsa, immettere o selezionare le informazioni seguenti.

    Impostazioni Valore
    Metodo di connessione Selezionare Connettersi a una risorsa di Azure nella directory.
    Subscription Selezionare la propria sottoscrizione.
    Tipo di risorsa Selezionare Microsoft.PowerBI/privateLinkServicesForPowerBI
    Conto risorse Scegliere la risorsa Fabric creata nel passaggio 2.
    Sottorisorsa di destinazione Tenant

    La figura seguente mostra la finestra Crea un endpoint privato - Risorsa.

    Screenshot della finestra Crea una risorsa endpoint privato.

  5. Selezionare Avanti: Rete virtuale. In Rete virtuale, immettere o selezionare le informazioni seguenti.

    Impostazioni Valore
    RETE
    Rete virtuale Selezionare vnet-1 creato nel passaggio 3.
    Subnet Selezionare subnet-1 creata nel passaggio 3.
    INTEGRAZIONE DNS PRIVATO
    Integra con la zona DNS privato Selezionare .
    Zona DNS privato Selezionare
    (Nuovo)privatelink.analysis.windows.net
    (Nuovo)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Screenshot della finestra Crea DNS endpoint privato.

  6. Selezionare Avanti: Tag, quindi Avanti: Rivedi e crea.

  7. Seleziona Crea.

Passaggio 6. Connettersi a una macchina virtuale usando Bastion

Azure Bastion protegge le macchine virtuali fornendo connettività leggera basata su browser senza la necessità di esposizione tramite indirizzi IP pubblici. Per altre informazioni, vedere Informazioni su Azure Bastion.

Connettersi alla VM attenendosi ai seguenti passaggi:

  1. Crea una subnet denominata AzureBastionSubnet nella rete virtuale creata nel passaggio 3.

    Screenshot della AzureBastionSubnet creata.

  2. Nella barra di ricerca del portale, immettere testVM creato nel passaggio 4.

  3. Selezionare il pulsante Connetti e scegliere Connetti tramite Bastion dal menu a discesa.

    Screenshot dell'opzione Connetti tramite Bastion.

  4. Selezionare Distribuisci Bastion.

  5. Nella pagina Bastion, immettere le credenziali di autenticazione necessarie, quindi fare clic su Connetti.

Passaggio 7. Accedere a Fabric privatamente dalla macchina virtuale

Il passaggio successivo consiste nell'accedere a Fabric privatamente dalla macchina virtuale creata nel passaggio precedente, seguendo questa procedura:

  1. Nella macchina virtuale, aprire PowerShell.

  2. Immetti nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Si riceve una risposta simile al messaggio seguente e si può vedere che viene restituito l'indirizzo IP privato. L'endpoint Onelake e l'endpoint warehouse restituiscono anche indirizzi IP privati.

    Screenshot degli indirizzi IP restituiti in PowerShell.

  4. Aprire il browser e passare ad app.fabric.microsoft.com per accedere privatamente a Fabric.

Passaggio 8. Disabilitare l'accesso pubblico per Fabric

Infine, facoltativamente, è possibile disabilitare l'accesso pubblico per Fabric.

Se si disabilita l'accesso pubblico per Fabric, vengono applicati determinati vincoli all'accesso ai servizi Fabric, descritti nella sezione successiva.

Importante

Quando si attiva Blocca l'accesso a Internet, alcuni elementi di Fabric non supportati verranno disabilitati. Informazioni sull'elenco completo di limitazioni e considerazioni in Informazioni sui collegamenti privati

Per disabilitare l'accesso pubblico per Fabric, accedere al servizio F come amministratore e passare al portale di amministrazione. Selezionare Impostazioni tenant e scorrere fino alla sezione Rete avanzata. Abilitare l'interruttore nell'impostazione del tenant Blocca l'accesso a Internet pubblico.

Schermata che mostra l’impostazione del tenant Blocca l'accesso a Internet pubblico abilitata.

Sono necessari circa 15 minuti per consentire al sistema di disabilitare l'accesso dell'organizzazione a Fabric dalla rete Internet pubblica.

Completamento della configurazione dell'endpoint privato

Dopo aver seguito i passaggi delle sezioni precedenti e aver configurato correttamente il collegamento privato, l'organizzazione implementa collegamenti privati in base alle selezioni di configurazione seguenti, indipendentemente dal fatto che la selezione sia impostata alla configurazione iniziale o successivamente modificata.

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:

  • Fabric è accessibile solo per l'organizzazione da endpoint privati e non è accessibile dalla rete Internet pubblica.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
  • Potrebbero essere presenti scenari che non supportano collegamenti privati, che verranno pertanto bloccati nel servizio quando è abilitato Blocca l'accesso a Internet pubblico.

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

  • Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi Fabric.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi Fabric.
  • Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.

Il video seguente illustra come connettere un dispositivo mobile a Fabric usando endpoint privati:

Nota

In questo video potrebbero essere usate versioni precedenti di Power BI Desktop o del servizio Power BI.

Altre domande? Chiedere alla community di Fabric.

Se si vuole disabilitare l'impostazione collegamento privato, assicurarsi che tutti gli endpoint privati creati e la zona DNS privata corrispondente vengano eliminati prima di disabilitare l'impostazione. Se nella rete virtuale sono configurati endpoint privati ma collegamento privato è disabilitato, le connessioni da questa rete virtuale potrebbero non riuscire.

Se si intende disabilitare l'impostazione collegamento privato, è consigliabile farlo durante l'orario non lavorativo. Potrebbero essere necessari fino a 15 minuti di tempo di inattività per alcuni scenari per riflettere la modifica.

Contenuto correlato