Настройка и использование приватных ссылок

В Fabric можно настроить и использовать конечную точку, которая позволяет организации получать доступ к Fabric в частном порядке. Чтобы настроить частные конечные точки, необходимо быть администратором Fabric и иметь разрешения в Azure для создания и настройки ресурсов, таких как виртуальные машины (виртуальные машины) и виртуальные сети (виртуальные сети).

Ниже приведены действия, позволяющие безопасно получить доступ к Fabric из частных конечных точек:

  1. Настройте частные конечные точки для Fabric.
  2. Создайте службы приватного канала Microsoft.PowerBI для ресурса Power BI в портал Azure.
  3. Создайте виртуальную сеть.
  4. Создайте виртуальную машину ( виртуальную машину).
  5. Создайте частную конечную точку.
  6. Подключитесь к виртуальной машине с помощью Бастиона.
  7. Доступ к Fabric в частном порядке из виртуальной машины.
  8. Отключение общедоступного доступа для Fabric.

В следующих разделах приведены дополнительные сведения для каждого шага.

Шаг 1. Настройка частных конечных точек для Fabric

  1. Войдите в Fabric от имени администратора.

  2. Перейдите к параметрам клиента.

  3. Найдите и разверните параметр Приватный канал Azure.

  4. Установите для переключателя значение "Включено".

    Снимок экрана: параметр клиента Приватный канал Azure.

Для настройки приватного канала для клиента требуется около 15 минут. Это включает настройку отдельного полного доменного имени (полное доменное имя) для клиента для частного взаимодействия со службами Fabric.

По завершении этого процесса перейдите к следующему шагу.

Этот шаг используется для поддержки связи частной конечной точки Azure с ресурсом Fabric.

  1. Войдите на портал Azure.

  2. Выберите Создать ресурс.

  3. В разделе "Развертывание шаблона" выберите "Создать".

    Снимок экрана: ссылка

  4. На странице Настраиваемое развертывание выберите Создать собственный шаблон в редакторе.

    Снимок экрана: параметр

  5. В редакторе создайте следующий ресурс Fabric с помощью шаблона ARM, как показано ниже.

    • <resource-name> — это имя, выбранное для ресурса Fabric.
    • <tenant-object-id> — это идентификатор клиента Microsoft Entra. Узнайте , как найти идентификатор клиента Microsoft Entra.
    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
          {
              "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
              "apiVersion": "2020-06-01",
              "name" : "<resource-name>",
              "location": "global",
              "properties" : 
              {
                   "tenantId": "<tenant-object-id>"
              }
          }
      ]
    }
    

    Если вы используете Azure для государственных организаций облако для Power BI, location должно быть именем региона клиента. Например, если клиент находится в US Gov Техас, необходимо поместить "location": "usgovtexas" его в шаблон ARM. Список регионов Power BI для государственных организаций США можно найти в статье Power BI для государственных организаций США.

    Внимание

    Используйте Microsoft.PowerBI/privateLinkServicesForPowerBI в качестве type значения, даже если ресурс создается для Fabric.

  6. Сохраните шаблон. Введите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Нажмите кнопку **Создать. Введите test-PL в качестве имени. Нажмите ОК.
    Сведения об экземпляре Выберите регион.
    Область/регион

    Снимок экрана: вкладка

  7. На экране проверки нажмите кнопку "Создать ", чтобы принять условия.

    Снимок экрана: условия Azure Marketplace.

Шаг 3. Создание виртуальной сети

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона Azure.

Количество IP-адресов, необходимых подсети, — это количество емкостей, созданных в клиенте, плюс пятнадцать. Например, если вы создаете подсеть для клиента с семью емкостями, вам потребуется двадцать два IP-адреса.

  1. На портале Azure найдите и выберите Виртуальные сети.

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-PL, имя, созданное на шаге 2.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион, в котором вы инициируете подключение к Fabric.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ". Вы можете оставить как по умолчанию или изменить в зависимости от бизнес-потребности.

  5. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов . Вы можете оставить как по умолчанию или изменить в зависимости от бизнес-потребности.

    Снимок экрана: вкладка

  6. Выберите Сохранить.

  7. Выберите "Рецензирование" и "Создать " в нижней части экрана. После завершения проверки нажмите кнопку Создать.

Шаг 4. Создание виртуальной машины

Следующим шагом является создание виртуальной машины.

  1. В портал Azure перейдите к разделу "Создание вычислительных > виртуальных машин ресурсов>".

  2. На вкладке Основные сведения введите или выберите указанные ниже значения параметров.

    Настройки Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов, указанную на шаге 2.
    Сведения об экземпляре
    Virtual machine name Введите имя новой виртуальной машины. Выберите пузырек сведений рядом с именем поля, чтобы просмотреть важные сведения о именах виртуальных машин.
    Область/регион Выберите регион, выбранный на шаге 3.
    Параметры доступности Для тестирования выберите "Без избыточности инфраструктуры"
    Тип безопасности Оставьте значение по умолчанию.
    Изображения Выберите нужное изображение. Например, выберите Windows Server 2022.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    УЧЕТНАЯ ЗАПИСЬ АДМИНИСТРАТОРА
    Username Введите выбранное имя пользователя.
    Пароль Введите выбранный пароль. Пароль должен содержать минимум 12 символов и соответствовать заданным требованиям к сложности.
    Подтверждение пароля Введите пароль еще раз.
    ПРАВИЛА ВХОДЯЩЕГО ПОРТА
    Общедоступные входящие порты Выберите "Нет".

    Снимок экрана: вкладка

  3. Нажмите кнопку "Далее" — диски.

  4. На вкладке "Диски" оставьте значения по умолчанию и нажмите кнопку "Далее: Сеть".

  5. На вкладке "Сеть" выберите следующие сведения:

    Настройки Значение
    Виртуальная сеть Выберите виртуальную сеть, созданную на шаге 3.
    Подсеть Выберите значение по умолчанию (10.0.0.0/24), созданное на шаге 3.

    Для остальных полей оставьте значения по умолчанию.

    Снимок экрана: вкладка

  6. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

  7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Шаг 5. Создание частной конечной точки

Следующим шагом является создание частной конечной точки для Fabric.

  1. В поле поиска в верхней части портала введите Частная конечная точка. Выберите Частные конечные точки.

  2. Выберите + Создать в разделе Частные конечные точки.

  3. На вкладке "Основные сведения" для создания частной конечной точки введите или выберите следующие сведения:

    Настройки Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов, созданную на шаге 2.
    Сведения об экземпляре
    Имя. Введите FabricPrivateEndpoint. Если это имя используется, создайте уникальное имя.
    Область/регион Выберите регион, созданный для виртуальной сети, на шаге 3.

    На следующем рисунке показано окно "Создание частной конечной точки — Основные сведения".

    Снимок экрана: вкладка

  4. По завершении выберите Далее: Ресурс. В области ресурсов введите или выберите следующие сведения:

    Настройки Значение
    Способ подключения Выберите "подключиться к ресурсу Azure в моем каталоге".
    Отток подписок Выберите свою подписку.
    Тип ресурса Выбор Microsoft.PowerBI/privateLinkServicesForPowerBI
    Ресурс Выберите ресурс Fabric, созданный на шаге 2.
    Целевой подресурс Клиент

    На следующем рисунке показан окно "Создание частной конечной точки — ресурс ".

    Снимок экрана: окно создания ресурса частной конечной точки.

  5. Выберите Далее: Виртуальная сеть. В диалоговом окне Виртуальная сеть введите или выберите следующие данные.

    Настройки Значение
    СЕТИ
    Виртуальная сеть Выберите виртуальную сеть-1 , созданную на шаге 3.
    Подсеть Выберите подсеть-1 , созданную на шаге 3.
    ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
    Интегрировать с частной зоной DNS Выберите Да.
    Частная зона DNS Выберите
    (Новое)privatelink.analysis.windows.net
    (Новое)privatelink.pbidedicated.windows.net
    (Новое)privatelink.prod.powerquery.microsoft.com

    Снимок экрана: окно создания частной конечной точки DNS.

  6. Выберите Далее: теги, а затем — Далее: просмотр и создание.

  7. Нажмите кнопку создания.

Шаг 6. Подключение к виртуальной машине с помощью Бастиона

Бастион Azure защищает виртуальные машины, предоставляя упрощенное подключение на основе браузера без необходимости предоставлять их через общедоступные IP-адреса. Подробные сведения см. в статье Что такое Бастион Azure?

Подключитесь к виртуальной машине, выполнив следующие действия.

  1. Создайте подсеть с именем AzureBastionSubnet в виртуальной сети, созданной на шаге 3.

    Снимок экрана: создание AzureBastionSubnet.

  2. В строке поиска портала введите testVM , который мы создали на шаге 4.

  3. Нажмите кнопку "Подключиться " и выберите " Подключить через бастион " в раскрывающемся меню.

    Снимок экрана: параметр

  4. Выберите Развернуть Бастион.

  5. На странице Бастион введите необходимые учетные данные для проверки подлинности и нажмите кнопку Подключиться.

Шаг 7. Доступ к Fabric в частном порядке из виртуальной машины

Следующим шагом является частный доступ к Fabric из виртуальной машины, созданной на предыдущем шаге, с помощью следующих действий:

  1. На виртуальной машине откройте PowerShell.

  2. Введите nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Вы получите ответ, аналогичный приведенному ниже сообщению, и увидите, что возвращается частный IP-адрес. Вы увидите, что конечная точка Onelake и конечная точка хранилища также возвращают частные IP-адреса.

    Снимок экрана: IP-адреса, возвращенные в PowerShell.

  4. Откройте браузер и перейдите к app.fabric.microsoft.com для доступа к Fabric в частном порядке.

Шаг 8. Отключение общедоступного доступа для Fabric

Наконец, можно отключить общедоступный доступ для Fabric.

При отключении общедоступного доступа для Fabric некоторые ограничения доступа к службам Fabric применяются, как описано в следующем разделе.

Внимание

При включении блокировки доступа к Интернету некоторые неподдерживаемые элементы Fabric будут отключены. Полный список ограничений и рекомендаций см. в разделе "Сведения о частных ссылках"

Чтобы отключить общедоступный доступ для Fabric, войдите в Fabric в качестве администратора и перейдите на портал администрирования. Выберите параметры клиента и прокрутите страницу до раздела "Расширенная сеть ". Включите переключатель в параметре клиента Block Public Internet Access .

Снимок экрана: включен параметр клиента

Для отключения доступа вашей организации к Fabric из общедоступного Интернета требуется примерно 15 минут.

Завершение конфигурации частной конечной точки

Выполнив действия, описанные в предыдущих разделах, и приватный канал успешно настроен, ваша организация реализует частные ссылки на основе следующих выборов конфигурации, если выбрана исходная конфигурация или впоследствии изменена.

Если Приватный канал Azure настроена правильно и включена блокировка общедоступного доступа к Интернету:

  • Структура доступна только для вашей организации из частных конечных точек и недоступна из общедоступного Интернета.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, будут заблокированы службой и не будут работать.
  • Могут возникнуть сценарии, которые не поддерживают закрытые ссылки, поэтому они будут заблокированы в службе при включении общедоступного доступа к Интернету.

Если Приватный канал Azure настроена правильно, и блокировка общедоступного доступа к Интернету отключена:

  • Трафик из общедоступного Интернета будет разрешен службами Fabric.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, поддерживающих частные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенных для конечных точек и сценариев, которые не поддерживают частные каналы, передаются через общедоступный Интернет и будут разрешены службами Fabric.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, не поддерживающие частные каналы, будут заблокированы виртуальной сетью и не будут работать.

В следующем видео показано, как подключить мобильное устройство к Fabric с помощью частных конечных точек:

Примечание.

Это видео может использовать более ранние версии Power BI Desktop или служба Power BI.

Есть еще вопросы? Спросите сообщество Fabric.

Если вы хотите отключить параметр Приватный канал, убедитесь, что все созданные частные конечные точки и соответствующая частная зона DNS удаляются перед отключением параметра. Если у виртуальной сети настроены частные конечные точки, но Приватный канал отключены, подключения из этой виртуальной сети могут завершиться ошибкой.

Если вы собираетесь отключить параметр Приватный канал, рекомендуется сделать это в нерабочие часы. Для некоторых сценариев может потребоваться до 15 минут простоя.