Partager via


Ajuster les paramètres de communication pour la passerelle de données locale

Cet article décrit plusieurs paramètres de communication associés à la passerelle de données locale. Ces paramètres doivent être ajustés pour prendre en charge les connexions de source de données et l’accès de destination de sortie.

Activer les connexions Azure sortantes

La passerelle s’appuie sur Azure Relay pour la connectivité cloud. La passerelle établit de même les connexions sortantes vers sa région Azure associée.

Si vous vous êtes inscrit à un locataire Power BI ou Office 365, votre région Azure est par défaut la région de ce service. Sinon, votre région Azure pourrait être celle qui est la plus proche de vous.

Si un pare-feu bloque les connexions sortantes, vous devez le configurer de façon à autoriser les connexions sortantes de la passerelle vers la région Azure associée. Les règles de pare-feu sur le serveur de passerelle et/ou les serveurs proxy du client doivent être mises à jour pour autoriser le trafic sortant du serveur de passerelle vers les points de terminaison ci-dessous. Si votre pare-feu ne prend pas en charge les caractères génériques, utilisez les adresses IP de Plages d’adresses IP Azure et des Étiquette de service. Notez qu’elles devront être synchronisées chaque mois.

Ports

La passerelle communique sur les ports sortants suivants : TCP 443, 5671, 5672 et de 9350 à 9354. La passerelle ne nécessite pas de ports entrants.

Nous vous recommandons d’autoriser le Système de noms de domaine (DNS) « *.servicebus.windows.net ». Pour obtenir des conseils sur la configuration de votre pare-feu et/ou proxy local à l’aide de noms de domaine complets (FQDN) au lieu d’utiliser des adresses IP susceptibles de changer, suivez les étapes décrites dans Prise en charge du DNS Azure WCF Relay.

Sinon, autorisez les adresses IP de votre région de données dans votre pare-feu. Utilisez les fichiers JSON répertoriés ci-dessous, qui sont mis à jour chaque semaine.

Vous pouvez également obtenir la liste des ports requis en effectuant le test des ports réseau régulièrement dans l’application de la passerelle.

La passerelle communique avec Azure Relay en utilisant des FQDN. Si vous forcez la passerelle à communiquer via HTTPS, elle n’utilisera strictement que les FQDN et ne communiquera pas en utilisant des adresses IP.

Remarque

La liste IP du centre de données Azure affiche les adresses IP dans la notation CIDR (Classless Inter-Domain Routing). Un exemple de cette notation est 10.0.0.0/24, ce qui ne signifie pas de 10.0.0.0 à 10.0.0.24. En savoir plus sur la notation CIDR.

La liste suivante décrit les FQDN utilisés par la passerelle. Ces points de terminaison sont requis pour que la passerelle puisse fonctionner.

Noms de domaine de cloud public Ports sortants Description
*.download.microsoft.com 80 Utilisé pour télécharger le programme d’installation. L’application de la passerelle utilise également ce domaine pour vérifier la version et la région de la passerelle.
*.powerbi.com 443 Utilisé pour identifier le cluster Power BI approprié.
*.analysis.windows.net 443 Utilisé pour identifier le cluster Power BI approprié.
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com 443 Permet d’authentifier l’application de passerelle pour Microsoft Entra ID et OAuth2. Notez que des URL supplémentaires peuvent être nécessaires dans le cadre du processus de connexion Microsoft Entra ID, qui peut être spécifique à un tenant (locataire).
*.servicebus.windows.net 5671-5672 Utilisé pour AMQP (Advanced Message Queuing Protocol).
*.servicebus.windows.net 443 et 9350-9354 Écoute Azure Relay sur TCP. Le port 443 est requis pour obtenir des jetons Azure Access Control.
*.msftncsi.com 80 Utilisé pour tester la connectivité Internet si le service Power BI ne peut pas atteindre la passerelle.
*.dc.services.visualstudio.com 443 Utilisé par AppInsights pour collecter les données de télémétrie.
*.frontend.clouddatahub.net 443 Nécessaire pour l’exécution de Fabric Pipeline.

Pour les Clouds de la communauté du secteur public GCC, GCC high et DoD, les FQDN suivants sont utilisés par la passerelle.

Ports GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Accéder à la documentation Accéder à la documentation
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 et 9350-9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline-p.com *.microsoftonline-p.com *.microsoftonline-p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

Pour le cloud chinois (Mooncake), les FQDN suivants sont utilisés par la passerelle.

Ports Cloud chinois (Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 et 9350-9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Pas d’équivalent Mooncake, pas nécessaire pour exécuter la passerelle, uniquement utilisé pour vérifier le réseau en cas de panne
443 Aucun équivalent Mooncake. Utilisé durant la connexion Microsoft Entra ID. Pour plus d’informations sur les points de terminaison Microsoft Entra ID, consultez Vérifier les points de terminaison dans Azure
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

Remarque

Une fois la passerelle installée et inscrite, les seuls ports et adresses IP obligatoires sont ceux demandés par Azure Relay, comme décrit pour servicebus.windows.net dans le tableau précédent. Vous pouvez obtenir la liste des ports requis en effectuant le test des ports réseau régulièrement dans l’application de la passerelle. Vous pouvez également forcer la passerelle à communiquer en utilisant HTTPS.

Ouverture de ports pour Fabric Dataflow Gen1 et Gen2 à l’aide de la passerelle

Quand une charge de travail basée sur mashup (par exemple, des modèles sémantiques, des dataflows Fabric, et ainsi de suite) contient une requête qui se connecte à des sources de données locales (à l’aide d’une passerelle de données locale) et à des sources de données cloud, l’ensemble de la requête est exécutée sur le moteur mashup de la passerelle de données locale. Par conséquent, les points de terminaison doivent être ouverts pour permettre à la passerelle de données locale dans toutes les charges de travail basées sur mashup d’avoir un accès en ligne de vue aux sources de données cloud pour la source de données et la destination de sortie.

Spécialement pour Fabric Dataflow Gen1 et Gen2, les points de terminaison suivants doivent également être ouverts pour autoriser l’accès à la passerelle de données locale à Azure Data Lake et aux sources de données cloud fabric préproduction lakehouse.

Noms de domaine de cloud public Ports sortants Description
*.core.windows.net 443 Utilisé par le flux de données Dataflow Gen1 pour écrire des données dans Azure Data Lake.
*.dfs.fabric.microsoft.com 1433 Point de terminaison utilisé par Dataflow Gen1 et Gen2 pour se connecter à OneLake. En savoir plus
*.datawarehouse.pbidedicated.windows.net 1433 Ancien point de terminaison utilisé par les flux de données Gen2 pour se connecter au lakehouse intermédiaire. En savoir plus
*.datawarehouse.fabric.microsoft.com 1433 Nouveau point de terminaison utilisé par les flux de données Gen2 pour se connecter au lakehouse intermédiaire. En savoir plus

Remarque

Le remplacement de *.datawarehouse.pbidedicated.windows.net par *.datawarehouse.fabric.microsoft.com est en cours. Durant ce processus de transition, vérifiez que les deux points de terminaison sont ouverts pour garantir l’actualisation du flux de données Dataflow Gen2.

Test des ports réseau

Pour vérifier si la passerelle a accès à tous les ports requis :

  1. Sur la machine qui exécute la passerelle, entrez « passerelle » dans la recherche Windows, puis sélectionnez l’application Passerelle de données locale.

  2. Sélectionnez Diagnostics. Sous Test des ports réseau, sélectionnez Démarrer un nouveau test.

    Comment démarrer un nouveau test de ports réseau.

Quand votre passerelle exécute le test des ports réseau, elle récupère la liste des ports et des serveurs sur Azure Relay, puis elle tente de se connecter à chacun d’eux. Lorsque le lien Démarrer un nouveau test réapparaît, cela signifie que l’exécution du test des ports réseau est terminée.

Le résultat résumé du test est « Terminé (réussite) » ou « Terminé (échec, voir les derniers résultats des tests) ». Si le test a réussi, cela signifie que votre passerelle s’est connectée à tous les ports nécessaires. Si le test a échoué, cela signifie que votre environnement peut bloquer ces ports et ces serveurs nécessaires.

Remarque

Les pare-feux autorisent souvent par intermittence le trafic sur les sites bloqués. Même si un test réussit, vous devrez peut-être autoriser ce serveur sur votre pare-feu.

Pour voir les résultats du dernier test terminé, sélectionnez le lien Ouvrir les derniers résultats des tests terminés. Les résultats du test s’ouvrent dans votre éditeur de texte par défaut.

Les résultats du test répertorient tous les serveurs, ports et adresses IP qui sont nécessaires à votre passerelle. Si les résultats du test indiquent « Fermé » pour des ports (comme illustré dans la capture d’écran suivante), vérifiez que votre environnement réseau ne bloque pas ces connexions. Il peut être nécessaire de contacter votre administrateur réseau pour ouvrir les ports requis.

Résultats des tests affichés dans le bloc-notes.

Forcer des communications HTTPS avec Azure Relay

Vous pouvez forcer la passerelle à communiquer avec Azure Relay en utilisant HTTPS au lieu de TCP direct.

Remarque

À compter de la version de juin 2019 de la passerelle et d’après les recommandations de Relay, les nouvelles installations sont définies sur HTTPS par défaut au lieu de TCP. Ce comportement par défaut ne s’applique pas aux installations mises à jour.

Vous pouvez utiliser l’application de la passerelle pour forcer la passerelle à adopter ce comportement. Dans l’application de la passerelle, sélectionnez Réseau, puis activez Mode HTTPS.

Définition du mode HTTPS.

Après avoir effectué cette modification, sélectionnez Appliquer. Le service de passerelle Windows redémarre automatiquement pour que la modification prenne effet. Le bouton Appliquer apparaît uniquement lorsque vous effectuez une modification.

Pour redémarrer le service Windows de la passerelle à partir de l’application de passerelle, consultez Redémarrer une passerelle.

Remarque

Si la passerelle ne peut pas communiquer à l’aide de TCP, elle utilise automatiquement HTTPS. La sélection dans l’application de la passerelle reflète toujours la valeur de protocole actuelle.

TLS 1.3 pour le trafic d’une passerelle

Par défaut, la passerelle utilise le protocole TLS (Transport Layer Security) 1.3 pour communiquer avec le service Power BI. Pour que tout le trafic de passerelle utilise correctement le protocole TLS 1.3, il se peut que vous deviez ajouter ou modifier les clés de Registre suivantes sur l’ordinateur exécutant le service de passerelle.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Remarque

L’ajout ou la modification de ces clés de Registre s’appliquent à toutes les applications .NET. Pour plus d’informations sur les changements de Registre qui affectent TLS pour d’autres applications, consultez Paramètres de Registre TLS (Transport Layer Security).

Balises de service

Une étiquette de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. La passerelle de données a des dépendances avec les étiquettes de services suivantes :

  • PowerBI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

La passerelle de données locale utilise Azure Relay pour certaines communications. Cependant, il n’existe pas d’étiquette de service pour le service Azure Relay. Les étiquettes de service ServiceBus sont néanmoins encore nécessaires, car elles se rapportent toujours à la fonctionnalité des files d’attente et des rubriques de service, même si elles ne concernent pas Azure Relay.

L’étiquette de service AzureCloud représente toutes les adresses IP mondiales du centre de données Azure. Étant donné que le service Azure Relay est basé sur Azure Compute, les adresses IP publiques Azure Relay constituent un sous-ensemble des adresses IP AzureCloud. Plus d’informations : Présentation des étiquettes de services Azure

Étapes suivantes