Delen via

Privékoppelingen instellen en gebruiken

  • Artikel

In Fabric kunt u een eindpunt configureren en gebruiken waarmee uw organisatie privé toegang heeft tot Fabric. Als u privé-eindpunten wilt configureren, moet u een Fabric-beheerder zijn en machtigingen hebben in Azure om resources zoals virtuele machines (VM's) en virtuele netwerken (VNets) te maken en te configureren.

De stappen waarmee u veilig toegang kunt krijgen tot Fabric vanaf privé-eindpunten, zijn:

  1. Privé-eindpunten instellen voor Fabric.
  2. Maak een Microsoft.PowerBI Private Link-services voor Power BI-resources in Azure Portal.
  3. Maak een virtueel netwerk.
  4. Een virtuele machine (VM) maken.
  5. Maak een privé-eindpunt.
  6. Maak verbinding met een virtuele machine met behulp van Bastion.
  7. Toegang tot Fabric privé vanaf de virtuele machine.
  8. Openbare toegang voor Fabric uitschakelen.

De volgende secties bevatten aanvullende informatie voor elke stap.

Stap 1. Privé-eindpunten instellen voor Fabric

  1. Meld u als beheerder aan bij Fabric .

  2. Ga naar de tenantinstellingen.

  3. Zoek en vouw de instelling Azure Private Link uit.

  4. Stel de wisselknop in op Ingeschakeld.

    Schermopname van de azure Private Link-tenantinstelling.

Het duurt ongeveer 15 minuten om een privékoppeling voor uw tenant te configureren. Dit omvat het configureren van een afzonderlijke FQDN (Fully Qualified Domain Name) voor de tenant om privé te communiceren met Fabric-services.

Wanneer dit proces is voltooid, gaat u verder met de volgende stap.

Deze stap wordt gebruikt ter ondersteuning van Azure Private Endpoint-koppeling met uw Fabric-resource.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer Een resource maken.

  3. Selecteer Maken onder Sjabloonimplementatie.

    Schermopname van de koppeling Sjabloon maken in de sectie Een resource maken.

  4. Selecteer op de pagina Aangepaste implementatie uw eigen sjabloon maken in de editor.

    Schermopname van de optie Uw eigen sjabloon maken.

  5. Maak in de editor de volgende infrastructuurresource met behulp van de ARM-sjabloon, zoals hieronder wordt weergegeven, waarbij

    • <resource-name> is de naam die u kiest voor de Fabric-resource.
    • <tenant-object-id> is uw Microsoft Entra-tenant-id. Zie Hoe u uw Microsoft Entra-tenant-id kunt vinden.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Als u een Azure Government-cloud voor Power BI gebruikt, location moet dit de regionaam van de tenant zijn. Als de tenant zich bijvoorbeeld in US Gov Texas bevindt, moet u de ARM-sjabloon invoeren "location": "usgovtexas" . De lijst met Power BI-regio's voor de Amerikaanse overheid vindt u in het artikel over Power BI voor de Amerikaanse overheid.

    Belangrijk

    type Als waarde gebruikenMicrosoft.PowerBI/privateLinkServicesForPowerBI, ook al wordt de resource gemaakt voor Fabric.

  6. Sla de sjabloon op. Voer vervolgens de volgende gegevens in.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer **Nieuwe maken. Voer test-PL in als de naam. Selecteer OK.
    Exemplaardetails Selecteer de regio.
    Regio

    Schermopname van het tabblad Basisbeginselen van aangepaste implementatie.

  7. Selecteer In het controlescherm maken om de voorwaarden te accepteren.

    Schermopname van de Azure Marketplace-voorwaarden.

Stap 3. Een virtueel netwerk maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Azure Bastion-host.

Het aantal IP-adressen dat uw subnet nodig heeft, is het aantal capaciteiten dat u hebt gemaakt op uw tenant plus vijftien. Als u bijvoorbeeld een subnet voor een tenant met zeven capaciteiten maakt, hebt u tweeëntwintig IP-adressen nodig.

  1. Zoek en selecteer virtuele netwerken in Azure Portal.

  2. Selecteer + Maken op de pagina Virtuele netwerken.

  3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-PL, de naam die we in stap 2 hebben gemaakt.
    Exemplaardetails
    Naam Voer vnet-1 in.
    Regio Selecteer de regio waar u de verbinding met Fabric start.

    Schermopname van het tabblad Basisbeginselen in Een virtueel netwerk maken.

  4. Selecteer Volgende om door te gaan naar het tabblad Beveiliging. U kunt de standaardinstelling laten staan of wijzigen op basis van bedrijfsbehoefte.

  5. Selecteer Volgende om door te gaan naar het tabblad IP-adressen. U kunt de standaardinstelling laten staan of wijzigen op basis van bedrijfsbehoefte.

    Schermopname van het tabblad IP-adressen in Een virtueel netwerk maken.

  6. Selecteer Opslaan.

  7. Selecteer Beoordelen en maken onderaan het scherm. Wanneer de validatie is geslaagd, selecteert u Maken.

Stap 4. Maak een virtuele machine

De volgende stap bestaat uit het maken van een virtuele machine.

  1. Ga in De Azure-portal naar Een virtuele machine >voor rekenresources > maken.

  2. Voer op het tabblad Basisbeginselen de volgende gegevens in of selecteer deze:

    Instellingen Weergegeven als
    Projectdetails
    Abonnement Selecteer bij Abonnement uw Azure-abonnement.
    Resourcegroep Selecteer de resourcegroep die u hebt opgegeven in stap 2.
    Exemplaardetails
    Virtual machine name Voer een naam in voor de nieuwe virtuele machine. Selecteer de infoballon naast de veldnaam om belangrijke informatie over namen van virtuele machines weer te geven.
    Regio Selecteer de regio die u in stap 3 hebt geselecteerd.
    Beschikbaarheidsopties Kies voor testen geen infrastructuurredundantie vereist
    Beveiligingstype Laat de standaardinstelling staan.
    Afbeelding Selecteer de gewenste afbeelding. Kies bijvoorbeeld Windows Server 2022.
    VM-architectuur Laat de standaardwaarde x64 staan.
    Tekengrootte Selecteer een grootte.
    BEHEERDERSACCOUNT
    Username Voer een gebruikersnaam naar keuze in.
    Wachtwoord Voer een wachtwoord naar keuze in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    REGELS VOOR BINNENKOMENDE POORT
    Openbare poorten voor inkomend verkeer Kies Geen.

    Schermopname van het tabblad Basisbeginselen van vm maken.

  3. Selecteer Volgende: Schijven.

  4. Laat op het tabblad Schijven de standaardwaarden staan en selecteer Volgende: Netwerken.

  5. Selecteer op het tabblad Netwerken de volgende informatie:

    Instellingen Weergegeven als
    Virtueel netwerk Selecteer het virtuele netwerk dat u in stap 3 hebt gemaakt.
    Subnet Selecteer de standaardwaarde (10.0.0.0/24) die u in stap 3 hebt gemaakt.

    Voor de rest van de velden laat u de standaardwaarden staan.

    Schermopname van het tabblad VM-netwerken maken.

  6. Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.

  7. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

Stap 5. Een privé-eindpunt maken

De volgende stap bestaat uit het maken van een privé-eindpunt voor Fabric.

  1. Voer in het zoekvak boven aan de portal privé-eindpunt in. Selecteer Privé-eindpunten.

  2. Selecteer + Maken in privé-eindpunten.

  3. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:

    Instellingen Weergegeven als
    Projectdetails
    Abonnement Selecteer bij Abonnement uw Azure-abonnement.
    Resourcegroep Selecteer de resourcegroep die u in stap 2 hebt gemaakt.
    Exemplaardetails
    Naam Voer FabricPrivateEndpoint in. Als deze naam al wordt gebruikt, maakt u een unieke naam.
    Regio Selecteer de regio die u hebt gemaakt voor uw virtuele netwerk in stap 3.

    In de volgende afbeelding ziet u het venster Een privé-eindpunt maken - Basisinformatie .

    Schermopname van het tabblad Basisinformatie in Een privé-eindpunt maken.

  4. Selecteer Volgende: Resource. Voer in het deelvenster Resource de volgende gegevens in of selecteer deze:

    Instellingen Weergegeven als
    Verbindingsmethode Selecteer Verbinding maken met een Azure-resource in mijn directory.
    Abonnement Selecteer uw abonnement.
    Brontype Selecteer Microsoft.PowerBI/privateLinkServicesForPowerBI
    Bron Kies de Infrastructuurresource die u in stap 2 hebt gemaakt.
    Subresource van doel Tenant

    In de volgende afbeelding ziet u het venster Een privé-eindpunt maken - Resource .

    Schermopname van het venster een privé-eindpuntresource maken.

  5. Selecteer Volgende: Virtueel netwerk. Voer in Virtual Network de volgende gegevens in of selecteer deze.

    Instellingen Weergegeven als
    NETWERKEN
    Virtueel netwerk Selecteer vnet-1 die u in stap 3 hebt gemaakt.
    Subnet Selecteer subnet-1 waarin u in stap 3 hebt gemaakt.
    INTEGRATIE VAN PRIVÉ-DNS
    Integreren met privé-DNS-zone Selecteer Ja.
    Privé-DNS-zone Selecteer
    (Nieuw)privatelink.analysis.windows.net
    (Nieuw)privatelink.pbidedicated.windows.net
    (Nieuw)privatelink.prod.powerquery.microsoft.com

    Schermopname van het DNS-venster privé-eindpunt maken.

  6. Selecteer Volgende: Tags en vervolgens Volgende: Beoordelen en maken.

  7. Selecteer Maken.

Stap 6. Verbinding maken met een virtuele machine via Bastion

Azure Bastion beveiligt uw virtuele machines door eenvoudige, browserconnectiviteit te bieden zonder dat u ze beschikbaar hoeft te maken via openbare IP-adressen. Zie Wat is Azure Bastion? voor meer informatie.

Maak verbinding met uw virtuele machine met behulp van de volgende stappen:

  1. Maak een subnet met de naam AzureBastionSubnet in het virtuele netwerk dat u in stap 3 hebt gemaakt.

    Schermopname van het maken van AzureBastionSubnet.

  2. Voer in de zoekbalk van de portal testVM in die we in stap 4 hebben gemaakt.

  3. Selecteer de knop Verbinding maken en kies Verbinding maken via Bastion in de vervolgkeuzelijst.

    Schermopname van de optie Verbinding maken via Bastion.

  4. Selecteer Bastion implementeren.

  5. Voer op de pagina Bastion de vereiste verificatiereferenties in en klik vervolgens op Verbinding maken.

Stap 7. Privétoegang tot Fabric krijgen vanaf de VIRTUELE machine

De volgende stap is om privé toegang te krijgen tot Fabric, vanaf de virtuele machine die u in de vorige stap hebt gemaakt, met behulp van de volgende stappen:

  1. Open PowerShell op de virtuele machine.

  2. Voer nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net in.

  3. U ontvangt een antwoord dat lijkt op het volgende bericht en u kunt zien dat het privé-IP-adres wordt geretourneerd. U kunt zien dat het OneLake-eindpunt en het warehouse-eindpunt ook privé-IP-adressen retourneren.

    Schermopname van IP-adressen die zijn geretourneerd in PowerShell.

  4. Open de browser en ga naar app.fabric.microsoft.com om privé toegang te krijgen tot Fabric.

Stap 8. Openbare toegang voor Fabric uitschakelen

Ten slotte kunt u optioneel openbare toegang uitschakelen voor Fabric.

Als u openbare toegang voor Fabric uitschakelt, worden bepaalde beperkingen voor toegang tot Fabric-services ingesteld, zoals beschreven in de volgende sectie.

Belangrijk

Wanneer u Internettoegang blokkeren inschakelt, worden sommige niet-ondersteunde Fabric-items uitgeschakeld. Meer informatie over de volledige lijst met beperkingen en overwegingen in Over privékoppelingen

Als u openbare toegang voor Fabric wilt uitschakelen, meldt u zich als beheerder aan bij Fabric en gaat u naar de beheerportal. Selecteer Tenantinstellingen en schuif naar de sectie Geavanceerd netwerken . Schakel de wisselknop in de tenantinstelling Openbare internettoegang blokkeren in.

Schermopname van de tenantinstelling Openbare internettoegang blokkeren ingeschakeld.

Het duurt ongeveer 15 minuten voordat het systeem de toegang van uw organisatie tot Fabric vanaf het openbare internet uitschakelt.

Voltooiing van configuratie van privé-eindpunt

Nadat u de stappen in de vorige secties hebt gevolgd en de privékoppeling is geconfigureerd, implementeert uw organisatie privékoppelingen op basis van de volgende configuratieselecties, ongeacht of de selectie is ingesteld bij de eerste configuratie of vervolgens is gewijzigd.

Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is ingeschakeld:

  • Infrastructuur is alleen toegankelijk voor uw organisatie vanuit privé-eindpunten en is niet toegankelijk vanaf het openbare internet.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, wordt geblokkeerd door de service en werkt niet.
  • Er kunnen scenario's zijn die geen ondersteuning bieden voor privékoppelingen, die daarom worden geblokkeerd bij de service wanneer openbare internettoegang blokkeren is ingeschakeld.

Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is uitgeschakeld:

  • Verkeer vanaf het openbare internet wordt toegestaan door Fabric-services.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk dat gericht is op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, worden vervoerd via het openbare internet en worden toegestaan door Fabric-services.
  • Als het virtuele netwerk is geconfigureerd om openbare internettoegang te blokkeren, worden scenario's die geen ondersteuning bieden voor privékoppelingen geblokkeerd door het virtuele netwerk en werken ze niet.

In de volgende video ziet u hoe u een mobiel apparaat verbindt met Fabric met behulp van privé-eindpunten:

Notitie

In deze video kunnen eerdere versies van Power BI Desktop of de Power BI-service worden gebruikt.

Meer vragen? Vraag het de Fabric Community.

Als u de instelling Private Link wilt uitschakelen, moet u ervoor zorgen dat alle privé-eindpunten die u hebt gemaakt en de bijbehorende privé-DNS-zone worden verwijderd voordat u de instelling uitschakelt. Als uw VNet privé-eindpunten heeft ingesteld, maar Private Link is uitgeschakeld, kunnen verbindingen van dit VNet mislukken.

Als u de instelling Private Link wilt uitschakelen, wordt u aangeraden dit tijdens niet-kantooruren te doen. Het kan tot 15 minuten downtime duren voor sommige scenario's de wijziging weerspiegelen.

Gerelateerde inhoud