Compartilhar via


Ajustar configurações de comunicação para gateway de dados local

Este artigo descreve várias configurações de comunicação associadas ao gateway de dados local. Essas configurações precisam ser ajustadas para dar suporte a conexões de fonte de dados e acesso de destino de saída.

Habilitar as conexões de saída do Azure

O gateway depende da Retransmissão do Azure para conectividade de nuvem. O gateway estabelece conexões de saída fazendo a correspondência com sua região do Azure associada.

Se você se registrou para um locatário do Power BI ou um locatário do Office 365, a região do Azure usará a região desse serviço como padrão. Caso contrário, a região do Azure será a mais próxima de você.

Se um firewall bloquear as conexões de saída, será necessário configurá-lo para permitir conexões de saída do gateway com a região do Azure associada. As regras de firewall no servidor de gateway e/ou nos servidores proxy do cliente precisam ser atualizadas para permitir o tráfego de saída do servidor de gateway para os pontos de extremidade abaixo. Se o firewall não der suporte a curingas, utilize os endereços IP de Intervalos de IP e marcas de Serviço do Azure. Observe que eles precisarão ser mantidos em sincronia todos os meses.

Portos

O gateway se comunica nas seguintes portas de saída: TCP 443, 5671, 5672 e de 9350 a 9354. O gateway não exige portas de entrada.

Recomendamos que você permita o DNS (Sistema de Nomes de Domínio) "*.servicebus.windows.net". Para obter diretrizes de como configurar o firewall e/ou o proxy local usando FQDNs (nomes de domínio totalmente qualificados) em vez de usar endereços IP que estão sujeitos a alterações, siga as etapas em Suporte ao DNS da Retransmissão do WCF do Azure.

Como alternativa, permita os endereços IP para sua região de dados no seu firewall. Use os arquivos JSON indicados abaixo, que são atualizados semanalmente.

Ou, obtenha lista de portas necessárias executando o teste de portas de rede periodicamente no aplicativo de gateway.

O gateway se comunica com a Retransmissão do Azure usando FQDNs. Se você forçar o gateway a se comunicar por HTTPS, ele usará somente FQDNs e não se comunicará usando endereços IP.

Observação

A lista de IPs do datacenter do Azure mostra os endereços IP na notação CIDR (Roteamento entre Domínios sem Classificação). Um exemplo dessa notação é 10.0.0.0/24, o que não significa de 10.0.0.0 a 10.0.0.24. Saiba mais sobre a notação CIDR.

A lista a seguir descreve os FQDNs usados pelo Gateway. Esses pontos de extremidade são necessários para que o gateway funcione.

Nomes de domínio da nuvem pública Portas de saída Descrição
*.download.microsoft.com 80 Usado para baixar o instalador. O aplicativo de gateway também usa esse domínio para verificar a versão e a região do gateway.
*.powerbi.com 443 Usado para identificar o cluster do Power BI relevante.
*.analysis.windows.net 443 Usado para identificar o cluster do Power BI relevante.
*.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com 443 Usado para autenticar o aplicativo de gateway para o Microsoft Entra ID e OAuth2. Observe que URLs adicionais podem ser necessárias como parte do processo de entrada do Microsoft Entra ID que pode ser exclusivo para um locatário.
*.servicebus.windows.net 5671-5672 Usado pelo AMQP (Advanced Message Queuing Protocol).
*.servicebus.windows.net 443 e de 9350 a 9354 Escuta na Retransmissão do Azure por TCP. A porta 443 é necessária para obter tokens de Controle de Acesso do Azure.
*.msftncsi.com 80 Usado para testar a conectividade da Internet quando o serviço do Power BI não consegue acessar o gateway.
*.dc.services.visualstudio.com 443 Usado pelo AppInsights para coletar a telemetria.
*.frontend.clouddatahub.net 443 Necessário para a execução do Pipeline do Fabric.

Para GCC, GCC High e DoD, os FQDNs a seguir são usados pelo gateway.

Portas GCC GCC High DoD
80 *.download.microsoft.com *.download.microsoft.com *.download.microsoft.com
443 *.powerbigov.us, *.powerbi.com *.high.powerbigov.us *.mil.powerbigov.us
443 *.analysis.usgovcloudapi.net *.high.analysis.usgovcloudapi.net *.mil.analysis.usgovcloudapi.net
443 *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net Acessar a documentação Acessar a documentação
5671-5672 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 e de 9350 a 9354 *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net *.servicebus.usgovcloudapi.net
443 *.core.usgovcloudapi.net *.core.usgovcloudapi.net *.core.usgovcloudapi.net
443 *.login.microsoftonline.com *.login.microsoftonline.us *.login.microsoftonline.us
443 *.msftncsi.com *.msftncsi.com *.msftncsi.com
443 *.microsoftonline p.com *.microsoftonline p.com *.microsoftonline p.com
443 *.dc.applicationinsights.us *.dc.applicationinsights.us *.dc.applicationinsights.us

Para a nuvem da China (Mooncake), os FQDNs a seguir são usados pelo gateway.

Portas Nuvem da China (Mooncake)
80 *.download.microsoft.com
443 *.powerbi.cn
443 *.asazure.chinacloudapi.cn
443 *.login.chinacloudapi.cn
5671-5672 *.servicebus.chinacloudapi.cn
443 e de 9350 a 9354 *.servicebus.chinacloudapi.cn
443 *.chinacloudapi.cn
443 login.partner.microsoftonline.cn
443 Sem equivalente ao Mooncake. Não é necessário para executar o gateway e é usado apenas para verificar a rede durante condições de falha
443 Nenhum equivalente ao Mooncake — usado durante a entrada do Microsoft Entra ID. Para obter mais informações sobre os pontos de extremidade do Microsoft Entra ID, acesse Verificar os pontos de extremidade no Azure
443 applicationinsights.azure.cn
433 clientconfig.passport.net
433 aadcdn.msftauth.cn
433 aadcdn.msauth.cn

Observação

Depois que o gateway é instalado e registrado, as únicas portas e endereços IP necessários são os necessários para a Retransmissão do Azure, conforme a descrição de servicebus.windows.net na tabela anterior. Você pode obter a lista de portas necessárias executando o Teste de portas de rede periodicamente no aplicativo de gateway. Você também pode forçar o gateway a se comunicar usando HTTPS.

Abrindo portas para o Fabric Dataflow Gen1 e Gen2 usando o gateway

Quando qualquer carga de trabalho baseada em mashup (por exemplo, modelos semânticos, fluxos de dados de malha e assim por diante) contém uma consulta que se conecta a fontes de dados locais (usando um gateway de dados local) e fontes de dados na nuvem, toda a consulta é executada no mecanismo de mashup do gateway de dados local. Portanto, os pontos de extremidade devem ser abertos para permitir que o gateway de dados local em todas as cargas de trabalho baseadas em mashup tenha acesso de linha de visão às fontes de dados na nuvem para a fonte de dados e o destino de saída.

Especialmente para o Fabric Dataflow Gen1 e Gen2, os pontos de extremidade a seguir também devem estar abertos para permitir o acesso do gateway de dados local ao Azure Data Lake e às fontes de dados de nuvem do lakehouse de preparo do Fabric.

Nomes de domínio de nuvem pública Portas de saída Descrição
*.core.windows.net 443 Usado pelo Dataflow Gen1 para gravar dados no Azure Data Lake.
*.dfs.fabric.microsoft.com 1433 Endpoint usado pelo Dataflow Gen1 e Gen2 para se conectar ao OneLake. Saiba mais
*.datawarehouse.pbidedicated.windows.net 1433 Ponto de extremidade antigo usado pelo Dataflow Gen2 para se conectar ao lakehouse de preparo. Saiba mais
*.datawarehouse.fabric.microsoft.com 1433 Novo ponto de extremidade usado pelo Dataflow Gen2 para se conectar ao lakehouse de preparo. Saiba mais

Observação

*.datawarehouse.pbidedicated.windows.net será substituído por *.datawarehouse.fabric.microsoft.com. Durante esse processo de transição, certifique-se de que ambos os pontos de extremidade estejam abertos para garantir a atualização do Dataflow Gen2.

Teste de portas de rede

Para testar se o gateway tem acesso a todas as portas necessárias:

  1. No computador que está executando o gateway, insira "gateway" na pesquisa do Windows e selecione o aplicativo Gateway de dados local.

  2. Selecione Diagnóstico. Em Teste de portas de rede, selecione Iniciar novo teste.

    Como iniciar um novo teste das portas de rede.

Quando o gateway executa o teste de portas de rede, ele recupera uma lista de portas e servidores da Retransmissão do Azure e tenta se conectar a todos eles. Quando o link Iniciar novo teste for exibido novamente, o teste de portas de rede terá sido concluído.

O resultado de resumo do teste é "Concluído (Bem-sucedido)" ou "Concluído (Com falha, confira os últimos resultados do teste)". Se o teste for bem-sucedido, o gateway terá se conectado a todas as portas necessárias. Se o teste falhar, o ambiente de rede poderá ter bloqueado as portas e os servidores necessários.

Observação

Com frequência, os firewalls permitem tráfego em sites bloqueados de maneira intermitente. Mesmo se um teste for bem-sucedido, ainda poderá ser necessário incluir o servidor na lista de permitidos no firewall.

Para ver os resultados do último teste concluído, selecione o link Abrir resultados do último teste concluído. Os resultados do teste são abertos no editor de texto padrão.

Os resultados do teste listam todos os servidores, as portas e os endereços IP que o gateway exige. Se os resultados do teste exibirem "Fechado" para qualquer porta, conforme mostrado na captura de tela a seguir, verifique se o ambiente de rede não bloqueou essas conexões. Talvez seja necessário entrar em contato com o administrador da rede para abrir as portas necessárias.

Resultados do teste mostrados no Bloco de notas.

Forçar comunicação HTTPS com a Retransmissão do Azure

Você pode forçar o gateway a se comunicar com a Retransmissão do Azure usando HTTPS em vez de TCP direto.

Observação

Começando com a versão do gateway de junho de 2019 e com base nas recomendações da Retransmissão, as novas instalações usam HTTPS como padrão em vez de TCP. Esse comportamento padrão não se aplica a instalações atualizadas.

Você pode usar o aplicativo de gateway para forçar o gateway a adotar esse comportamento. No aplicativo de gateway, selecione Rede e ative o modo HTTPS.

Configurar o modo HTTPS.

Depois que você fizer essa alteração e selecionar Aplicar, o serviço Windows de gateway será reiniciado automaticamente para que a alteração entre em vigor. O botão Aplicar aparece somente quando você faz uma alteração.

Para reiniciar o serviço Windows de gateway por meio do aplicativo de gateway, confira Reiniciar um gateway.

Observação

Se o gateway não puder se comunicar usando TCP, ele usará HTTPS automaticamente. A seleção no aplicativo de gateway sempre reflete o valor do protocolo atual.

TLS 1.3 para tráfego de gateway

Por padrão, o gateway usa o TLS (Transport Layer Security) 1.3 para se comunicar com o serviço do Power BI. Para garantir que todo o tráfego de gateway use o TLS 1.3, talvez seja necessário adicionar ou modificar as seguintes chaves do Registro no computador que executa o serviço de gateway.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Observação

A adição ou modificação dessas chaves do Registro aplica a alteração a todos os aplicativos .NET. Para obter informações sobre as alterações no registro que afetam o TLS em outros aplicativos, consulte Configurações do Registro do protocolo TLS.

Marcas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. O gateway de dados depende das seguintes marcas de serviço:

  • PowerBI
  • ServiceBus
  • AzureActiveDirectory
  • AzureCloud

O gateway de dados local usa a Retransmissão do Azure para comunicação. No entanto, não há marcas de serviço para o serviço Retransmissão do Azure. As marcas de serviço do ServiceBus ainda são necessárias, embora se apliquem ao recurso de filas e tópicos do serviço, mesmo que não para a Retransmissão do Azure.

A marca de serviço AzureCloud representa todos os endereços IP globais do datacenter do Azure. Como o serviço Retransmissão do Azure é criado com base na Computação do Azure, os IPs públicos da Retransmissão do Azure são um subconjunto dos IPs do AzureCloud. Mais informações: Visão geral das marcas de serviço do Azure

Próximas etapas