Compartilhar via


Configurar e usar links privados

No caso do Fabric, você pode configurar e usar um ponto de extremidade que permite à organização acessar o Fabric de modo privado. Para configurar pontos de extremidade privados, você precisa ser um administrador do Fabric e ter permissões no Azure para criar e configurar recursos como VMs (máquinas virtuais) e VNets (redes virtuais).

Veja as seguintes etapas para acessar o Fabric com segurança por meio de pontos de extremidade privados:

  1. Configurar pontos de extremidade privados para o Fabric.
  2. Crie serviços de link privado do Microsoft.PowerBI para o recurso do Power Bi no portal do Azure.
  3. Crie uma rede virtual.
  4. Criar uma VM (máquina virtual).
  5. Crie um ponto de extremidade privado.
  6. Conecte-se à VM usando o Bastion.
  7. Acesse o Fabric na máquina virtual em modo privado.
  8. Desative o acesso público ao Fabric.

As seções a seguir fornecem mais informações sobre cada etapa.

Etapa 1. Configure pontos de extremidade privados para o Fabric

  1. Inicie sessão à Fabric como administrador.

  2. Vá para as configurações do locatário.

  3. Procure e expanda a configuração Link privado do Azure.

  4. Defina a alternância como Habilitado.

    Captura de tela que mostra a configuração do locatário do Link Privado do Azure.

Leva cerca de 15 minutos para configurar um link privado para o locatário. Isso inclui a configuração de um FQDN (nome de domínio totalmente qualificado) separado para o locatário a fim de se comunicar de forma privada com os serviços do Fabric.

Depois que esse processo for concluído, você poderá avançar para a próxima etapa.

Esta etapa é usada para oferecer suporte à associação do ponto de extremidade privado do Azure com o recurso do Fabric.

  1. Entre no portal do Azure.

  2. Selecione Criar um recurso.

  3. Em Implantação de modelo, selecione Criar.

    Captura de tela do link “Criar um modelo” na seção “Criar um recurso”.

  4. Na página Implantação personalizada, selecione Criar seu modelo no editor.

    Captura de tela da opção “Criar seu próprio modelo”.

  5. No editor, crie o seguinte recurso para o Fabric usando o modelo do ARM, conforme mostrado abaixo, em que

    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
          {
              "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
              "apiVersion": "2020-06-01",
              "name" : "<resource-name>",
              "location": "global",
              "properties" : 
              {
                   "tenantId": "<tenant-object-id>"
              }
          }
      ]
    }
    

    Se você estiver usando uma nuvem do Azure Governamental para o Power BI, location deverá ser o nome da região do locatário. Por exemplo, se o locatário estiver no US Gov - Texas, você deverá colocar "location": "usgovtexas" no modelo do ARM. A lista de regiões do Governo dos EUA do Power BI pode ser encontrada no artigo Power BI para o governo dos EUA.

    Importante

    Use Microsoft.PowerBI/privateLinkServicesForPowerBI como type valor, mesmo que o recurso esteja sendo criado para o Fabric.

  6. Salve o modelo. Em seguida, insira as informações a seguir.

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Escolha **Criar novo. Insira teste-PL como nome. Selecione OK.
    Detalhes da instância Selecione a região.
    Region

    Captura de tela da guia Noções Básicas de Implantação Personalizada.

  7. Na tela de revisão, selecione Criar para aceitar os termos e as condições.

    Captura de tela dos termos do Azure Marketplace.

Etapa 3. Criar uma rede virtual

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Azure Bastion.

O número de endereços IP de que sua sub-rede precisará é o número de capacidades que você criou em seu locatário mais quinze. Por exemplo, se você estiver criando uma sub-rede para um locatário com sete capacidades, precisará de vinte e dois endereços IP.

  1. No portal do Azure, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Escolha teste-PL, o nome que criamos na Etapa 2.
    Detalhes da instância
    Nome Insira vnet-1.
    Region Selecione a região onde você iniciará a conexão com o Fabric.

    Captura de tela da guia “Básico” em “Criar uma rede virtual”.

  4. Escolha Avançar para prosseguir para a guia Segurança. Você pode deixar como padrão ou alterar com base na necessidade dos negócios.

  5. Escolha Avançar para prosseguir para a tab Endereços IP. Você pode deixar como padrão ou alterar com base na necessidade dos negócios.

    Captura de tela da guia Endereços IP em Criar uma Rede Virtual.

  6. Selecione Salvar.

  7. Escolha Revisar + criar na parte inferior da tela. Quando a validação for aprovada na validação, selecione Criar.

Etapa 4. Criar uma máquina virtual

A próxima etapa é criar uma máquina virtual.

  1. No portal do Azure, navegue até Criar um recurso > Computação > Máquina virtual.

  2. Na guia Básico, insira ou selecione as informações a seguir:

    Configurações Valor
    Detalhes do projeto
    Subscription Selecione sua Assinatura do Azure.
    Resource group Escolha o grupo de recursos fornecido na Etapa 2.
    Detalhes da instância
    Nome da máquina virtual Insira um nome para a nova máquina virtual. Escolha o balão de informações ao lado do nome de campo para ver informações importantes sobre nomes das máquinas virtuais.
    Region Escolha a região selecionada na Etapa 3.
    Opções de disponibilidade Para teste, escolha Não requer redundância de infraestrutura
    Tipo de segurança Deixar o padrão.
    Imagem Escolha a imagem desejada. Por exemplo, escolha Windows Server 2022.
    Arquitetura de VMs Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    CONTA DE ADMINISTRADOR
    Nome de Usuário Insira um nome de usuário de sua escolha.
    Senha Insira uma senha de sua escolha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar senha Reinsira a senha.
    REGRAS DE PORTA DE ENTRADA
    Porta de entrada públicas Escolha Nenhuma.

    Captura de tela da guia Noções Básicas para Criar uma VM.

  3. Selecione Avançar: Discos.

  4. Na tab Disks, mantenha os padrões e escolha Avançar: Redes.

  5. Na tab Rede, escolha as seguintes informações:

    Configurações Valor
    Rede virtual Escolha a rede virtual criada na etapa 3.
    Sub-rede Escolha o padrão (10.0.0.0/24) que você criou na Etapa 3.

    Mantenha os padrões para o restante dos campos.

    Captura de tela da guia Criar um Sistema de Rede de VMs.

  6. Selecione Examinar + criar. Você é levado até a página Examinar + criar, na qual o Azure valida sua configuração.

  7. Quando vir a mensagem Validação aprovada, selecione Criar.

Etapa 5. Criar um ponto de extremidade privado

A próxima etapa é criar um ponto de extremidade privado para o Fabric.

  1. Na caixa de pesquisa, na parte superior do portal, insira Ponto de extremidade privado. Selecionar pontos de extremidade privados.

  2. Selecione + Criar em Pontos de extremidade privados.

  3. Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as informações a seguir:

    Configurações Valor
    Detalhes do projeto
    Subscription Selecione sua Assinatura do Azure.
    Resource group Escolha o grupo de recursos criado na Etapa 2.
    Detalhes da instância
    Nome Insira FabricPrivateEndpoint. Se esse nome já estiver sendo usado, crie um nome exclusivo.
    Region Selecione a região que criada para a rede virtual na Etapa 3.

    A imagem a seguir mostra a janela Criar um ponto de extremidade privado – Informações Básicas.

    Captura de tela da guia “Básico” em “Criar um ponto de extremidade privado”.

  4. Selecione Avançar: Recurso. No painel Recurso, insira ou selecione as informações a seguir:

    Configurações Valor
    Método de conexão Selecione conectar-se a um recurso do Azure em meu diretório.
    Subscription Selecione sua assinatura.
    Tipo de recurso Selecione Microsoft.PowerBI/privateLinkServicesForPowerBI
    Recurso Escolha o recurso do Fabric que você criou na Etapa 2.
    Sub-recurso de destino Locatário

    A imagem a seguir mostra a janela Criar um ponto de extremidade privado – Recurso.

    Captura de tela da janela Criar um recurso de ponto de extremidade privado.

  5. Selecione Próximo: Rede Virtual. Em Rede virtual, insira ou selecione as informações a seguir.

    Configurações Valor
    REDE
    Rede virtual Selecione vnet-1 que você criou na Etapa 3.
    Sub-rede Escolha a sub-rede-1 criada na Etapa 3.
    INTEGRAÇÃO DE DNS PRIVADO
    Integrar com a zona DNS privado Selecione Sim na barra superior.
    Zona DNS privado Selecione
    (Novo)privatelink.analysis.windows.net
    (Novo)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Captura de tela da janela Criar DNS de ponto de extremidade privado.

  6. Selecione Avançar: Tags, depois Avançar: Examinar + criar.

  7. Selecione Criar.

Etapa 6. Conecte-se a uma VM usando o Azure Bastion

O Azure Bastion protege as máquinas virtuais fornecendo conectividade leve baseada em browser sem a necessidade de expô-las por meio de endereços IP públicos. Para obter mais informações, confira O que é o Azure Bastion?.

Conecte-se à VM usando as etapas a seguir:

  1. Crie uma sub-rede chamada AzureBastionSubnet na rede virtual criada na Etapa 3.

    Captura de tela da criação da sub-rede AzureBastionSubnet.

  2. Na barra de pesquisa no portal, insira testVM que criamos na Etapa 4.

  3. Escolha o botão Connect e escolha Conexão via Bastion no menu suspenso.

    Captura de tela da opção Conectar por meio do Bastion.

  4. Selecione Implementar Bastion.

  5. Na página Bastion, insira as credenciais de autenticação necessárias e clique em Conectar.

Etapa 7. Acesse o Fabric na VM em modo privado

A próxima etapa será acessar o Fabric em modo privado na máquina virtual criada na etapa anterior usando as seguintes etapas:

  1. Na máquina virtual, abra o PowerShell.

  2. Digite nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Você recebe uma resposta semelhante à seguinte mensagem e pode ver que o endereço IP privado é retornado. Você pode ver que o ponto de extremidade OneLake e o ponto de extremidade Warehouse também devolvem IPs privados.

    Captura de tela que mostra endereços IP retornados no PowerShell.

  4. Abra o browser e vá para app.fabric.microsoft.com para acessar o Fabric de modo privado.

Etapa 8. Desabilite o acesso público ao Fabric

Por fim, opcionalmente, você pode desabilitar o acesso público para o Fabric.

Se você desabilitar o acesso público para o Fabric, determinadas restrições sobre o acesso aos serviços do Fabric serão implementadas, descritas na próxima seção.

Importante

Quando você ativa o recurso Bloquear acesso à Internet, alguns itens de Fabric sem suporte serão desabilitados. Saiba mais sobre limitações e considerações em Sobre links privados

Para desabilitar o acesso público para o Fabric, inicie a sessão no Fabric como administrador e navegue até o portal Administração. Selecione Configurações de locatário e role a página até a seção Rede avançada. Habilite o botão de alternância na configuração do locatário Bloquear acesso público à internet.

Captura de tela que mostra a configuração do locatário Bloquear o Acesso Público à Internet habilitada.

São necessários aproximadamente 15 minutos para que o sistema desabilite o acesso da organização ao Fabric na internet pública.

Conclusão da configuração de ponto de extremidade privado

Depois que você seguir as etapas nas seções anteriores e configurar com sucesso o link privado, sua organização implementará links privados com base nas seleções de configuração a seguir, independentemente da seleção ter sido definida na configuração inicial ou ser alterada posteriormente.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:

  • O Fabric só poderá ser acessado pela organização a partir de pontos de extremidade privados e não poderá ser acessado pela internet pública.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
  • O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não dão suporte a links privados será bloqueado pelo serviço e não funcionará.
  • Como pode haver cenários sem suporte para links privados, eles estarão bloqueados no serviço quando a opção Bloquear acesso público à internet estiver habilitado.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:

  • O tráfego da Internet pública será permitido pelos serviços do Fabric.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
  • O tráfego da rede virtual que direciona pontos de extremidade e cenários que não dão suporte a links privados será transportado pela Internet pública e será permitido pelos serviços do Fabric.
  • Se a rede virtual estiver configurada para bloquear o acesso público à internet, cenários que não dão suporte a links privados serão bloqueados pela rede virtual e não funcionarão.

O seguinte vídeo mostra instruções para conectar um dispositivo móvel ao Fabric usando pontos de extremidade privados:

Observação

Este vídeo pode usar versões anteriores do Power BI Desktop ou do serviço do Power BI.

Mais perguntas? Pergunte à comunidade do Fabric.

Se você quiser desabilitar a configuração de Link Privado, verifique se todos os pontos de extremidade privados criados e a zona DNS privada correspondente serão excluídos antes de desabilitar a configuração. Se a sua VNet tiver um ponto de extremidade privado configurado, mas o Link Privado estiver desabilitado, as conexões dessa VNet poderão falhar.

Se você for desabilitar a configuração de Link Privado, é recomendável fazer isso durante o horário não comercial. Pode levar até 15 minutos de tempo de inatividade para alguns cenários refletirem a alteração.