В этой статье приведены ответы на часто задаваемые вопросы о подключении к учетным записям хранения, источникам данных, брандмауэрам и IP-адресам.
Резервное копирование и восстановление
Как выполнить резервное копирование и восстановление с помощью учетной записи хранения, которая защищена брандмауэром?
Azure Analysis Services не использует фиксированные IP-адреса или теги служб. Диапазоном IP-адресов, используемых серверами Analysis Services, может быть диапазон IP-адресов для региона Azure. Так как IP-адреса сервера являются переменными и могут изменяться со временем, в правилах брандмауэра необходимо разрешить использование всего диапазона IP-адресов в регионе Azure, в котором находится сервер.
Учетная запись хранения Azure находится в регионе, отличном от региона сервера Analysis Services. Как настроить параметры брандмауэра учетной записи хранения?
Если учетная запись хранения связана с другим регионом, настройте параметры брандмауэра для учетной записи хранения, чтобы разрешить доступ из выбранных сетей. В поле Диапазон адресов брандмауэра укажите диапазон IP-адресов для региона, в котором находится сервер Analysis Services. Получить диапазоны IP-адресов для регионов Azure можно на странице Диапазоны IP-адресов Azure и теги службы в общедоступном облаке. Настройка параметров брандмауэра учетной записи хранения для доступа из всех сетей поддерживается, однако предпочтительнее щелкнуть "Выбранные сети" и указать диапазон IP-адресов.
Учетная запись хранения Azure находится в том же регионе, что и сервер Analysis Services. Как настроить параметры брандмауэра учетной записи хранения?
Так как сервер Analysis Services и учетная запись хранения находятся в одном регионе, для обмена данными между ними используются внутренние диапазоны IP-адресов, поэтому настройка брандмауэра для использования выбранных сетей и указание диапазона IP-адресов не поддерживается. Если для политик организации требуется брандмауэр, в нем необходимо разрешить доступ из всех сетей.
Подключения к источнику данных
Для системы источника данных используется виртуальная сеть. Как разрешить серверам Analysis Services доступ к базе данных из виртуальной сети?
Azure Analysis Services невозможно подключить к виртуальной сети. Лучшим решением является установка и настройка локального шлюза данных в виртуальной сети, а также настройка серверов Analysis Services с помощью свойства сервера AlwaysUseGateway. Дополнительные сведения см. в статье Использование шлюза для источников данных в виртуальной сети Azure.
База данных-источник защищена брандмауэром. Как настроить брандмауэр, чтобы разрешить серверу Analysis Services доступ к базе?
Azure Analysis Services не использует фиксированные IP-адреса или теги служб. Диапазоном IP-адресов, используемых серверами Analysis Services, может быть диапазон IP-адресов для региона Azure. Необходимо указать полный диапазон IP-адресов для региона Azure сервера в правилах брандмауэра базы данных-источника. Другой и, возможно, более безопасный способ — настроить локальный шлюз данных. Затем можно настроить серверы Analysis Services с помощью свойства сервера AlwaysUseGateway и проверить, использует ли локальный шлюз данных IP-адрес, разрешенный правилами брандмауэра источника данных.
Учетные записи электронной почты потребителей
Можно ли пригласить учетные записи электронной почты потребителей (например, outlook.com и gmail.com) клиенту и предоставить разрешения на доступ к Службам Azure Analysis Services?
Да, Службы Azure Analysis Services поддерживают учетные записи B2C (учетные записи электронной почты потребителей, приглашенные в клиент Сервера). Однако существуют ограничения для таких учетных записей, например единый вход из служба Power BI отчетов live connect, может не поддерживаться для некоторых поставщиков учетных записей электронной почты потребителей.
Приложения Azure с IP-адресом
Я использую приложение Azure (например, Функции Azure или Фабрика данных Azure) с IP-адресом, который изменяется динамически. Как можно управлять правилами брандмауэра Azure Analysis Services, чтобы динамически разрешать использование IP-адреса там, где выполняется приложение?
Azure Analysis Services не поддерживает приватные каналы, виртуальные сети или теги службы. Существуют некоторые решения с открытым кодом (например, https://github.com/mathwro/Scripts/blob/master/Azure/AllowAzure-AnalysisServer.ps1) для определения IP-адреса клиентского приложения, а также автоматического и временного обновления правил брандмауэра.
Клиент, который находится за брандмауэром, может включить правило на основе URL-адресов
Я использую клиент с брандмауэром между клиентом и Интернетом для доступа к Службам Azure Analysis Services. Какой URL-адрес следует настроить, чтобы разрешить трафик проходить через брандмауэр
- api.powerbi.com;
- login.windows.net
- *.asazure.windows.net