通过

设置和使用专用链接

  • 项目

在 Fabric 中,可以配置和使用允许你的组织私密访问 Fabric 的终结点。 要配置专用终结点,你必须是 Fabric 管理员,并且有权在 Azure 中创建和配置虚拟机 (VM) 和虚拟网络 (VNet) 等资源。

可使用以下步骤通过专用终结点安全访问 Fabric:

  1. 为 Fabric 设置专用终结点
  2. 在 Azure 门户中为 Power BI 资源创建 Microsoft.PowerBI 专用链接服务
  3. 创建虚拟网络
  4. 创建虚拟机 (VM)
  5. 创建专用终结点
  6. 使用 Bastion 连接到 VM
  7. 从虚拟机对 Fabric 进行私密访问
  8. 禁用 Fabric 的公共访问

以下部分提供有关各个步骤的更多信息。

步骤 1. 为 Fabric 设置专用终结点

  1. 以管理员身份登录 Fabric

  2. 转到租户设置

  3. 查找并展开设置 Azure 专用链接

  4. 将切换设置为“启用”。

    显示 Azure 专用链接租户设置的屏幕截图。

为租户配置专用链接需要约 15 分钟。 这包括为租户配置单独的 FQDN(完全限定的域名),以便与 Fabric 服务私下通信。

此过程完成后,便可继续下一步。

此步骤用于支持 Azure 专用终结点与 Fabric 资源关联。

  1. 登录到 Azure 门户

  2. 选择“创建资源”。

  3. 在“模板部署”下,选择“创建”。

    “创建资源”部分中的“创建模板”链接的屏幕截图。

  4. 在“自定义部署”页上,选择“在编辑器中生成自己的模板”。

    “生成自己的模板”选项的屏幕截图。

  5. 如下所示,在编辑器中,使用 ARM 模板创建以下 Fabric 资源,其中

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    如果使用的是用于 Power BI 的 Azure 政府云,location 应是租户的区域名称。 例如,假设租户在 US Gov 德克萨斯州,则应在 ARM 模板中输入 "location": "usgovtexas"。 可在美国政府 Power BI 一文中找到 Power BI 美国政府区域列表。

    重要

    Microsoft.PowerBI/privateLinkServicesForPowerBI 用作 type 值,即使正在为 Fabric 创建资源。

  6. 保存模板。 然后输入以下信息。

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择**“新建”。 为 test-PL 输入名称。 选择“确定”
    实例详细信息 选择区域。
    区域

    自定义部署基本信息选项卡的屏幕截图。

  7. 在查看屏幕上,选择“创建”以接受条款和条件。

    Azure 市场条款的屏幕截图。

步骤 3. 创建虚拟网络

以下过程创建包含资源子网、Azure Bastion 子网和 Azure Bastion 主机的虚拟网络。

子网所需的 IP 地址数是你在租户上创建的容量数加上 15。 例如,如果要为具有 7 个容量的租户创建子网,则需要 22 个 IP 地址。

  1. 在 Azure 门户中,搜索并选择“虚拟网络”。

  2. 在“虚拟网络”页面上,选择“+ 创建”。

  3. 创建虚拟网络基本信息选项卡上输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“test-PL”,即我们在步骤 2 中创建的名称。
    实例详细信息
    名称 输入“vnet-1”。
    区域 选择要在其中与 Fabric 启动连接的区域。

    “创建虚拟网络”中“基本信息”选项卡的屏幕截图。

  4. 选择“下一步”以转到“安全”选项卡。可以根据业务需求保留为默认值或进行更改。

  5. 选择“下一步”以转到“IP 地址”选项卡。可以根据业务需求保留为默认值或进行更改。

    “创建虚拟网络”的“IP 地址”的屏幕截图。

  6. 选择“保存”。

  7. 在屏幕底部选择“查看 + 创建”。 验证通过后,选择“创建”。

步骤 4. 创建虚拟机

下一步为创建虚拟机。

  1. 在 Azure 门户中,前往“创建资源”>“计算”>“虚拟机”

  2. 在“基本信息”选项卡上,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择在步骤 2 中提供的资源组。
    实例详细信息
    虚拟机名称 输入新虚拟机的名称。 选择字段名称旁边的信息气泡,以查看有关虚拟机名称的重要信息。
    区域 选择在步骤 3 中选择的区域。
    可用性选项 测试时,选择“无需基础结构冗余”
    安全类型 保留默认值。
    映像 选择需要的图像。 例如,选择 Windows Server 2022
    VM 架构 保留默认值“x64”。
    大小 选择一个大小。
    管理员帐户
    用户名 输入所选用户名。
    密码 输入所选密码。 密码必须至少 12 个字符长,且符合定义的复杂性要求
    确认密码 重新输入密码。
    入站端口规则
    公共入站端口 选择“无”

    创建 VM 基本信息选项卡的屏幕截图。

  3. 在完成时选择“下一步:磁盘”

  4. 在“磁盘”选项卡上保留默认值,然后选择“下一步:网络”

  5. 在“网络”选项卡中,选择以下信息:

    设置
    虚拟网络 选择在步骤 3 中创建的虚拟网络。
    子网 选择在步骤 3 中创建的默认值 (10.0.0.0/24)。

    对于其余字段,请保留默认值。

    创建 VM 网络选项卡的屏幕截图。

  6. 选择“查看 + 创建”。 随后你会转到“查看 + 创建”页,Azure 将在此页面验证配置。

  7. 看到“验证通过”消息时,选择“创建” 。

步骤 5。 创建专用终结点

下一步是为 Fabric 创建专用终结点。

  1. 在门户顶部的搜索框中,输入“专用终结点”。 选择“专用终结点”。

  2. 在“专用终结点”中选择“+ 创建”。

  3. 在“创建专用终结点”的“基本信息”选项卡上,输入或选择以下信息

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择在步骤 2 中创建的资源组。
    实例详细信息
    名称 输入 FabricPrivateEndpoint。 如果此名称已被使用,请创建唯一的名称。
    区域 选择在步骤 3 中为虚拟网络创建的区域。

    下图显示了“创建专用终结点 - 基本信息”窗口。

    “创建专用终结点”中“基本信息”选项卡的屏幕截图。

  4. 在完成时选择“下一步:资源”。 在“资源”窗格中,输入或选择以下信息:

    设置
    连接方法 选择“连接到我的目录中的 Azure 资源”。
    订阅 选择订阅。
    资源类型 选择 Microsoft.PowerBI/privateLinkServicesForPowerBI
    资源 选择在步骤 2 中创建的 Fabric 资源。
    目标子资源 租户

    下图显示了“创建专用终结点 - 资源”窗口。

    创建专用终结点资源窗口的屏幕截图。

  5. 选择“下一步: 虚拟网络”。 在“虚拟网络”中,输入或选择以下信息。

    设置
    网络
    虚拟网络 选择在步骤 3 中创建的 vnet-1
    子网 选择在步骤 3 中创建的 subnet-1
    专用 DNS 集成
    与专用 DNS 区域集成 请选择“是”。
    专用 DNS 区域 选择
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (新)privatelink.prod.powerquery.microsoft.com

    创建专用终结点 DNS 窗口的屏幕截图。

  6. 依次选择“下一步: 标记”、“下一步: 查看 + 创建” 。

  7. 选择创建

步骤 6。 使用 Bastion 连接到 VM

Azure Bastion 通过提供基于浏览器的轻量级连接来保护虚拟机,而无需通过公共 IP 地址进行公开。 有关详细信息,请参阅什么是 Azure Bastion?

使用以下步骤连接到 VM:

  1. 通过在步骤 3 中创建的虚拟网络,创建一个名为 AzureBastionSubnet 的子网。

    创建 AzureBastionSubnet 的屏幕截图。

  2. 在门户搜索栏中,输入我们在步骤 4 中创建的 testVM

  3. 选择“连接”按钮,然后从下拉菜单中选择“通过 Bastion 连接”

    通过 Bastion 选项连接的屏幕截图。

  4. 选择“部署 Bastion”。

  5. 在 Bastion 页上,输入所需的身份验证凭据,然后单击“连接”。

步骤 7. 从 VM 私密访问 Fabric

接下来,使用以下步骤从你在上一步中创建的虚拟机私密访问 Fabric:

  1. 在虚拟机中,打开 PowerShell。

  2. 输入 nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net

  3. 你会收到类似于以下消息的回复,并可以看到返回了专用 IP 地址。 可以看到 Onelake 终结点和仓库终结点也会返回专用 IP。

    显示返回的 IP 地址的屏幕截图。

  4. 打开浏览器并转到 app.fabric.microsoft.com,以私密访问 Fabric。

步骤 8。 禁用 Fabric 的公共访问

最后,可以选择禁用 Fabric 的公共访问。

如果禁用 Fabric 的公共访问,则会实施对 Fabric 服务访问的某些约束,这在下一部分中进行了介绍。

重要

启用“阻止 Internet 访问”时,将禁用一些不受支持的 Fabric 项目。 了解关于专用链接的限制和注意事项的完整列表

要禁用 Fabric 的公共访问,请以管理员身份登录到 Fabric,然后导航到“管理员门户”。 选择“租户设置”并滚动到“高级网络”部分 。 在“阻止公共 Internet 访问”租户设置中启用切换按钮。

启用“阻止公共 Internet 访问租户”设置的屏幕截图。

系统大约需要 15 分钟才能禁止你的组织通过公共 Internet 访问 Fabric。

完成专用终结点配置

按照前面部分中的步骤成功配置专用链接后,组织将基于以下配置选择实现专用链接,无论选择是在初始配置后设置的,还是随后更改的。

如果正确配置了 Azure 专用链接并启用了阻止公共 Internet 访问:

  • 只能通过专用终结点访问组织的 Fabric,而不能通过公共 Internet 访问它。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 虚拟网络中针对支持专用链接的终结点和场景的流量将被该服务阻止,并且不起作用。
  • 可能存在不支持专用链接的方案,为此,启用“阻止公共 Internet 访问”时,服务将阻止专用链接。

如果正确配置了 Azure 专用链接并禁用了“阻止公共 Internet 访问”:

  • Fabric 服务将允许来自公共 Internet 的流量。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过公共 Internet 进行传输,Fabric 服务将允许这些流量。
  • 如果虚拟网络配置为“阻止公共 Internet 访问”,则不支持专用链接的方案将受到虚拟网络的阻止,并且不起作用。

以下视频演示如何使用专用终结点将移动设备连接到 Fabric:

注意

此视频可能使用的是早期版本的 Power BI Desktop 或 Power BI 服务。

更多问题? 询问 Fabric 社区

如果要禁用专用链接设置,请确保在禁用专用链接设置之前删除自己创建的所有专用终结点和相应的专用 DNS 区域。 如果 VNet 设置了专用终结点,但是禁用了专用链接,则来自此 VNet 的连接可能会失败。

相关内容