設定和使用私人連結

在 Fabric 中，您可設定並使用端點，讓組織能夠私下存取 Fabric。 若要設定私人端點，您必須是 Fabric 系統管理員，且在 Azure 中具有建立和設定資源 (例如虛擬機器 (VM) 與虛擬網路 (VNet)) 的權限。

允許您從私人端點安全存取 Fabric 的步驟包括：

1. 設定 Fabric 的私人端點。
2. 在 Azure 入口網站中建立 Power BI 資源的 Microsoft.PowerBI 私人連結服務。
3. 建立虛擬網路。
4. 建立虛擬機器 (VM)。
5. 建立私人端點。
6. 使用 Bastion 連線到 VM。
7. 從虛擬機器私下存取 Fabric。
8. 停用 Fabric 的公用存取。

下列各節提供每個步驟的詳細資訊。

步驟 1： 設定 Fabric 的私人端點

1. 以管理員身分登入 Fabric。

2. 轉至租用戶設定。

3. 尋找並展開 Azure Private Link 設定。

4. 切換設定為 [啟用]。

   

設定租用戶的私人連結大約需要 15 分鐘。 這包括為租用戶設定單獨的 FQDN (完整網域名稱)，以便與 Fabric 服務私下通訊。

完成此程序後，可以繼續進行下一個步驟。

步驟 2。 在 Azure 入口網站中建立 Power BI 資源的 Microsoft.PowerBI 私人連結服務

此步驟用於支援 Azure 私人端點與 Fabric 資源的關聯。

1. 登入 Azure 入口網站。

2. 選取 [建立資源]。

3. 在 [範本部署] 下，選取 [建立]。

   

4. 在 [自訂部署] 頁面上，選取 [在編輯器中建置您自己的範本]。

   

5. 在編輯器中，如下所示使用 ARM 範本建立下列 Fabric 資源，其中

   • <resource-name> 是您為 Fabric 資源選擇的名稱。
   • <tenant-object-id> 是您的 Microsoft Entra 租用戶識別碼。 請參閱如何尋找您的 Microsoft Entra 租用戶識別碼。

   {
     "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {},
     "resources": [
         {
             "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
             "apiVersion": "2020-06-01",
             "name" : "<resource-name>",
             "location": "global",
             "properties" : 
             {
                  "tenantId": "<tenant-object-id>"
             }
         }
     ]
   }
   

   如果針對 Power BI 使用 Azure Government 雲端，location 應該是租用戶的區域名稱。 例如，如果租用戶位於 US Gov 德克薩斯州，則您應該將在 ARM 範本中輸入 "location": "usgovtexas"。 如需 Power BI 美國政府區域的清單，請參閱適用於美國政府的 Power BI 一文。

   重要

   使用 Microsoft.PowerBI/privateLinkServicesForPowerBI 作為 type 值，即使正在為 Fabric 建立資源。

6. 儲存範本。 然後輸入下列資訊。

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [**新建]。 輸入 test-PL 作為名稱。 選取 [確定]。
   [執行個體詳細資料]	選取區域。
   區域

   

7. 在檢閱畫面上，選取 [建立] 以接受條款及條件。

   

步驟 3： 建立虛擬網路

下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。

子網路所需的 IP 位址數目是在租用戶上建立的容量數目再加上十五。 例如，如果您要為具有七個容量的租用戶建立子網路，則需要二十二個 IP 位址。

1. 在 Azure 入口網站中，搜尋並選取 [虛擬網路]。

2. 在 [虛擬網路] 頁面上，選取 [+ 建立]。

3. 在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 test-PL，這是我們在步驟 2 中建立的名稱。
   [執行個體詳細資料]
   名稱	輸入 vnet-1。
   區域	選取您要啟動 Fabric 連線的區域。

   

4. 選取 [下一步] 以繼續進行 [安全性] 索引標籤。您可以保留為預設值，或根據商務需求進行變更。

5. 選取 [下一步] 以繼續進行 [IP 位址] 索引標籤。您可以保留為預設值，或根據商務需求進行變更。

   

6. 選取儲存。

7. 選取畫面底部的 [檢閱 + 建立]。 通過驗證後，選取 [建立]。

步驟 4. 建立虛擬機器

建立虛擬機器的下一個步驟。

1. 在 Azure 入口網站中，轉至 [建立資源] > [計算] > [虛擬機器]。

2. 在 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的 Azure [訂用帳戶]。
   資源群組	選取您在步驟 2 中提供的資源群組。
   [執行個體詳細資料]
   虛擬機器名稱	輸入新虛擬機器的名稱。 選取欄位名稱旁的資訊泡泡，以查看虛擬機器名稱的重要資訊。
   區域	選取您在步驟 3 中選取的區域。
   可用性選項	對於測試，選擇 [不需要基礎結構備援]
   安全性類型	保留預設值。
   映像	選取您需要的影像。 例如，選擇 Windows Server 2022。
   VM 架構	保留預設值 [x64]。
   大小	選取大小。
   系統管理員帳戶
   使用者名稱	輸入您選擇的使用者名稱。
   密碼	輸入您選擇的密碼。 密碼長度至少必須有 12 個字元，而且符合定義的複雜度需求。
   確認密碼	重新輸入密碼。
   輸入連接埠規則
   公用輸入連接埠	選擇 [無]。

   

3. 完成時，選取 [下一步: 磁碟]。

4. 在 [磁碟] 索引標籤中，保留預設值，然後選取 [下一步：網路]。

5. 在 [網路] 索引標籤中，選取下列資訊：

   設定	值
   虛擬網路	選取步驟 3 中所建立的虛擬網路。
   子網路	選取您在步驟 3 中建立的預設值 (10.0.0.0/24)。

   對於其餘欄位，保留預設值。

   

6. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面，其中 Azure 會驗證您的設定。

7. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

步驟 5： 建立私人端點

下一個步驟是建立 Fabric 的私人端點。

1. 在入口網站頂端的搜尋方塊中，輸入私人端點。 選取 [私人端點]。

2. 在[私人端點] 中選取 [+ 建立]。

3. 在 [建立私人端點] 的 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的 Azure [訂用帳戶]。
   資源群組	選取您在步驟 2 中建立的資源群組。
   [執行個體詳細資料]
   名稱	輸入 FabricPrivateEndpoint。 如果此名稱已被使用，請建立唯一名稱。
   區域	選取您在步驟 3 中為虛擬網路建立的區域。

   下圖顯示 [建立私人端點 - 基本] 視窗。

   

4. 選取 [下一步：資源]。 在 [資源] 窗格中，輸入或選取下列資訊：

   設定	值
   連線方式	選取 [連線到我目錄中的 Azure 資源]。
   訂用帳戶	選取您的訂用帳戶。
   資源類型	選取 [Microsoft.PowerBI/privateLinkServicesForPowerBI]
   資源	選擇您在步驟 2 中建立的 Fabric 資源。
   目標子資源	租用戶

   下圖顯示 [建立私人端點 - 資源] 視窗。

   

5. 選取 [下一步：虛擬網路]。 在 [建立虛擬網路] 中，輸入或選取下列資訊。

   設定	值
   網路
   虛擬網路	選取您在步驟 3 中建立的 vnet-1。
   子網路	選取您在步驟 3 中建立的 subnet-1。
   私人 DNS 整合
   與私人 DNS 區域整合	選取 [是]。
   私人 DNS 區域	選取 (New)privatelink.analysis.windows.net (New)privatelink.pbidedicated.windows.net (New)privatelink.prod.powerquery.microsoft.com

   

6. 選取 [下一步：標記]，然後選取 [下一步：檢閱 + 建立]。

7. 選取 建立。

步驟 6。 使用 Bastion 連線到 VM

Azure Bastion 透過提供輕量、瀏覽器型連線功能來保護虛擬機器，而不需要透過公用 IP 位址公開它們。 如需詳細資訊，請參閱什麼是 Azure Bastion？。

使用下列步驟連線至 VM：

1. 在步驟 3 中所建立的虛擬網路中建立名為 AzureBastionSubnet 的子網路。

   

2. 在入口網站的搜尋列中，輸入我們在步驟 4 中建立的 testVM。

3. 選取 [連線] 按鈕，並從下拉式功能表選擇 [透過 Bastion 進行連線]。

   

4. 選取 [部署 Bastion]。

5. 在 Bastion 頁面上，輸入必要的驗證認證，然後按一下 [連線]。

步驟 7。 從 VM 中私下存取 Fabric

接下來，透過下列步驟，使用在先前步驟中建立的虛擬機器私下存取 Fabric：

1. 在虛擬機器中開啟 PowerShell。

2. 輸入 nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net。

3. 您會收到類似下列訊息的回應，並可以看到傳回私人 IP 位址。 您可以看到 OneLake 端點和倉儲端點也會傳回私人 IP。

   

4. 開啟瀏覽器，然後轉至 app.fabric.microsoft.com，私下存取 Fabric。

步驟 8。 停用 Fabric 的公用存取

最後，您可以選擇性停用 Fabric 的公用存取。

如果停用 Fabric 的公用存取，則會對 Fabric 服務的存取進行特定限制，如下一節所述。

重要

當您開啟 [封鎖網際網路存取] 時，將會停用某些不支援的 Fabric 項目。 了解關於私人連結中限制和考量的完整清單

若要停用 Fabric 的公用存取，請以系統管理員身分登入 Fabric，然後瀏覽至 [管理入口網站]。 選取 [租用戶設定]，並捲動至 [進階網路] 區段。 啟用 [封鎖公用網際網路存取] 租用戶設定中的切換按鈕。

系統需要大約 15 分鐘時間，才能停用組織從公用網際網路存取 Fabric。

完成私人端點設定

遵循先前各節的步驟並成功設定私人連結之後，您的組織會根據下列設定選取項目來實作私人連結，不論選取項目是在初始設定或後續變更時設定。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已啟用]：

• 您的組織僅能透過私人端點存取 Fabric，無法透過公用網際網路存取。
• 來自虛擬網路目標端點的網路和支援私人連結的案例，將透過私人連結進行傳輸。
• 來自虛擬網路目標端點的流量和不支援私人連結的案例，將遭到服務封鎖且無法運作。
• 在某些情況下不支援私人連結，因此會在 [封鎖公用網際網路存取] 設為已啟用時封鎖服務。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已停用]：

• Fabric 服務將允許來自公用網際網路的流量。
• 來自虛擬網路目標端點的網路和支援私人連結的案例，將透過私人連結進行傳輸。
• 來自虛擬網路目標端點的流量和不支援私人連結的案例將透過公用網際網路進行傳輸，且將得到 Fabric 服務的允許。
• 如果將虛擬網路設定為封鎖公用網際網路存取，則不支援私人連結的案例將會遭到虛擬網路封鎖且無法運作。

下列影片示範如何使用私人端點將行動裝置連線至 Fabric：

注意

此影片可能使用舊版的 Power BI Desktop 或 Power BI 服務。

更多問題嗎？ 詢問 Fabric 社群。

停用私人連結

如果您想要停用 Private Link 設定，請先確定您建立的所有私人端點和對應的私人 DNS 區域都會在停用設定之前刪除。 如果您的 VNet 已設定私人端點，但已停用 Private Link，則來自此 VNet 的連線可能會失敗。

如果您要停用 Private Link 設定，建議您在非上班時間執行此動作。 在某些情況下，可能需要最多 15 分鐘的停機時間，才能反映變更。

相關內容

• 關於私人連結