Úprava nastavení komunikace pro místní bránu dat
Tento článek popisuje několik nastavení komunikace souvisejících s místní bránou dat. Také popisuje, jak tato nastavení upravit.
Povolení odchozích připojení Azure
Brána se spoléhá na Azure Service Bus pro cloudové připojení. Brána odpovídajícím způsobem navazuje odchozí připojení s přidruženou oblastí Azure.
Pokud jste se zaregistrovali pro klient Power BI nebo Office 365, vaše oblast Azure se stane výchozí pro oblast této služby. V opačném případě může být vaše oblast Azure tou nejbližší k vám.
Pokud brána firewall blokuje odchozí připojení, nakonfigurujte ji tak, aby umožňovala odchozí připojení z brány k přidružené oblasti Azure.
Porty
Brána komunikuje na následujících odchozích portech: TCP 443, 5671, 5672 a 9350 až 9354. Brána nevyžaduje příchozí porty.
Doporučujeme v bráně firewall povolit IP adresy pro vaši oblast. Můžete si stáhnout seznam IP adres datového centra Microsoft Azure, který se každý týden aktualizuje. Nebo můžete získat seznam požadovaných portů pravidelným prováděním testů síťových portů v aplikaci brány.
Brána komunikuje se službou Service Bus pomocí IP adresy a plně kvalifikovaného názvu domény (FQDN). Pokud vynutíte, aby brána komunikovala přes HTTPS, bude striktně používat pouze FQDN a nebude komunikovat pomocí IP adres.
Poznámka
Seznam IP datového centra Azure zobrazuje adresy IP v notaci mezidoménového směrování bez tříd (CIDR). Příkladem tohoto zápisu je 10.0.0.0/24, což neznamená od 10.0.0.0 do 10.0.0.24. Další informace o notaci CIDR.
Následující seznam popisuje FQDN používané bránou.
| Názvy domén | Odchozí porty | Popis |
|---|---|---|
| *.download.microsoft.com | 80 | Používá se ke stažení instalačního programu. Tuto doménu používá také aplikace brány dat k vyhledání verze a oblasti brány. |
| *.powerbi.com | 443 | Používá se k identifikaci příslušného clusteru Power BI. |
| *.analysis.windows.net | 443 | Používá se k identifikaci příslušného clusteru Power BI. |
| *.login.windows.net, login.live.com, and aadcdn.msauth.net | 443 | Používá se k ověření aplikace brány pro Azure Active Directory (Azure AD) a OAuth2. |
| *.servicebus.windows.net | 5671–5672 | Používá se pro rozšířený protokol řízení front zpráv (AMQP). |
| *.servicebus.windows.net | 443 a 9350–9354 | Poslouchá na Service Bus Relay přes TCP. Pro získání tokenů Azure Access Control je vyžadován port 443. |
| *.frontend.clouddatahub.net | 443 | Zastaralé a není nutné. Tato doména bude také odstraněna z veřejné dokumentace. |
| *.core.windows.net | 443 | Používají ji toky dat k zápisu dat do Azure Data Lake. |
| login.microsoftonline.com | 443 | Používá se k ověření aplikace brány pro Azure AD a OAuth2. |
| *.msftncsi.com | 443 | Používá se k testování připojení k internetu, pokud služba Power BI nemůže dosáhnout k bráně. |
| *.microsoftonline-p.com | 443 | Používá se k ověření aplikace brány pro Azure AD a OAuth2. |
| dc.services.visualstudio.com | 443 | Používá AppInsights k shromažďování telemetrických dat. |
Poznámka
Po instalaci a registraci brány jsou jediné potřebné porty a adresy IP takové, které vyžaduje Service Bus, jak je popsáno v servicebus.windows.net v předchozí tabulce. Můžete získat seznam požadovaných portů pravidelným prováděním testů síťových portů v aplikaci brány. Můžete také vynutit, aby brána komunikovala pomocí HTTPS.
Test síťových portů
Chcete-li testovat, zda má brána přístup ke všem požadovaným portům:
Na počítači, na kterém je spuštěna brána, zadejte do vyhledávání systému Windows „brána“ a poté vyberte aplikaci Místní brána dat.
Vyberte Diagnostika. Pod Test síťových portů vyberte Spustit nový test.
Když vaše brána spustí test síťových portů, načte seznam portů a serverů ze služby Service Bus a potom se ke všem pokusí připojit. Když se znovu objeví odkaz Spustit nový test, znamená to, že se test síťových portů dokončil.
Souhrnný výsledek testu je buď „Dokončeno (úspěšně)“ nebo „Dokončeno (selhání, viz poslední výsledky testu)“. Pokud byl test úspěšný, brána se připojila ke všem požadovaným portům. Pokud test selhal, tak vaše síťové přostředí mohlo tyto požadované porty a servery blokovat.
Pokud si chcete zobrazit výsledky posledního dokončeného testu, vyberte odkaz Otevřít výsledky posledního dokončeného testu. Výsledky testu se otevřou ve výchozím textovém editoru.
Na seznamu výsledků testu jsou všechny servery, porty a IP adresy, které vaše brána vyžaduje. Pokud u některého výsledku testu uvidíte jako v následujícím screenshotu „Closed“ (Zavřeno) u některého z portů, zkontrolujte, že vaše síťové prostředí tato připojení neblokuje. Ohledně otevření požadovaných portů možná budete muset kontaktovat svého správce sítě.
Vynucení komunikace přes protokol HTTPS se službou Azure Service Bus
Můžete přinutit bránu komunikovat se službou Service Bus s použitím protokolu HTTPS namísto přímého propojení TCP.
Poznámka
Počínaje verzí brány z června 2019 a na základě doporučení ze služby Service Bus bude výchozím nastavením nových instalací protokol HTTPS namísto TCP. Toto výchozí chování se nevztahuje na aktualizované instalace.
Pomocí aplikace brány můžete vynutit, aby brána přejala tohle chování. V aplikaci brány vyberte Síť a pak zapněte Režim HTTPS.
Po provedení této změny a výběru volby Použít se služba brány systému Windows automaticky restartuje, aby se změna projevila. Tlačítko Použít se zobrazí pouze, když provedete nějakou změnu.
Chcete-li restartovat službu brány systému Windows z aplikace brány, viz Restartování brány.
Poznámka
Pokud brána nemůže komunikovat pomocí protokolu TCP, automaticky použije protokol HTTPS. Výběr v aplikaci brány vždy odráží aktuální hodnotu protokolu.
TLS 1.2 pro přenosy přes brány
Ve výchozím nastavení brána používá ke komunikaci se službou Power BI protokol Transport Layer Security (TLS) 1.2. Pokud chcete zajistit, aby všechny přenosy přes bránu používaly protokol TLS 1.2, možná budete muset na počítači, na kterém je spuštěná služba brány, přidat nebo upravit následující klíče registru.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Poznámka
Po přidání nebo úpravě těchto klíčů registru se tato změna použije u všech aplikací .NET. Informace o změnách registru, které mají vliv na protokol TLS u jiných aplikací, najdete v tématu Nastavení registru pro protokol TLS (Transport Layer Security).