Helyszíni adatátjáró kommunikációs beállításainak módosítása
Ez a cikk a helyszíni adatátjáróhoz társított kommunikációs beállításokat ismerteti. Ezeket a beállításokat módosítani kell az adatforrás-kapcsolatok és a kimeneti cél elérésének támogatásához.
Kimenő Azure-kapcsolatok engedélyezése
Az átjáró az Azure Relayre támaszkodik a felhőbeli kapcsolatokhoz. Az átjáró ennek megfelelően kimenő kapcsolatokat hoz létre a társított Azure-régióval.
Ha Power BI-bérlőre vagy Office 365-bérlőre regisztrált, az Azure-régió alapértelmezés szerint az adott szolgáltatás régiójába tartozik. Ellenkező esetben az Azure-régió lehet az Önhöz legközelebb eső régió.
Ha egy tűzfal blokkolja a kimenő kapcsolatokat, konfigurálja a tűzfalat úgy, hogy engedélyezze a kimenő kapcsolatokat az átjáróból a társított Azure-régióba. Az átjárókiszolgálóra és/vagy az ügyfél proxykiszolgálóira vonatkozó tűzfalszabályokat frissíteni kell, hogy lehetővé tegyék az átjárókiszolgálóról az alábbi végpontokra irányuló kimenő forgalmat. Ha a tűzfal nem támogatja a helyettesítő karaktereket, használja az Azure IP-címtartományokból és szolgáltatáscímkékből származó IP-címeket. Vegye figyelembe, hogy ezeket minden hónapban szinkronban kell tartani.
Portok
Az átjáró a következő kimenő portokon kommunikál: TCP 443, 5671, 5672 és 9350 és 9354 között. Az átjáró nem igényel bejövő portokat.
Javasoljuk, hogy engedélyezze a "*.servicebus.windows.net" tartománynévrendszert (DNS). Az Azure WCF Relay DNS-támogatásának lépéseit követve útmutatást találhat arról, hogyan állíthatja be a helyszíni tűzfalat és/vagy proxyt teljes tartománynevekkel (FQDN-ekkel) a módosítandó IP-címek használata helyett.
Másik lehetőségként engedélyezheti az adatrégió IP-címét a tűzfalon. Használja az alább felsorolt JSON-fájlokat, amelyek hetente frissülnek.
A szükséges portok listáját is lekérheti, ha rendszeresen elvégzi a hálózati portok tesztelését az átjáróalkalmazásban.
Az átjáró teljes tartománynevek használatával kommunikál az Azure Relayrel. Ha az átjárót HTTPS-en keresztüli kommunikációra kényszeríti, az kizárólag teljes tartományneveket fog használni, és nem fog IP-címekkel kommunikálni.
Feljegyzés
Az Azure-adatközpont IP-listája osztály nélküli tartományközi útválasztás (CIDR) jelölésben jeleníti meg az IP-címeket. Erre a jelölésre példa a 10.0.0.0/24, ami nem jelenti a 10.0.0.0 és 10.0.0.24 közötti időtartamot. További információ a CIDR jelöléséről.
Az alábbi lista az átjáró által használt teljes tartományneveket ismerteti. Ezek a végpontok szükségesek az átjáró működéséhez.
| Nyilvános felhőtartományok nevei | Kimenő portok | Leírás |
|---|---|---|
| *.download.microsoft.com | 80 | A telepítő letöltésére szolgál. Az átjáróalkalmazás ezt a tartományt is használja a verzió és az átjárórégió ellenőrzéséhez. |
| *.powerbi.com | 443 | A megfelelő Power BI-fürt azonosítására szolgál. |
| *.analysis.windows.net | 443 | A megfelelő Power BI-fürt azonosítására szolgál. |
| *.login.windows.net, login.live.com, aadcdn.msauth.net, login.microsoftonline.com, *.microsoftonline-p.com | 443 | A Microsoft Entra ID és OAuth2 átjáróalkalmazás hitelesítésére szolgál. Vegye figyelembe, hogy a Microsoft Entra ID bejelentkezési folyamat részeként további URL-címekre lehet szükség, amelyek egyediek lehetnek a bérlők számára. |
| *.servicebus.windows.net | 5671-5672 | Speciális Üzenetsor-kezelési protokollhoz (AMQP) használatos. |
| *.servicebus.windows.net | 443 és 9350-9354 | Figyeli az Azure Relayt TCP-n keresztül. Az Azure Access Control-jogkivonatok lekéréséhez a 443-as port szükséges. |
| *.msftncsi.com | 80 | Internetkapcsolat tesztelésére szolgál, ha a Power BI szolgáltatás nem éri el az átjárót. |
| *.dc.services.visualstudio.com | 443 | Az App Elemzések használja a telemetriai adatok gyűjtésére. |
| *.frontend.clouddatahub.net | 443 | A Hálófolyamat végrehajtásához szükséges. |
| *.datawarehouse.pbidedicated.windows.net | 1433 | A Dataflow Gen2 által az átmeneti tóházhoz való csatlakozáshoz használt régi végpont. További információ |
| *.datawarehouse.fabric.microsoft.com | 1433 | A Dataflow Gen2 által az átmeneti lakehouse-hoz való csatlakozáshoz használt új végpont. További információ |
Feljegyzés
A *.datawarehouse.pbidedicated.windows.net helyébe a *.datawarehouse.fabric.microsoft.com lép. Az áttűnési folyamat során győződjön meg arról, hogy mindkét végpont nyitva van az adatfolyam Gen2 frissítésének biztosításához.
A GCC, a magas GCC és a DoD esetében az átjáró az alábbi teljes tartományneveket használja.
| Portok | GCC | Magas GCC | DoD |
|---|---|---|---|
| 80 | *.download.microsoft.com | *.download.microsoft.com | *.download.microsoft.com |
| 443 | *.powerbigov.us, *.powerbi.com | *.high.powerbigov.us | *.mil.powerbigov.us |
| 443 | *.analysis.usgovcloudapi.net | *.high.analysis.usgovcloudapi.net | *.mil.analysis.usgovcloudapi.net |
| 443 | *.login.windows.net, *.login.live.com, *.aadcdn.msauth.net | Go go dokumentáció | Ugrás a dokumentációra |
| 5671-5672 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 és 9350-9354 | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net | *.servicebus.usgovcloudapi.net |
| 443 | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net | *.core.usgovcloudapi.net |
| 443 | *.login.microsoftonline.com | *.login.microsoftonline.us | *.login.microsoftonline.us |
| 443 | *.msftncsi.com | *.msftncsi.com | *.msftncsi.com |
| 443 | *.microsoftonline-p.com | *.microsoftonline-p.com | *.microsoftonline-p.com |
| 443 | *.dc.applicationinsights.us | *.dc.applicationinsights.us | *.dc.applicationinsights.us |
A China Cloud (Mooncake) esetében az átjáró a következő teljes tartományneveket használja.
| Portok | Kínai felhő (Mooncake) |
|---|---|
| 80 | *.download.microsoft.com |
| 443 | *.powerbi.cn |
| 443 | *.asazure.chinacloudapi.cn |
| 443 | *.login.chinacloudapi.cn |
| 5671-5672 | *.servicebus.chinacloudapi.cn |
| 443 és 9350-9354 | *.servicebus.chinacloudapi.cn |
| 443 | *.chinacloudapi.cn |
| 443 | login.partner.microsoftonline.cn |
| 443 | Az átjáró futtatásához nem szükséges mooncake-ekvivalens – csak a hálózat meghibásodási körülmények közötti ellenőrzésére szolgál |
| 443 | Nincs mooncake-ekvivalens – a Microsoft Entra ID bejelentkezéskor használatos. A Microsoft Entra ID-végpontokról további információt az Azure-beli végpontok ellenőrzése című témakörben talál. |
| 443 | applicationinsights.azure.cn |
| 433 | clientconfig.passport.net |
| 433 | aadcdn.msftauth.cn |
| 433 | aadcdn.msauth.cn |
Feljegyzés
Az átjáró telepítése és regisztrálása után az Azure Relay csak a szükséges portokat és IP-címeket igényli, az előző táblázatban szereplő servicebus.windows.net leírtak szerint. A szükséges portok listáját a Hálózati portok teszt rendszeres végrehajtásával szerezheti be az átjáróalkalmazásban. Arra is kényszerítheti az átjárót, hogy HTTPS használatával kommunikáljon.
Portok megnyitása Fabric Mashup-alapú számítási feladatokhoz, amely az OPDG használata közben csatlakozik a felhőbeli és a helyszíni adatforrásokhoz.
A Fabricen belül, ha egy egyesítő alapú számítási feladat (pl. szemantikai modell, adatfolyam stb.) olyan lekérdezést tartalmaz, amely helyszíni adatforrásokhoz csatlakozik (helyszíni adatátjárón keresztül csatlakozik), és a felhőbeli adatforrásokhoz is csatlakozik, a teljes lekérdezés a helyszíni adatátjáró összecsukási motorján lesz végrehajtva. Ezért a következő endpinteknek nyitva kell lenniük ahhoz, hogy a helyszíni Data Gateway látképi hozzáférést biztosíthasson a felhőbeli adatforrásokhoz.
| Nyilvános felhőtartományok nevei | Kimenő portok | Leírás |
|---|---|---|
| *.core.windows.net | 443 | Adatok írására szolgál az Azure Data Lake-be. |
| *.dfs.fabric.microsoft.com | 1433 | A OneLake-hez való csatlakozáshoz használt végpont. |
Hálózati portok tesztelése
Annak tesztelése, hogy az átjáró hozzáfér-e az összes szükséges porthoz:
Az átjárót futtató gépen írja be az "átjáró" kifejezést a Windows keresésébe, majd válassza ki a helyszíni adatátjáró alkalmazást.
Válassza a Diagnosztika lehetőséget. A Hálózati portok tesztelése területen válassza az Új teszt indítása lehetőséget.
Amikor az átjáró futtatja a hálózati portok tesztelését, lekéri a portok és kiszolgálók listáját az Azure Relayből, majd megpróbál csatlakozni mindegyikhez. Amikor újra megjelenik az új teszthivatkozás indítása, a hálózati portok tesztelése befejeződött.
A teszt összefoglaló eredménye vagy "Befejezve (Sikeres)" vagy "Befejezve (Sikertelen, lásd az utolsó teszteredményeket)". Ha a teszt sikeres volt, az átjáró az összes szükséges porthoz csatlakozott. Ha a teszt sikertelen volt, előfordulhat, hogy a hálózati környezet letiltotta a szükséges portokat és kiszolgálókat.
Feljegyzés
A tűzfalak gyakran időszakosan engedélyezik a tiltott helyek forgalmát. Még ha egy teszt sikeres is, előfordulhat, hogy engedélyeznie kell a kiszolgáló engedélyezését a tűzfalon.
Az utolsó befejezett teszt eredményeinek megtekintéséhez válassza a Legutóbbi befejezett teszt eredményeinek megnyitása hivatkozást. A teszteredmények az alapértelmezett szövegszerkesztőben nyílnak meg.
A teszt eredményei felsorolják az átjáró által igényelt összes kiszolgálót, portot és IP-címet. Ha a teszteredmények a következő képernyőképen látható módon bármelyik porton "Zárva" állapotot mutatnak, győződjön meg arról, hogy a hálózati környezet nem blokkolja ezeket a kapcsolatokat. Előfordulhat, hogy a szükséges portok megnyitásához kapcsolatba kell lépnie a hálózati rendszergazdával.
HTTPS-kommunikáció kényszerítve az Azure Relayrel
Kényszerítheti az átjárót, hogy közvetlen TCP helyett HTTPS használatával kommunikáljon az Azure Relayrel.
Feljegyzés
A 2019. júniusi átjáró kiadásától kezdve és a Relay javaslatai alapján az új telepítések a TCP helyett alapértelmezés szerint HTTPS-re váltanak. Ez az alapértelmezett viselkedés nem vonatkozik a frissített telepítésekre.
Az átjáróalkalmazással kényszerítheti az átjárót erre a viselkedésre. Az átjáróalkalmazásban válassza a Hálózat lehetőséget, majd kapcsolja be a HTTPS módot.
Miután elvégezte a módosítást, majd az Alkalmaz lehetőséget, az átjáró Windows-szolgáltatása automatikusan újraindul, hogy a módosítás érvénybe lépjen. Az Alkalmaz gomb csak módosításkor jelenik meg.
Az átjáró Windows szolgáltatásának az átjáróalkalmazásból való újraindításához nyissa meg az Átjáró újraindítása lehetőséget.
Feljegyzés
Ha az átjáró tcp használatával nem tud kommunikálni, akkor az automatikusan HTTPS-t használ. Az átjáróalkalmazás kiválasztása mindig az aktuális protokollértéket tükrözi.
TLS 1.3 átjáróforgalomhoz
Alapértelmezés szerint az átjáró a Transport Layer Security (TLS) 1.3 használatával kommunikál a Power BI szolgáltatás. Annak biztosításához, hogy az összes átjáróforgalom TLS 1.3-at használjon, előfordulhat, hogy hozzá kell adnia vagy módosítania kell a következő beállításkulcsokat az átjárószolgáltatást futtató gépen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001
Feljegyzés
A beállításkulcsok hozzáadása vagy módosítása minden .NET-alkalmazásra alkalmazza a módosítást. A más alkalmazások TLS-ét érintő beállításjegyzék-módosításokról a Transport Layer Security (TLS) beállításjegyzék-beállításai között tájékozódhat.
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. Az adatátjáró a következő szolgáltatáscímkéktől függ:
- PowerBI
- ServiceBus
- AzureActiveDirectory
- AzureCloud
A helyszíni adatátjáró az Azure Relayt használja valamilyen kommunikációhoz. Az Azure Relay szolgáltatáshoz azonban nincsenek szolgáltatáscímkék. A ServiceBus szolgáltatáscímkékre azonban továbbra is szükség van, mert továbbra is a szolgáltatás üzenetsoraihoz és témaköreihez tartoznak, még ha nem is az Azure Relay esetében.
Az AzureCloud szolgáltatáscímke az összes globális Azure Data Center IP-címet jelöli. Mivel az Azure Relay szolgáltatás az Azure Computere épül, az Azure Relay nyilvános IP-címeinek egy része az AzureCloud IP-címeknek. További információ: Az Azure szolgáltatáscímkék áttekintése
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: