Ajustar as configurações de comunicação para o gateway de dados local

Observação

Recentemente, revisamos os documentos do gateway de dados local. Nós os dividimos em conteúdo específico para Power bi e conteúdo geral que se aplica a todos os serviços aos quais o gateway dá suporte. No momento, você está no conteúdo geral. Para fornecer comentários sobre este artigo ou sobre a experiência geral de documentos do gateway, role até a parte inferior do artigo.

Este artigo descreve várias configurações de comunicação associadas ao gateway de dados local. Ele também descreve como ajustar essas configurações.

Habilitar conexões de saída do Azure

O gateway depende do barramento de serviço do Azure para conectividade de nuvem. O gateway estabelece, de modo correspondente, conexões de saída com sua região do Azure associada.

Se você se registrou para um locatário Power BI ou um locatário do Office 365, sua região do Azure usa como padrão a região do serviço. Caso contrário, sua região do Azure pode ser a mais próxima de você.

Se um firewall bloquear conexões de saída, configure o firewall para permitir conexões de saída do gateway para sua região do Azure associada.

Portas

O gateway se comunica nas seguintes portas de saída: TCP 443, 5671, 5672 e de 9350 até 9354. O gateway não requer portas de entrada.

É recomendável que você acesse a lista de permissões em seu firewall os endereços IP para sua região de dados. Você pode baixar a lista de IPS do datacenter do Azure, que é atualizada semanalmente. Ou, você pode obter a lista de portas necessárias executando o teste de portas de rede periodicamente no aplicativo de gateway.

O gateway se comunica com o barramento de serviço usando um endereço IP junto com um FQDN (nome de domínio totalmente qualificado). Se você forçar o gateway a se comunicar via HTTPS, ele usará estritamente apenas FQDNs e não se comunicará usando endereços IP.

Observação

A lista de IP do datacenter do Azure mostra endereços IP em notação CIDR (roteamento entre domínios sem classificação). Um exemplo dessa notação é 10.0.0.0/24, que não significa de 10.0.0.0 até 10.0.0.24. Saiba mais sobre a notação CIDR.

A lista a seguir descreve os FQDNs usados pelo Gateway.

Nomes de domínio Portas de saída Descrição
*.download.microsoft.com 80 Usado para baixar o instalador. O aplicativo de gateway também usa esse domínio para verificar a versão e a região do gateway.
*.powerbi.com 443 Usado para identificar o cluster Power BI relevante.
*.analysis.windows.net 443 Usado para identificar o cluster Power BI relevante.
*. login.windows.net, login.live.com e aadcdn.msauth.net 443 Usado para autenticar o aplicativo de gateway para Azure Active Directory (Azure AD) e OAuth2.
*.servicebus.windows.net 5671-5672 Usado pelo AMQP (Advanced Message Queuing Protocol).
*.servicebus.windows.net 443 e 9350-9354 Escuta na retransmissão do barramento de serviço sobre TCP. A porta 443 é necessária para obter tokens de controle de acesso do Azure.
*.frontend.clouddatahub.net 443 Preterido e não obrigatório. Esse domínio também será removido da documentação pública.
*.core.windows.net 443 Usado por fluxos de dados para gravar Azure Data Lake.
login.microsoftonline.com 443 Usado para autenticar o aplicativo de gateway para o Azure AD e o OAuth2.
*.msftncsi.com 443 Usado para testar a conectividade com a Internet se o serviço do Power BI não puder acessar o gateway.
*.microsoftonline-p.com 443 Usado para autenticar o aplicativo de gateway para o Azure AD e o OAuth2.
dc.services.visualstudio.com 443 Usado pelo AppInsights para coletar telemetria.

Observação

Depois que o gateway é instalado e registrado, as únicas portas e endereços IP necessários são os necessários para o barramento de serviço, conforme descrito para servicebus.windows.net na tabela anterior. Você pode obter a lista de portas necessárias executando o teste de portas de rede periodicamente no aplicativo de gateway. Você também pode forçar o gateway a se comunicar usando HTTPS.

Teste de portas de rede

Para testar se o gateway tem acesso a todas as portas necessárias:

  1. No computador que está executando o gateway, insira "gateway" no Windows Search e, em seguida, selecione o aplicativo de Gateway de dados local .

  2. Selecione diagnóstico. Em teste de portas de rede, selecione Iniciar novo teste.

    Como iniciar um novo teste de portas de rede

Quando o gateway executa o teste de portas de rede, ele recupera uma lista de portas e servidores do barramento de serviço e tenta se conectar a todos eles. Quando o link Iniciar novo teste for exibido novamente, o teste de portas de rede foi concluído.

O resultado do resumo do teste é "concluído (bem-sucedido)" ou "concluído (falha, consulte os últimos resultados do teste)". Se o teste tiver sido bem-sucedido, o gateway se conectou a todas as portas necessárias. Se o teste falhou, seu ambiente de rede pode ter bloqueado as portas e os servidores necessários.

Para exibir os resultados do último teste concluído, selecione o link Abrir resultados do último teste concluído . Os resultados de teste são abertos em seu editor de texto padrão.

Os resultados de teste listam todos os servidores, portas e endereços IP que seu gateway requer. Se os resultados de teste exibirem "fechado" para qualquer porta, conforme mostrado na captura de tela a seguir, verifique se o seu ambiente de rede não bloqueou essas conexões. Talvez seja necessário entrar em contato com o administrador da rede para abrir as portas necessárias.

Resultados de teste mostrados no bloco de notas

Forçar comunicação HTTPS com o barramento de serviço do Azure

Você pode forçar o gateway a se comunicar com o barramento de serviço usando HTTPS em vez de TCP direto.

Observação

A partir da versão de gateway de junho de 2019 e com base nas recomendações do barramento de serviço, as novas instalações são padronizadas como HTTPS em vez de TCP. Esse comportamento padrão não se aplica a instalações atualizadas.

Você pode usar o aplicativo de gateway para forçar o gateway a adotar esse comportamento. No aplicativo de gateway, selecione redee, em seguida, ative o modo https.

Configurando o modo HTTPS

Depois de fazer essa alteração e, em seguida, selecionar aplicar, o serviço de gateway do Windows é reiniciado automaticamente para que a alteração entre em vigor. O botão aplicar é exibido somente quando você faz uma alteração.

Para reiniciar o serviço Windows de gateway do aplicativo de gateway, consulte reiniciar um gateway.

Observação

Se o gateway não puder se comunicar usando TCP, ele usará automaticamente o HTTPS. A seleção no aplicativo de gateway sempre reflete o valor do protocolo atual.

TLS 1,2 para o tráfego de gateway

Por padrão, o gateway usa TLS (Transport Layer Security) 1,2 para se comunicar com o serviço do Power BI. Para garantir que todo o tráfego de gateway use o TLS 1,2, talvez seja necessário adicionar ou modificar as seguintes chaves do registro no computador que executa o serviço de gateway.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]"SchUseStrongCrypto"=dword:00000001

Observação

A adição ou modificação dessas chaves do Registro aplica a alteração a todos os aplicativos .NET. Para obter informações sobre as alterações no registro que afetam o TLS em outros aplicativos, consulte Transport Layer Security (TLS) registry settings (Configurações de registro do protocolo TLS).

Próximas etapas