Necesita claridad sobre cómo conectarse a Azure Storage a través de un firewall

Service
Un usuario Pregunto ✅

fetzel1

Hay numerosas publicaciones en este foro sobre cómo conectarse a Azure Storage cuando hay un firewall presente. Aquí hay unos ejemplos:

  • https://community.powerbi.com/t5/Power-Query/Not-able-to-connect-with-storage-account-for-Azure-back…
  • https://community.powerbi.com/t5/Service/Can-t-connect-storage-account-to-Power-Bi-Az-firewall-setti…

En todos los casos, un representante de Microsoft recomienda «incluir en la lista blanca Dirección IP del servicio Power BI». Esta no es una respuesta razonable. Por un lado, el enlace al que se hace referencia quedará obsoleto en un par de meses (junio de 2020). En segundo lugar, la lista de IP a la que se hace referencia está en el centro de datos nivel y cuentas para miles de bloques de IP. Una cuenta de Azure Storage solo puede admitir 100 reglas de IP en un firewall.

O me estoy perdiendo algo por completo, lo que ciertamente es posible, o esto es una brecha en el servicio Power BI. Si no me falta algo: ¿cuál es la forma correcta de usar el servicio Power BI con una cuenta de Azure Storage segura?

fetzel1

En respuesta a v-kelly-msft

@v-kelly-msft,

Una vez más, tener que configurar 300 reglas es imposible porque Azure Storage solo acepta 100 rangos de IP en una lista blanca.

Para cerrar el círculo de esto, hemos recurrido al uso de una puerta de enlace de datos local, que se conecta al almacenamiento a través del nuevo servicio Private Link. Sería muy útil que el equipo del Servicio Power BI priorizara convertir el Servicio Power BI en miembro de «Servicios de confianza de Microsoft Azure» para que esta solución alternativa no sea necesaria. Tener que agregar una puerta de enlace de datos en las instalaciones introduce un servidor en una arquitectura sin servidor. Este servidor es uno de los componentes más caros de nuestra solución y agrega poco valor.

greg_deckler

No creo que tengas que enumerar cada dirección IP individualmente, sino rangos.

fetzel1

En respuesta a greg_deckler

Si eso es correcto. Las direcciones IP se presentan como bloques CIDR en el archivo al que se hace referencia y hay alrededor de 3000 en total y, en algunas situaciones, más de 100 en un centro de datos.

En respuesta a fetzel1

Hola @phetzel1,

Pruebe la siguiente referencia:

https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security

Atentamente,
Kelly
¿Respondí tu pregunta? ¡Marca mi publicación como una solución!

fetzel1

En respuesta a v-kelly-msft

He leído esta documentación muchas veces.

  • Emparejamiento de VNET: no aplicable. El servicio Power BI no está dentro de una VNET
  • Puntos finales privados: no aplicable. El servicio Power BI no está dentro de una VNET
  • Excepciones de rango de IP de Firewall de almacenamiento: no es posible. Puede haber más de 100 rangos de IP en un centro de datos determinado (como East 2)
  • Excepciones de cortafuegos de red virtual/subred: no aplicable. El servicio Power BI no está dentro de una VNET
  • Permitir servicios de confianza de Microsoft: que yo sepa, esto no cubre el servicio Power BI

¿Cuál es la guía de Microsoft al acceder a un entorno de almacenamiento bloqueado en Azure a través de Power BI? ¿Es una puerta de enlace de datos local?

En respuesta a fetzel1

Hola @phetzel1,

Este archivo quedará obsoleto el 30 de junio de 2020. Comience a usar los archivos JSON que se enumeran a continuación. Los rangos de IP para cada nube, desglosados ​​por región y por los servicios etiquetados en esa nube ahora están disponibles en MS Download:
Público: https://www.microsoft.com/en-us/download/details.aspx?id=56519
Gobierno de EE. UU.: http://www.microsoft.com/en-us/download/details.aspx?id=57063
Alemania: http://www.microsoft.com/en-us/download/detalles.aspx?id=57064
China: http://www.microsoft.com/en-us/download/details.aspx?id=57062
Estos archivos JSON se actualizan semanalmente e incluyen versiones tanto para el archivo completo como para cada etiqueta de servicio individual en ese archivo.
Elija el servicio de autobús: 5993 – 6132

Atentamente,
Kelly

¿Respondí tu pregunta? ¡Marca mi publicación como una solución!

Respuesta

fetzel1

En respuesta a v-kelly-msft

Siento que esto va por buen camino, pero lamentablemente la lista a la que ha hecho referencia tiene más de 100 intervalos de direcciones IP para Service Bus. Azure Storage solo puede contener hasta 100 excepciones de rango de direcciones IP. Esta no es una solución viable porque tendríamos que omitir alrededor de 30 de los rangos de direcciones IP enumerados, sin mencionar que no tendríamos espacio para incluir en la lista blanca a nuestros analistas que desean conectarse a Azure Storage a través de Power BI Desktop.

¿Cuál es el enfoque recomendado por Microsoft para ver los datos en una cuenta segura de Azure Storage a través del servicio Power BI?

En respuesta a fetzel1

Hola @phetzel1,

Vea los detalles en el documento de público que compartí con usted, busque «ServiceBus.XXX», está separado por región. Aproximadamente desde la línea 23000.

Anotación 2020-03-13 173509.png

Atentamente,
Kelly
¿Respondí tu pregunta? ¡Marca mi publicación como una solución!

fetzel1

En respuesta a v-kelly-msft

En base a su respuesta, yo:

  • Se creó correctamente un conjunto de datos en Power BI Desktop basado en datos en ADLS Gen2
  • Empujó ese conjunto de datos al servicio Power BI, que está en el mismo inquilino que la cuenta de almacenamiento de Azure
  • Configuró el firewall de Azure Storage para incluir los rangos de direcciones IP para Service Bus en el este de EE. UU. 2 y guardó

Cuando intenté crear un programa de actualización para el conjunto de datos, basado en la autenticación de Oauth y clave de cuenta, recibí este mensaje de error

Anotación 2020-03-13 091259.png

Luego apagué temporalmente el firewall de almacenamiento y obtuve acceso con éxito a través de la autorización de clave de cuenta. Esto me dice que mis credenciales de autenticación/autorización son correctas, pero sigo teniendo el mismo problema que antes. También agregué los rangos de direcciones IP para Power Query Online en East US 2 sin éxito. ¿Cuál es el enfoque recomendado por Microsoft para acceder a una cuenta de almacenamiento segura a través del servicio Power BI?

En respuesta a fetzel1

Hola @phetzel1,

Consulte la lista de IP utilizada por el servicio. Elija IP 33544-33873 en AzureCloud.eastus2, que solo necesita configurar alrededor de 300 reglas.

Pero si está disponible, será mejor que use la puerta de enlace, que solo necesita configurar algunas reglas de firewall en el puerto de salida de la máquina de la puerta de enlace, luego configure las reglas en ADLS2.

Aquí está la referencia.

Atentamente,
Kelly
¿Respondí tu pregunta? ¡Marca mi publicación como una solución!

fetzel1

En respuesta a v-kelly-msft

@v-kelly-msft,

Una vez más, tener que configurar 300 reglas es imposible porque Azure Storage solo acepta 100 rangos de IP en una lista blanca.

Para cerrar el círculo de esto, hemos recurrido al uso de una puerta de enlace de datos local, que se conecta al almacenamiento a través del nuevo servicio Private Link. Sería muy útil que el equipo del Servicio Power BI priorizara convertir el Servicio Power BI en miembro de «Servicios de confianza de Microsoft Azure» para que esta solución alternativa no sea necesaria. Tener que agregar una puerta de enlace de datos en las instalaciones introduce un servidor en una arquitectura sin servidor. Este servidor es uno de los componentes más caros de nuestra solución y agrega poco valor.

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *