#powerbi #azure-blob-storage #azure-storage #powerquery #powerbi-datasource
Вопрос:
У нас есть интересная проблема, которая возникла в последнее время. Это подключение раньше работало, а теперь выходит из строя. У нас есть отчет PowerBI, который напрямую подключается к ADLS Gen2. ADLS имеет брандмауэр, настроенный для предотвращения нежелательного доступа. До недавнего времени механизм запросов питания в PowerBI online представлял себя в диапазоне IP-адресов PowerQuery 20.42.4.200/30, как определено здесь: https://www.microsoft.com/en-us/download/details.aspx?id=56519
Теперь, см. Журналы ниже, Power Query / PowerBI представляет себя как внутренний IP-адрес. ALDS не позволяет мне вносить в белый список внутренний диапазон IP-адресов, и я не знаю ни одной настроенной сети, к которой мы могли бы подключиться.
Я проверил и изменил настройки брандмауэра (удаление брандмауэра обеспечивает прекрасный доступ — так что это не проблема аутентификации), Настройки уровня арендатора PowerBI и т. Д. И не могу понять, почему сейчас происходит эта маршрутизация.
Короче говоря, вопрос в том, как разрешить службе PowerBI подключаться к ADLS Gen 2 с настроенным брандмауэром? Раньше это работало нормально, я не могу понять, что изменилось и почему обновление из PowerBI online отображается так, как будто оно из внутренней подсети.
** Запись в журнале из журналов сбора данных **
2.0;2021-10-06T02:37:41.0000918 Z;ListFilesystemDir;IpAuthorizationError;403;1;1;authenticated;;;blob;»https://.dfs.core.windows.net/prod?resource=filesystemamp;recursive=trueamp;directory=models/Facts/InvoiceLineItem.parquet»;»//prod»;4216abcd-001f-0054-6e5b-ba3870000000;0;10.2.0.230;2018-06-17;492;0;195;0;0;;;»с помощью gzip, выкачать»;понедельник, 01-янв-01 00:00:00 по GMT;;»Майкрософт.Данных.Мэшап (https://go.microsoft.com/fwlink/?LinkID=304225)»;;»eac70f78-91f9-статью 266b-bacc-ba6b20752fe2″;;;;;;;;
Ответ №1:
Добавьте правило безопасности входящих сообщений не для определенного IP-адреса или диапазона, а для тега службы ( PowerQueryOnline в данном случае). Служебные теги управляются корпорацией Майкрософт и представляют используемые IP-адреса. Это снижает сложность правил безопасности брандмауэра.
Комментарии:
1. Невозможно добавить тег службы в брандмауэр ADLS 2 поколения, но я создал правило безопасности входящих сообщений для тега службы в группе сетевой безопасности виртуальной сети и убедился, что в виртуальной сети есть подсеть, которая подключается к ADLS 2 поколения, но все равно не повезло — что я упускаю?
2. Трудно сказать наверняка. Похоже, вы следуете руководству . Удачи!