为 Azure 逻辑应用安装本地数据网关

  • 项目

适用范围:Azure 逻辑应用(消耗型 + 标准型)

在某些情况下,要求工作流连接本地数据源,且只能使用通过本地数据网关提供此访问权限的连接器。 若要设置此本地数据网关,必须完成以下任务:在本地安装本地数据网关并在 Azure 中为该本地数据网关创建本地数据网关资源。 从需要该数据网关的连接器向工作流中添加触发器或操作时,可以选择要用于连接的数据网关资源。 该数据网关的安装充当一个桥梁,在本地数据源和工作流之间进行快速的数据传输和加密。

在消耗型逻辑应用工作流中,只能使用通过本地数据网关提供访问权限的连接器连接到本地数据源。 在标准逻辑应用工作流中,可以直接访问 Azure 虚拟网络中的本地资源,或使用无需数据网关即可访问本地数据源的内置服务提供商连接器。 而你要提供用于验证身份并授权对数据源的访问的信息。 但是,如果内置服务提供商连接器不可用于数据源,但托管连接器可用,则必须使用本地数据网关。

本指南介绍如何下载、安装和设置本地数据网关,以便稍后可以在 Azure 门户中创建数据网关资源。 也可以在本文稍后的数据网关的工作原理中了解更多信息。 有关网关的详细信息,请参阅什么是本地网关? 若要自动执行网关安装和管理任务,请参阅 PowerShell 库中的数据网关 PowerShell cmdlet

可对其他云服务(例如 Power Automate、Power BI、Power Apps 和 Azure Analysis Services)使用相同的网关安装过程。 有关如何将网关用于这些服务的信息,请参阅以下文章:

先决条件

  • Azure 帐户和订阅。 如果没有订阅,请创建试用帐户

    • 你的 Azure 帐户需使用 <username>@<organization>.com 格式的工作帐户或学校帐户。 不能使用 Azure B2B(来宾)帐户或个人 Microsoft 帐户,例如包含 hotmail.com 或 outlook.com 域的帐户。

      注意

      如果你注册了 Microsoft 365 产品/服务但未提供工作电子邮件地址,则该地址的格式可能是 username@domain.partner.onmschina.cn。 在这种情况下,你的帐户存储在 Microsoft Entra 租户中。 大多数情况下,Azure 帐户的用户主体名称 (UPN) 与电子邮件地址相同。

      若要使用与 Microsoft 帐户关联的 Visual Studio 标准订阅,请先创建 Microsoft Entra 租户,或使用默认目录。 将具有密码的用户添加到该目录,然后向该用户提供对 Azure 订阅的访问权限。 然后在网关安装期间可以使用此用户名和密码登录。

    • 你的 Azure 帐户必须仅属于一个 Microsoft Entra 租户或目录。 在本地计算机上安装和管理网关时必须使用该帐户。

    • 安装网关时,可以使用 Azure 帐户登录,这会将网关安装链接到 Azure 帐户,并且仅链接到该帐户。 不能将相同的网关安装链接到多个 Azure 帐户或 Microsoft Entra 租户。

    • 稍后,在 Azure 门户中,你必须使用相同的 Azure 帐户来创建与网关安装关联的 Azure 网关资源。 只能将一个网关安装和一个 Azure 网关资源相互链接。 但是,可以使用 Azure 帐户来设置不同的网关安装,其中每个安装与一个 Azure 网关资源关联。 然后,你的逻辑应用工作流可以在用于访问本地数据源的触发器和操作中使用这些网关资源。

  • 有关本地计算机操作系统和硬件要求,请参阅有关如何安装本地数据网关的主要指南

注意事项

  • 只在本地计算机上安装本地数据网关,而不在域控制器上安装。 不一定要在数据源所在的同一台计算机上安装网关。 所有数据源只需一个网关,因此,无需为每个数据源安装网关。

  • 为了最大限度地降低延迟,请将网关安装在尽可能靠近数据源的位置或同一台计算机上(假设你拥有相应的权限)。

  • 将网关安装在有线网络上的本地计算机上,该计算机连接到 Internet,始终处于打开状态,并且不会进入休眠状态。 否则,网关将无法运行,并且性能在无线网络上可能会受到影响。

  • 如果你打算使用 Windows 身份验证,请确保在与数据源属于同一 Active Directory 环境的计算机上安装网关。

  • 网关安装只能链接到一个 Azure 帐户。

  • 选择用于安装网关的区域是稍后为逻辑应用工作流创建 Azure 网关资源时必须选择的同一位置。 默认情况下,此区域与管理 Azure 用户帐户的 Microsoft Entra 租户位于同一位置。 但是,你可以在安装网关期间或稍后更改此位置。

  • 你的逻辑应用资源和 Azure 网关资源(在安装网关后创建)必须使用相同的 Azure 订阅。 但是,这些资源可以存在于不同的 Azure 资源组中。

  • 如果要更新网关安装,请先卸载当前的网关以获得更清晰的体验。

    最佳做法是确保使用受支持的版本。 Microsoft 每个月都会发布对本地数据网关的新的更新,目前仅支持本地数据网关的六个最新版本。 如果使用的版本出现问题,请尝试升级到最新版本。 最新版本中可能解决了你遇到的问题。

  • 网关有两种模式:标准模式和个人模式,个人模式仅适用于 Power BI。 无法在同一台计算机上以相同模式运行多个网关。

  • Azure 逻辑应用支持通过网关进行读取和写入操作。 但是,这些操作存在有效负载大小限制

安装数据网关

  1. 在本地计算机上下载并运行网关安装程序

  2. 查看最低要求,保留默认安装路径,接受使用条款,然后选择“安装”

    Screenshot shows gateway installer with a minimum requirements link, an installation path, and a checkbox that's highlighted for accepting terms.

  3. 出现提示时,确认安装程序可以对你的计算机做出更改。

  4. 完成网关安装后,提供你的 Azure 帐户的电子邮件地址,然后选择“登录”

    Screenshot shows gateway installer with a message about successful installation, a box that contains an email address, and a button for Sign in.

  5. 选择“在此计算机上注册新网关”>“下一步” 。

    此步骤会将网关安装注册到网关云服务

    Screenshot shows gateway installer with a message about registering the gateway and the selected option for Register a new gateway on this computer.

  6. 提供网关安装的以下信息:

    • 在 Microsoft Entra 租户中唯一的网关名称
    • 是否通过选择“添加到现有的网关群集”为高可用性方案安装其他网关
    • 至少包含八个字符的恢复密钥
    • 确认恢复密钥

    重要

    请确保将恢复密钥保存在安全位置。 需要使用此密钥来移动、恢复、更改所有权或更改网关安装位置。

    Screenshot shows gateway installer with input boxes for the gateway name, a recovery key, and confirmation of the recovery key.

  7. 查看网关安装所用的网关云服务和 Azure 服务总线消息实例的区域。 默认情况下,此区域是 Azure 帐户的 Microsoft Entra 租户所在的同一位置。

    Screenshot of part of the gateway installer window. The gateway cloud service region is highlighted.

  8. 若要接受默认区域,请选择“配置”。 如果默认区域不是最靠近你的区域,你可以更改区域。

    为何要更改网关安装的区域?

    例如,为了降低延迟,可将网关的区域更改为逻辑应用资源和工作流所在的同一区域。 或者,可以选择最靠近本地数据源的区域。 Azure 中的网关资源和逻辑应用工作流可以使用不同的位置。

    1. 在当前区域的旁边,选择“更改区域”。

      Screenshot shows partial gateway installer. Next to the gateway cloud service region, the Change Region option is highlighted.

    2. 在下一页上打开“选择区域”列表,选择所需的区域,然后选择“完成”

      Screenshot shows partial gateway installer with open list named Select Region.

  9. 在最终确认窗口中,查看数据网关信息。 准备就绪后,请选择“关闭”。

    此示例对 Azure 逻辑应用、Power BI、Power Apps 和 Power Automate 使用同一帐户,因此该网关适用于所有这些服务。

    Screenshot shows gateway installer with Close button and green check marks for Power Apps, Power Automate, and Power BI.

  10. 现在为网关安装创建 Azure 资源

检查或调整通信设置

本地数据网关依赖于使用服务总线消息来提供云连接,并建立与网关的关联 Azure 区域相应的出站连接。 如果工作环境要求流量通过代理或防火墙来访问 Internet,此限制可能会阻止本地数据网关连接到网关云服务和服务总线消息。 网关有多个可以调整的通信设置。

例如,你可以使用自定义连接器,该连接器使用 Azure 中的本地数据网关资源来访问本地资源。 如果你还有防火墙限制特定 IP 地址的流量,则必须设置网关安装,以允许访问相应的托管连接器出站 IP 地址。 同一区域中的所有逻辑应用工作流使用相同的 IP 地址范围。

有关详细信息,请参阅以下文档:

高可用性支持

为了避免在访问本地数据时出现单一故障点,可以在多个不同的计算机上各使用一个网关安装(仅限标准模式),并将这些安装设置为群集或组。 这样一来,如果主网关不可用,数据请求将路由到第二个网关,依此类推。 由于在一台计算机上只能安装一个标准网关,因此必须在另一台计算机上安装位于群集中的每个附加网关。 使用本地数据网关的所有连接器都支持高可用性。

  • 必须至少有一个网关安装,它使用的 Azure 帐户与主网关相同。 还需要获取该安装的恢复密钥。

  • 主网关必须运行网关 2017 年 11 月更新版或更高版本。

若要在设置主网关后安装另一个网关,请执行以下操作:

  1. 在网关安装程序中,选择“添加到现有的网关群集”。

  2. 在“可用网关群集”列表中,选择安装的第一个网关。

  3. 输入该网关的恢复密钥。

  4. 选择“配置” 。

有关详细信息,请参阅本地数据网关的高可用性群集

更改位置或者迁移、还原或接管现有网关

如果必须更改网关的位置、将网关安装移到新计算机、恢复已损坏的网关,或接管现有网关的所有权,必须提供安装网关期间使用的恢复密钥。

注意

在安装了原始网关的计算机上还原网关之前,必须先卸载该计算机上的网关。 此操作会断开原始网关的连接。 如果删除任何云服务的网关群集,则无法恢复该群集。

  1. 在具有现有网关的计算机上运行网关安装程序。

  2. 根据安装程序的提示,使用安装网关时所用的同一 Azure 帐户登录。

  3. 选择“迁移、恢复或接管现有网关”>“下一步”。

    Screenshot shows gateway installer with the selected option for Migrate, restore, or takeover an existing gateway.

  4. 从可用群集和网关中选择,然后输入所选网关的恢复密钥。

    Screenshot shows gateway installer with values specified for Available gateway clusters, Available gateways, and Recovery key.

  5. 若要更改区域,请选择“更改区域”,然后选择新区域。

  6. 准备就绪后,选择“配置”。

租户级管理

若要洞察 Microsoft Entra 租户中的所有本地数据网关,该租户中的全局管理员可以租户管理员的身份登录到 Power Platform 管理中心,并选择“数据网关”选项。 有关详细信息,请参阅本地数据网关的租户级管理

重启网关

默认情况下,本地计算机上的网关安装以名为“本地数据网关服务”的 Windows 服务帐户形式运行。但是,网关安装对其“登录方式”帐户凭据使用 NT SERVICE\PBIEgwService 名称,并拥有“作为服务登录”权限。

注意

Windows 服务帐户不同于用于连接到本地数据源的帐户,并且不同于登录到云服务时使用的 Azure 帐户。

与任何其他 Windows 服务一样,可以通过各种方式启动和停止网关。 有关详细信息,请参阅重启本地数据网关

网关的工作原理

在已获授权的情况下,组织中的其他开发者可以访问本地数据。 但是,只有在你安装并设置本地数据网关之后,这些开发者才能连接到你的本地数据源。 通常,网关由管理员安装和设置。 可能需要拥有“服务器管理员”权限或者本地服务器方面的专业知识才能执行这些操作。

网关有助于促进更快速、更安全的后台通信。 此通信在云中的用户、网关云服务和本地数据源之间流动。 网关云服务可加密和存储数据源凭据与网关详细信息。 该服务还会在用户、网关与本地数据源之间路由查询及其结果。

网关可与防火墙配合使用,只使用出站连接。 所有流量最初都是网关代理的安全出站流量。 网关通过服务总线消息发送来自加密通道上的本地源的数据。 此服务总线在网关与调用方服务之间创建通道,但不存储任何数据。 通过网关的所有数据经过加密。

Architecture diagram shows an on-premises data gateway and data flow between cloud services and on-premises data sources.

注意

根据所用的云服务,可能需要为网关设置数据源。

这些步骤说明当你与连接到本地数据源的元素交互时会发生什么情况:

  1. 云服务将创建查询,并为数据源创建加密的凭据。 然后,该服务将查询和凭据发送到网关队列进行处理。

  2. 网关云服务分析该查询,并将请求推送到服务总线消息。

  3. 服务总线消息会将待处理的请求发送到网关。

  4. 网关获取查询,对凭据进行解密,并使用这些凭据连接到一个或多个数据源。

  5. 网关将查询发送到数据源以便运行。

  6. 结果将从数据源发回给网关,并发送到网关云服务。 网关云服务随后使用结果。

对本地数据源进行身份验证

存储的凭据用于从网关连接到本地数据源。 不管用户是谁,网关都会使用存储的凭据来建立连接。 针对特定服务(如 Power BI 中适用于 Analysis Services 的 DirectQuery 和 LiveConnect)的身份验证可能存在例外情况。

Microsoft Entra ID

Azure 云服务使用 Microsoft Entra ID 对用户进行身份验证。 Microsoft Entra 租户包含用户名和安全组。 通常,用于登录的电子邮件地址与帐户的 UPN 相同。

什么是 UPN?

如果你不是域管理员,你可能不知道自己的 UPN。 若要查找帐户的 UPN,请在工作站中运行 whoami /upn 命令。 尽管结果类似于电子邮件地址,但它是本地域帐户的 UPN。

将本地 Active Directory 与 Microsoft Entra ID 同步

必须为本地 Active Directory 帐户和 Microsoft Entra 帐户使用相同的 UPN。 因此,请确保每个本地 Active Directory 帐户的 UPN 与 Microsoft Entra 帐户 UPN 相匹配。 云服务仅知道 Microsoft Entra ID 中的帐户。 因此,无需将帐户添加到本地 Active Directory。 如果 Microsoft Entra ID 中不存在某个帐户,则你无法使用该帐户。

可通过以下方式来使本地 Active Directory 帐户与 Microsoft Entra ID 相匹配。

  • 手动将帐户添加到 Microsoft Entra ID。

    在 Azure 门户或 Microsoft 365 管理中心创建一个帐户。 确保帐户名称与本地 Active Directory 帐户的 UPN 相匹配。

  • 使用 Microsoft Entra Connect 工具将本地帐户同步到 Microsoft Entra 租户。

    Microsoft Entra Connect 工具提供用于目录同步和身份验证设置的选项。 这些选项包括密码哈希同步、直通身份验证和联合身份验证。 如果你不是租户管理员或本地域管理员,请联系 IT 管理员来设置 Microsoft Entra Connect。 Microsoft Entra Connect 可确保 Microsoft Entra UPN 与本地 Active Directory UPN 相匹配。 如果配合 Power BI 或单一登录 (SSO) 功能使用 Analysis Services 实时连接,则这种匹配将有所帮助。

    注意

    使用 Microsoft Entra Connect 工具同步帐户会在 Microsoft Entra 租户中创建新帐户。

常见问题解答和故障排除

后续步骤