为 Azure 逻辑应用安装本地数据网关

从 Azure 逻辑应用连接到本地数据源之前,请在本地计算机上下载并安装本地数据网关。 该网关充当一个桥梁,在本地数据源和逻辑应用之间进行快速的数据传输和加密。 可对其他云服务(例如 Power Automate、Power BI、Power Apps 和 Azure Analysis Services)使用相同的网关安装过程。 有关如何将网关用于这些服务的信息,请参阅以下文章:

本文介绍如何下载、安装和设置本地数据网关,以便可以从 Azure 逻辑应用访问本地数据源。 还可以在本主题的后面部分了解有关数据网关工作原理的详细信息。 有关网关的详细信息,请参阅什么是本地网关? 若要自动执行网关安装和管理任务,请访问 DataGateway PowerShell cmdlet 的 PowerShell 库。

先决条件

  • Azure 帐户和订阅。 如果没有包含订阅的 Azure 帐户,请注册一个试用版 Azure 订阅

    • 你的 Azure 帐户需是工作帐户或学校帐户,类似于 username@contoso.com。 不能将 Azure B2B (帐户) 个人 Azure 帐户,例如 @hotmail.com 或 @outlook.com。

    注意

    如果注册了 Microsoft 365 产品/服务但未提供工作电子邮件地址,则该地址可能类似于 username@domain.partner.onmschina.cn。 你的帐户存储在 Azure AD 租户中。 大多数情况下,Azure 帐户的用户主体名称 (UPN) 与电子邮件地址相同。

    若要使用与 Azure 帐户关联的 Visual Studio 标准订阅,请先创建 Azure AD 租户,或使用默认目录。 将具有密码的用户添加到该目录,然后向该用户提供对 Azure 订阅的访问权限。 然后在网关安装期间可以使用此用户名和密码登录。

    • 你的 Azure 帐户必须只属于单个 Azure Active Directory (Azure AD) 租户或目录。 需要使用相同的 Azure 帐户在本地计算机上安装和管理网关。

    • 安装网关时,可以使用 Azure 帐户登录,这会将网关安装链接到 Azure 帐户,并且仅链接到该帐户。 不能将相同的网关安装链接到多个 Azure 帐户或 Azure AD 租户。

    • 稍后,在 Azure 门户中,需要使用相同的 Azure 帐户来创建链接到网关安装的 Azure 网关资源。 只能将一个网关安装和一个 Azure 网关资源相互链接。 但是,Azure 帐户可以链接到不同的网关安装,其中每个安装与一个 Azure 网关资源关联。 然后,你的逻辑应用可以在用于访问本地数据源的触发器和操作中使用此网关资源。

  • 下面是本地计算机的要求:

    最低要求

    • .NET Framework 4.7.2
    • 64 位版本的 Windows 7 或 Windows Server 2008 R2(或更高版本)

    建议的要求

    • 8 核 CPU
    • 8 GB 内存
    • 64 位版本的 Windows Server 2012 R2 或更高版本
    • 用于后台处理的固态硬盘 (SSD) 存储

    注意

    网关不支持 Windows Server Core。

  • 相关注意事项

    • 只在本地计算机上安装本地数据网关,而不在域控制器上安装。 不一定要在数据源所在的同一台计算机上安装网关。 所有数据源只需一个网关,因此,无需为每个数据源安装网关。

      提示

      为了尽量降低延迟,可将网关安装在尽可能靠近数据源的位置或同一台计算机上(假设你有相应的权限)。

    • 将网关安装在有线网络上的本地计算机上,该计算机连接到 Internet,始终处于打开状态,并且不会进入休眠状态。 否则,网关将无法运行,并且性能在无线网络上可能会受到影响。

    • 如果你打算使用 Windows 身份验证,请确保在与数据源属于同一 Active Directory 环境的计算机上安装网关。

    • 选择用于安装网关的区域是稍后为逻辑应用创建 Azure 网关资源时必须选择的同一位置。 默认情况下,此区域与管理 Azure 用户帐户的 Azure AD 租户位于同一位置。 但是,你可以在安装网关期间或稍后更改此位置。

    • 如果要更新网关安装,请先卸载当前的网关以获得更清晰的体验。

      最佳做法是确保使用受支持的版本。 Azure 每个月都会发布对本地数据网关的新的更新,目前仅支持本地数据网关的六个最新版本。 如果使用的版本出现问题,请尝试升级到最新版本,因为你的问题可能已在最新版本中得到解决。

    • 网关有两种模式:标准模式和个人模式,个人模式仅适用于 Power BI。 无法在同一台计算机上以相同模式运行多个网关。

    • Azure 逻辑应用支持通过网关进行读取和写入操作。 但是,这些操作存在有效负载大小限制

安装数据网关

  1. 在本地计算机上下载并运行网关安装程序

  2. 查看最低要求,保留默认的安装路径,接受使用条款,然后选择“安装”。

    查看要求并接受使用条款

  3. 成功安装网关后,提供 Azure 帐户的电子邮件地址,然后选择“登录”,例如:

    使用工作或学校帐户登录

    网关安装只能链接到一个 Azure 帐户。

  4. 选择"在此计算机上注册新网关""下一步"。 此步骤会将网关安装注册到网关云服务

    在本地计算机上注册网关

  5. 提供网关安装的以下信息:

    • 在 Azure AD 租户中唯一的网关名称
    • 要使用的恢复密钥,必须至少包含八个字符
    • 确认恢复密钥

    提供网关安装的信息

    重要

    请将恢复密钥保存在安全位置。 更改位置以及移动、恢复或接管网关安装时,都需要用到此密钥。

    请注意选项“添加到现有网关群集”。在为高可用性方案安装其他网关时,需选择此选项。

  6. 检查网关安装所用的网关云服务和 Azure 服务总线消息实例的区域。 默认情况下,此区域与 Azure 帐户的 Azure AD 租户位于同一位置。

    确认网关服务和服务总线的区域

  7. 若要接受默认区域,请选择“配置”。 但是,如果默认区域不是最靠近你的区域,你可以更改区域。

    为何要更改网关安装的区域?

    例如,为了降低延迟,可将网关的区域更改为逻辑应用所在的同一区域。 或者,可以选择最靠近本地数据源的区域。 Azure 中的网关资源和逻辑应用可以有不同的位置。

    1. 在当前区域的旁边,选择“更改区域”。

      更改当前网关区域

    2. 在下一页上打开“选择区域”列表,选择所需的区域,然后选择“完成” 。

      为网关服务选择其他区域

  8. 查看最终确认窗口中的信息。 此示例对逻辑应用、Power BI、PowerApps 和 Power Automate 使用同一帐户,因此该网关适用于所有这些服务。 准备就绪后,请选择“关闭”。

    确认数据网关信息

  9. 现在为网关安装创建 Azure 资源

检查或调整通信设置

本地数据网关依赖于 Azure 服务总线消息进行云连接,并建立与网关的关联 Azure 区域相应的出站连接。 如果工作环境要求流量通过代理或防火墙来访问 Internet,此限制可能会阻止本地数据网关连接到网关云服务和 Azure 服务总线消息。 网关有多个可以调整的通信设置。

例如,你可以使用自定义连接器,该连接器使用 Azure 中的本地数据网关资源来访问本地资源。 如果你还有防火墙限制特定 IP 地址的流量,则需要设置网关安装,以允许访问相应的托管连接器出站 IP 地址。 同一区域中的所有逻辑应用都使用相同的 IP 地址范围。

有关详细信息,请参阅以下主题:

高可用性支持

为了避免在访问本地数据时出现单一故障点,可以在多个不同的计算机上各使用一个网关安装(仅限标准模式),并将这些安装设置为群集或组。 这样一来,如果主网关不可用,数据请求将路由到第二个网关,依此类推。 由于在一台计算机上只能安装一个标准网关,因此必须在另一台计算机上安装位于群集中的每个附加网关。 使用本地数据网关的所有连接器都支持高可用性。

  • 你必须已至少安装一个网关,该网关使用与主网关相同的 Azure 帐户和恢复密钥。

  • 主网关必须运行网关 2017 年 11 月更新版或更高版本。

设置主网关后,开始安装另一个网关时,请选择“添加到现有网关群集”,选择主网关(安装的第一个网关),然后为该网关提供恢复密钥。 有关详细信息,请参阅本地数据网关的高可用性群集

更改位置或者迁移、还原或接管现有网关

如果必须更改网关的位置、将网关安装移到新计算机、恢复已损坏的网关,或接管现有网关的所有权,需要使用安装网关期间提供的恢复密钥。

注意

在安装了原始网关的计算机上还原网关之前,必须先卸载该计算机上的网关。 此操作会断开原始网关的连接。 如果删除任何云服务的网关群集,则无法恢复该群集。

  1. 在具有现有网关的计算机上运行网关安装程序。

  2. 安装程序打开后,使用用于安装网关的同一 Azure 帐户登录。

  3. 依次选择 "迁移"、"还原" 或 "接管现有网关",例如:

    选择“迁移、还原或接管现有网关”

  4. 从可用群集和网关中进行选择并输入所选网关的恢复密钥,例如:

    选择网关并提供恢复密钥

  5. 若要更改区域,请选择“更改区域”,然后选择新区域。

  6. 准备就绪后,选择“配置”以完成任务。

租户级管理

若要洞察 Azure AD 租户中的所有本地数据网关,该租户中的全局管理员可以租户管理员的身份登录到 Power Platform 管理中心,并选择“数据网关”选项。 有关详细信息,请参阅本地数据网关的租户级管理

重启网关

默认情况下,本地计算机上的网关安装以名为“本地数据网关服务”的 Windows 服务帐户形式运行。 但是,网关安装对其“登录方式”帐户凭据使用 NT SERVICE\PBIEgwService 名称,并拥有“作为服务登录”权限。

注意

Windows 服务帐户不同于用于连接到本地数据源的帐户,并且不同于登录到云服务时使用的 Azure 帐户。

与其他任何 Windows 服务一样,可以通过多种方式启动和停止网关。 有关详细信息,请参阅重启本地数据网关

网关的工作原理

在已获授权的情况下,组织中的用户可以访问本地数据。 但是,只有在你安装并设置本地数据网关之后,这些用户才能连接到你的本地数据源。 通常,网关由管理员安装和设置。 这些操作可能需要服务器管理员权限或有关本地服务器方面的专业知识。

网关有助于促进更快速、更安全的后台通信。 此通信在云中的用户、网关云服务和本地数据源之间流动。 网关云服务可加密和存储数据源凭据与网关详细信息。 该服务还会在用户、网关与本地数据源之间路由查询及其结果。

网关可与防火墙配合使用,只使用出站连接。 所有流量最初都是网关代理的安全出站流量。 网关通过 Azure 服务总线消 息发送来自加密通道上的本地源的数据。 此服务总线在网关与调用方服务之间创建通道,但不存储任何数据。 通过网关的所有数据经过加密。

本地数据网关的体系结构

注意

根据所用的云服务,可能需要为网关设置数据源。

这些步骤说明当你与连接到本地数据源的元素交互时会发生什么情况:

  1. 云服务将创建查询,并为数据源创建加密的凭据。 然后,该服务将查询和凭据发送到网关队列进行处理。

  2. 网关云服务分析该查询,并将请求推送到 Azure 服务总线消息。

  3. Azure 服务总线消息会将待处理的请求发送到网关。

  4. 网关获取查询,对凭据进行解密,并使用这些凭据连接到一个或多个数据源。

  5. 网关将查询发送到数据源以便运行。

  6. 结果将从数据源发回给网关,并发送到网关云服务。 网关云服务随后使用结果。

对本地数据源进行身份验证

存储的凭据用于从网关连接到本地数据源。 不管用户是谁,网关都会使用存储的凭据来建立连接。 针对特定服务(如 Power BI 中适用于 Analysis Services 的 DirectQuery 和 LiveConnect)的身份验证可能存在例外情况。

Azure Active Directory (Azure AD)

Microsoft 云服务使用 Azure AD 对用户进行身份验证。 Azure AD 租户包含用户名和安全组。 通常,用于登录的电子邮件地址与帐户的用户主体名称 (UPN) 相同。

什么是 UPN?

如果你不是域管理员,你可能不知道自己的 UPN。 若要查找帐户的 UPN,请在工作站中运行 whoami /upn 命令。 尽管结果类似于电子邮件地址,但它是本地域帐户的 UPN。

将本地 Active Directory 与 Azure AD 同步

本地 Active Directory 帐户和 Azure AD 帐户的 UPN 必须相同。 因此,请确保每个本地 Active Directory 帐户与 Azure AD 帐户相匹配。 云服务仅知道 Azure AD 中的帐户。 因此,无需将帐户添加到本地 Active Directory。 如果 Azure AD 中不存在该帐户,则你无法使用该帐户。

可通过以下方式来使本地 Active Directory 帐户与 Azure AD 相匹配。

  • 手动将帐户添加到 Azure AD。

    在 Azure 门户或 Microsoft 365 管理中心创建一个帐户。 确保帐户名称与本地 Active Directory 帐户的 UPN 相匹配。

  • 使用 Azure Active Directory Connect 工具将本地帐户同步到 Azure AD 租户。

    Azure AD Connect 工具提供用于目录同步和身份验证设置的选项。 这些选项包括密码哈希同步、直通身份验证和联合身份验证。 如果你不是租户管理员或本地域管理员,请联系 IT 管理员来设置 Azure AD Connect。 Azure AD Connect 可确保 Azure AD UPN 与本地 Active Directory UPN 相匹配。 如果配合 Power BI 或单一登录 (SSO) 功能使用 Analysis Services 实时连接,则这种匹配将有所帮助。

    注意

    使用 Azure AD Connect 工具同步帐户会在 Azure AD 租户中创建新帐户。

常见问题解答和故障排除

后续步骤