Domande frequenti sul gateway dati di rete virtuale (rete virtuale)

Questo articolo contiene un elenco di domande frequenti sui gateway dati di rete virtuale (rete virtuale).

Il gateway dati di rete virtuale supporta Azure per enti pubblici cloud?

Supportiamo GCC L4 (Texas e Virginia) e L5 (DoD East). Questa funzionalità non è attualmente supportata in GCC L2.

Come si gestiscono le risorse di Azure dopo l'eliminazione di un gateway dati della rete virtuale?

I clienti non devono rimuovere l'assegnazione rp a livello di sottoscrizione fino a almeno tre ore dopo l'eliminazione di un gateway perché è comunque necessario pulire le risorse.

Perché vengono visualizzati gli errori "InvalidConnectionCredentials" o "AccessUnauthorized" durante l'accesso alle origini dati usando le credenziali OAuth2 da Dataflows Gen1 anche se le credenziali vengono aggiornate di recente (problema di aggiornamento del token mid-stream)?

Quando si usano le credenziali OAuth2 in Dataflows Gen1, il gateway non supporta l'aggiornamento automatico dei token di aggiornamento alla scadenza dei token di accesso. I token in genere scadono 1 ora dopo l'avvio dell'aggiornamento, ma possono scadere in meno di 1 ora, a seconda dell'origine dati e dei criteri del tenant. I flussi di dati Gen2, i modelli semantici, le pipeline di dati sono in grado di aggiornare i token a metà flusso e non devono essere interessati a causa di questo problema.

Il gateway dati della rete virtuale supporta i cloud con gapped di Azure?

Sono supportate le nuvole con gapped air in Stati Uniti Nat orientali/occidentali e Stati Uniti orientali/occidentali.

Come è possibile proteggere la connettività dalla rete a Power BI?

Usare i collegamenti privati per proteggere questa connettività. Altre informazioni: Documentazione di Power BI collegamento privato s

Dove si trova il gateway dati della rete virtuale?

Il gateway dati di rete virtuale si trova fisicamente nella stessa area della rete virtuale di Azure. Tuttavia, i metadati (nome, dettagli, origini dati, credenziali crittografate e così via) per tutti i gateway dati di rete virtuale vengono archiviati nell'area predefinita del tenant. È possibile gestire tutti i gateway dati di rete virtuale quando si seleziona l'area principale del tenant nell'interfaccia di amministrazione di Power Platform.

Il gateway dati di rete virtuale supporta i criteri di accesso condizionale?

Sì. È possibile usare un gateway dati di rete virtuale e i criteri di accesso condizionale sono ancora applicabili.

Quali origini dati sono supportate nel gateway dati di rete virtuale?

Elenco completo dei servizi dati supportati:

Quali sono i requisiti di licenza in Power BI per usare i gateway dati di rete virtuale?

I gateway dati di rete virtuale sono una funzionalità solo Premium e sono disponibili solo in Fabric (qualsiasi SKU) e capacità Di Power BI Premium (SKU A4 o versione successiva o qualsiasi SKU P).

Alcune origini dati sono connesse alla rete virtuale usando l'endpoint di servizio e alcuni usando l'endpoint privato. È possibile connettersi a tutti usando gateway dati di rete virtuale?

Perché non è possibile creare un endpoint di servizio per l'origine dati nella rete virtuale?

Vedere la documentazione della rete virtuale di Azure per informazioni sulle restrizioni (ad esempio, relative all'area) nelle reti virtuali, gli endpoint e le risorse di Azure associate.

Ricerca per categorie creare un endpoint privato per le origini dati e associarlo a una rete virtuale?

Esaminare la documentazione del prodotto del servizio dati di Azure corrispondente per verificare se gli endpoint privati sono supportati e su come abilitarli.

Perché non è possibile creare una connessione gateway dati di rete virtuale con l'autenticazione OAuth verso una risorsa di Azure configurata con endpoint privati?

Se si ricevono errori come Authorization failed for Public API route o DM_GWPipeline_Client_OAuthTokenLoginFailedError quando si tenta di creare una connessione gateway dati di rete virtuale con autenticazione OAuth verso una risorsa di Azure con un firewall che blocca l'accesso a Internet pubblico e configurato con endpoint privati, questo significa che è necessario creare in modo esplicito un endpoint di servizio per l'autenticazione privata chiamando il servizio Microsoft Entra ID. Per risolvere questa situazione, passare alla subnet della rete virtuale usata per il gateway dati di rete virtuale e abilitare l'endpoint di servizio Microsoft.AzureActiveDirectory come illustrato di seguito.

Screenshot che mostra la configurazione della rete virtuale nell'endpoint di servizio per Microsoft Entra ID.

È possibile usare questa funzionalità se l'origine dati si trova negli Stati Uniti orientali e l'area principale di Power BI si trova negli Stati Uniti orientali 2?

Sì, non esiste alcuna dipendenza dall'area principale di Power BI per questa funzionalità. Se questa funzionalità è abilitata nell'area in cui è presente la rete virtuale, è possibile creare un nuovo gateway dati di rete virtuale.

È possibile scegliere l'area in cui vengono creati i gateway dati di rete virtuale?

No. Il gateway dati di rete virtuale si trova fisicamente nella stessa area della rete virtuale di Azure. Attualmente non è anche possibile scegliere dove vengono archiviati i metadati (nome, dettagli, origini dati, credenziali crittografate e così via) per tutti i gateway dati di rete virtuale. Tali dati vengono archiviati nell'area predefinita del tenant.

Il gateway dati di rete virtuale supporta scenari tra tenant?

No. Il gateway dati della rete virtuale deve essere creato nello stesso tenant del tenant di Power BI.

È possibile usare questa funzionalità se il tenant si trova negli Stati Uniti orientali (Stati Uniti) e l'ambiente power platform si trova in Europa?

No, i gateway di rete virtuale sono attualmente disponibili solo nell'area principale del tenant.

Perché non è possibile connettersi all'origine dati?

Alcune aree da controllare:

  • Assicurarsi che l'origine dati sia operativa.
  • Assicurarsi che l'origine dati sia accessibile dall'interno della rete virtuale, in particolare dalla subnet delegata durante la creazione del gateway dati di rete virtuale. Ad esempio, è possibile distribuire una macchina virtuale nella subnet e verificare se è possibile connettersi all'origine dati.
  • A seconda dello scenario, potrebbero essere necessari i gruppi di sicurezza di rete di Azure seguenti:
    • Consentire il traffico in uscita verso l'endpoint ID Microsoft Entra durante l'uso dell'autenticazione OAuth o dell'entità servizio per connettersi a un'origine dati.
    • Consentire il traffico in uscita verso la CA (Autorità di certificazione) durante l'uso di HTTPS per connettersi a un'origine dati.

Come viene protetta la connettività tra il servizio di rete virtuale e la rete virtuale?

La connettività tra il nuovo servizio di rete virtuale e la rete virtuale è tramite HTTPS e TLS 1.2.

Sono presenti problemi di connettività noti per SQL Serverless con l'uso automatico?

Per SQL serverless con sospensione automatica, la prima richiesta potrebbe non riuscire se SQL si trova in uno stato sospeso, ma quelli successivi avranno esito positivo.

Si verifica un ritardo quando il gateway di rete virtuale viene usato per la prima volta o dopo un periodo di inattività?

Quando usato per la prima volta, il gateway di rete virtuale richiede circa 2 minuti per ottenere la configurazione. Analogamente, se il gateway dati di rete virtuale non viene usato per 30 minuti, è possibile riscontrare un ritardo di circa un minuto alla successiva uso.

Questa funzionalità è supportata nei cloud sovrani?

No, per la versione di anteprima pubblica sono supportati solo i cloud commerciali.

È necessario gestire qualsiasi hardware per usare il gateway dati della rete virtuale?

No. Il gateway dati della rete virtuale offre risorse di calcolo completamente gestite. È possibile scegliere di ridimensionare il numero di nodi in ogni cluster.

È possibile creare più gateway dati di rete virtuale per lo stesso servizio dati di Azure?

Perché non è possibile eliminare la subnet o la rete virtuale delegata a Power Platform?

Controllare se sono presenti altri gateway che usano la stessa rete virtuale e la stessa subnet. Per poter eliminare, sono necessarie fino a 48-72 ore dopo la rimozione dell'ultimo gateway tramite questa rete virtuale e la subnet.

Quanto deve essere grande la subnet delegata?

Oltre ai cinque indirizzi IP riservati, è consigliabile avere circa 5-7 indirizzi IP in modo da poter aggiungere altri gateway di rete virtuale alla stessa rete virtuale e alla stessa subnet.

Si è un proprietario della sottoscrizione, ma viene visualizzato un errore di autorizzazione insufficiente quando si tenta di creare un gateway dati di rete virtuale.

Assicurarsi di entrare in modo esplicito in un ruolo con l'autorizzazione Microsoft.Network/virtualNetworks/subnets/join/action per la rete virtuale, ad esempio il ruolo Collaboratore rete di Azure. Questa autorizzazione è necessaria per la creazione di un gateway dati di rete virtuale.

Tutti i dati quando si usa il gateway dati di rete virtuale rimangono nella rete backbone di Microsoft durante l'accesso alle origini dati di Azure?

In che modo la sicurezza viene confrontata con il gateway dati locale? Sì, tutti i dati che passano attraverso un gateway dati di rete virtuale rimangono nel backbone di Azure. Viene usato un tunnel Microsoft interno che non raggiunge la rete Internet pubblica tra la rete virtuale e servizio Power BI. D'altra parte, il gateway dati locale apre una connessione per usare Inoltro di Azure per connettersi al servizio Power BI.

Quali componenti di Azure devono trovarsi nella stessa area?

Prendere in considerazione le varie risorse: sottoscrizione, provider di risorse Microsoft.PowerPlatform, rete virtuale, subnet e tenant principale del servizio Power BI. Se si usa un endpoint di servizio, la rete virtuale e la subnet devono trovarsi nella stessa area dei dati a cui ci si connette. Se si usa un endpoint privato, possono trovarsi in aree diverse. La configurazione del gateway dati si trova nell'area del tenant principale di Power BI.

Esiste un modo per connettersi dalla subnet di una rete virtuale all'origine dati di un'altra rete virtuale?

Un gateway di rete virtuale può in genere raggiungere origini raggiungibili all'interno della stessa rete virtuale. Se è presente un'altra rete virtuale isolata dal primo, è necessario un altro gateway di rete virtuale.

Altri problemi noti?

  • L'intervallo IP della subnet della rete virtuale non può sovrapporsi a 10.0.1.x.
  • Non è possibile delegare una subnet chiamata gatewaysubnet all'interfaccia di amministrazione di Power Platform. Questa restrizione è dovuta al fatto che si tratta di una parola riservata per la funzionalità Subnet del gateway di Azure.
  • Non è possibile modificare l'area, la sottoscrizione o il gruppo di risorse per la rete virtuale in cui è stato creato il gateway dati di rete virtuale. Questo scenario non è attualmente supportato.
  • Se un aggiornamento OAuth che richiede più tempo di un'ora viene annullato con l'errore "Credenziali di connessione non valide" o timeout, è probabile che la credenziale sia scaduta.

Cosa è necessario fare se si raggiunge il limite massimo di 1.000 origini dati in un gateway di rete virtuale e come si evita di raggiungere questo limite?

Gli utenti sono limitati a 1.000 origini dati in ogni gateway di rete virtuale. Se si raggiunge il numero massimo di origini dati, verificare che il numero di origini dati per ogni gateway di rete virtuale non sia superiore al limite di 1000. Per risolvere eventuali problemi correlati, è possibile rimuovere manualmente le origini dati dall'interfaccia di amministrazione o, in alternativa, usare lo script di PowerShell seguente per eliminare in blocco tutte le origini dati usando un gateway di rete virtuale specificato che supera tale limite. È necessario sostituire il testo "GatewayClusterID" con l'ID gateway di rete virtuale specifico per il funzionamento di questo script.

## https://learn.microsoft.com/powershell/module/datagateway/?view=datagateway-ps
## PowerShell version of '7.0.0' to run
## required module "DataGateway" Install-Module -Name DataGateway and sign in the same user who exceeded the 1000 limit
Connect-DataGatewayServiceAccount
 
## get the gateway information per the sign in person
$datasources = Get-DataGatewayClusterDatasource -GatewayClusterId <GatewayClusterId>;
foreach ($datasource in $datasources)
{
  $datasource
  "datasource id={2}, datasourceType={3}, datasource connection details={4}" -f $datasource.Id, $datasource.DatasourceType, $datasource.ConnectionDetails
 
  ## conditional logic to determine if name matches set
  ## Remove-DataGatewayClusterDatasource -GatewayClusterId $gw.Id -GatewayClusterDatasourceId $datasource.Id
}