Power BI 实现规划:数据网关核
注意
本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划。
本文可帮助你规划和实现 Microsoft Fabric 的本地数据网关和虚拟网络 (VNet) 数据网关。 主要面向以下对象:
- Fabric 管理员:负责监督组织的 Fabric 的管理员。 结构管理员可能需要与 Power Platform 管理员、数据库管理员、信息安全团队、网络团队和其他相关团队协作。
- 网关管理员:负责实现、管理和监视网关及其数据源连接的个人。
- 网关参与者:负责添加和管理网关数据源连接的分散式团队和个人。
- 卓越中心 (COE)、IT 和 BI 团队:负责支持需要访问、连接和刷新数据的用户的团队。
- 内容所有者和创建者:使用网关连接到其数据源并刷新 Fabric 数据项的团队和个人。
若要访问 Power BI 语义模型、数据流和其他 Fabric 数据项的源数据,可能需要数据网关。 数据网关安全地在专用网络或本地数据源与云服务(包括 Fabric)之间传输数据。
注意
本文概述了网关。 它重点介绍规划和实施网关以支持 Fabric 内容的关键注意事项和操作。
有关网关工作的更多信息,请参见:
规划关键决策
网关通常是 Power BI 和 Fabric 实现成功不可或缺的一部分。 尽管某些组织使用分散式团队来管理网关,但是 COE 或中央数据和 BI 团队通常计划和集中管理网关。 为了缓解未来中断和治理风险的可能性,请务必仔细规划使用网关的方式和时间。
通常在两个不同的阶段规划网关实现。
- 租户设置:准备实现或迁移到 Fabric 时,应评估数据源是否需要网关。 网关规划活动也与租户级别的安全、工作区以及审核和监视规划相关。
- BI 解决方案规划:规划新的 BI 解决方案时,应评估解决方案是否需要网关,同时收集新解决方案的技术要求。 向现有解决方案添加新数据源时,可能还需要网关。
规划网关实现从做出关键决策开始,从是否需要网关开始。
确定是否需要网关
通常,在以下情况下需要数据源的网关:
- 数据源位于本地。
- 数据源位于专用网络中。
- 需要连接器软件的主机。
- 某些连接器或功能需要安全隔离。
在这些情况下,需要一个网关才能:
- 在 Fabric 门户中刷新数据。 当内容创建者在需要网关的数据源的 Power BI 服务中设置数据刷新时,此方案适用。
- 在 Fabric 门户中创建内容。 当内容作者在需要网关的 Power BI 服务中创建或修改数据项(如语义模型或数据流)时,此方案适用。
- 支持 DirectQuery 连接。 当内容创建者发布包含 DirectQuery(或双)存储模式表的语义模型,以及这些表的数据源需要网关时,此方案适用。 此使用方案还介绍了强制实施数据源中定义的每用户数据权限的功能。 例如,SQL Server 数据库可以强制实施行级别安全性 (RLS),Power BI 可以管理单一登录 (SSO) 连接。 有关详细信息,请参阅基于使用者标识强制实施数据安全性。
- 实时连接到 SQL Server Analysis Services。 当内容创建者发布使用与 SQL Server Analysis Services (SSAS) 数据库的实时连接的报表时,此方案适用。
以下部分介绍了何时需要网关。
本地数据源
需要网关才能从 Fabric 门户连接到本地数据源。 网关充当网桥,评估网关计算机上的查询表达式,并安全地将本地数据传输到云。
连接到以下情况时,此方案相关:
- 驻留在本地计算机上的数据源。
- 存储在本地目录中的文件。
- 在单个查询中组合的云和本地数据源。
- 基于云的虚拟机 (VM)—称为基础结构即服务或 IaaS。
专用网络数据源
需要网关才能连接到位于专用网络的数据源,例如 Azure 虚拟网络 (Azure VNet)。 虚拟网络或 VNet 是一个逻辑隔离的网络段,用于隔离来自公共 Internet 的流量。 VNet 提供增强的网络安全性。
当数据源为以下情况时,此方案相关:
- 驻留在专用网络内的数据中心,例如组织网络(或位于防火墙后面)。
- 是 VNet 中的基于云的 VM(称为基础结构即服务或 IaaS)。
- 是 VNet 中的基于云的数据库服务(称为平台即服务或 PaaS)。
注意
云数据源不需要网关,这是一种常见的误解。 当云数据源驻留在专用组织网络中时,需要网关。
主机连接器软件
有时,可能需要网关来托管连接到数据源所需的支持项。 此软件可能包括在网关计算机上安装的自定义数据连接器、驱动程序或库。 Power BI 服务无法访问此软件,因此即使连接到云数据源,也无法刷新使用该软件的数据源,而无需依赖网关。
使用连接器连接到数据源时,此方案相关,例如:
- 驱动程序。 官方连接器可能需要安装必备驱动程序。 例如,连接到 Oracle 数据库时,可能需要 Oracle 数据访问客户端软件。
- 自定义连接器。 某些数据源可能需要自定义或第三方连接器。 例如,可能需要自定义连接器才能连接到旧系统或专有系统。
- 客户端库。 某些数据源可能需要支持库,以允许客户端工具连接到它。 例如,连接到 Analysis Services 数据库时,必须安装客户端库。
- ODBC 或 OLE DB 连接器。 官方连接器可能需要 ODBC 驱动程序或 OLE DB 提供程序。 例如,连接到 SAP HANA 时,需要 ODBC 驱动程序。
重要
当内容创建者使用客户端工具(如 Power BI Desktop 及其解决方案依赖驱动程序、连接器或提供程序)时,应在网关计算机上安装与内容创建者计算机上安装相同的组件。 创建者计算机和数据网关之间缺少或不匹配的组件是发布内容数据刷新失败的常见原因。 有关详细信息,请参阅用户工具和设备。
安全隔离
需要使用网关来使用某些 Power Query 连接器或函数,例如 Web 连接器或 Web.BrowserContents 函数。 出于多种原因,这些连接器和功能需要网关,包括安全隔离。
提示
连接到网页数据源时,请考虑以下替代方法。
- Web.Contents 函数:如果要连接到不需要通过浏览器访问的 Web 内容,请考虑使用 Web.Contents 函数。 此函数不需要网关,因为它不使用浏览器控件。
- 笔记本:如果你有 Fabric 容量,请考虑使用 Fabric 笔记本转换数据。 与 Power Query 相比,笔记本不需要网页数据的网关,在检索网页信息时,它们的性能更好。
使用连接器和驱动程序连接到数据源时,此方案相关,例如:
- 使用 Web 连接器的查询。
- 使用 Web.Page 或 Web.BrowserContents 函数的查询。
- 使用 Access 数据库引擎 (ACE) 驱动程序的连接。
确定所需的网关类型
确定需要网关后,接下来应确定要安装的网关类型。 有三种类型的网关。
- 本地数据网关(标准模型)
- 本地数据网关(个人模式),称为个人网关
- 虚拟网络 (VNet) 网关服务
你选择的网关类型将取决于你的要求和数据源。 以下各节介绍三种网关类型中的每一种。
本地数据网关(标准模型)
本地数据网关(标准模式)允许多个用户连接到通过单个共享网关的数据源。 通常,在始终打开的 VM 上集中安装和管理标准模式网关。 使用标准模式网关,可以从多个服务(如 Fabric、Power BI 和其他 Power Platform 服务)连接到数据。
下图描述了标准模式网关的高级概述。
重要
此图不描述本地数据网关的体系结构。
该图描述了以下概念。
项目 | 描述 |
---|---|
本地数据网关(标准模式)安全地将数据从本地数据源传输到云服务。 | |
特定方案(上一部分所述)中的云数据源需要标准模式数据网关。 | |
标准模式数据网关安装在始终启用的 VM 上。 管理员集中管理 VM 和数据网关。 网关管理员在必要时安装数据源连接所需的软件。 | |
多个用户可以连接到数据网关数据源。 | |
用户可以将数据网关用于发布到 Fabric 工作区的项目,例如语义模型、数据流、管道或分页报表。 | |
用户可以将数据网关用于其他 Power Platform 云服务,例如 Power Platform 数据流。 |
在以下特定情况下,需要标准模式网关。
- 不同的 Microsoft 云服务(如 Power Apps 和 Fabric)和 Fabric 数据项(如数据流)需要查询本地数据源(或需要网关的云数据源)。
- 分页报表需要查询本地数据源(或需要网关的云数据源)。
- 语义模型使用需要连接到本地数据源(或需要网关的云数据源)的 DirectQuery 存储模式。
- SSAS 实时连接。
- 数据源依赖自定义数据连接器、驱动程序或库。
- 预计需要重新定位或迁移网关时。
Personal Gateway
本地网关(个人模式)通常称为个人网关,允许用户连接到驻留在同一计算机上的本地数据源。 用户通常从自己的计算机安装和管理个人网关。 使用个人网关时,用户无法从其他 Power Platform 服务连接到数据。 他们也不能与其他用户共享网关或连接。
个人网关旨在由单个个人进行有限的个人使用。 通常,内容创建者安装和使用这些网关来执行个人 BI。 这些网关仅限于个人 BI,因为它们无法共享。 此外,个人网关要求用户具有计算机权限和策略批准才能下载和安装个人网关软件。
提示
对于连接到本地数据的大多数方案,应在标准模式下使用网关(如上一部分所述)。 这是因为你可以与多个用户共享标准模式网关,它支持 DirectQuery 查询和实时连接,并且有更多的选项来集中网关治理和管理。
注意
由于个人网关通常安装在用户计算机上,因此管理和治理更加困难。 如果的确需要使用个人网关,请考虑将其移动到使用服务帐户的集中管理的 VM。 此方法可确保网关可用性不依赖于用户计算机(可能已关闭),并改进网关治理和管理。
下图描述了个人网关的高级概述。
重要
此图不描述本地数据网关的体系结构。
该图描述了以下概念。
项目 | 描述 |
---|---|
个人网关通常安装在用户计算机上。 | |
个人网关安全地将数据从用户计算机上的本地数据源传输到云服务。 | |
个人网关通常由安装该网关的用户管理。 | |
单个用户使用个人网关进行有限的个人使用。 无法共享个人模式网关。 | |
个人网关只能用于发布到 Power BI 工作区的项目,例如语义模型或 Power BI 数据流。 |
为了重申,个人网关旨在由单个个人进行有限的个人使用。 但是,有两种特定方案要求使用个人网关。
提示
尽可能避免使用个人网关。 而是考虑使用以下替代方法。
- SharePoint:如果需要连接到本地文件,请考虑改为将这些文件上传到 SharePoint、OneDrive for Work 或 School。 可以使用不需要网关的 SharePoint 文件夹连接器连接到这些文件。
- OneLake:如果需要连接到本地文件并且具有 Fabric 容量,还可以使用 OneLake 文件资源管理器上传文件并将其与 lakehouse 同步。 连接到 Fabric lakehouse 不需要网关。
- 笔记本:如果需要使用 Python 或 R 转换数据,并且具有 Fabric 容量,请考虑使用 Fabric 笔记本转换数据,并将其写入 OneLake 中存储的表。 笔记本不需要网关来运行 Python 或 R 代码。 还可以受益于笔记本中提供的增强性能和附加功能。
VNET 网关
VNet 网关允许多个用户连接到受专用网络保护的数据源,包括使用专用终结点的数据源。 使用 VNet 网关,可以使用多个服务连接到数据,并且可以与多个用户共享网关或连接。
VNet 网关是 Microsoft 托管服务。 如果组织使用专用网络,则需要 VNet 网关。
重要
如果考虑使用 VNet 网关服务,请与处理网络和安全性的 IT 团队讨论。 这些团队可以帮助确保设置所有内容,例如专用终结点 (如果适用)和网关通信。
VNet 网关仅支持 Power BI Fabric 或高级版容量。 VNet 网关的计费形式为该容量的附加高级基础结构费用。
重要
有时本文指的是 Power BI Premium 或其容量订阅 (P SKU)。 请注意,Microsoft 目前正在合并购买选项并停用 Power BI Premium Per Capacity SKU。 新客户和现有客户应考虑改为购买 Fabric 容量订阅 (F SKU)。
有关详细信息,请参阅 Power BI Premium 许可即将进行的重要更新和 Power BI Premium 常见问题解答。
下图描述了 VNet 网关的高级概述。
重要
此图不描述 VNet 数据网关的体系结构。
该图描述了以下概念。
项目 | 描述 |
---|---|
使用虚拟网络 (VNet) 网关连接到专用网络上的数据源,例如 Azure VNet 中的数据源。 | |
VNet 数据网关是 Microsoft 托管服务。 从 Azure 门户和 Power Platform 管理门户集中管理 VNet 数据网关。 | |
多个用户可以使用 VNet 数据网关。 | |
用户可以将 VNet 数据网关用于发布到 Fabric 工作区的项目,例如语义模型。 | |
用户可以将 VNet 数据网关用于其他 Power Platform 云服务,例如 Power Platform 数据流。 |
确定网关数
确定需要网关和哪种类型的网关后,接下来应确定所需的网关数。
根据需求,可能需要多个网关。 确定要安装和使用的网关数量时,请考虑以下因素。
可用性和性能
网关具有高可用性,以避免刷新或查询延迟导致的中断,这一点很重要。 确保网关可用性的一种方法是在高可用性网关群集中安装多个网关。 网关群集是在不同 VM 上安装的网关的集合,在逻辑上作为单个功能单元(群集)相互关联。 每个网关计算机有时称为节点。
下面是使用网关群集的好处。
- 避免单一故障点:当主网关计算机不可用时,故障转移可避免单一故障点。 如果查询不可用,则会将查询发送到群集中的另一个节点。 使用多台计算机群集可降低风险。 它还会增加运行时间,这有助于满足高可用性和灾难恢复要求。
- 更好的性能:当并发使用率较高时,负载均衡可提高性能。 负载均衡通过将查询发送到群集中的其他节点来分配工作负荷。 当主网关繁忙或单个操作(如长时间数据刷新)消耗许多资源时,这非常有用。
- 避免停机:安装网关软件更新时,可以一次在群集的一个节点上执行安装。 这样,它会避免整个群集脱机。
重要
强烈建议将网关群集用于业务关键型工作负荷。
有关设置网关群集的详细信息和指南,请参阅计划、缩放和维护业务关键型网关解决方案。
环境
内容创建者通常使用单独的环境来开发和管理业务关键型解决方案,例如开发、测试和生产。 根据使用的环境数量以及使用方式,可能需要为每个环境创建单独的网关群集。
将网关群集分离到不同的环境可以:
- 隔离和最大程度地减少开发和测试活动造成的中断。
- 提高生产工作负荷的可用性和性能。
- 提供用于安装和测试网关软件更新的安全环境。
重要
建议为生产工作负荷创建单独的网关群集。 如果在所有环境中都有一个网关群集,则表示额外的风险。 为了尽量减少成本和管理工作,通常会(例如内存和 CPU)分配给开发网关群集更少的资源。
区域
为了确保数据刷新性能良好,请务必考虑数据源、网关的位置以及用户所在的位置。 为了降低延迟,应尽可能接近数据源安装网关。 因此,可能需要安装多个网关群集来支持不同的区域或租户。
注意
确保网关安装符合组织的数据驻留要求。
重要
为了尽量减少延迟,我们建议在与数据源位于同一区域中的计算机上安装网关。 此外,对于 VNet 网关,网关和数据源应位于同一子网上。
清单 - 规划网关实现时,关键决策和操作包括:
- 创建数据源清单:数据源的清单允许验证和记录哪些数据源需要网关。
- 确定需要网关的情况:考虑内容创建者和使用者的工作方式。 确保熟悉何时需要网关。 为用户社区创建文档和培训。
- 确定所需的网关类型:确保验证任何假设并评估可能的限制,以便确定所选网关类型满足要求。
- 避免个人网关:请考虑在标准模式下使用网关。 确定是否有可以重定向个人网关数据源,以使用标准模式网关(因此不受单个个人使用的限制)。
- 决定是否需要网关群集:将网关群集用于业务关键型解决方案。 网关群集提供高可用性和负载均衡。 它们还有助于避免单一故障点,并在高并发使用率期间提高性能。
- 确定需要的网关数量:考虑不同环境的单独网关群集,以避免中断。 考虑其他因素,例如使用情况或区域。
安装网关
此时,你知道需要哪种类型的网关以及数量。 接下来,需要规划网关安装。 通常,网关安装在专用于此目的的 VM 上(通常称为网关计算机)。 网关群集中的每个计算机应始终处于打开状态,以确保持续支持用户活动和数据刷新操作。
注意
由于 VNet 网关是托管服务,因此你不会下载并安装它。 而是在 Azure 门户预配和设置 VNet 网关,然后将其绑定到 Fabric 或 Power BI 高级版容量。 有关详细信息,请参阅创建虚拟数据网络。
确定网关所有者和安装程序
在安装网关之前,请确定将安装和拥有网关的人员。
网关所有者
通常,网关所有者是安装、拥有和管理网关的技术人员。 网关所有者负责各种活动。
- 规划:如前所述做出关键决策,并制定网关计算机的技术规范,包括初始系统资源。 网关所有者还应确保支持计划已到位。
- 安装:选择适当的计算机以安装网关软件,并执行首次安装和设置。
- 管理:更改网关设置或优化首选项(例如配置流式处理,而不是后台处理数据)或监视目的(例如配置性能日志记录)。 网关所有者还决定何时纵向扩展(将更多资源添加到网关计算机)或横向扩展(在群集中安装更多网关)。
- 测试:在首次设置期间验证网关使用情况,确保网关计算机有足够的资源可用。 网关所有者还应在安装更新之前测试月度更新。
- 更新:及时更新和安装网关软件和支持项(如连接器软件)。
- 监视:监视网关运行时间和运行状况,包括允许监视问题和异常活动的网关日志文件的集合。
- 迁移:将恢复密钥存储在可供更广泛的团队访问的安全位置。 网关所有者还应是使用这些密钥迁移、还原或重新定位网关的人员(如有必要)。
重要
确保网关所有者知道并同意这些责任。 如果网关所有者尚未准备好管理网关,则它可能会快速成为阻止内容所有者和创建者的依赖项。 此外,确定网关所有者是否了解如何安装和管理网关,如果不了解,你将如何训练他们来执行此操作。
提示
某些组织成功地允许业务部门和部门内的网关所有权,而其他组织则为集中式团队(如 IT)保留网关所有权。 处理它的一种方法是形成一种合作关系,IT 管理网关群集节点,而业务部门管理数据源连接。
由于网关所有权是一项重要责任,因此应明确定义组织中的哪些人可以安装网关。
网关安装程序
若要减少管理开销并降低治理风险,必须限制组织中的活动网关数量。 为此,建议限制可安装网关的用户数量。
警告
网关所有者可以完全控制其管理的网关。 这意味着恶意网关所有者可能会在信息流经本地数据网关时截获信息。 因此,必须限制向受信任的用户安装网关的功能。
对于标准模式网关,可以从 Fabric 门户或 Power Platform 管理中心管理网关安装程序。 还可以使用网关安装程序设置管理哪些人可以创建 VNet 数据网关。
- Fabric 连接和网关页:可以从 Fabric 门户的连接和网关页内管理网关安装程序。
- Power Platform 管理中心:还可以从 Power Platform 管理中心管理网关安装程序。 更改此处设置会影响从 Fabric 使用的网关。
还可以使用 PowerShell cmdlet 以编程方式管理网关安装程序,以便进行本地网关管理。 对于个人网关和标准模式网关,可以使用这些 cmdlet 设置网关租户策略。 使用 PowerShell 设置网关租户策略是管理谁可以在租户中安装个人网关的唯一方法。
重要
建议密切监管谁可以安装个人网关,限制其对有效、批准的业务案例的安装和使用。
准备网关安装
确定将安装和拥有网关的人员后,应为网关安装做好准备。 你应该:
- 确定在何处安装网关。
- 确定网关计算机所需的资源。
- 就安装网关时如何命名网关达成一致。
以下部分介绍了规划网关安装的这些关键注意事项。
确定在何处安装网关。
通常在始终打开的 VM 上安装网关(也称为网关计算机)。 在计算机上每种类型(个人模式或标准模式)只能安装一个网关。
下面是确定要安装网关的位置的关键因素。
- 位置:通常网关计算机应位于靠近数据源的位置,以最大程度地减少延迟。 通常需要在默认数据区域中安装标准网关。 但是,如果高级版容量位置与租户的默认数据区域不同,请使用 Azure 中继作为满足数据驻留要求的选项进行调查。
- 支持项:确定需要在网关计算机上安装的连接器、驱动程序或库。
- 域:确定网关计算机与目标域的关系。 VM 必须是与目标域建立信任关系的已加入域的计算机。 不能是域控制器。
提示
为了避免资源争用,请不要在网关计算机上安装不相关的软件。 网关计算机应完全专用于托管本地数据网关。
确定网关计算机资源
网关计算机应有足够的资源来处理预期的查询工作负荷。
下面是确定网关计算机资源的关键因素。
- 用法:确定将使用网关的项数和类型,以及查询并发(来自多个用户)。 更高的使用率要求网关计算机具有更多资源。
- 连接类型:确定 Power BI 语义模型是导入数据、使用 DirectQuery 还是实时连接。 对于导入语义模型,请务必检查数据刷新数量,以估算网关资源需求(例如 RAM)。 对于 DirectQuery 或实时连接,应评估报表使用者数量,以估计资源需求(如 CPU)。
提示
通过执行负载测试来验证网关计算机资源。 执行数据集刷新时,可以通过监视网关计算机运行状况以及模拟 DirectQuery 或实时连接报告的高并发使用率,来执行这种类型的测试。
在命名约定上达成一致
如何命名网关及其数据源连接非常重要。 名称应使内容创建者能够直接了解要连接到的内容。 若要确保网关和数据源连接具有明确的名称,应使用逻辑命名约定。
制定命名约定时,请考虑以下几点。
- 在名称中包含网关或 DataGW 的变体,以标识用于审核、日志记录和故障排除目的的网关。
- 包括当网关支持特定的 Fabric 项、操作、区域或业务区域时,网关的特定用途。
- 当网关支持特定环境时,请使用名称中的开发、测试或 Prod 变体。
- 为网关指定一个名称,该名称与它所属的群集的名称一致。 例如,为群集中的每个网关计算机提供唯一名称,例如 Node1、Node2 等。
下面是逻辑网关名称的一些示例。
- DataGW-Prod-Node1
- Gateway-DevTest-Node1
- Gateway-FinanceTeam-Prod-Node1
安装和设置网关
做出关键决策和准备后,网关所有者会安装网关,并执行首次设置。
安装和设置网关时,请考虑以下因素。
- 安装位置:如果要将网关安装到默认安装路径以外的其他位置,可以更改安装位置。
- 恢复密钥:如果要迁移、还原或接管现有网关,需要使用网关的恢复密钥。 确保将恢复密钥保存在其他网关管理员可访问的安全位置。
- 数据中心区域:如果希望该区域与已注册服务的租户不同,可以更改数据中心区域。
- Azure 中继:如果要使用自己的中继而不是默认中继,可以提供自己的中继详细信息。
- 代理设置:当工作环境要求网关通过代理服务器连接到 Fabric 门户时,必须设置代理设置。
- 网关服务帐户:如果要使用显式域帐户,可以从默认的网关服务帐户(即 PBIEgwService)更改网关服务帐户。
- 通信设置:当防火墙阻止出站连接时,安全和网络团队可以设置防火墙,以允许从网关到其关联的 Azure 区域的出站连接。
- 租户注册:如果要限制允许哪些租户注册本地数据网关应用程序,以防止数据外泄。
- 集成租户设置:如果要确保网关使用单一登录 (SSO)(例如,使用基于 Microsoft Entra ID 的身份验证)的方式运行。
重要
建议将租户注册限制为仅组织内的租户。 此步骤有助于提高网关安全性,因为默认设置对租户注册没有限制。
清单 - 准备和安装网关时,关键决策和操作包括:
- 确定网关所有者和安装程序:确保网关所有者知道其职责。 将网关安装限制为适当的人员。
- 进行培训:如果需要,训练网关所有者和安装程序以有效安装、管理和支持网关。 必要时对备份进行交叉训练。
- 创建命名约定:创建与用途、环境、群集节点对应的网关命名约定,以及它支持的用例或它执行的操作。
- 考虑资源需求:确定工作负荷和使用情况,以确定初始资源(如内存和 CPU)。
- 设置集成租户设置:查看并设置集成租户设置,以确保网关按照你打算的方式使用单一登录 (SSO) 运行。
- 预配网关计算机:设置具有足够资源的始终打开的 VM,以支持网关操作。
- 安装网关:在网关计算机上首次设置网关。
- 安装支持项:安装自定义数据连接器或依赖软件,以支持你的方案。
管理网关
安装网关后,应添加数据源连接。 添加这些连接时,还应规划如何管理对网关及其连接的访问。
添加数据源连接
必须先添加初始数据源连接,然后才能使用网关。 可以从 Power BI 服务或 Power Platform 管理中心手动添加连接,也可以使用 Power BI REST API 以编程方式添加连接。
添加连接时,请考虑以下几点。
- 存储的凭据:考虑将用于连接到数据源的凭据。 添加连接时,必须为该数据源提供凭据(除非它支持匿名身份验证)。 这是一个重要决策,因为对数据源的所有查询都使用这些凭据运行,除非对数据网关使用 Microsoft Entra 单一登录 (SSO)。
- 命名约定:与网关一样,连接还应使用符合逻辑和一致的命名约定。 确保连接名称与数据源名称相对应。 例如:FinanceDB-Prod 是表明数据源的逻辑名称。
- 单一登录:在 Fabric 管理员设置中,如果要将单一登录 (SSO) 与 DirectQuery 配合使用(使用 Active Directory SSO 或 Microsoft Entra SSO),则应为网关选项启用 Microsoft Entra 单一登录 (SSO)。 如果要基于报表用户标识在数据源系统中强制实施数据安全性,则应使用 SSO。
- 隐私级别:对于导入数据源连接,必须设置隐私级别。 如有必要,请确保选择适当的隐私级别来适当隔离数据源。 请务必了解 Power BI Desktop 中设置的隐私级别不受网关的约束。
注意
之后可以修改数据源名称,但在设置数据源名称后,服务器和数据库名称无法更改。 若要避免错误,请确保数据源信息与 Power BI Desktop 中使用的信息匹配。
提示
若要提高效率和准确性,请考虑使用 Power BI REST API 自动创建数据源连接。 在这种情况下,建议包括评审和审批流程,而不是自动处理创建或更新连接的每个请求。
预配网关访问
添加初始数据源连接后,应决定如何管理对网关及其连接的访问。
内容创建者需要访问网关连接才能成功连接到数据源。 对网关连接的用户访问是针对每个连接的,因此请考虑哪些人需要访问每个网关连接,以及如何管理该访问权限。 应使用网关和连接的安全角色来管理访问权限。
网关角色
网关角色允许你控制哪些人可以管理网关及其数据源连接。 这些角色的工作方式与工作区角色类似,允许根据角色确定不同权限。 使用角色可帮助你更有效地管理网关访问。
重要
只需使用网关连接到数据源的用户就不需要属于网关角色。 在这种情况下,他们只具有用户连接角色。
有三个网关角色用于管理本地标准网关。
- 管理员:此角色的成员可以管理和更新网关。 网关管理员通常是网关所有者,但网关也可以有多个管理员。 网关管理员应是 Fabric 管理员,或者是 COE 或中央 BI 团队的成员。 管理员的职责与网关所有者相同。
- 连接共享创建者:此角色的成员可以创建网关连接、测试网关状态,并与其他人共享网关。 此角色无法从网关中删除用户。 当某人负责一部分分析解决方案时,例如在业务部门的分散团队中,考虑将他们添加到此角色。 具有此角色的人员的责任包括:
- 设置和测试新连接。
- 管理他们拥有的连接,例如设置凭据。
- 与需要网关的其他用户共享网关。
- 定期查看哪些人有权访问网关,验证他们是否仍需要该权限,并在不需要时将其删除。
- 连接创建者:此角色的成员可以在网关上创建连接,并测试其状态。 连接创建者应该是内容所有者,可以适当地设置正确的连接,以使用网关。 连接创建者角色的责任与具有共享角色的连接创建者相同,例外情况是他们无法共享对网关的访问权限。
注意
VNet 网关仅支持管理员网关角色。
数据源连接角色
使用数据源连接角色可以控制哪些人可以使用、管理和共享连接。 具有连接角色的用户不需要属于网关角色。
有三种数据源连接角色。
- 所有者:此角色的成员可以管理连接,或者在不再需要连接时将其删除。 所有者可以管理连接角色,包括添加其他连接所有者。 所有者通常是连接创建者。 当某人是该数据源的专员或管理员时,请考虑使其成为连接所有者,或者他们对数据源及其内容有重要了解。 所有者的责任包括:
- 如有必要,管理连接,例如更新凭据。
- 不再需要连接时将其删除。
- 从 Power Platform 管理中心管理连接角色。
- 具有共享的用户:此角色的成员可以通过添加其他用户来使用和共享数据源。 在用户社区中担任重要角色时,请考虑将某人添加到此角色。 冠军可能是这个角色的优秀候选人。 具有此角色的人员的责任包括:
- 与需要它的其他用户共享连接。
- 定期查看哪些人有权访问连接,验证他们是否仍需要该权限,并在不需要时将其删除。
- 用户:此角色的成员可以使用 Power BI 报表和 Power BI 数据流中的数据源。 用户仅负责从工作负荷和客户端工具查询数据。
提示
为了防止治理风险过度共享,应限制哪些人可以向能够有效和负责任地完成此任务的特定个人共享网关和连接。
文档网关和连接
设置网关群集后,应记录该群集。 应记录网关,以便内容创建者可以找到这些网关,并便于网关管理员进行维护。 请考虑将网关文档存储在可访问的位置,例如相关实践社区的集中式门户。
请考虑记录以下信息。
- 网关名称和 GUID
- 网关计算机名称(以及任何相应的标识符)
- 网关所有者
- 上次软件更新日期(网关版本)
- 网关群集的用途(例如环境、区域、业务区域)
- 应在此网关上维护哪些数据源连接
- 网关是使用用户标识还是存储凭据
- 访问管理策略(你打算如何使用网关角色和连接角色)
重要
确保记录标准模式网关的网关恢复密钥。 如果需要恢复或重新定位网关,则需要这些恢复密钥。 将此信息保存在安全的位置,供中央团队中的多个受信任人访问。 如果有组织密码保管库,则这是一个理想的位置。
更新网关
若要确保网关保持正常运行,需要执行多个任务。
注意
网关所有者必须手动将网关更新应用到每个网关。 因此,必须规划定期更新网关的流程。
提示
使用 Power Query Online 体验时,Power Query 引擎使用可用的最新版本的 Power Query。 但是,使用网关应用转换时,它会使用网关计算机上安装的版本。 为了确保一致的用户体验,请务必使网关计算机保持最新状态。
本部分的其余内容介绍如何更新网关软件。
在开发网关或测试网关上安装更新
请务必使网关保持最新状态,以避免意外中断,并受益于最新的改进。 尽管如此,更新可能会对网关性能和功能带来意外结果。 为了避免影响业务关键型解决方案,应首先将网关软件更新安装到开发或测试网关(在将其应用于支持生产环境的网关之前)。
验证更新
可以通过先将更新应用到支持开发和测试环境的网关来测试网关。
验证网关更新时,请考虑以下几点。
- 定义可重复的测试条件:应定义可重复测试条件的列表,以帮助确保测试所有相关的网关操作和数据源。 例如,可以确定哪些报表和语义模型被视为关键且需要验证。 你可能还需要满足一些合规性要求,这些要求符合可重复的测试条件。
- 使用一组测试报告:每次更新网关时,保留一组报表用于功能测试。 这些报告有助于快速验证可重复的测试条件。 这些测试报告通常只显示总计和计数。 目标是确保测试以下项的访问、呈现和刷新:
- 每个常用数据源。
- 每个关键类型的数据项,如最关键的语义模型。
- 不同的存储模式,如导入和 DirectQuery。
- 确定业务关键型报表:有权访问可测试新更新的业务关键型报表(或副本)。 这些报表可以帮助确保数据可以刷新,DirectQuery 报表可以按预期工作。
- 自动执行测试过程:使用 Power BI REST API 测试导入数据项的数据刷新和评估 DAX 查询。 确保可以捕获和记录刷新失败或查询错误。
重要
强烈建议在将网关更新应用到生产环境之前,先在开发和测试群集上测试网关更新。 测试更新非常重要,因为没有回滚过程。 或者,在启动更新之前,可以创建 VM 映像,这是文件系统结构和计算机上的数据的完整副本。
在生产环境中安装更新
验证网关更新后,应将更新应用到支持生产环境的所有网关。 网关在更新时不可用,因此应在更新网关的时间和方式方面保持一致。
请考虑以下有关更新网关的要点。
- 在集中式门户中,记录网关的当前版本。
- 在过去网关使用率较低期间应用更新。
- 测试和应用更新时,请使用一致的计划。 如果每月更新太频繁,请确保至少每季度更新网关。
- 一次更新一台网关群集计算机。 通过轮换每台计算机,可以避免停机。
更新凭据
对于需要存储凭据的数据源连接,可能需要定期轮换凭据。 例如,组织可能具有需要频繁重置密码的策略。 当关键团队成员离开组织时,这种做法也很有用。 为了提高效率,可以使用 Power BI REST API 更新凭据。
清单 - 管理数据网关时,关键决策和操作包括:
- 创建数据源连接:为常见的组织数据源设置数据源连接。 确保连接遵循清晰、一致的命名约定。
- 记录网关和数据源:创建有关网关和连接的简明文档。 确保可从网关所有者和管理员的集中式门户轻松访问此文档。
- 处理连接请求:创建用于收集和管理连接请求的进程。 确定连接请求是否需要审批过程。 请考虑使用 Power BI REST API 自动执行该过程。
- 预配网关角色:使用最低特权原则将个人分配到网关角色。 请考虑将数据源专员添加到连接创建者或具有共享角色的连接创建者,以便他们可以参与连接管理。
- 预配连接角色:将内容创建者(和使用者(如果适用))分配到连接角色,以便他们可以使用网关。 将共享的用户限制为负责共享连接的用户,并帮助定期评审和管理访问权限。
- 创建简洁的用户文档:记录对于内容创建者查找和使用网关及其连接非常重要的关键项。 将文档放置在用户社区可轻松访问的中心位置,例如集中式门户或 SharePoint 支持网站。
- 仔细记录和存储恢复密钥:将恢复密钥存储在可供多个团队成员访问的安全位置中。 如果需要恢复网关,请确保可以轻松找到它们。
- 创建用于安装更新的过程:确定安装网关软件更新的频率和要遵循的过程。 目标是在更新发布后的 1 到 3 个月内更新网关。
- 首先在开发和测试上安装网关更新:确保在生产之前更新开发和测试网关,并用于初始测试。
- 在将网关更新应用到生产网关之前对其进行测试:使用可重复的测试条件和项,设置用于测试每月网关更新的流程。
- 在生产环境中及时定期安装网关更新:确保生产网关保持最新状态。
- 更新连接凭据:根据需要,更新连接使用的存储凭据。
监视、审核和优化网关
网关是 Fabric 数据集成的重要组成部分。 为了避免中断并降低风险,应监视并定期审核租户中的网关。
监视网关有助于:
- 缓解治理风险。
- 防止问题。
- 调查事件,例如性能问题或数据刷新失败。
下表概述了管理数据网关群集时可能遇到的典型问题,以及如何监视或调查问题。
潜在问题 | 问题类型 | 如何监视或调查问题 |
---|---|---|
网关过多 | 治理 | • Power Platform 管理中心 • 网关 PowerShell cmdlet • Power BI REST API |
网关过度共享 | 治理 | • Power Platform 管理中心 • 网关 PowerShell cmdlet • Power BI REST API • Power BI 活动日志 |
网关处于脱机状态 | 性能和可用性 | • Power Platform 管理中心 • 网关计算机监视 • 网关日志 |
网关错误 | 性能和可用性 | • 网关日志 |
查询失败 | 性能和可用性 | • 网关日志 • 网关日志(其他日志记录) |
刷新或查询速度缓慢 | 性能和可用性 | • 网关计算机监视 • Windows 事件日志 • Windows 性能计数器 • 网关日志 • 网关日志(其他日志记录) • 服务器监视工具 |
提示
如果使用 Fabric 容量,Fabric 中的工具可以提供理想的组件,以便生成和协调组织网关监视解决方案。 例如,可以:
- 使用数据工厂复制网关日志,并将其放在 OneLake 中。
- 使用笔记本通过 Power BI REST API 以编程方式收集网关信息,并将网关日志文件转换为表。
- 使用 Power BI 创建语义模型,并报告网关运行状况。
- 当出现异常或中断时,使用 Fabric 激活器 向网关所有者和管理员发送警报。
监视网关
应定期查看租户上安装的网关数量以及安装网关的人员。 可以从 Fabric 门户的连接和网关页面和 Power Platform 管理中心监视普及率。 这两种视图都提供有权访问的所有网关的简洁功能概述。 管理员应定期查看此信息。
注意
还可以使用 PowerShell cmdlet 或使用 Power BI REST API 以编程方式检索网关列表。 还可以使用活动日志标识网关安装事件。
请考虑将此信息与有关网关数据源的数量和类型的聚合分析相结合。 可以在整合的租户范围治理或审核和监视报告中显示此信息。
监视网关普及度时,请关注以下指标。
- 网关或安装程序数量不断增加:确保调查意外的新网关或安装程序。
- 跨网关的连接冗余:尝试整合连接,以避免网关的额外维护工作。
- 意外的安装程序或网关:确保在安装任何新安装程序或网关之前都经过审批流程。
- 意外的网关计算机、连接或配置:确保识别异常网关属性,例如安装在用户计算机上的网关,或连接到本地文件。 还可以标识创建风险的设置,例如忽略隐私级别。
收集和分析网关日志
每个网关计算机都会生成可用于识别和解决问题的详细日志。 这些日志是网关计算机上存储的详细技术文件的集合。 还可以暂时启用来自本地网关应用的其他日志,以收集有关查询及其计时的更多详细信息。
为了避免引入网络延迟,建议允许将网关日志写入本地网关计算机。 但是,可以选择更改使用网关配置文件写入日志的路径。 还可以更新日志的保留时长。 在编辑配置文件之前,请始终复制配置文件。
创建数据集成解决方案,以便从每个网关计算机收集和整合日志文件,从而分析数据。 理想情况下,此过程应自动进行并输出到分析报表,以便轻松查看所有网关,并识别异常。
提示
请考虑使用数据警报分别通知网关管理员和数据源连接创建者其网关和连接的异常活动。 这样,他们就可以立即采取纠正措施。
监视网关计算机运行状况
网关的运行状况取决于其服务器的运行状况。 为了避免中断,应监视网关计算机,以检测计算机何时性能不佳或处于脱机状态。
提示
确保将网关计算机添加到组织用于监视服务器的任何企业监视工具。
优化和排查网关问题
当网关出现问题时,需要调查并识别问题。 通常故障排除涉及调查上一部分所述的网关日志,并测试各种优化,以查看它们是否解决了该问题。
下面是一些常见的网关优化。
- 从后台处理更改为流式处理:默认情况下,在评估查询时,网关会将后台处理数据到网关计算机。 在将数据传输到云之前,它会生成临时存储。 后台处理速度可能比流式传输的替代方法慢,其中数据直接传输。 可以在网关配置文件中更改此设置。
- 防病毒扫描:从网关计算机上的防病毒扫描中排除某些文件夹可以提高使用文件级防病毒软件时的性能。
- 规划纵向扩展或横向扩展:考虑何时通过向网关计算机添加更多资源来纵向扩展网关群集,或者通过将另一个网关添加到另一台计算机来横向扩展群集。
重要
VNet 网关具有单个硬件配置,无法缩放或更改。
清单 - 监视数据网关时,关键决策和操作包括:
- 监视网关计算机:确保在由企业监视解决方案监视的计算机上安装网关。 否则,请确保可以检测到这些计算机的性能不佳的情况。
- 衡量网关普及率:监视租户中网关安装数量随时间推移的演变。
- 收集和分析网关日志:创建一个解决方案,以便从不同的网关计算机自动收集和整合日志文件。 分析这些文件,以提取有意义的信息。 请考虑设置两种类型的分析监视解决方案:一种用于警报和操作,另一种用于在出现问题时探索根本原因分析。
- 验证角色和职责:确保为监视、优化和故障排除定义了角色和职责。
相关内容
有关有助于做出 Power BI 实现决策的更多注意事项、操作、决策标准和建议,请参阅 Power BI 实现计划。