本地数据网关体系结构

  • 项目

组织中的用户可以访问他们已从云中的服务(如 Power BI、Power Platform 和 Microsoft Fabric)获得相应访问授权的本地数据。 但是,在这些用户可以将云服务连接到本地数据源之前,需要先安装和配置本地数据网关。

网关可以促进快速、安全的后台通信。 此通信从云中的用户流到本地数据源,然后又回到云。

管理员通常是安装和配置网关的人员。 这些操作可能需要对本地服务器或服务器管理员权限有特别的了解。

本文不提供有关如何安装和配置网关的分步指导。 对于该指导,请转到安装本地数据网关。 本文让你深入了解网关的工作原理。

网关的工作原理

Relationship among cloud services, gateway, and data sources.

让我们首先看一下与连接到本地数据源的元素交互时,会发生什么情况。

注意

根据云服务的不同,可能需要为网关配置数据源。

  1. 云服务对本地数据源创建一个查询和加密凭据。 当网关定期轮询服务时,查询和凭据将发送到网关队列进行处理。 有关 Power BI 中凭据加密的详细信息,请转到 Power BI 安全白皮书
  2. 网关云服务将分析该查询,并将请求推送到 Azure 中继
  3. Azure 中继在定期轮询时将待处理的请求发送到网关。 同时实施网关和 Power BI 服务以仅接受 TLS 1.2 流量。
  4. 网关获取查询,对凭据进行解密,并使用这些凭据连接到一个或多个数据源。
  5. 网关将查询发送到数据源进行运行。
  6. 结果从数据源返回到网关,然后返回到云服务。 服务随后使用这些结果。

在步骤 6 中,诸如 Power BI 和 Azure Analysis Services 刷新之类的查询会返回大量数据。 对于此类查询,数据会暂时存储在网关计算机上。 此数据存储将一直持续到从数据源接收到所有数据为止。 然后,数据被发送回云服务。 这一过程称为假脱机。 建议使用固态硬盘 (SSD) 作为假脱机存储。

对本地数据源进行身份验证

存储的凭据用于从网关连接到本地数据源。 不管用户是谁,网关都会使用存储的凭据来建立连接。 但是 Power BI 中可能存在身份验证例外,例如 DirectQuery 和 LiveConnect for Analysis Services。 有关 Power BI 中凭据加密的详细信息,请转到 Power BI 安全白皮书

登录帐户

使用工作帐户或学校帐户登录。 此帐户是你的组织帐户。 如果注册了 Office 365 产品但未提供实际工作电子邮件地址,那么帐户名称可能类似于 nancy@contoso.onmicrosoft.com。 云服务将您的帐户存储在 Microsoft Entra ID 中的租户中。 在大多数情况下,Microsoft Entra ID 帐户的用户主体名称 (UPN) 与电子邮件地址匹配。

网络流量安全

流量从网关到 Azure 中继再到 Power BI 后端群集。 此流量不会通过公共 Internet。 所有 Azure 内部流量都会通过 Azure 主干。

Microsoft Entra ID

Microsoft 云服务使用 Microsoft Entra ID 对用户进行身份验证。 Microsoft Entra ID 是包含用户名和安全组的租户。 通常情况下,用于登录的电子邮件地址与帐户的 UPN 相同。 有关 Power BI 中身份验证的详细信息,请转到 Power BI 安全白皮书

如何辨别我的 UPN?

你可能不知道你的 UPN,并且你可能不是域管理员。要找到帐户的 UPN,请从你的工作站运行以下命令:whoami /upn

尽管结果看起来像一个电子邮件地址,但这是本地域帐户上的 UPN。

将本地 Active Directory 与 Microsoft Entra ID 同步

你希望每个本地 Active Directory 帐户都与 Microsoft Entra ID 帐户匹配,因为两个帐户的 UPN 必须相同。

云服务仅知道 Microsoft Entra ID 中的帐户。 如果在本地 Active Directory 中添加了帐户,则这并不重要。 如果帐户在 Microsoft Entra ID 中不存在,则无法使用。

有多种方法可以将本地 Active Directory 帐户与 Microsoft Entra ID 进行匹配。

  • 将帐户手动添加到 Microsoft Entra ID。

    在 Azure 门户或 Microsoft 365 管理中心创建一个帐户。 确保帐户名称与本地 Active Directory 帐户的 UPN 匹配。

  • 使用 Microsoft Entra ID Connect 工具将本地帐户同步到 Microsoft Entra ID 租户。

    Microsoft Entra ID Connect 工具提供了选项以用于目录同步和身份验证设置。 这些选项包括密码哈希同步、直通身份验证和联合身份验证。 如果你不是租户管理员或本地域管理员,请联系 IT 管理员来配置 Microsoft Entra ID Connect。

Microsoft Entra ID Connect 确保 Microsoft Entra ID UPN 与本地 Active Directory UPN 匹配。 如果配合 Power BI 或单一登录 (SSO) 功能使用 Analysis Services 实时连接,则这种匹配将有所帮助。

注意

使用 Microsoft Entra ID Connect 工具进行账户同步会在 Microsoft Entra ID 租户中创建新帐户。

后续步骤