安裝 Azure Logic Apps 的內部部署資料閘道

  • 發行項

適用於:Azure Logic Apps (使用量 + 標準)

某些案例需要您的工作流程連線到內部部署資料來源,而且只能使用透過內部部署資料閘道提供此存取的連接器。 若要設定此內部部署資料閘道,您必須完成下列工作:安裝本機內部部署資料閘道,並在 Azure 中為本機資料閘道建立內部部署資料閘道資源。 當您從需要資料閘道的連接器將觸發程序或動作新增至工作流程時,您可以選取要與連線搭配使用的資料閘道資源。 資料閘道安裝可作為橋樑,讓內部部署資料來源與您的工作流程之間快速地傳輸及加密資料。

在使用量邏輯應用程式工作流程中,您只能使用透過內部部署資料閘道提供存取的連接器連線到內部部署資料來源。 在標準邏輯應用程式工作流程中,您可以直接存取 Azure 虛擬網路中的內部部署資源,或使用不需要資料閘道即可存取您的內部部署資料來源的內建服務提供者連接器。 相反地,您會提供資訊來驗證您的身分識別,並授權存取您的資料來源。 不過,如果您的資料來源無法使用內建服務提供者連接器,但有受控連接器可供使用,您必須使用內部部署資料閘道。

本指南說明如何下載、安裝及設定您的本機內部部署資料閘道,以便稍後在 Azure 入口網站中建立資料閘道資源。 稍後在本文中,您也可以深入了解資料閘道的運作方式。 如需有關閘道的詳細資訊,請參閱什麼是內部部署閘道?\(部分機器翻譯\) 若要自動執行閘道安裝及管理工作,請參閱 PowerShell 資源庫中的資料閘道 PowerShell Cmdlet

您可以使用相同的閘道安裝搭配其他雲端服務,例如 Power Automate、Power BI、Power Apps 與 Azure Analysis Services。 如需如何搭配這些服務使用閘道的資訊,請參閱下列文章:

必要條件

  • Azure 帳戶和訂用帳戶。 若您沒有訂用帳戶,請建立一個免費帳戶

    • 您的 Azure 帳戶必須使用公司帳戶或學校帳戶,格式為 <username>@<organization>.com。 您無法使用 Azure B2B (來賓) 帳戶或個人 Microsoft 帳戶,例如具有 hotmail.com 或 outlook.com 網域的帳戶。

      注意

      如果您註冊了 Microsoft 365 供應項目,但未提供公司電子郵件地址,您的地址格式可能為 username@domain.onmicrosoft.com。 在此情況下,您的帳戶會儲存在 Microsoft Entra 租用戶中。 在大部分情況下,您 Azure 帳戶的使用者主體名稱 (UPN) 與您的電子郵件地址相同。

      若要使用與 Microsoft 帳戶相關聯的 Visual Studio 標準訂用帳戶,請先建立 Microsoft Entra 租用戶,或使用預設目錄。 將使用者連同密碼新增至目錄,然後將您 Azure 訂用帳戶的存取權授與該使用者。 接著,您就可以在安裝閘道時,使用此使用者名稱和密碼來進行登入。

    • 您的 Azure 帳戶必須屬於單一 Microsoft Entra 租用戶或目錄。 當您在本機電腦上安裝和管理閘道時,必須使用該帳戶。

    • 安裝閘道時,您會使用您的 Azure 帳戶登入,這會將您的閘道安裝連結至您的 Azure 帳戶,並僅連結至該帳戶。 您無法將相同的閘道安裝連結到多個 Azure 帳戶或 Microsoft Entra 租用戶。

    • 之後,在 Azure 入口網站中,您必須使用相同的 Azure 帳戶,才能建立與閘道安裝相關聯的 Azure 閘道資源。 您只能將一個閘道安裝與一個 Azure 閘道資源互相連結。 不過,您可以使用 Azure 帳戶來設定與 Azure 閘道資源相關聯的各個閘道安裝。 接下來,您的邏輯應用程式工作流程便可以在存取內部部署資料來源的觸發程序和動作中,使用這些閘道資源。

  • 如需本機電腦作業系統和硬體需求,請參閱如何安裝內部部署的資料閘道的主要指南

考量

  • 只在本機電腦上安裝內部部署的資料閘道,而不是在網域控制站上安裝。 閘道不必安裝在和資料來源相同的電腦上。 針對所有資料來源,您只需要一個閘道,因此不需要針對每個資料來源安裝閘道。

  • 若要盡量減少延遲,將閘道安裝在最靠近資料來源的位置或同一部電腦上,但前提是您有相關權限。

  • 將閘道安裝在位在有線網路上、連線至網際網路、一律開啟且不會進入睡眠模式的本機電腦上。 否則,閘道無法執行,而且使用無線網路時,閘道效能可能會受到影響。

  • 如果您打算使用 Windows 驗證,請務必將閘道安裝在屬於與資料來源相同之 Active Directory 環境成員的電腦上。

  • 您只能將閘道安裝連結至單一 Azure 帳戶。

  • 您為閘道安裝所選取的區域,是您稍後為邏輯應用程式工作流程建立 Azure 閘道資源時必須選取的相同位置。 根據預設,此區域是與用來管理您的 Azure 使用者帳戶的 Microsoft Entra 租用戶相同的位置。 不過,您可以在閘道安裝期間或之後變更此位置。

    重要

    在閘道設定期間,如果您使用與 Azure Government 雲端中 Microsoft Entra 租用戶相關聯的 Azure Government 帳戶登入,則無法使用 [變更區域] 命令。 閘道會自動使用與您使用者帳戶的 Microsoft Entra 租用戶相同的區域。

    若要繼續使用您的 Azure Government 帳戶,請將閘道改成在全域多租用戶 Azure 商業雲端中運作,在閘道安裝期間先以 prod@microsoft.com 使用者名稱登入。 此方法會強制閘道使用全域多租用戶 Azure 雲端,但還是能讓您繼續使用 Azure Government 帳戶。

  • 您的邏輯應用程式資源和您在安裝閘道之後所建立的 Azure 閘道資源,必須使用相同的 Azure 訂用帳戶。 但這些資源可存在於不同的 Azure 資源群組中。

  • 如果您正在更新您的閘道安裝,請先將您目前的閘道解除安裝,以獲得更簡潔的體驗。

    最佳做法是確定您使用的是支援的版本。 Microsoft 會每個月發行一次新的內部部署的資料閘道更新,而且目前僅支援內部部署的資料閘道的最後六個版本。 如果您使用的版本發生問題,請嘗試升級至最新版本。 您的問題可能會在最新版本中解決。

  • 閘道有兩種模式:標準模式與個人模式 (僅適用於 Power BI)。 您無法在同一部電腦中以相同的模式執行一個以上的閘道。

  • Azure Logic Apps 支援透過閘道進行讀取及寫入作業。 但是,這些作業對其承載大小有限制

安裝資料閘道

  1. 在本機電腦上下載並執行閘道安裝程式

  2. 檢閱最低需求、維持預設安裝路徑、接受使用規定,並選取 [安裝]

    Screenshot shows gateway installer with a minimum requirements link, an installation path, and a checkbox that's highlighted for accepting terms.

  3. 如果出現提示,請確認安裝程式可以對您的電腦進行變更。

  4. 成功安裝閘道之後,請提供您 Azure 帳戶的電子郵件地址,然後選取 [登入]

    Screenshot shows gateway installer with a message about successful installation, a box that contains an email address, and a button for Sign in.

  5. 選取 [在此電腦上註冊新的閘道]>[下一步]

    此步驟將會向閘道雲端服務註冊您的閘道安裝。

    Screenshot shows gateway installer with a message about registering the gateway and the selected option for Register a new gateway on this computer.

  6. 為您的閘道安裝提供下列資訊:

    • 您 Microsoft Entra 租用戶中唯一的閘道名稱
    • 是否要為高可用性案例安裝其他閘道,方法是選取 [新增至現有的閘道叢集]
    • 至少有八個字元的修復金鑰
    • 確認修復金鑰

    重要

    務必將修復金鑰儲存在安全的地方。 您需要此金鑰來移動、復原、變更擁有權,或變更閘道安裝的位置。

    Screenshot shows gateway installer with input boxes for the gateway name, a recovery key, and confirmation of the recovery key.

  7. 檢閱針對閘道安裝所使用的閘道雲端服務與 Azure 服務匯流排傳訊執行個體的區域。 根據預設,此區域是與您 Azure 帳戶的 Microsoft Entra 租用戶相同的位置。

    Screenshot of part of the gateway installer window. The gateway cloud service region is highlighted.

  8. 若要接受預設區域,請選取 [設定]。 如果預設區域不是最接近您的區域,您可以變更區域。

    為什麼要變更閘道安裝的區域?

    例如,若要減少延遲,您可以將閘道的區域變更為與邏輯應用程式資源和工作流程相同的區域。 或者,您可以選取最接近的內部部署資料來源區域。 「Azure 中的閘道資源」和邏輯應用程式工作流程可位於不同位置。

    1. 在目前區域旁邊,選取 [變更區域]

      Screenshot shows partial gateway installer. Next to the gateway cloud service region, the Change Region option is highlighted.

    2. 在下一頁上,開啟 [選取區域] 清單,選取您要的區域,然後選取 [完成]

      Screenshot shows partial gateway installer with open list named Select Region.

  9. 在最終確認視窗中,檢閱資料閘道資訊。 當您準備好時,請選取 [關閉]

    此範例會為 Azure Logic Apps、Power BI、Power Apps 與 Power Automate 使用相同帳戶,讓所有這些服務都可使用閘道。

    Screenshot shows gateway installer with Close button and green check marks for Power Apps, Power Automate, and Power BI.

  10. 現在,為閘道安裝建立 Azure 資源

檢查或調整通訊設定

內部部署的資料閘道依賴服務匯流排傳訊來提供雲端連線,以及建立與閘道相關聯 Azure 區域對應的連出連線。 如果您的工作環境要求流量經由 Proxy 或防火牆存取網際網路,此限制可能會使內部部署的資料閘道無法連線到閘道雲端服務與服務匯流排傳訊。 閘道有數個通訊設定可供您調整。

舉例來說,您使用自訂連接器,透過 Azure 中的內部部署資料閘道資源來存取內部部署資源。 如果您也有限制特定 IP 位址流量的防火牆,您必須設定閘道安裝,以允許存取對應的受控連接器輸出 IP 位址。 相同區域中的「所有」邏輯應用程式工作流程都會使用相同的 IP 位址範圍。

如需詳細資訊,請參閱下列文件:

高可用性支援

若要避免內部部署資料存取發生單一失敗點,您可以在不同電腦上有多個閘道安裝 (僅限標準模式),並將其設定為叢集或群組。 如此一來,如果主要閘道無法使用,則系統會將資料要求路由傳送至第二個閘道,依此類推。 因為您只能在一部電腦上安裝一個標準閘道,所以您必須將每個額外閘道都安裝在叢集中的其他電腦上。 所有搭配內部部署的資料閘道運作的連接器都支援高可用性。

  • 您必須已經有至少一個閘道安裝 (使用相同的 Azure 帳戶) 作為主要閘道。 您也需要該安裝的修復金鑰。

  • 主要閘道必須執行 2017 年 11 月或更新版本的閘道更新。

若要在設定主要閘道之後安裝另一個閘道:

  1. 在閘道安裝程式中,選取 [新增至現有的閘道叢集]

  2. 在 [可用的閘道叢集] 清單中,選取您安裝的第一個閘道。

  3. 輸入該閘道的修復金鑰。

  4. 選取設定

如需詳細資訊,請參閱適用於內部部署資料閘道的高可用性叢集

變更位置、遷移、還原或取代現有閘道

如果您必須變更閘道的位置、閘道安裝移至新的電腦、復原受損的閘道,或取得現有閘道的擁有權,您必須具備在閘道安裝期間所使用的修復金鑰。

注意

在具有原始閘道安裝的電腦上還原閘道之前,您必須先將該電腦上的閘道解除安裝。 此動作會中斷原始閘道的連線。 如果您移除或刪除任何雲端服務的閘道叢集,就無法還原該叢集。

  1. 在現有閘道所在的電腦上執行閘道安裝程式。

  2. 在安裝程式提示之下,登入用來安裝閘道的同一個 Azure 帳戶。

  3. 選取 [移轉、還原或取代現有閘道]> [下一步]

    Screenshot shows gateway installer with the selected option for Migrate, restore, or takeover an existing gateway.

  4. 選取可用的叢集和閘道,然後輸入所選閘道的修復金鑰。

    Screenshot shows gateway installer with values specified for Available gateway clusters, Available gateways, and Recovery key.

  5. 若要變更區域,請選取 [變更區域],然後選取新區域。

  6. 當您準備好時,選取 [設定]

租用戶層級管理

若要了解 Microsoft Entra 租用戶中所有內部部署的資料閘道,該租用戶中的全域管理員可以使用租用戶系統管理員的身分登入 Power Platform 系統管理中心,然後選取 [資料閘道] 選項。 如需詳細資訊,請參閱內部部署的資料閘道的租用戶層級管理

重新啟動閘道

根據預設,本機電腦上安裝的閘道會以名為「內部部署的資料閘道服務」的 Windows 服務帳戶執行。不過,閘道安裝會針對其登入身分帳戶認證使用 NT SERVICE\PBIEgwService 名稱,並具有以服務方式登入權限。

注意

您的 Windows 服務帳戶與用來連線至內部部署資料來源的帳戶不同,也與您用來登入雲端服務的 Azure 帳戶不同。

和其他任何 Windows 服務一樣,您可以透過各種方式來啟動和停止閘道。 如需詳細資訊,請參閱重新啟動內部部署的資料閘道 \(部分機器翻譯\)。

閘道的運作方式

您的組織中的其他開發人員可以存取其獲授權存取的內部部署資料。 不過,在這些開發人員可以連線到您的內部部署資料來源之前,您必須先安裝及設定內部部署的資料閘道。 通常,系統管理員是安裝及設定閘道的人員。 這些動作可能需要 [伺服器管理員] 權限或您內部部署伺服器的特殊知識。

閘道有助於讓幕後通訊更快且更安全。 此通訊在雲端使用者、閘道雲端服務與內部部署資料來源之間進行。 閘道雲端服務會將資料來源認證和閘道詳細資料予以加密並儲存。 服務也會在使用者、閘道與您的內部部署資料來源之間路由傳送查詢與其結果。

閘道可搭配防火牆運作,而且僅使用輸出連線。 所有流量都是源自閘道代理程式的受保護輸出流量。 閘道會在加密通道上經過服務匯流排傳訊傳送來自內部部署來源的資料。 此服務匯流排會建立閘道與呼叫服務之間的通道,但不會儲存任何資料。 透過閘道傳送的所有資料都會加密。

Architecture diagram shows an on-premises data gateway and data flow between cloud services and on-premises data sources.

注意

視雲端服務而定,您可能必須設定閘道的資料來源。

這些步驟說明當您與連線到內部部署資料來源的元素互動時,會發生什麼狀況︰

  1. 雲端服務會建立查詢,以及資料來源的加密認證。 服務接著會將查詢與認證傳送到閘道佇列以進行處理。

  2. 閘道雲端服務會分析該查詢,並將要求推送至 服務匯流排傳訊。

  3. 服務匯流排傳訊會將暫止的要求傳送至閘道。

  4. 該閘道會取得查詢、將認證解密,並使用這些認證連線到一或多個資料來源。

  5. 閘道將查詢傳送至資料來源執行。

  6. 結果會從資料來源傳送回閘道,然後再到閘道雲端服務。 閘道雲端服務接著就會使用結果。

對內部部署資料來源進行驗證

預存認證是用來從閘道連線到內部部署資料來源。 無論使用者是誰,閘道都會使用預存認證來連線。 特定服務可能會有驗證例外狀況,例如 Power BI 中 Analysis Services 的 DirectQuery 與 LiveConnect。

Microsoft Entra ID

Microsoft 雲端服務會使用 Microsoft Entra ID 來驗證使用者。 Microsoft Entra 租用戶包含使用者名稱與安全性群組。 一般而言,您登入時使用的電子郵件地址與帳戶的 UPN 相同。

我的 UPN 為何?

如果您不是網域系統管理員,您可能不知道您的 UPN。 若要尋找您帳戶的 UPN,請從您的工作站執行 whoami /upn 命令。 雖然結果看起來像是電子郵件地址,但該結果是您本機網域帳戶的 UPN。

同步內部部署 Active Directory 與 Microsoft Entra ID

您必須針對內部部署 Active Directory 帳戶和 Microsoft Entra 帳戶使用相同的 UPN。 因此,請確定每個內部部署 Active Directory 帳戶的 UPN 都符合您的 Microsoft Entra 帳戶 UPN。 雲端服務只會知道 Microsoft Entra ID 內的帳戶。 因此,您不需要將帳戶新增至內部部署 Active Directory。 如果 Microsoft Entra ID 中沒有帳戶,您就無法使用該帳戶。

以下是您可以讓內部部署 Active Directory 帳戶與 Microsoft Entra ID 相符的方式。

  • 手動將帳戶新增至 Microsoft Entra ID。

    在 Azure 入口網站或 Microsoft 365 系統管理中心內建立帳戶。 請確定帳戶名稱符合內部部署 Active Directory 帳戶的 UPN。

  • 使用 Microsoft Entra Connect 工具,將本機帳戶同步至您的 Microsoft Entra 租用戶。

    Microsoft Entra Connect 工具會提供目錄同步與驗證設定的選項。 這些選項包括密碼雜湊同步處理、傳遞驗證與同盟。 如果您不是租用戶管理員或本機網域管理員,請連絡您的 IT 管理員以設定 Microsoft Entra Connect。 Microsoft Entra Connect 可確保您的 Microsoft Entra UPN 符合本機 Active Directory UPN。 如果您搭配 Power BI 或單一登入 (SSO) 功能使用 Analysis Services 即時連線,這種比對會很有用。

    注意

    將帳戶與 Microsoft Entra Connect 工具同步,會在您的 Microsoft Entra 租用戶中建立新的帳戶。

常見問題與疑難排解

下一步