Power BI 實作規劃：數據閘道

注意

本文構成Power BI實作規劃系列文章的一部分。 此系列主要著重於 Microsoft Fabric 內的 Power BI 工作負載。 如需系列簡介，請參閱 Power BI 實作規劃。

本文可協助您規劃和實作 Microsoft Fabric 的內部部署數據閘道和虛擬網路 （VNet） 資料閘道。 主要以下列目標為目標：

• 網狀架構系統管理員： 負責監督組織中的 Fabric 的系統管理員。 網狀架構系統管理員可能需要與 Power Platform 系統管理員、資料庫管理員、資訊安全性小組、網路小組和其他相關小組共同作業。
• 閘道系統管理員： 負責實作、管理及監視網關及其數據源連線的個人。
• 網關參與者： 負責新增和管理網關數據源聯機的分散式小組和個人。
• 卓越中心（COE）、IT和 BI 小組： 負責支援需要存取、連線及重新整理數據之使用者的小組。
• 內容擁有者和建立者： 使用網關聯機到其數據源並重新整理 Fabric 數據項的小組和個人。

若要存取 Power BI 語意模型、數據流和其他 Fabric 數據項的源數據，您可能需要 數據閘道。 數據閘道可安全地在專用網或內部部署數據源與雲端服務之間傳輸數據，包括 Fabric。

注意

本文提供閘道的概觀。 其著重於規劃及實作閘道以支援網狀架構內容的重要考慮和動作。

如需閘道運作方式的詳細資訊，請參閱：

• 什麼是內部部署的資料閘道？
• 內部部署閘道架構
• 虛擬網路 （VNet） 閘道架構
• 規劃、調整和維護業務關鍵閘道解決方案

規劃關鍵決策

網關通常是成功 Power BI 和網狀架構實作不可或缺的一部分。 COE 或中央數據與BI小組通常會規劃和集中管理網關，不過有些組織會使用分散式小組來管理網關。 若要降低未來中斷和治理風險的可能性，請務必仔細規劃使用閘道的方式和時機。

您通常會在兩個不同的階段規劃閘道實作。

• 租使用者設定： 當您準備實作或 移 轉至 Fabric 時，您應該評估是否有任何數據源需要網關。 網關規劃活動也與租用戶層級 的安全性、 工作區和 稽核和監視規劃相關。
• BI 解決方案規劃： 規劃新的 BI 解決方案時，您應該評估解決方案是否需要閘道，同時收集 新解決方案的技術需求 。 將新的資料源新增至現有解決方案時，您可能也需要閘道。

從您是否需要閘道開始，規劃閘道實作的開頭是做出重要決策。

提示

首先，建立數據源的清查。 您應該評估每個數據源的下列重要決策。 請務必記錄您的結果，並將其儲存在易於存取的中央位置，例如 通訊中樞 或 集中式入口網站。

識別您是否需要閘道

一般而言，您需要數據源的閘道：

• 您的數據源位於內部部署。
• 您的數據源位於專用網中。
• 您需要連接器軟體的主機。
• 您需要特定連接器或函式的安全性隔離。

在這些情況下，您需要閘道才能：

• 在網狀架構入口網站中重新整理數據。 當內容建立者針對需要閘道的數據源，在 Power BI 服務 中設定數據重新整理時，就會套用此案例。
• 在網狀架構入口網站中建立內容。 當內容作者在需要閘道的 Power BI 服務 中建立或修改資料項（例如語意模型或數據流）時，就會套用此案例。
• 支援 DirectQuery 連線。 當內容建立者發佈包含 DirectQuery（或雙重）儲存模式數據表的語意模型，以及這些數據表的數據源需要閘道時，就會套用此案例。 此使用案例也涵蓋強制執行數據源中所定義之個別用戶數據許可權的能力。 例如，SQL Server 資料庫 可以強制執行數據列層級安全性 （RLS），而 Power BI 可以管理 單一登錄 （SSO） 連線。 如需詳細資訊，請參閱 根據取用者身分識別強制執行數據安全性。
• 即時連線到 SQL Server Analysis Services。 當內容建立者發佈使用 SQL Server Analysis Services （SSAS） 資料庫即時連線 的報表時，就會套用此案例。

下列各節說明何時需要閘道。

內部部署資料來源

您需要閘道才能從網狀架構入口網站連線到內部部署數據源。 閘道可作為網橋，評估閘道電腦上的查詢表達式，並安全地將內部部署數據傳輸至雲端。

線上到下列情況時，此案例相關：

• 位於內部部署機器上的數據源。
• 儲存在本機目錄中的檔案。
• 在單一查詢中結合的雲端和內部部署數據源。
• 雲端式虛擬機 （VM）-稱為基礎結構即服務或 IaaS。

專用網數據源

您需要閘道才能連線到位於專用網中的數據源，例如 Azure 虛擬網絡 （Azure VNet）。 虛擬網路或 VNet 是網路邏輯隔離區段，可隔離來自公用因特網的流量。 VNet 提供增強的網路安全性。

當數據源時，此案例相關：

• 位於專用網內的數據中心，例如組織網路（或位於防火牆後方）。
• 這是 VNet 內的雲端式 VM（稱為基礎結構即服務或 IaaS）。
• 這是 VNet 內的雲端式資料庫服務（稱為平臺即服務或 PaaS）。

注意

您不需要雲端數據源的閘道，這是常見的誤解。 當雲端數據源位於私人組織網路內時，需要閘道。

主機連接器軟體

有時候您可能需要閘道來裝載連線至數據源所需的支持專案。 此軟體可能包含 您在閘道電腦上安裝的自訂資料連接器、驅動程式或連結庫。 Power BI 服務 無法存取此軟體，因此即使連線到雲端數據源，也無法重新整理使用該軟體的數據源，而不需要依賴網關。

當您使用連接器連線到資料來源時，此案例相關，例如：

• 司機。 官方連接器可能需要安裝必要條件驅動程式。 例如，連線到 Oracle 資料庫時，您可能需要 Oracle 資料存取客戶端軟體。
• 自訂連接器。 某些數據源可能需要自定義或第三方連接器。 例如，您可能需要 自定義連接器 來連線到舊版或專屬系統。
• 用戶端連結庫。 某些數據源可能需要支持連結庫，才能讓用戶端工具連線到該連結庫。 例如，連接到 Analysis Services 資料庫時， 必須安裝用戶端連結庫 。
• ODBC 或 OLE DB 連接器。 官方連接器可能需要 ODBC 驅動程式或 OLE DB 提供者。 例如，連線到 SAP HANA 時，您需要 ODBC 驅動程式。

重要

當內容建立者使用 Power BI Desktop 等用戶端工具及其解決方案依賴驅動程式、連接器或提供者時，您應該在閘道電腦上安裝與內容建立者機器上安裝相同的元件。 建立者計算機與數據閘道之間遺失或不相符的元件，是發佈內容數據重新整理失敗的常見原因。 如需詳細資訊，請參閱 使用者工具和裝置。

安全性隔離

您需要閘道才能使用某些 Power Query 連接器或函式，例如 Web 連接器 或 Web.BrowserContents 函式。 基於許多原因，這些連接器和函式需要閘道，包括安全性隔離。

提示

連接到網頁數據源時，請考慮下列替代方案。

• Web.Contents 函式： 如果您要連線到不需要透過瀏覽器存取的Web內容，請考慮使用 Web.Contents 函 式。 此函式不需要閘道，因為它不使用瀏覽器控制件。
• 筆記本： 如果您有網狀架構容量，請考慮使用 網狀架構筆記本 來轉換數據。 相較於 Power Query，筆記本不需要網頁數據的閘道，而且相較於 Power Query，在擷取網頁資訊時，其效能會更好。

當您使用連接器和驅動程式連線到資料來源時，此案例相關，例如：

• 使用 Web 連接器的查詢。
• 使用 Web.Page 或Web.BrowserContents 函式的查詢。
• 使用 Access 資料庫引擎 （ACE） 驅動程式的連線。

判斷您需要的閘道類型

當您識別出需要閘道時，接下來應該決定要安裝的閘道類型。 閘道有三種類型。

• 內部部署資料閘道 （標準模式）
• 內部部署數據閘道（個人模式），稱為 個人閘道
• 虛擬網路 （VNet） 閘道服務

您選擇的閘道類型將取決於您的需求和資料來源。 下列各節說明這三種閘道類型。

內部部署資料閘道 （標準模式）

內部部署數據閘道（標準模式）可讓多個使用者透過單一共享網關聯機到數據源。 一般而言，您會在 Always-On VM 上集中安裝和管理標準模式閘道。 使用標準模式閘道，您可以連線到來自多個服務的數據，例如 Fabric、Power BI 和其他 Power Platform 服務。

下圖描述標準模式閘道的高階概觀。

重要

此圖表不會描述 內部部署數據閘道的架構。

此圖表描述下列概念。

項目	說明
	內部部署數據閘道（標準模式）可安全地將數據從內部部署數據源傳輸到雲端服務。
	特定案例中的雲端數據源需要標準模式數據閘道（如上一節所述）。
	標準模式數據閘道會安裝在 Always-On VM 上。 管理員 istrators 會集中管理 VM 和數據閘道。 閘道管理員會視需要安裝數據源連線所需的軟體。
	多個使用者可以連線到數據網關數據源。
	使用者可以將數據閘道用於發佈至 Fabric 工作區的專案，例如語意模型、數據流、管線或編頁報表。
	用戶可以將數據閘道用於其他 Power Platform 雲端服務，例如 Power Platform 數據流。

在下列特定情況下，需要標準模式閘道。

• 不同的 Microsoft 雲端服務（例如 Power Apps 和 Fabric）和網狀架構數據項（例如數據流）需要查詢內部部署數據源（或需要閘道的雲端數據源）。
• 編頁報表需要查詢內部部署數據源（或需要閘道的雲端數據源）。
• 語意模型使用 需要連線到內部部署數據源的 DirectQuery 儲存模式（或需要閘道的雲端數據源）。
• SSAS 即時連線。
• 數據源取決於自定義數據連接器、驅動程式或連結庫。
• 當您預期需要 重新放置或移轉閘道時。

個人閘道

內部部署閘道（個人模式）通常稱為個人閘道，可讓使用者連線到位於相同電腦上的內部部署數據源。 使用者通常會從自己的電腦安裝及管理個人閘道。 使用個人閘道時，用戶無法從其他Power Platform服務連線到數據。 他們也無法與其他使用者共用閘道或連線。

個人閘道適用於單一個人的限制個人使用。 一般而言，內容建立者會安裝並使用這些閘道來執行 個人 BI。 這些閘道僅限於個人 BI，因為它們無法共用。 此外，個人閘道需要使用者具有計算機許可權和原則核准，才能下載並安裝 個人閘道軟體。

提示

請勿搭配 小組、 部門或 企業 BI 解決方案使用個人閘道。

對於連線到內部部署數據的大部分案例，您應該使用標準模式的閘道（如上一節所述）。 這是因為您可以與多個使用者共享標準模式閘道，它支援 DirectQuery 查詢和即時連線，而且有更多選項可集中處理閘道控管和管理。

警告

因為個人閘道通常會安裝在用戶電腦上，所以管理和管理會比較困難。 如果您需要使用個人閘道，請考慮將其移至使用服務帳戶的集中管理 VM。 此方法可確保閘道可用性不相依於使用者電腦（可能會關閉），並改善閘道控管和管理。

下圖描述個人閘道的高階概觀。

重要

此圖表不會描述 內部部署數據閘道的架構。

此圖表描述下列概念。

項目	說明
	個人閘道通常會安裝在用戶電腦上。
	個人閘道可安全地將數據從用戶電腦上的本機數據源傳輸到雲端服務。
	個人閘道通常是由安裝它的使用者所管理。
	單一使用者會使用個人閘道進行有限的個人用途。 無法共用個人模式閘道。
	個人閘道只能用於發佈至 Power BI 工作區的專案，例如語意模型或 Power BI 數據流。

若要重申，個人網關適用於單一個人的限制個人使用。 不過，有兩個特定案例需要您使用個人閘道。

• 自助內容建立者需要重新整理連線到其計算機上本機數據源或其他內部部署數據源的已發佈內容。
• 語意模型在 Power Query 中使用 Python 或 R 程序代碼 。

提示

盡可能避免使用個人閘道。 請改為考慮下列替代方案。

• SharePoint： 如果您需要連線到本機檔案，請考慮改為將這些檔案上傳至 SharePoint 或 OneDrive for Work 或 School。 您可以使用不需要閘道的 SharePoint 資料夾 連接器來連線到這些檔案。
• OneLake： 如果您需要連線到本機檔案，而且您有網狀架構容量，您也可以使用 OneLake 檔案 總管來上傳和同步處理檔案與 Lakehouse。 連線 至 Fabric Lakehouse 不需要閘道。
• Notebooks： 如果您需要使用 Python 或 R 轉換數據，而且您有 Fabric 容量，請考慮使用 Fabric 筆記本 來轉換數據，並將它寫入儲存在 OneLake 中的數據表。 筆記本不需要閘道來執行 Python 或 R 程式代碼。 您也可以從筆記本中提供的增強效能和其他功能中獲益。

VNet 閘道

VNet 閘道可讓多個使用者連線到使用專用網保護的數據源，包括使用私人端點的數據源。 透過 VNet 閘道，您可以使用多個服務連線到數據，而且您可以與多個使用者共用閘道或連線。

VNet 閘道是 Microsoft 受控服務。 如果您的組織使用專用網，您需要 VNet 閘道。

重要

如果您要考慮使用 VNet 閘道服務，請與您的 IT 小組討論，以處理網路和安全性。 這些小組可協助確保已設定所有專案，例如 私人端點 （如果適用）和網關 通訊。

只有 Power BI Fabric 或 進階版 容量才支援 VNet 閘道。 VNet 閘道會以 該容量的加總進階基礎結構費用 計費。

重要

本文有時是指 Power BI 進階版 或其容量訂用帳戶（P SKU）。 請注意，Microsoft 目前正在合併購買選項，並淘汰每個容量 SKU 的 Power BI 進階版。 新的和現有的客戶應該考慮改為購買網狀架構容量訂用帳戶（F SKU）。

如需詳細資訊，請參閱 Power BI 進階版 授權和 Power BI 進階版 常見問題的重要更新。

下圖描述 VNet 閘道的高階概觀。

重要

此圖表不會描述 VNet 資料閘道的架構。

此圖表描述下列概念。

項目	說明
	您可以使用虛擬網路 （VNet） 閘道來連線到專用網上的數據源，例如 Azure VNet 中的數據源。
	VNet 數據閘道是 Microsoft 受控服務。 您可以從 Azure 入口網站和 Power Platform 管理入口網站集中管理 VNet 數據閘道。
	多個使用者可以使用 VNet 數據閘道。
	使用者可以使用 VNet 數據閘道，將專案發佈到網狀架構工作區，例如語意模型。
	用戶可以將 VNet 數據閘道用於其他 Power Platform 服務，例如 Power Platform 數據流。

警告

VNet 閘道有一些 限制，且不支援所有數據源或案例。 在您繼續進行 VNet 閘道實作和解決方案規劃之前，請先驗證您的數據源和案例是否受到支援，並參閱 常見問題 。

判斷閘道數目

當您判斷需要閘道，以及哪種類型的閘道時，接下來應該決定您需要多少個閘道。

視您的需求而定，您可能需要多個閘道。 決定要安裝和使用多少個閘道時，請考慮下列因素。

可用性和效能

網關必須具備高可用性，以避免重新整理或查詢延遲所造成的中斷。 確保閘道可用性的其中一種方式是在高可用性 閘道叢集中安裝多個閘道。 網關叢集是您在不同 VM 上安裝的閘道集合，並以邏輯方式將網關聯結為單一功能單位（叢集）。 每個閘道電腦有時稱為 節點。

以下是使用閘道叢集的優點。

• 避免單一失敗點：當主要網關計算機無法使用時，故障轉移 可避免單一失敗點。 如果查詢變成無法使用，查詢就會傳送至叢集中的另一個節點。 使用多部計算機的叢集可降低風險。 它也會增加運行時間，以協助您符合高可用性和災害復原需求。
• 更好的效能：負載平衡 可改善高並行使用量時的效能。 負載平衡會藉由將查詢傳送至叢集中的其他節點來散發工作負載。 當主要閘道忙碌或單一作業（例如長時間的數據重新整理）耗用許多資源時，這很有説明。
• 避免停機： 安裝閘道軟體更新時，您可以一次在叢集的一個節點上執行安裝。 如此一來，它就避免讓整個叢集脫機。

重要

強烈建議您針對業務關鍵性工作負載使用閘道叢集。

如需設定閘道叢集的詳細資訊和指引，請參閱規劃、調整和維護業務關鍵閘道解決方案。

環境

內容建立者通常會使用不同的環境來開發和管理業務關鍵性解決方案，例如開發、測試和生產環境。 視您使用的環境數目和使用方式而定，您可能想要針對每個環境擁有個別的網關叢集。

將閘道叢集分成不同的環境可以：

• 隔離並最小化開發和測試活動所造成的中斷。
• 改善生產工作負載的可用性和效能。
• 提供安全的環境，以安裝和測試閘道軟體更新。

重要

建議您針對生產工作負載使用不同的閘道叢集。 如果您在所有環境中都有一個網關叢集，則代表其他風險。 為了將成本和管理工作降到最低，通常會將較少的資源（例如記憶體和 CPU）配置給開發網關叢集。

地區

為了確保數據重新整理的效能良好，請務必考慮數據源、閘道的位置，以及使用者所在的位置。 若要降低延遲，您應該盡可能安裝接近數據源的閘道。 基於這個理由，您可能需要安裝多個網關叢集以支援不同的區域或租使用者。

警告

請確定您的閘道安裝符合組織的任何資料落地需求。

重要

若要將延遲降到最低，建議您在與數據源位於相同區域中的機器上安裝閘道。 此外，針對 VNet 閘道，閘道和數據源應該位於相同的子網上。

檢查清單 - 規劃閘道實作時，關鍵決策和動作包括：

• 建立數據源的清查： 數據源的清查可讓您驗證並記錄哪些數據源需要閘道。
• 判斷哪些情況需要閘道： 考慮內容建立者和取用者的運作方式。 請確定您熟悉何時需要閘道。 為使用者社群建立文件和訓練。
• 決定您需要的閘道類型： 請確定您驗證任何假設並評估可能的限制，以便您確定選取的閘道類型符合您的需求。
• 避免個人閘道： 請考慮改用標準模式的閘道。 判斷是否有任何可重新導向至使用標準模式閘道的個人閘道數據源（因此不限於單一個人使用）。
• 決定您是否需要閘道叢集： 針對業務關鍵解決方案使用閘道叢集。 閘道叢集提供高可用性和負載平衡。 它們也有助於避免單一失敗點，並在高並行使用量期間改善效能。
• 決定您需要多少閘道： 考慮不同環境的個別閘道叢集，以避免中斷。 請考慮其他因素，例如使用量或區域。

安裝閘道

此時，您知道您需要的閘道類型，以及多少。 接下來，您必須規劃閘道安裝。 一般而言，閘道會安裝在您專用於此用途的 VM 上（通常稱為 閘道機器）。 閘道叢集中的每部計算機都應該開啟，以確保持續支援用戶活動和數據重新整理作業。

注意

因為 VNet 閘道是受控服務，所以您不會下載並安裝它。 相反地，您會在 Azure 入口網站 中布建和設定 VNet 閘道，然後將它系結至網狀架構或 Power BI 進階版 容量。 如需詳細資訊，請參閱 建立虛擬網路數據閘道。

識別閘道擁有者和安裝程式

安裝閘道之前，請先識別將安裝並擁有閘道的人員。

閘道擁有者

閘道擁有者通常是安裝、擁有和管理閘道的技術人員。 閘道擁有者負責各種活動。

• 規劃： 如先前所述進行重要決策，並定義網關計算機的技術規格，包括初始系統資源。 閘道擁有者也應該確保支援方案已就緒。
• 安裝： 選取適當的計算機來安裝閘道軟體，並執行第一次安裝和安裝。
• 管理： 變更閘道設定或優化喜好設定（例如 設定串流而不是多任務緩衝處理數據）或監視目的（例如 設定效能記錄）。 閘道擁有者也會決定何時相應 增加 （將更多資源新增至閘道機器）或 相應放大 （在叢集中安裝更多閘道）。
• 測試： 在第一次設定期間驗證閘道使用量，確保閘道機器有足夠的資源可供使用。 閘道擁有者也應該在安裝更新之前先測試每月更新。
• 更新： 及時更新及安裝閘道軟體和支持專案（例如 連接器軟體）。
• 監視：監視網關運行時間和健康情況，包括網關記錄檔的集合，以允許監視問題和異常活動。
• 移轉：將修復金鑰儲存在可供更廣泛的小組存取的安全位置。 閘道擁有者也應該是在必要時使用這些密鑰來 移轉、還原或重新放置閘道的人員。

重要

請確定閘道擁有者知道並同意這些責任。 如果閘道擁有者尚未準備好管理閘道，它很快就會成為封鎖內容擁有者和建立者的相依性。 此外，識別閘道擁有者是否瞭解如何安裝和管理閘道，如果不是的話，您將如何訓練它們來執行這項操作。

提示

某些組織成功允許業務單位和部門內的閘道擁有權，而其他組織則保留集中式小組的閘道擁有權（例如IT）。 其中一個處理方式是建立合作關係，讓IT管理閘道叢集節點，而業務單位會管理數據源連線。

因為閘道擁有權是重要的責任，因此您應該清楚定義誰可以在組織中安裝閘道。

閘道安裝程式

若要降低管理額外負荷並降低治理風險，請務必限制組織中的作用中網關數目。 為此，我們建議您限制可以安裝閘道的用戶數目。

警告

閘道擁有者可完全控制其管理的閘道。 這表示惡意閘道擁有者可能會在資訊流經內部部署數據閘道時攔截資訊。 基於這個理由，您必須限制將閘道安裝至信任人員的能力。

針對標準模式閘道，您可以從 網狀架構入口網站或 Power Platform 系統管理中心管理閘道安裝程式 。 您也可以使用閘道安裝程式設定來管理 誰可以建立 VNet 數據閘道 。

• 網狀架構連線和閘道頁面：您可以從網狀架構入口網站的 [連線和閘道] 頁面中管理閘道安裝程式。
• Power Platform 系統管理中心：您也可以從 Power Platform 系統管理中心管理閘道安裝程式。 設定 您在這裡變更會影響從 Fabric 使用的閘道。

您也可以使用 PowerShell Cmdlet 以程式設計方式管理閘道安裝程式，以進行內部部署閘道管理。 針對個人閘道和標準模式閘道，您可以使用這些 Cmdlet 來 設定閘道租用戶原則。 使用 PowerShell 設定閘道租用戶原則是管理誰可以在租使用者中安裝個人閘道的唯一方式。

重要

我們建議您密切規範誰可以安裝個人閘道，限制其安裝，並用於有效、核准的商業案例。

準備閘道安裝

當您識別出將安裝並擁有閘道的人員時，您應該為閘道安裝做好準備。 您應該：

• 識別要安裝閘道的位置。
• 決定閘道電腦所需的資源。
• 同意您在安裝閘道時如何命名閘道。

下列各節說明規劃閘道安裝的這些重要考慮。

識別要安裝閘道的位置

一般而言，您會在 Always-On VM 上安裝閘道（也稱為 閘道機器）。 您只能在電腦上安裝每一種類型的閘道（個人模式或標準模式）。

以下是判斷您要安裝閘道位置的關鍵因素。

• 位置： 一般而言，閘道計算機應該位於數據源附近，以將延遲降到最低。 通常，標準閘道必須安裝在預設數據區域中。 不過，如果您的 進階版 容量位置與租用戶的默認數據區域不同，請使用 Azure 轉寄作為滿足數據落地需求的選項進行調查。
• 支援專案： 判斷您需要在閘道電腦上安裝哪些連接器、驅動程式或連結庫。
• 網域： 判斷閘道機器與目標網域的關係。 VM 必須是已加入網域的計算機，且具有與目標網域的信任關係。 它不能是域控制器。

提示

為了避免資源爭用，請勿在網關計算機上安裝不相關的軟體。 閘道電腦應該完全專用於裝載內部部署數據閘道。

決定閘道計算機資源

閘道電腦應該有足夠的資源來處理預期的查詢工作負載。

以下是判斷閘道計算機資源的重要因素。

• 使用方式： 決定有多少專案和哪一種專案會使用閘道，以及哪些查詢並行處理（來自許多使用者） 。 較高的使用量需要具有更多資源的閘道機器。
• 連線 ion 類型：判斷 Power BI 語意模型是否匯入數據、使用 DirectQuery 或即時連線。 對於匯入語意模型，請務必檢查數據重新整理數目以估計閘道資源需求（例如 RAM）。 針對 DirectQuery 或即時連線，您應該評估報表取用者的數目，以估計資源需求（例如 CPU）。

提示

執行負載測試來驗證閘道機器資源。 您可以藉由在執行數據集重新整理時監視網關計算機健康情況，以及模擬 DirectQuery 或即時連線報表的高並行使用方式，來執行這種類型的測試。

同意命名慣例

您將如何命名閘道及其數據源連線很重要。 名稱應該讓內容建立者知道要連線的內容變得簡單明瞭。 若要確保閘道和數據源連線具有清楚的名稱，您應該使用邏輯命名慣例。

當您定義命名慣例時，請考慮下列幾點。

• 在名稱中包含閘道或 DataGW 的變化，以識別用於稽核、記錄和疑難解答目的的閘道。
• 當閘道支援特定網狀架構專案、作業、區域或商務區域時，請包含閘道的特定用途。
• 當閘道支援特定環境時，請在名稱中使用開發、測試或 Prod 的變化。
• 為閘道提供一個與它所屬叢集名稱一致的名稱。 例如，為叢集中的每個閘道電腦提供唯一的名稱，例如 Node1、 Node2 等等。

以下是邏輯閘道名稱的一些範例。

• DataGW-Prod-Node1
• Gateway-DevTest-Node1
• Gateway-FinanceTeam-Prod-Node1

安裝和設定閘道

在進行重要決策和準備之後，閘道擁有者會安裝閘道並執行第一次設定。

注意

如需如何下載及安裝閘道的資訊，請參閱：

• 下載並安裝標準模式閘道
• 下載並安裝個人模式閘道

安裝及設定閘道時，請考慮下列因素。

• 安裝位置： 當您想要將閘道安裝到預設安裝路徑以外的位置時，您可以變更安裝位置。
• 修復金鑰： 當您想要移轉、還原或接管現有的閘道時，您必須使用閘道的修復金鑰。 請確定您將修復金鑰保留在其他閘道系統管理員可存取的安全且安全的地方。
• 數據中心區域： 當您想要讓區域與已註冊服務的租用戶不同時，您可以 變更數據中心區域。
• Azure 轉接： 當您想要使用自己的轉播而不是預設值時，您可以 提供自己的轉接詳細數據。
• Proxy 設定： 當您的工作環境需要閘道通過 Proxy 伺服器連線到網狀架構入口網站時，您必須 設定 Proxy 設定。
• 網關服務帳戶： 當您想要使用明確的網域帳戶時，您可以從 預設變更網關服務帳戶 ，也就是 PBIEgwService。
• 通訊設定： 當防火牆封鎖輸出連線時，您的安全性和網路小組可以 設定防火牆，以允許從網關到其相關聯 Azure 區域的輸出連線 。
• 租用戶註冊： 當您想要 限制允許哪些租用戶 註冊內部部署數據網關應用程式，以防止數據外流。
• 整合租用戶設定： 當您想要確保閘道以單一登錄 （SSO） 運作時 （例如，使用 Microsoft Entra ID 型驗證） 的方式。

重要

我們建議您將租用戶註冊限制為僅限組織內的租使用者。 此步驟有助於改善閘道安全性，因為預設設定對租用戶註冊沒有任何限制。

檢查清單 - 準備並安裝閘道時，關鍵決策和動作包括：

• 識別閘道擁有者和安裝程序： 確定閘道擁有者知道其責任。 將閘道安裝限制為適當的人員。
• 進行訓練： 如有需要，訓練閘道擁有者和安裝程式以有效安裝、管理及支援閘道。 在必要時進行備份的交叉訓練。
• 建立命名慣例： 建立對應至用途、環境、叢集節點的網關命名慣例，以及它支援的使用案例，或執行其作業。
• 考慮資源需求： 判斷工作負載和使用量將決定初始資源（例如記憶體和CPU）。
• 設定整合租用戶設定： 檢閱並設定 整合租用戶設定 ，以確保您的閘道以您想要的方式使用單一登錄 （SSO） 運作。
• 布建閘道電腦： 設定具有足夠資源來支援閘道作業的 Always-On VM。
• 安裝閘道： 在閘道電腦上執行閘道的第一次設定。
• 安裝支援專案： 安裝自定義數據連接器或相依軟體以支援您的案例。

管理閘道

安裝閘道之後，您應該接著新增數據源連線。 新增這些連線時，您也應該規劃如何管理網關及其連線的存取權。

新增數據源聯機

您必須先 新增初始數據源連線 ，才能使用閘道。 您可以從 Power BI 服務 或 Power Platform 系統管理中心手動新增連線，或使用 Power BI REST API 以程式設計方式新增連線。

新增連線時，請考慮下列幾點。

• 預存認證： 請考慮將哪些認證用來連線至數據源。 當您新增連線時，您必須提供該數據源的認證（除非它支援匿名驗證）。 這是一個重要決策，因為除非您 使用數據閘道的 Microsoft Entra 單一登錄 （SSO） 來執行數據源的所有查詢。
• 命名慣例： 如同閘道，連線也應該使用邏輯和一致的命名慣例。 確定連接名稱對應至數據來源名稱。 例如： FinanceDB-Prod 是表示數據源的邏輯名稱。
• 單一登錄：在網狀架構系統管理員設定中，當您想要搭配 DirectQuery 使用單一登錄（SSO）搭配 DirectQuery 時，您應該啟用閘道的 Microsoft Entra 單一登入 （SSO） 選項。 當您想要 根據報表使用者身分識別在數據源系統中強制執行資料安全性時，您應該使用 SSO。
• 隱私權等級： 若要匯入數據源聯機，您必須設定 隱私權等級。 請確定您選取適當的隱私權層級，以視需要適當地隔離數據源。 請務必瞭解閘道不接受Power BI Desktop 中設定的隱私權等級。

注意

之後可以修改數據來源名稱，但在設定數據源名稱之後，伺服器和資料庫名稱就無法變更。 若要避免錯誤，請確定數據源資訊 符合 Power BI Desktop 中將使用的內容。

提示

若要提升效率和精確度，請考慮使用 Power BI REST API將數據源連線的建立自動化。 在此情況下，我們建議包含檢閱和核准程式，而不是自動處理建立或更新連線的每個要求。

布建閘道存取

新增初始數據源連線之後，您應該決定如何管理網關及其連線的存取權。

內容建立者需要存取網關聯機，才能成功連線到數據源。 使用者對網關聯機的存取權會針對每個連線完成，因此請考慮需要存取每個網關聯機的人員，以及如何管理該存取。 您應該使用閘道和連線的安全性角色來管理存取權。

閘道角色

閘道角色可讓您控制誰可以管理網關及其數據源連線。 這些角色的運作方式 與工作區角色類似，根據角色允許不同的許可權。 使用角色可協助您更有效地管理閘道存取。

提示

我們建議使用 安全組 來管理角色成員資格，而不是個別帳戶。 如此一來，管理用戶就比較容易，尤其是跨多個閘道。 您可以使用相同的安全組來管理其他訪問控制，例如 數據列層級安全性 角色成員資格和 應用程式對象 成員資格。

重要

只需要使用網關聯機至數據源的使用者不需要屬於閘道角色。 在此情況下，他們只會有 用戶 連線角色。

有三個閘道角色可用來管理內部部署標準閘道。

• 管理員：此角色的成員可以管理和更新閘道。 閘道管理員通常是閘道擁有者，但閘道也可以有多個系統管理員。 網關系統管理員應該是網狀架構系統管理員，或 COE 或中央 BI 小組的成員。 系統管理員的責任與閘道擁有者相同。
• 連線 建立者與共用：此角色的成員可以建立網關聯機、測試閘道狀態，並與其他人共用閘道。 此角色無法從閘道移除使用者。 當某人負責分析解決方案的子集時，請考慮將此角色新增至此角色，例如在業務單位的分散式小組中。 具有此角色的人員的責任包括：
  • 設定及測試新的連線。
  • 管理其擁有的連接，例如設定認證。
  • 與需要閘道的其他使用者共用閘道。
  • 定期檢閱可存取閘道的人員、驗證他們是否需要閘道，並在不需要閘道時將其移除。
• 連線 ion 建立者：此角色的成員可以在閘道上建立連線，並測試其狀態。 線上建立者應該是內容擁有者，可以適當地設定正確的連線以使用閘道。 連線 建立者角色的責任與共用角色的 連線 建立者相同，但無法共用網關的存取權除外。

注意

VNet 閘道僅支援 管理員 閘道角色。

數據源聯機角色

數據源連線角色可讓您控制誰可以使用、管理及共享連線。 具有連線角色的使用者不需要屬於閘道角色。

有三個數據源連接角色。

• 擁有者： 此角色的成員可以在不再需要連線時管理或刪除它。 擁有者可以管理連線角色，包括新增其他連線擁有者。 擁有者通常是連線建立者。 當某人是該數據源的管家或系統管理員時，請考慮讓某人成為聯機擁有者，或他們對於數據源及其內容有重要知識。 擁有者的責任包括：
  • 視需要管理連線，例如更新認證。
  • 不再需要連線時刪除連線。
  • 從 Power Platform 系統管理中心管理連線角色。
• 具有共享的使用者： 此角色的成員可以藉由新增其他使用者來使用及共享數據源。 在使用者社群中扮演重要角色時，請考慮將某人新增至此角色。 冠軍可以是這個角色的好候選人。 具有此角色的人員的責任包括：
  • 與需要連線的其他用戶共用。
  • 定期檢閱可存取連線的人員、驗證他們是否需要連線，並在不需要連線時將其移除。
• 使用者： 此角色的成員可以使用Power BI報表和Power BI資料流中的數據源。 用戶只負責從其工作負載和用戶端工具查詢數據。

提示

若要防止治理風險過度共用，您應該限制誰可以共用網關和聯機給能夠有效且負責任地完成這項工作的特定個人。

檔閘道和連線

設定閘道叢集之後，您應該記錄它。 您應該記錄閘道，讓內容建立者輕鬆找到閘道，並讓閘道系統管理員輕鬆維護。 請考慮將閘道檔儲存在可存取的位置，例如您相關實務社群的集中式入口網站。

請考慮記錄下列資訊。

• 閘道名稱和 GUID
• 閘道電腦名稱（以及任何個別識別碼）
• 閘道擁有者
• 上次軟體更新日期 （閘道版本）
• 閘道叢集的目的（例如環境、區域、業務區域）
• 此閘道上應維護哪些數據源連線
• 閘道使用使用者身分識別或預存認證
• 存取管理原則（您想要如何使用閘道角色和連線角色）

重要

請確定您記錄標準模式閘道的閘道 修復金鑰 。 如果您需要復原或重新尋找閘道，則需要這些修復金鑰。 將此資訊保留在安全且安全的地方，供中央小組中的多個信任人員存取。 如果您有組織密碼保存庫，這是理想的位置。

更新閘道

若要確保您的閘道保持正常運作並正常執行，您需要執行數個工作。

• 安裝 Windows 更新並執行其他伺服器維護。
• 更新 閘道軟體。 網關軟體 會每月更新，而 Microsoft 僅支持內部部署閘道的最後六個版本。
• 視需要更新自定義數據連接器、驅動程式和連結庫。

注意

閘道擁有者必須手動將閘道更新套用至每個閘道。 基於這個理由，請務必規劃定期更新閘道的程式。

提示

當您使用 Power Query Online 體驗時， Power Query 引擎會使用可用的最新版 Power Query。 不過，當您使用閘道來套用轉換時，它會使用閘道機器上安裝的版本。 為了確保一致的用戶體驗，請務必讓您的閘道機器保持最新狀態。

本節的其餘部分說明如何更新網關軟體。

在開發或測試閘道上安裝更新

請務必讓您的閘道保持最新狀態，以避免非預期的中斷，並受益於最新的改進。 不過，更新可能會對您的閘道效能和功能產生非預期的結果。 為了避免影響業務關鍵性解決方案，您應該先將閘道軟體更新安裝到開發或測試閘道（在套用至支援生產環境的閘道之前）。

驗證更新

您可以先將更新套用至支援開發和測試環境的閘道，以測試閘道。

驗證閘道更新時，請考慮下列幾點。

• 定義可重複的測試條件： 您應該定義可重複測試條件的清單，以協助您確保測試所有相關的閘道作業和數據來源。 例如，您可以識別哪些報表和語意模型被視為重要且需要驗證。 您可能也有一些符合合規性需求，符合可重複的測試條件。
• 使用一組測試報告： 在每次更新閘道時，保留一組報告以用於功能測試。 這些報告可協助您快速驗證可重複的測試條件。 這些測試報告通常只會顯示總計和計數。 您的目標是確保您測試下列專案的存取權、轉譯和重新整理：
  • 每個常用的數據源。
  • 每個數據項的索引鍵類型，例如最重要的語意模型。
  • 不同的儲存模式，例如匯入和 DirectQuery。
• 識別業務關鍵性報告： 您可以存取可測試新更新的商務關鍵性報表（或複本）。 這些報表可協助您確保數據可以重新整理，且 DirectQuery 報表如預期般運作。
• 自動化測試程式： 使用 Power BI REST API 來測試 匯入數據項 的數據重新整理，以及 評估 DAX 查詢。 請確定您可以攔截和記錄重新整理失敗或查詢錯誤。

重要

強烈建議您在將閘道更新套用至生產環境之前，先在開發和測試叢集上測試閘道更新。 測試更新很重要，因為沒有復原程式。 或者，在開始更新之前，您可以建立 VM 映像，這是文件系統結構和計算機上數據的完整複本。

在生產環境上安裝更新

驗證閘道更新之後，您應該將更新套用至支持生產環境的所有閘道。 閘道在更新時無法使用，因此您應該在更新閘道的時機和方式保持一致。

請考慮下列關於更新閘道的幾點。

• 在您的集中式入口網站中，記錄閘道的目前版本。
• 在歷史上低閘道使用量期間套用更新。
• 當您測試並套用更新時，請使用一致的排程。 如果每月更新太頻繁，請確定您的閘道至少每季更新一次。
• 一次更新一部閘道叢集電腦。 透過輪替每部機器，您可以避免停機。

更新認證

針對需要預存認證的數據源連線，您可能需要定期輪替認證。 例如，您的組織可能有需要頻繁密碼重設的原則。 當關鍵小組成員離開組織時，這種做法也很有用。 若要提高效率，您可以使用Power BI REST API來 更新認證。

檢查清單 - 管理數據閘道時，關鍵決策和動作包括：

• 建立數據源聯機： 設定一般組織數據源的數據源連線。 請確定連線遵循清楚且一致的命名慣例。
• 文件閘道和數據源： 建立關於閘道和連線的精簡檔。 請確定您可以從您的集中式入口網站輕鬆存取此檔，以供閘道擁有者和系統管理員使用。
• 處理連線要求： 建立程式以收集和管理連線要求。 判斷連接要求是否需要核准程式。 請考慮使用Power BI REST API 將程式自動化。
• 布建網關角色： 使用 最低許可權 原則將個人指派給閘道角色。 請考慮將數據源管理人員新增至 連線 建立者或具有共用角色的 連線 建立者，以便他們參與連線管理。
• 布建連線角色： 將內容建立者（以及適用時取用者）指派給連線角色，讓他們可以使用網關。 將共用的使用者限制為負責共享連線的使用者，並協助定期檢閱和管理存取權。
• 建立簡潔的用戶文件： 記錄內容建立者尋找和使用閘道及其連線的重要專案。 將檔放在中央位置，方便使用者社群存取，例如集中式入口網站或 SharePoint 支持網站。
• 仔細記錄並儲存修復金鑰： 將修復金鑰儲存在一個安全且安全的位置，可供多個小組成員存取。 如果您需要復原閘道，請確定可以輕鬆地找到它們。
• 建立安裝更新的程序： 判斷您要安裝閘道軟體更新的頻率，以及要遵循的程式。 目標是在更新發行后的一到三個月內更新閘道。
• 先在開發和測試上安裝閘道更新： 請確定開發和測試閘道會在生產環境之前更新，並用於初始測試。
• 在閘道套用至生產閘道之前測試閘道更新： 使用可重複的測試條件和專案設定程式來測試每月網關更新。
• 在生產環境上及時且定期安裝閘道更新： 請確定生產閘道保持在最新狀態。
• 更新連線認證： 視需要更新連線所使用的預存認證。

監視、稽核和優化網關

網關是網狀架構數據整合的重要部分。 若要避免中斷並降低風險，您應該監視並定期 稽核租使用者中的網關。

監視閘道有助於：

• 降低治理風險。
• 防止問題。
• 調查事件，例如效能問題或數據重新整理失敗。

下表概述管理數據網關叢集時可能會遇到的一般問題，以及如何監視或調查問題。

潛在問題	問題類型	如何監視或調查問題
閘道太多	治理	• Power Platform 系統管理中心 • 閘道 PowerShell Cmdlet • Power BI REST API
閘道過度共用	治理	• Power Platform 系統管理中心 • 閘道 PowerShell Cmdlet • Power BI REST API • Power BI 活動記錄
閘道已離線	效能和可用性	• Power Platform 系統管理中心 • 閘道電腦監視 • 閘道記錄
閘道錯誤	效能和可用性	• 閘道記錄
查詢失敗	效能和可用性	• 閘道記錄 • 閘道記錄 （其他紀錄）
重新整理速度緩慢或查詢	效能和可用性	• 閘道電腦監視 • Windows 事件記錄檔 • Windows 性能計數器 • 閘道記錄 • 閘道記錄 （其他紀錄） • 伺服器監視工具

注意

如需稽核和監視網關的詳細資訊，請參閱：

• 監視並最佳化內部部署資料閘道效能
• Power BI 實作規劃：數據層級稽核
• Power BI 實作規劃：租用戶層級稽核

提示

如果您使用 Fabric 容量，Fabric 中的工具可以提供理想的元件，讓您建置及協調組織網關監視解決方案。 例如，您可以：

• 使用 Data Factory 複製閘道記錄，並將其降落在 OneLake 中。
• 使用筆記本，使用 Power BI REST API 以程式設計方式收集網關資訊，並將閘道記錄檔轉換成數據表。
• 使用 Power BI 建立語意模型，並在閘道健康情況上報告。
• 當發生異常或中斷時，使用 數據啟動器 將警示傳送給閘道擁有者和系統管理員。

監視閘道

您應該定期檢閱租用戶上安裝多少個閘道，以及安裝閘道的人員。 您可以從網狀架構入口網站的 [連線和閘道] 頁面，以及 Power Platform 系統管理中心監視流行程度。 這兩個檢視都提供您有權存取之所有閘道的簡潔功能概觀。 管理員 istrators應該定期檢閱此資訊。

注意

您也可以使用 PowerShell Cmdlet 或使用 Power BI REST API，以程式設計方式擷取閘道清單。 您也可以使用活動記錄來識別閘道安裝事件。

請考慮結合這項資訊與有關閘道數據源數目和類型的匯總分析。 您可以在合併、全租使用者的治理或稽核和監視報告中呈現此資訊。

監視閘道普及時，請將注意力放在下列計量上。

• 閘道或安裝程式數目增加： 請確定您調查未預期的新閘道或安裝程式。
• 跨網關的連線備援： 請嘗試合併連線，以避免閘道的額外維護工作。
• 非預期的安裝程式或閘道： 請確定任何新的安裝程式或閘道在安裝之前都已完成核准程式。
• 非預期的閘道機器、連線或組態：請確定您識別任何異常網關屬性， 例如安裝在用戶機器上的閘道，或本機檔案的連線。 同時識別建立風險的設定，例如忽略隱私權等級。

收集和分析閘道記錄

每個閘道電腦都會產生詳細的 記錄 ，您可以用來識別和解決問題。 這些記錄是儲存在閘道電腦上的詳細技術檔案集合。 您也可以暫時啟用來自 內部部署閘道應用程式 的其他記錄，以收集查詢及其時間的詳細資訊。

為了避免造成網路延遲，建議您允許將閘道記錄寫入本機閘道電腦。 不過，您可以選擇變更使用閘道組態檔寫入記錄的路徑。 您也可以更新保留記錄的時間長度。 在編輯組態檔之前，請一律製作組態檔的複本。

建立數據整合解決方案，以收集並合併每個閘道電腦的記錄檔，以便分析數據。 在理想情況下，此程式應該自動化並輸出到分析報告，以輕鬆檢視所有閘道並識別異常狀況。

提示

請考慮使用數據警示，分別通知閘道系統管理員和數據源連線建立者其閘道和連線的異常活動。 如此一來，他們就可以立即採取矯正措施。

監視閘道電腦健康情況

網關的健康情況取決於其伺服器的健全狀況。 若要避免中斷，您應該 監視網關機器 ，以偵測計算機效能不佳或離線的時間。

提示

請確定您的閘道電腦已新增至組織用來監視伺服器的任何企業監視工具。

優化和疑難解答閘道

當閘道發生問題時，您必須調查並找出問題。 一般而言，疑難解答牽涉到調查上一節所述的網關記錄，並測試各種優化，以查看它們是否解決問題。

以下是一些常見的閘道優化。

• 從多任務緩衝處理變更為串流： 根據預設，在評估查詢時，網關會將 數據多任務緩衝 處理至網關計算機。 在將數據傳輸至雲端之前，會導致數據暫時儲存。 多任務緩衝處理速度可能會比串流替代方案慢，其中數據會直接傳輸。 您可以在閘道組態檔中變更此設定。
• 防毒掃描：排除閘道電腦上的特定資料夾 ，在使用檔案層級防病毒軟體時，可改善效能。
• 規劃相應增加或相應放大： 請考慮何時將 更多資源新增至閘道計算機來相應增加閘道叢集 ，或 將另一個閘道新增至另一部計算機來相應放大叢集 。

重要

VNet 閘道具有單一 硬體組態，無法調整或變更。

注意

如需優化和疑難解答網關的詳細資訊，請參閱：

• 針對內部部署閘道進行疑難解答
• 針對 VNet 網路閘道進行疑難解答
• 規劃、調整和維護業務關鍵閘道解決方案

檢查清單 – 監視閘道時，關鍵決策和動作包括：

• 監視閘道機器： 確定閘道安裝在由企業監視解決方案所監視的機器上。 否則，請確定您可以偵測到這些機器效能不佳時。
• 測量閘道普及率： 監視租使用者中隨著時間安裝多少個閘道的演進。
• 收集和分析閘道記錄： 建立解決方案，以從不同的閘道機器自動收集及合併記錄檔。 分析這些檔案以擷取有意義的資訊。 請考慮設定兩種類型的分析監視解決方案：一種用於警示和動作，另一種用於發生問題時的探勘根本原因分析。
• 確認角色和責任： 確定已定義角色和責任，以進行監視、優化和疑難解答。

相關內容

如需更多考慮、動作、決策準則和建議，以協助您進行Power BI實作決策，請參閱 Power BI實作規劃。