虚拟网络（VNet）数据网关常见问题解答

我们支持 GCC L4（得克萨斯州和弗吉尼亚州）和 L5 (DoD East)。 目前，GCC L2 不支持此功能。

在删除网关后至少三小时内，客户不应删除订阅级别的 RP 分配，因为我们仍需要清理资源。

在 Dataflow Gen1 中使用 OAuth2 凭据时，网关不支持在访问令牌过期时自动刷新令牌。 令牌通常在刷新开始后 1 小时后过期，但也可能在不到 1 小时内过期，具体取决于数据源和租户策略。 数据流 Gen2、语义模型和数据管道能够在处理中途刷新令牌，因此不应因此受到影响。

我们支持 US Nat East/West 和 US Sec East/West 的空隙云。

使用专用链接保护此连接安全。 有关详细信息，请转到 Power BI 专用链接文档。

虚拟网络数据网关实际位于与 Azure 虚拟网络相同的区域中。 但是，所有虚拟网络数据网关的元数据（名称、详细信息、数据源、加密凭据等）都存储在租户的默认区域中。 在 Power Platform 管理中心中选择租户的主区域时，可以管理所有虚拟网络数据网关。

Yes. 可以使用虚拟网络数据网关，并且条件访问策略仍适用。

支持的数据服务的完整列表：

• Power BI 可用于支持的 Azure 数据服务
• 有关 Power Platform 数据流，请参阅支持的数据源

虚拟网络数据网关是仅限高级的功能，仅在 Fabric（任何 F SKU）和 Power BI Premium 容量（A4 SKU 或更高版本或任何 P SKU）中可用。 VNet 数据网关不支持 Fabric 试用版容量。

Yes

请参阅 Azure 虚拟网络文档，了解虚拟网络、终结点及相关 Azure 资源的限制（例如与区域相关的限制）。

查看相应的 Azure 数据服务产品文档以检查是否支持专用终结点以及如何启用它们。

如果在尝试使用 OAuth 身份验证创建一个连接到 Azure 资源的虚拟网络数据网关连接时，遇到诸如 Authorization failed for Public API route 或 DM_GWPipeline_Client_OAuthTokenLoginFailedError 之类的错误，而该资源的防火墙阻止公共 Internet 访问且已配置专用终结点，这意味着你需要通过调用 Microsoft Entra ID 服务，显式创建一个用于专用身份验证的服务终结点。 若要解决此问题，请转到用于虚拟网络数据网关的虚拟网络子网，并启用服务终结点Microsoft.AzureActiveDirectory，如下图所示。

是，对于此功能，不依赖于 Power BI 主区域。 如果在虚拟网络所在的区域中启用了此功能，则可以创建新的虚拟网络数据网关。

No. 虚拟网络数据网关实际位于与 Azure 虚拟网络相同的区域中。 目前，你也无法选择存储所有虚拟网络数据网关的元数据（名称、详细信息、数据源、加密凭据等）的位置。 这些数据将存储在你的租户的默认区域。

No. 必须在与 Power BI 租户相同的租户中创建虚拟网络数据网关。

否，虚拟网络网关目前仅在租户的主区域中可用。

要检查的几个区域：

• 确保数据源已正常运行。
• 请确保可以从虚拟网络访问数据源，特别是从创建虚拟网络数据网关时委派的子网。 例如，可以在子网中部署 VM 并检查是否可以连接到数据源。
• 根据你的情况，可能需要使用以下 Azure 网络安全组 (NSG)：
  • 在使用 OAuth 或服务主体身份验证连接到数据源时，请允许向 Microsoft Entra ID 终结点发出的出站流量。
  • 在使用 HTTPS 连接到数据源时，允许向 CA（证书颁发机构）的出站流量。

通过 HTTPS 和 TLS 1.2 实现新虚拟网络服务与你的虚拟网络之间的连接。

对于具有自动暂停的无服务器 SQL，如果 SQL 处于暂停状态，第一个请求可能失败，但下一个请求将成功。

如果解决方案使用Azure 存储帐户或 Azure Data Lake Storage （ADLS） Gen2（或代表你管理存储帐户的服务，如 Databricks 或 Snowflake）以及存储帐户驻留在 VNet 数据网关所在的同一区域中，则可能需要启用Microsoft。委托子网上的存储服务终结点。 此配置有助于防止在特定网络条件下发生的连接问题，例如在虚拟中心中启用传播默认路由时。

首次使用时，虚拟网络数据网关需要大约 2 分钟才能进行设置。 同样，如果虚拟网络数据网关 30 分钟未使用，下次使用时可能会出现大约一分钟的延迟。

是的，它在主权云中受支持。

No. VNet 数据网关提供完全托管的计算。 可以选择缩放每个群集中的节点数。

Yes

检查是否有其他网关正在使用相同的虚拟网络和子网。 在移除使用此虚拟网络和子网的最后一个网关后，可能需要 48 到 72 小时才能删除。

除了五个保留 IP 地址之外，我们建议使用公式 5 + （实例计数） + 2 （缓冲区）分配 IP。

确保你已在该虚拟网络上被明确分配了具有 Microsoft.Network/virtualNetworks/subnets/join/action 权限的角色，例如 Azure 网络参与者角色。 创建虚拟网络数据网关需要此权限。

是，通过虚拟网络数据网关的所有数据都保留在 Azure 主干上。 我们在虚拟网络与 Power BI 服务之间使用内部 Microsoft 隧道，该隧道不经过公共 Internet。 另一方面，本地数据网关会打开一个连接来使用 Azure 中继连接到 Power BI 服务。

考虑各种资源：订阅、Microsoft.PowerPlatform 资源提供程序、虚拟网络、子网和 Power BI 服务的主租户。 如果使用服务终结点，则虚拟网络和子网应与要连接到的数据位于同一区域。 如果使用专用终结点，则它们可能位于不同的区域。 数据网关配置位于 Power BI 主租户区域。

虚拟网络数据网关通常可以访问同一虚拟网络中可访问的源。 如果有另一个虚拟网络与第一个虚拟网络隔离，则需要另一个虚拟网络数据网关。

• 无法将名为 gatewaysubnet 的子网委派给 Power Platform 管理中心。 之所以有此限制，是因为它是 Azure 网关子网功能的保留字。
• 不能更改创建虚拟网络数据网关的虚拟网络的区域、订阅或资源组。 当前不支持此场景。
• 如果耗时超过一小时的 OAuth 刷新因“连接凭据无效”错误或超时而被取消，则问题很可能是凭据已过期。

每个 VNet 数据网关上的用户限制为 1,000 个数据源。 如果达到数据源的最大数量限制，请验证每个 VNet 数据网关的数据源数是否不超过 1000 的限制。 若要解决任何相关问题，可以从管理中心手动删除数据源，或者使用以下 PowerShell 脚本，使用超出该限制的指定 VNet 数据网关批量删除所有数据源。 需要将文本“GatewayClusterID”替换为特定的 VNet 数据网关 ID，此脚本才能正常运行。

## https://dotnet.territoriali.olinfo.it/powershell/module/datagateway/?view=datagateway-ps
## PowerShell version of '7.0.0' to run
## required module "DataGateway" Install-Module -Name DataGateway and sign in the same user who exceeded the 1000 limit
Connect-DataGatewayServiceAccount
 
## get the gateway information per the sign in person
$datasources = Get-DataGatewayClusterDatasource -GatewayClusterId <GatewayClusterId>;
foreach ($datasource in $datasources)
{
  $datasource
  "datasource id={2}, datasourceType={3}, datasource connection details={4}" -f $datasource.Id, $datasource.DatasourceType, $datasource.ConnectionDetails
 
  ## conditional logic to determine if name matches set
  ## Remove-DataGatewayClusterDatasource -GatewayClusterId $gw.Id -GatewayClusterDatasourceId $datasource.Id
}