Puerta de enlace de datos local: guía de instalación y configuración
La puerta de enlace de datos local es el puente entre el servicio Power BI (nube) y sus orígenes de datos locales. Sin él, cualquier dato que se encuentre detrás de su firewall corporativo (bases de datos de SQL Server, instancias de PostgreSQL, sistemas Oracle, recursos compartidos de archivos, fuentes ODBC) no se puede actualizar en el servicio Power BI. La puerta de enlace también es necesaria para conexiones en vivo/DirectQuery desde la nube a bases de datos locales.
A pesar de su papel fundamental, la puerta de entrada a menudo se trata como una idea de último momento. Las organizaciones lo instalan en la computadora portátil de un desarrollador, se saltan la configuración de alta disponibilidad y se preguntan por qué fallan las actualizaciones programadas cada fin de semana. Esta guía cubre el ciclo de vida completo: decisiones de arquitectura, instalación, agrupación en clústeres, configuración de fuentes de datos, monitoreo, ajuste del rendimiento y resolución de problemas de los errores más comunes.
Conclusiones clave
- La puerta de enlace de datos local viene en dos modos: personal (usuario único, sin uso compartido) y estándar/empresarial (compartido en toda la organización, admite agrupación en clústeres).
- Las puertas de enlace empresariales siempre deben instalarse en un servidor dedicado (nunca en una estación de trabajo de desarrollador) con energía, red y tiempo de actividad confiables.
- La agrupación de puertas de enlace con dos o más nodos proporciona alta disponibilidad: si un nodo deja de funcionar, el otro continúa manejando las solicitudes de actualización.
- Toda la comunicación sale desde la puerta de enlace hacia Azure Service Bus. No es necesario abrir puertos de firewall entrantes.
- Las credenciales de la fuente de datos se cifran localmente en la máquina de puerta de enlace mediante la clave de recuperación. Perder esta clave significa reconfigurar todas las fuentes de datos.
- Los registros de la puerta de enlace son el recurso de solución de problemas más útil y se encuentran en la carpeta GatewayComponents, debajo de los datos de la aplicación local del usuario.
- El rendimiento se puede mejorar habilitando la agrupación de conexiones para fuentes relacionales, estableciendo valores de tiempo de espera adecuados y garantizando que la máquina de puerta de enlace tenga RAM y CPU adecuadas.
Arquitectura de puerta de enlace
Cómo funciona la puerta de enlace
La puerta de enlace establece una conexión saliente a Azure Service Bus mediante el puerto TCP 443 (HTTPS). No es necesario abrir puertos de entrada en su firewall. El flujo de comunicación es:
- Un usuario abre un informe de Power BI en el Servicio o se activa una actualización programada.
- El servicio Power BI envía una solicitud de consulta a Azure Service Bus
- La puerta de enlace (sondeando Azure Service Bus) recoge la solicitud.
- La puerta de enlace ejecuta la consulta en la fuente de datos local.
- La puerta de enlace cifra los resultados y los envía de vuelta a través de Azure Service Bus.
- El servicio Power BI recibe los resultados y genera el informe o completa la actualización.
Esta arquitectura significa que la puerta de enlace nunca recibe conexiones entrantes de Internet. Inicia todas las comunicaciones salientes, lo que simplifica significativamente la configuración del firewall.
Puerta de enlace personal frente a puerta de enlace estándar (empresarial)
| Característica | Puerta de enlace personal | Puerta de enlace estándar |
|---|---|---|
| Usuarios | Solo usuario único | Compartido en toda la organización |
| Fuentes de datos | Fuentes propias del usuario | Fuentes gestionadas centralmente |
| Agrupación | No compatible | Hasta 10 nodos |
| Administración | Autoservicio de usuario | Rol de administrador de puerta de enlace |
| Se ejecuta como | Aplicación de Windows | Servicio de Windows |
| Consulta directa | No compatible | Apoyado |
| Flujos de datos | No compatible | Apoyado |
| Conexión en vivo | No compatible | Apoyado |
| Red virtual | No compatible | Compatible (Premium) |
| Recomendación | Sólo prototipos personales | Uso de producción |
Para cualquier implementación de producción, utilice la puerta de enlace estándar (empresarial). La puerta de enlace personal es adecuada sólo para usuarios individuales que crean prototipos con sus propias fuentes de datos.
Instalación
Requisitos previos
Antes de instalar la puerta de enlace, asegúrese de que la máquina de destino cumpla con estos requisitos:
| Requisito | Mínimo | Recomendado |
|---|---|---|
| SO | Servidor Windows 2016 | Servidor Windows 2022 |
| CPU | 4 núcleos | 8 núcleos |
| RAM | 8 GB | 16 GB |
| Disco | 50 GB gratis | SSD de 100 GB |
| Marco .NET | 4.8 | 4.8 (última actualización acumulativa) |
| Red | 1 Gbps | 1 Gbps con baja latencia para fuentes de datos |
| TLS | 1.2 requerido | 1.2 (1.0/1.1 deshabilitado) |
Crítico: No instale la puerta de enlace en el mismo servidor que su base de datos. La puerta de enlace compite por la CPU y la RAM durante las operaciones de actualización y su ubicación conjunta con la base de datos puede degradar el rendimiento tanto de la puerta de enlace como de la base de datos.
Pasos de instalación
- Descargue el instalador de puerta de enlace más reciente desde la página de descarga oficial de Microsoft.
- Ejecute el instalador y seleccione "Puerta de enlace de datos local (recomendado)" para el modo empresarial.
- Acepte los términos de la licencia y elija el directorio de instalación.
- Inicie sesión con su cuenta de organización (la cuenta debe estar en el mismo inquilino de Azure AD que su servicio Power BI)
- Seleccione "Registrar una nueva puerta de enlace en esta computadora".
- Asigne un nombre a la puerta de enlace (use un nombre descriptivo: por ejemplo, "PROD-GW-NY-01" para la puerta de enlace de producción, Nueva York, nodo 1).
- Configure la clave de recuperación --- guárdela de forma segura en un administrador de contraseñas o una bóveda de claves. Lo necesitará para agregar nodos del clúster o recuperar la puerta de enlace.
- Complete la instalación
El servicio de puerta de enlace se inicia automáticamente y se ejecuta con la cuenta "NT SERVICE\PBIEgwService" de forma predeterminada.
Cambiar la cuenta de servicio
De forma predeterminada, la puerta de enlace se ejecuta como una cuenta de servicio local. Para acceder a los recursos de la red (archivos compartidos, bases de datos unidas a un dominio con autenticación de Windows), es posible que deba cambiar la cuenta de servicio a una cuenta de dominio:
- Abra los servicios de Windows (services.msc)
- Busque "Servicio de puerta de enlace de datos local".
- Haga clic derecho, seleccione Propiedades y luego la pestaña Iniciar sesión.
- Seleccione "Esta cuenta" e ingrese las credenciales del dominio.
- Reinicie el servicio
Otorgue a la cuenta de servicio lo siguiente:
- Política local "Iniciar sesión como servicio"
- Acceso de lectura a las fuentes de datos que necesita consultar.
- Acceso a la red a servidores de origen de datos.
Agrupación de puertas de enlace para alta disponibilidad
Una única puerta de enlace es un único punto de falla. Si la máquina deja de funcionar, fallarán todas las actualizaciones programadas y las conexiones de DirectQuery. La agrupación de puertas de enlace resuelve esto distribuyendo las solicitudes entre varios nodos.
Creando un clúster
- Instale la puerta de enlace en una segunda máquina siguiendo los mismos pasos de instalación.
- Durante el paso "Registrar una nueva puerta de enlace", seleccione "Agregar a un clúster de puerta de enlace existente".
- Seleccione el nombre de la puerta de enlace existente en el menú desplegable.
- Ingrese la clave de recuperación (la misma clave utilizada para el primer nodo)
- Complete la instalación
El clúster ahora tiene dos nodos. Las solicitudes se distribuyen entre nodos sanos.
Configuración de equilibrio de carga
De forma predeterminada, los clústeres de puerta de enlace distribuyen las solicitudes de forma aleatoria. Puede configurar el equilibrio de carga:
Round-robin: Distribuye las solicitudes de manera uniforme entre todos los nodos. Lo mejor para clústeres con hardware idéntico.
Enrutamiento ponderado: Dirige más solicitudes a nodos más potentes. Configure en el portal de administración de Power BI en la configuración de la puerta de enlace.
Solo conmutación por error: Todas las solicitudes van al nodo principal. Los nodos secundarios solo se activan si el principal no está disponible. Lo mejor para implementaciones económicas con un servidor en espera.
Topología de clúster recomendada
Para implementaciones de producción, ECOSIRE recomienda un mínimo de dos nodos de puerta de enlace:
| Componente | Nodo 1 | Nodo 2 |
|---|---|---|
| Rol | Primaria | Secundaria |
| Ubicación | Centro de datos primario | Sitio DR o mismo DC |
| Ferretería | 8 núcleos, 16 GB de RAM | 8 núcleos, 16 GB de RAM |
| Red | 1 Gbps, baja latencia | 1 Gbps, baja latencia |
| Ventana de mantenimiento | Domingo 2-4 a. m. | Sábado 2-4 a. m. |
Escalone las ventanas de mantenimiento para que ambos nodos nunca estén inactivos simultáneamente. Las actualizaciones de Windows, los parches de .NET y las actualizaciones de la versión de la puerta de enlace deben aplicarse a un nodo a la vez.
Configuración de fuente de datos
Agregar una fuente de datos
Después de instalar la puerta de enlace, configure los orígenes de datos en el servicio Power BI:
- Vaya a Configuración (icono de engranaje), luego Administrar puertas de enlace
- Seleccione su clúster de puerta de enlace
- Haga clic en "Agregar fuente de datos".
- Elija el tipo de fuente de datos (SQL Server, PostgreSQL, Oracle, ODBC, etc.)
- Ingrese los detalles de la conexión (nombre del servidor, nombre de la base de datos)
- Seleccione el método de autenticación (Windows, Básico, OAuth2)
- Ingrese las credenciales
- Pruebe la conexión
Tipos de fuentes de datos admitidos
La puerta de enlace estándar admite más de 80 tipos de fuentes de datos. Los más comunes para Power BI:
| Fuente de datos | Métodos de autenticación | Consulta directa | Notas |
|---|---|---|---|
| Servidor SQL | Windows, Básico, OAuth | Sí | Fuente empresarial más común |
| PostgreSQL | Básico | Sí | Utilizado por Odoo, muchas aplicaciones de código abierto |
| Oráculo | Windows, Básico | Sí | Requiere cliente Oracle en la puerta de enlace |
| MySQL | Básico | Sí | Conector comunitario |
| SAP HANA | Básico, SAML | Sí | Requiere cliente SAP HANA |
| Archivo (CSV/Excel) | N/A | No | Los archivos deben estar en un recurso compartido de red |
| ODBC | Básico, Windows | Sí | Conector genérico para cualquier fuente ODBC |
| API web | Anónimo, Básico, OAuth | No | Para puntos finales REST/OData |
Cifrado de credenciales
Las credenciales de la fuente de datos se cifran mediante la clave de recuperación y se almacenan localmente en la máquina de puerta de enlace. Nunca se envían a la nube en texto plano. Cuando agrega un nodo de clúster, las credenciales se sincronizan mediante la clave de recuperación compartida.
Importante: Si pierde la clave de recuperación y todos los nodos de puerta de enlace fallan, debe:
- Instale una nueva puerta de enlace con una nueva clave de recuperación
- Reconfigure todas las fuentes de datos y credenciales.
- Vuelva a asignar todos los conjuntos de datos del servicio Power BI a la nueva puerta de enlace.
Guarde la clave de recuperación en Azure Key Vault o en el administrador de contraseñas de su organización.
Agrupación de conexiones
Para bases de datos relacionales (SQL Server, PostgreSQL, Oracle), habilite el grupo de conexiones para reutilizar las conexiones de bases de datos en operaciones de actualización:
En el archivo de configuración de la puerta de enlace (Microsoft.PowerBI.EnterpriseGateway.exe.config):
<setting name="PoolConnections" serializeAs="String">
<value>True</value>
</setting>
<setting name="MinPoolSize" serializeAs="String">
<value>2</value>
</setting>
<setting name="MaxPoolSize" serializeAs="String">
<value>20</value>
</setting>
La agrupación de conexiones reduce la sobrecarga de establecer nuevas conexiones de bases de datos para cada consulta, especialmente durante cargas de trabajo de DirectQuery con muchos usuarios simultáneos.
Configuración de actualización programada
Configuración de actualización programada
Después de publicar un conjunto de datos en el servicio Power BI:
- Vaya a la configuración del conjunto de datos.
- En "Conexión de puerta de enlace", seleccione su puerta de enlace y la fuente de datos configurada.
- En "Actualización programada", habilite la opción
- Establezca la frecuencia de actualización (diaria, semanal o en horas específicas)
- Configurar la zona horaria
- Opcionalmente, configure notificaciones de fallas
Actualizar límites de frecuencia
| Licencia | Actualizaciones máximas por día | Intervalo mínimo |
|---|---|---|
| PowerBI Pro | 8 | 3 horas |
| Power BI Premium (por capacidad) | 48 | 30 minutos |
| Power BI Premium por usuario | 48 | 30 minutos |
Actualizar Windows y Asombrar
No programe todas las actualizaciones de conjuntos de datos al mismo tiempo. La puerta de enlace tiene CPU y memoria finitas, y las actualizaciones simultáneas compiten por los recursos.
Práctica recomendada: Cree un programa de actualización que escalone los conjuntos de datos en la ventana disponible:
| Hora | Conjunto de datos | Prioridad |
|---|---|---|
| 1:00 a. m. | Finanzas - Resumen del libro mayor | Crítico |
| 1:30 a. m. | Ventas - Tubería | Crítico |
| 2:00 a. m. | Recursos Humanos - Plantilla | Alto |
| 2:30 a. m. | Inventario - Niveles de existencias | Alto |
| 3:00 a. m. | Fabricación - OEE | Medio |
| 3:30 a. m. | Marketing: métricas de campaña | Medio |
Los conjuntos de datos críticos se actualizan primero, lo que garantiza que se completen incluso si las actualizaciones posteriores encuentran problemas.
Actualización incremental y puerta de enlace
La actualización incremental reduce significativamente el volumen de datos procesados a través de la puerta de enlace. En lugar de actualizar todo el conjunto de datos, solo se recuperan las filas nuevas y modificadas. Esto es especialmente importante para conjuntos de datos grandes donde la actualización completa llevaría horas y consumiría recursos excesivos de la puerta de enlace.
Configure la actualización incremental en Power BI Desktop (consulte el enfoque de parámetros RangeStart/RangeEnd) y luego publíquela en el servicio. La puerta de enlace maneja las consultas parametrizadas automáticamente.
Configuración de firewall y proxy
Conexiones salientes requeridas
La puerta de enlace requiere acceso HTTPS (TCP 443) saliente a:
| Destino | Propósito |
|---|---|
| *.servicebus.windows.net | Azure Service Bus (retransmisión de consultas) |
| *.frontend.clouddatahub.net | Registro y actualizaciones de la puerta de enlace |
| *.core.windows.net | Azure Blob Storage (transferencia de datos) |
| iniciar sesión.microsoftonline.com | Autenticación de Azure AD |
| *.msftncsi.com | Comprobación de conectividad de red |
| descargar.microsoft.com | Actualizaciones de la puerta de enlace |
Si su firewall requiere una lista de IP permitidas explícita en lugar de dominios comodín, use el archivo JSON de rangos de IP de Azure de Microsoft (actualizado semanalmente) para encontrar los rangos de IP para Azure Service Bus en su región.
Configuración del servidor proxy
Si la puerta de enlace debe enrutarse a través de un proxy corporativo:
- Editar
Microsoft.PowerBI.EnterpriseGateway.exe.config - Agregue la configuración del proxy en la sección
<system.net>:
<system.net>
<defaultProxy useDefaultCredentials="true">
<proxy proxyaddress="http://proxy.company.com:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
- Reinicie el servicio de puerta de enlace.
Si el proxy requiere credenciales específicas (no autenticación PassThrough de Windows), es posible que necesite usar un archivo PAC de proxy o configurar el proxy para permitir la cuenta de servicio de la puerta de enlace sin autenticación adicional.
Configuración TLS
La puerta de enlace requiere TLS 1.2. Si su entorno todavía tiene TLS 1.0 o 1.1 habilitado, la puerta de enlace utilizará TLS 1.2 de forma predeterminada. Sin embargo, si el servidor de origen de datos solo admite TLS 1.0, la conexión fallará.
Verifique que TLS 1.2 esté habilitado en el registro de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Enabled = 1 (DWORD)
DisabledByDefault = 0 (DWORD)
Monitoreo y registro
Registros de puerta de enlace
La puerta de enlace escribe registros detallados en:
C:\Users\<ServiceAccount>\AppData\Local\Microsoft\On-premises data gateway\
Archivos de registro de claves:
| Archivo | Contenidos |
|---|---|
| Información de puerta de enlace*.log | Operaciones generales de puerta de enlace, inicio, apagado |
| Errores de puerta de enlace*.log | Errores y excepciones |
| Mezcla*.log | Operaciones del motor Power Query (M) |
| Informe*.log | Detalles de ejecución de consultas, contadores de rendimiento |
Habilitación de registros adicionales
Para solucionar problemas, habilite el registro detallado:
- Abra la aplicación de configuración de la puerta de enlace.
- Ir a Diagnóstico
- Habilite el "Registro adicional"
- Reproducir el problema
- Exporte registros usando el botón "Exportar registros" (crea un ZIP de todos los archivos de registro)
- Deshabilite el registro adicional después de solucionar el problema (genera grandes volúmenes de registro)
Contadores de rendimiento
La puerta de enlace expone los contadores de rendimiento de Windows en la categoría "Puerta de enlace de datos local":
| Mostrador | Descripción | Umbral de alerta |
|---|---|---|
| Conexiones activas | Conexiones abiertas actuales a fuentes de datos | > 50 |
| Consultas ejecutadas/seg | Rendimiento de consultas | Línea de base + 50% |
| Duración promedio de la consulta | Tiempo para ejecutar consultas | > 30 segundos |
| Longitud de la cola | Consultas pendientes en espera de ejecución | > 10 |
| Uso de la memoria | Consumo de memoria del proceso de puerta de enlace | > 80% de los disponibles |
| Uso de CPU | Consumo de CPU del proceso de puerta de enlace | > 70% sostenido |
Configure Windows Performance Monitor o una herramienta de monitoreo (Prometheus, Datadog, Azure Monitor) para realizar un seguimiento de estos contadores y alertar sobre los umbrales.
Monitoreo del portal de administración de Power BI
En el portal de administración de Power BI:
- Vaya al Portal de administración y luego a Gestión de puerta de enlace.
- Ver todas las puertas de enlace, su estado (en línea/fuera de línea) y versión
- Ver estadísticas de uso de fuentes de datos
- Supervisar las tasas de éxito/error de actualización
Configure notificaciones por correo electrónico para eventos fuera de línea de puerta de enlace y fallas de actualización.
Ajuste de rendimiento
Ajuste del tamaño adecuado del hardware
El rendimiento de la puerta de enlace está limitado principalmente por:
- CPU: para análisis de consultas, compresión de datos y cifrado
- RAM: para guardar resultados de consultas intermedias
- Red: para transferir datos a Azure Service Bus
Pautas de tallas:
| Escenario | CPU | RAM | Red |
|---|---|---|---|
| 5 conjuntos de datos, actualización diaria | 4 núcleos | 8 GB | 100Mbps |
| 20 conjuntos de datos, dos veces al día | 8 núcleos | 16 GB | 1 Gbps |
| Más de 50 conjuntos de datos, DirectQuery | 16 núcleos | 32 GB | 1 Gbps |
| Heavy DirectQuery, muchos usuarios simultáneos | Más de 16 núcleos | 64 GB | 10 Gbps |
Configuración del motor Mashup
La puerta de enlace utiliza el motor Power Query (Mashup) para la transformación de datos. Configure en la aplicación de puerta de enlace:
Máximo de consultas simultáneas: El valor predeterminado es el número de núcleos de CPU multiplicado por 2. Aumento para cargas de trabajo vinculadas a E/S (esperando fuentes de datos lentas). Disminución para cargas de trabajo vinculadas a la CPU (transformaciones intensas).
Límite de memoria por consulta: El valor predeterminado es sin límite. Establezca un límite (por ejemplo, 2 GB) para evitar que una única consulta fuera de control consuma toda la RAM disponible.
Optimización de la red
Ubique la puerta de enlace cerca de la fuente de datos. La latencia de red entre la puerta de enlace y la fuente de datos se multiplica por la cantidad de consultas por actualización. Una puerta de enlace en el mismo centro de datos que la base de datos minimiza la latencia.
No ubique la puerta de enlace según la proximidad a Azure. La conexión de Azure Service Bus es una única conexión TCP persistente. La latencia en Azure afecta la configuración de la conexión inicial, pero no el rendimiento de las consultas.
Utilice una conexión por cable. Nunca ejecute una puerta de enlace de producción con Wi-Fi. La conectividad intermitente provoca errores de actualización.
Optimización de consultas en el origen
La forma más rápida de mejorar el rendimiento de la puerta de enlace es optimizar las consultas que ejecuta:
- Utilice consultas SQL personalizadas en lugar de importar tablas enteras (reduzca el volumen de datos)
- Crear índices de bases de datos en columnas utilizadas en cláusulas WHERE y JOIN
- Utilice vistas con uniones previas y agregaciones previas para modelos de datos complejos
- Habilite el plegado de consultas en Power Query para enviar transformaciones a la base de datos
- Implementar actualización incremental para reducir el volumen de datos por ciclo de actualización
Solución de problemas de errores comunes
"No se puede acceder a la puerta de enlace"
Causa: El servicio de puerta de enlace está detenido, la máquina está inactiva o la conectividad de red a Azure está bloqueada.
Resolución:
- Compruebe si el servicio de puerta de enlace de Windows se está ejecutando (services.msc)
- Verifique que se permita HTTPS saliente a *.servicebus.windows.net
- Verifique la configuración del proxy si está detrás de un proxy corporativo
- Verifique que la máquina de puerta de enlace tenga conectividad a Internet.
- Verifique si la versión de la puerta de enlace está desactualizada (las actualizaciones automáticas pueden fallar silenciosamente)
"No se puede conectar a la fuente de datos"
Causa: Credenciales incorrectas, conectividad de red a la fuente de datos o problemas con el controlador.
Resolución:
- Pruebe la conexión en la aplicación de configuración de la puerta de enlace (Diagnóstico, luego Probar conexión)
- Verifique que se pueda acceder al servidor de origen de datos desde la máquina de puerta de enlace (ping, telnet al puerto)
- Verifique que las credenciales sean correctas y que la cuenta no esté bloqueada o vencida.
- Para Oracle y SAP, verifique que las bibliotecas de cliente requeridas estén instaladas en la máquina de puerta de enlace.
- Verifique que el firewall de la fuente de datos permita conexiones desde la IP de la puerta de enlace.
"La actualización de la puerta de enlace de datos local está tardando demasiado"
Causa: Conjunto de datos grande, consultas lentas, recursos de puerta de enlace insuficientes o cuello de botella en la red.
Resolución:
- Habilite la actualización incremental para reducir el volumen de datos
- Optimice las consultas SQL (agregue índices, reduzca columnas, filtre filas)
- Verifique el uso de CPU y RAM de la máquina de puerta de enlace durante la actualización
- Escalonar los programas de actualización para reducir la carga simultánea
- Considere agregar un segundo nodo de puerta de enlace para la distribución de carga.
"Las credenciales de la fuente de datos no son válidas"
Causa: Contraseña cambiada, cuenta bloqueada o delegación Kerberos mal configurada.
Resolución:
- Vuelva a ingresar las credenciales en el servicio Power BI (configuración del conjunto de datos, luego conexión de puerta de enlace)
- Si utiliza la autenticación de Windows con Kerberos, verifique:
- La cuenta del servicio de puerta de enlace tiene privilegios de delegación en Active Directory
- Los SPN están configurados correctamente para la fuente de datos.
- Se puede acceder al KDC (controlador de dominio) desde la puerta de enlace
"La versión de la puerta de enlace no está actualizada"
Causa: La actualización automática falló o estaba deshabilitada.
Resolución:
- Descargue el último instalador de puerta de enlace de Microsoft
- Ejecute el instalador en la máquina de puerta de enlace existente (se actualiza en el lugar)
- Para clústeres, actualice un nodo a la vez con un espacio entre actualizaciones
- Verifique la versión de la puerta de enlace en el portal de administración de Power BI después de la actualización.
Mejores prácticas de seguridad
Principio de privilegio mínimo
- La cuenta del servicio de puerta de enlace debe tener acceso de solo lectura a las fuentes de datos.
- No utilice cuentas de administrador de dominio o de base de datos
- Cree cuentas de servicio dedicadas por tipo de fuente de datos si su política de seguridad lo requiere
- Rotar las contraseñas de las cuentas de servicio periódicamente y actualizar la configuración de la fuente de datos de la puerta de enlace
Gestión de claves de recuperación
La clave de recuperación cifra todas las credenciales almacenadas localmente. Trátela con el mismo cuidado que una clave maestra de base de datos:
- Almacenar en Azure Key Vault o en un administrador de contraseñas empresarial
- Documentar quién tiene acceso a la clave de recuperación.
- Incluya la rotación de claves de recuperación en su política de gestión de claves
- Pruebe la recuperación restaurando una puerta de enlace desde la copia de seguridad con la clave de recuperación
Segmentación de red
Coloque la puerta de enlace en un segmento de red que pueda alcanzar:
- Servidores de origen de datos (SQL Server, PostgreSQL, Oracle, etc.)
- Azure Service Bus (HTTPS saliente)
- Azure AD (HTTPS saliente)
Bloquee todo el resto del tráfico entrante y saliente. La puerta de enlace no necesita conexiones entrantes de ninguna fuente.
Pista de auditoría
Habilite la auditoría de seguridad de Windows en la máquina de puerta de enlace para realizar un seguimiento:
- Eventos de inicio de sesión de cuenta de servicio
- Cambios en la configuración de la puerta de enlace
- Patrones de acceso a fuentes de datos.
Reenvíe estos eventos a su SIEM (Splunk, Sentinel, Datadog) para un monitoreo centralizado.
Escenarios de migración y actualización
Migración a una nueva máquina de puerta de enlace
- Instale la puerta de enlace en la nueva máquina.
- Durante el registro, seleccione "Migrar, restaurar o asumir el control de una puerta de enlace existente".
- Ingrese la clave de recuperación de la puerta de enlace original.
- La nueva máquina hereda todas las configuraciones y credenciales de la fuente de datos.
- Verifique que todos los orígenes de datos se muestren como conectados en el portal de administración de Power BI.
- Actualice las reglas de firewall basadas en IP para incluir la IP de la nueva máquina.
- Desmantelar la antigua máquina de puerta de enlace
Actualización de versiones de puerta de enlace
Microsoft publica actualizaciones de puerta de enlace mensualmente. Mejores prácticas:
- Suscríbase a las notas de la versión de la puerta de enlace para recibir avisos anticipados de los cambios.
- Pruebe primero las nuevas versiones en un clúster de puerta de enlace que no sea de producción.
- Para clústeres de producción, actualice un nodo a la vez con un intervalo de 24 horas.
- Verificar las tasas de éxito de actualización después de cada actualización de nodo
- Mantener al menos un nodo en la versión anterior hasta que se valide la nueva versión.
La puerta de enlace admite compatibilidad con la versión N-1 en clústeres; los nodos no necesitan ejecutar exactamente la misma versión.
Preguntas frecuentes
¿Puedo instalar la puerta de enlace en una máquina virtual?
Sí. La puerta de enlace se ejecuta en máquinas físicas y virtuales, incluidas máquinas virtuales de Azure, AWS EC2 y Hyper-V o VMware local. Para las máquinas virtuales de Azure, considere usar la puerta de enlace de datos VNet (en versión preliminar para capacidades Premium), que elimina por completo la necesidad de una puerta de enlace autoadministrada. Para las máquinas virtuales locales, asegúrese de que la máquina virtual tenga recursos de CPU y RAM dedicados (no compartidos) y que el hipervisor no comprometa excesivamente los recursos.
¿Cuántas fuentes de datos puede admitir una única puerta de enlace?
No existe un límite estricto en la cantidad de fuentes de datos por puerta de enlace. En la práctica, las puertas de enlace suelen admitir entre 50 y 100 fuentes de datos sin problemas. El factor limitante es la carga de consultas simultáneas durante las ventanas de actualización, no la cantidad de fuentes de datos configuradas. Si los tiempos de actualización se están degradando, agregue nodos del clúster en lugar de crear instalaciones de puerta de enlace adicionales.
¿La puerta de enlace es compatible con Linux?
No. La puerta de enlace de datos local requiere Windows (Server 2016 o posterior). Si sus fuentes de datos se ejecutan en Linux, instale la puerta de enlace en una máquina Windows que tenga acceso de red a los servidores de fuentes de datos de Linux. La puerta de enlace se conecta a la fuente de datos a través de la red; no es necesario ejecutarla en el mismo sistema operativo que la fuente de datos.
¿Qué sucede si ambos nodos de puerta de enlace de un clúster se desconectan simultáneamente?
Todas las actualizaciones programadas fallan y todas las conexiones de DirectQuery devuelven errores. El servicio Power BI detecta el estado sin conexión y envía notificaciones a los administradores de la puerta de enlace (si están configurados). Los informes que utilizan datos almacenados en caché (modo de importación) continúan mostrando los últimos datos actualizados correctamente. Cuando al menos un nodo vuelve a estar en línea, las solicitudes de actualización pendientes se procesan automáticamente. Para evitar este escenario, escalone los períodos de mantenimiento y coloque los nodos del clúster en una infraestructura física separada.
¿Puede la puerta de enlace manejar datos de transmisión en tiempo real?
La puerta de enlace está diseñada para patrones de consulta-respuesta, no para transmisión. Para datos en tiempo real, considere los conjuntos de datos de transmisión de Power BI (que omiten la puerta de enlace por completo), Azure Stream Analytics o Azure Event Hubs con paneles en tiempo real de Power BI. La puerta de enlace admite DirectQuery para acceder casi en tiempo real a bases de datos locales, pero cada interacción con el informe desencadena una nueva consulta en lugar de recibir un flujo de datos continuo.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Funciones de IA de Power BI: Copilot, AutoML y análisis predictivo
Domine las funciones de IA de Power BI, que incluyen Copilot para informes en lenguaje natural, AutoML para predicciones, detección de anomalías y narrativas inteligentes. Guía de licencias.
Guía completa para el desarrollo de paneles de Power BI
Aprenda a crear paneles de Power BI eficaces con diseño de KPI, prácticas recomendadas visuales, páginas de acceso a detalles, marcadores, diseños móviles y seguridad RLS.
Modelado de datos de Power BI: diseño de esquemas en estrella para inteligencia empresarial
Domine el modelado de datos de Power BI con diseño de esquemas en estrella, tablas de hechos y dimensiones, medidas DAX, grupos de cálculo, inteligencia temporal y modelos compuestos.