设置 Qlik 数据网关 - 直接访问

本主题概述了Qlik 数据网关 - 直接访问先决条件，提供了安装说明，并描述了使用 Qlik 数据网关 - 直接访问时应注意的限制和注意事项。

使用 Qlik 数据网关 - 直接访问时的最佳实践

为了在使用 Qlik 数据网关 - 直接访问时获得成功体验，强烈建议遵守以下最佳实践：

不要将 Direct Access gateway 用于开发、用户验收测试和生产，因为这会增加可用资源过载的风险，并影响系统稳定性。从业务角度来看，资源不足和稳定性下降的组合可能会导致生产应用程序数据的更新延迟。
为了获得最佳性能，请在尽可能靠近数据源的服务器上安装 Direct Access gateway。

Direct Access gateway 应按照以下系统要求安装在专用的 Windows Server 上。不要将其安装在实际的数据库服务器上，也不要与其他 Qlik 产品一起安装，包括但不限于 Qlik DataTransfer、Qlik Sense Desktop 和 Qlik Sense Enterprise。

系统先决条件

本部分介绍使用 Qlik 数据网关 - 直接访问的软件、端口和硬件要求。

软件前提条件

直接访问网关应安装在防火墙后面的 Windows Server 计算机上。服务器应该能够访问您的数据源。

支持的 Windows Server 版本：
- 2016
- 2019
- 2022
需要安装两个不同的 .NET 版本。仅安装以下 .NET 版本（不支持更高版本）：
- .NET 4.8：安装时需要
- .NET 6.x（最新补丁）：运行 Direct Access gateway 应用程序所需
- ASP.NET Core 6
有关如何验证当前安装的 .NET 版本的说明，请参阅 https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed。
Microsoft Visual C++ 2015-2022 Redistributable (x64)。如果 Direct Access gateway 安装程序检测到当前未安装可再发行版本，它将提示您安装该软件。

使用 SAP 数据源时的其他软件前提条件

按照为 Qlik 数据网关 - 直接访问安装 SAP NetWeaver RFC SDK （仅提供英文版本）中的说明，在 Qlik 数据网关 - 直接访问计算机上安装 SAP NetWaever RFC SDK。
在 Qlik 数据网关 - 直接访问计算机上安装 Microsoft Visual C++ 2013 Redistributable (x64)。

所需端口和协议

以下部分列出了所需的端口。

出站端口

应打开 HTTPS/TCP-443 以与 <tenant-id>.<region>.qlikcloud.com 进行出站通信。

内部端口

以下是内部数据网关进程用于通信的端口列表。如果其他应用程序正在使用这些端口中的任何一个，请重新配置其他应用程序或将其卸载。

一般端口

5050（连接器代理 REST API）
9027 (DCAAS REST API)

ODBC 端口

3005（ODBC 连接器 REST API）
50060（ODBC 连接器 gRPC）

SAP 端口

3007（SAP BW 连接器 REST API）
3008（SAP SQL 连接器 REST API）
3009（SAP ODP 连接器 REST API）
50070（SAP BW 连接器 gRPC）
50080（SAP SQL 连接器 gRPC）
50090（SAP ODP 连接器 gRPC）

WSS 协议

除了 HTTPS，直接访问网关还使用 WSS (WebSocket Secure) 协议。因此，请确保防火墙和代理服务器（如果您打算使用）设置为允许出站 WSS 连接。

建议的最低硬件

8 核
32 GB 内存
5 GB 存储

系统密码

仅当 Windows 配置为以FIPS 140-2批准的操作模式（FIPS模式）运行时，Qlik Cloud 政府才支持使用 Qlik Data Gateway - Direct Access。要打开 FIPS 模式，请启用 Windows 策略：系统密码：使用符合 FIPS 的算法进行加密、哈希算法和签署。有关更多信息，请参阅在 FIPS 140-2 批准的操作模式下使用 Windows 程序的步骤3。

无需安装其他模块。Qlik Data Gateway - Direct Access 仅使用 Windows 已提供并包含在已验证模块列表中的模块。Qlik Data Gateway - Direct Access通过 .NET 运行时强制仅使用 FIPS 验证的加密算法。

安装 Qlik 数据网关 - 直接访问

设置直接访问网关涉及需要在管理控制台和直接访问网关服务器上执行的步骤。

注释：需要在管理控制台中执行的数据网关过程需要租户管理权限。

阶段一：下载 Qlik 数据网关 - 直接访问

在管理控制台中，选择数据网关。

任何现有的数据网关都将列在一个表中，其中显示了每个网关的基本信息。
单击部署工具栏按钮。

部署数据网关对话框打开。
选择数据网关 - 直接访问并接受 Qlik 客户协议，然后单击下载。Direct Access gateway 安装程序文件 (qlik-data-gateway-direct-access.exe) 将下载到您的机器。

阶段二：在保护数据源的防火墙后面的服务器上安装 Direct Access gateway

这一阶段包括安装 Direct Access gateway。您可以交互或静默安装 Direct Access gateway。

交互式安装 Direct Access gateway

下载完成后，将安装文件复制到防火墙后面的 Windows Server 计算机。确保计算机可以与您的数据源通信。
打开文件以启动安装向导。继续单击下一步，直到安装完成。
信息注释
- Direct Access gateway 需要 Microsoft .NET 6.x。如果安装程序检测到已安装早期版本，系统将提示您安装所需的版本。.NET 安装完成后，需要重新启动数据网关服务器，然后再次运行直接访问网关安装程序。
- 如果安装程序检测到当前未安装 Microsoft Visual C++ 2015-2022 Redistributable (x64) ，将提示您安装它。
- 在安装过程中，您可以选择更改默认安装路径 (C:\Program Files\Qlik\ConnectorAgent)。

静默安装、升级和卸载 Direct Access gateway

从 Direct Access gateway 1.6.4 起支持。

静默安装 Direct Access gateway 非常有用，例如，如果您需要在整个组织的多台计算机上安装 Direct Access gateway。

先决条件

在开始静默安装之前，请确保安装所有必备软件的正确版本，因为与交互式安装不同，这在安装过程中无法完成。

安装或升级 Direct Access gateway

以管理员身份打开 CMD 提示符，然后从包含 Direct Access gateway 可执行文件的文件夹中运行以下命令：

qlik-data-gateway-direct-access.exe /S InstallPath="full-path" AcceptEula=yes

其中 full-path 应替换为引号中的实际安装路径，例如 C:\TMP\Qlik。

需要将 AcceptEula 参数设置为“是”。将 AcceptEula 参数设置为“是”，表示您同意 Qlik 客户协议的条款。

卸载 Direct Access gateway

以管理员身份打开 CMD 提示符，然后从包含 Direct Access gateway 可执行文件的文件夹中运行以下命令：

qlik-data-gateway-direct-access.exe /S /uninstall

安装故障排除

安装日志文件提供的信息应能帮助您（或 Qlik 支持人员）排除任何故障。日志文件的完整路径为：

C:\Users\<user>\AppData\Local\Temp\Qlik Data Gateway - Direct Access_<时间戳>.log

阶段三：设置 Direct Access gateway

此阶段包括设置 Qlik Cloud 租户 URL、可选地设置代理服务器以及生成注册密钥。您需要将密钥复制到管理控制台中的数据网关设置（在下面的阶段三中）。密钥用于在直接访问网关和 Qlik Cloud 租户之间建立经过身份验证的连接。

在直接访问网关计算机上，以管理员身份打开命令提示符并将工作目录更改为 ConnectorAgent 子文件夹（对于默认安装为 C:\Program Files\Qlik\ConnectorAgent\ConnectorAgent）。

然后，继续下面的操作。

设置 Qlik Cloud 租户

设置要连接的 Qlik Cloud 租户。要通过代理服务器连接到租户，请将相关参数添加到命令中，如下所示。

用于没有代理服务器时设置 Qlik Cloud 租户的命令：

语法：

connectoragent qcs set_config --tenant_url your-qlik-cloud-tenant-url

示例：

connectoragent qcs set_config --tenant_url mytenant.us.qlikcloud.com

用于有代理服务器时设置 Qlik Cloud 租户的命令：

语法：

connectoragent qcs set_config --tenant_url your-qlik-cloud-tenant-url --proxy_url http://host:port --proxy_username username --proxy_password password

示例：

connectoragent qcs set_config --tenant_url mytenant.us.qlikcloud.com --proxy_url http://myproxy:1212 --proxy_username admin --proxy_password f56weqs@

有关代理限制的信息，请参阅通过代理服务器连接到 Qlik Cloud。

设置 CA 捆绑包

CA 捆绑包验证 Qlik Cloud 租户的身份，从而确保可信连接。

谁需要设置 CA 捆绑包？

只有在以下情况下才需要设置 CA 捆绑包：

Qlik Cloud 政府客户
一个 Qlik Cloud 商业客户使用安全设备作为代理，并用其自己的 CA 根证书替换从互联网接收的证书信息

我应该使用哪个捆绑包？

客户应使用 Qlik CA 捆绑包或自带 CA 捆绑包，如下所示：

Qlik 提供 CA 捆绑包：应在标准环境中由 Qlik Cloud 政府客户使用。标准环境是一种没有安全设备的环境，该安全设备充当代理，并将从互联网接收的证书信息替换为其自己的 CA 根证书。

在默认 Direct Access gateway 安装中，CA 捆绑文件可安装到以下位置： C:\Program Files\Qlik\ConnectorAgent\caBundle\qcg_ca_bundle.pem

信息注释您可以重命名 CA 捆绑文件，并确保它具有 .pem 扩展名（例如，qlikcerts.pem）。然后运行下述命令。
客户自带 CA 捆绑包：如果客户的环境正在使用充当代理的安全设备，并将从互联网接收的证书信息替换为其自己的 CA 根证书，则应使用该设备。如果这些证书是自签名的，那么除了设置 CA 捆绑包的命令外，还需要运行允许 CA 捆绑包的命令。下面将描述这两个命令。这同样适用于 Qlik Cloud 政府客户和 Qlik Cloud 商业客户。

用于设置 CA 捆绑包的命令

运行以下命令以设置 CA 证书捆绑包：

语法：

connectoragent qcs set_config --ca_bundle_path path-to-ca-bundle-file

示例：

connectoragent qcs set_config --ca_bundle_path c:\ca\cacerts.pem

用于允许 CA 捆绑包的命令

某些环境使用安全设备作为代理，并用其自己的 CA 根证书替换从互联网接收的证书信息。仅当安全设备本身使用自签名证书时，才需要运行此命令。在这种情况下，除非运行以下命令，否则 CA 捆绑包可能不受信任：

connectoragent qcs set_config --ca_bundle_allow_invalid_certs true

如果您不确定您的环境是否使用此安全设备，请与 IT 管理员联系。

生成并显示注册密钥

密钥用于在直接访问网关和 Qlik Cloud 租户之间建立经过身份验证的连接。

生成注册密钥的命令

connectoragent qcs generate_keys

显示注册密钥的命令

connectoragent qcs get_registration

显示密钥。

复制整个密钥，如上面的示例所示。您需要在下一阶段将其粘贴到管理控制台中。

阶段四：返回至管理控制台并注册数据网关

在管理控制台中，选择数据网关。

任何现有的数据网关都将列在一个表中，其中显示了每个网关的基本信息。
单击创建工具栏按钮。

创建数据网关对话框打开。
指定数据网关的名称。
（可选）提供数据网关的描述。
从数据网关类型下拉列表中，选择直接访问。
将先前生成的注册密钥粘贴到密钥字段中。
从关联空间下拉列表中，选择一个空间。

将直接访问网关与空间关联时，您应该注意以下事项：
- 只能在共享或托管空间中创建数据网关
- 为了能够在一个空间中创建使用另一个空间的数据网关的数据连接，您必须在数据网关空间中具有可以使用数据角色。
- 要创建数据网关，用户需要是空间所有者或具有可以管理角色。此外，用户需要专业或 Full User 授权。手动分配专业授权，或在管理控制台中开启启用 Professional 用户的动态分配。
  
  有关用户权限和 Professional 访问授权动态分配的更多信息，请参阅分配用户权利
- 数据网关只能与单个空间关联。
单击创建。

数据网关已添加到数据网关列表中并启用。

阶段五：在直接访问网关服务器上启动 Qlik 数据网关 - 直接访问服务

在直接访问网关服务器上，执行以下操作之一以启动服务：

打开 Windows 服务控制台并启动 Qlik 数据网关 - 直接访问服务。
以管理员身份打开命令提示符并将工作目录更改为 ConnectorAgent 子文件夹（对于默认安装为 C:\Program Files\Qlik\ConnectorAgent\ConnectorAgent）。然后运行以下命令：

connectoragent service start

将显示服务成功启动的确认。

另请参阅： 使用其他帐户运行该服务。

阶段六：将连接添加到数据源

在数据网关列表中找到网关，并验证其状态是否为“已连接”（您可能需要刷新浏览器以查看当前状态）。然后，您可以继续向数据源添加连接。

有几种方法可以从数据源加载数据：

可用数据源列表将包含支持网关连接的数据源的重复条目。与网关兼容的数据源可以通过文字“via Direct Access Gateway”（通过直接访问网关）来识别，该文字出现在源类型后面的括号中。

兼容网关的数据源的添加数据连接对话框有一个额外的直接访问网关字段，允许您选择要使用的网关。

支持的数据源

ODBC 源。有关详细信息，请参阅 ODBC 数据库 ‒ Qlik Cloud （仅提供英文版本）。
SAP BW 和 SAP SQL 源。需要直接访问网关 1.2.0 或更高版本。

有关设置与这些源的连接的信息，请参阅 SAP NetWeaver （仅提供英文版本）。

一般限制和考虑事项

Direct Access gateway 只能连接到单个租户。
如果由于任何原因，Direct Access gateway 服务器在 Qlik 应用程序重新加载过程中重新启动，则重新加载将失败。重新启动 Qlik 应用程序重新加载以刷新数据。
重新加载脚本查询不能超过 500000 个字符。

有关重新加载脚本的信息，请参阅重新加载脚本。

本页面有帮助吗？

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进！

在此处留下您的反馈