Общ преглед на поддръжката на виртуална мрежа
Бележка
Новият и подобрен Power Platform център за администриране вече е в публичен преглед! Проектирахме новия център за администриране така, че да бъде по-лесен за използване, с ориентирана към задачите навигация, която ви помага да постигате конкретни резултати по-бързо. Ще публикуваме нова и актуализирана документация, когато новият Power Platform център за администриране премине към обща наличност.
С поддръжката на виртуална мрежа Power Platformна Azure можете да се интегрирате Power Platform с ресурси във вашата виртуална мрежа, без да ги излагате през публичния интернет. Поддръжката на виртуална мрежа използва делегиране на подмрежа на Azure за управление на изходящия трафик по Power Platform време на изпълнение. Използването на делегиране на подмрежа на Azure избягва необходимостта защитените ресурси, които да бъдат достъпни през интернет, с които да се интегрират Power Platform. С поддръжката Power Platform на виртуална мрежа компонентите могат да се обаждат на ресурси, собственост на вашето предприятие във вашата мрежа, независимо дали се хостват в Azure или локално, и да използват добавки и конектори за извършване на изходящи повиквания.
Power Platform Обикновено се интегрира с корпоративни ресурси през обществени мрежи. При публичните мрежи корпоративните ресурси трябва да бъдат достъпни от списък с Azure IP диапазони или етикети на услугата, които описват публични IP адреси. Поддръжката на виртуална мрежа на Azure обаче Power Platform ви позволява да използвате частна мрежа и все пак да се интегрирате с облачни услуги или услуги, които се хостват във вашата корпоративна мрежа.
Услугите на Azure са защитени във виртуална мрежа от частни крайни точки. Можете да използвате Express Route , за да пренесете локалните си ресурси във виртуалната мрежа.
Power Platform използва виртуалната мрежа и подмрежите, които делегирате, за да извършва изходящи повиквания към корпоративни ресурси през корпоративната частна мрежа. Използването на частна мрежа елиминира необходимостта от насочване на трафика през обществения интернет, което може да изложи корпоративни ресурси.
Във виртуална мрежа имате пълен контрол върху изходящия трафик от Power Platform. Трафикът е предмет на мрежови правила, прилагани от вашия мрежов администратор. Следващата диаграма показва как ресурсите във вашата мрежа взаимодействат с виртуална мрежа.
Предимства на поддръжката на виртуална мрежа
С поддръжката на виртуална мрежа вашите Power Platform и компонентите Dataverse получават всички предимства , които делегирането на подмрежата на Azure предоставя , като например:
Защита на данните: Виртуалната мрежа позволява Power Platform на услугите да се свързват с вашите частни и защитени ресурси, без да ги излагат на интернет.
Без неоторизиран достъп: Виртуалната мрежа се свързва с вашите ресурси, без да се нуждае от Power Platform IP диапазони или сервизни етикети във връзката.
Поддържани сценарии
Power Platform позволява поддръжка на виртуална мрежа както Dataverse за плъгини, така и за конектори. С тази поддръжка можете да установите защитена, частна, изходяща свързаност от Power Platform ресурси във вашата виртуална мрежа. Dataverse добавките и конекторите подобряват защитата на интегрирането на данни, като се свързват с външни източници на данни от Power Apps Power Automate приложения на Dynamics 365. Например можете да:
- Използвайте Dataverse добавки, за да се свържете с вашите източници на данни в облака, като например Azure SQL, Azure Storage, хранилище за BLOB или Azure Key Vault. Можете да защитите данните си от ексфилтрация на данни и други инциденти.
- Използвайте Dataverse добавки за сигурно свързване с частни, защитени от крайни точки ресурси в Azure, като например уеб API, или всякакви ресурси във вашата частна мрежа, като SQL и Web API. Можете да защитите данните си от пробиви в данните и други външни заплахи.
- Използвайте поддържани от виртуална мрежа конектори, като SQL Server , за да се свържете сигурно с вашите хоствани в облака източници на данни, като Azure SQL или SQL Server, без да ги излагате на интернет. По същия начин можете да използвате конектор за опашка на Azure, за да установите защитени връзки към частни опашки на Azure с активирани крайни точки.
- Използвайте конектора на Azure Key Vault , за да се свържете сигурно с частен, защитен от крайна точка Azure Key Vault.
- Използвайте персонализирани конектори , за да се свържете сигурно с вашите услуги, които са защитени от частни крайни точки в Azure, или услуги, които се хостват във вашата частна мрежа.
- Използвайте Azure File Storage , за да се свържете сигурно с частно хранилище за файлове на Azure с активирана крайна точка.
- Използвайте HTTP с Microsoft Entra ИД (предварително упълномощен) за сигурно извличане на ресурси през виртуални мрежи от различни уеб услуги, удостоверени с Microsoft Entra ИД или от локална уеб услуга.
Ограничения
- Dataverse Добавките с нисък код, които използват конектори, не се поддържат, докато тези типове конектори не бъдат актуализирани, за да използват делегиране на подмрежа.
- Използвате операции за копиране, архивиране и възстановяване на среда в среди, поддържани Power Platform от виртуална мрежа. Операцията за възстановяване може да се извърши в рамките на една и съща виртуална мрежа, както и в различни среди, при условие че са свързани към една и съща виртуална мрежа. Освен това операцията за възстановяване е допустима от среди, които не поддържат виртуални мрежи, до такива, които поддържат.
Поддържани региони
Потвърдете, че вашата Power Platform среда и корпоративни правила са в поддържани Power Platform региони и региони на Azure. Например, ако вашата Power Platform среда е в Съединените щати, тогава вашата виртуална мрежа и подмрежи трябва да са в източните и западните региони на Azure.
| Power Platform регион | Регион на Azure |
|---|---|
| САЩ | Изток, Запад |
| Южна Африка | Южна АфрикаСевер, Южна АфрикаЗапад |
| Обединеното кралство | UKSOUTH, Ukwest |
| Япония | ЯпонияИзток, ЯпонияЗапад |
| Индия | Централна Индия, Южна Индия |
| Франция | Централна Франция, ФранцияЮг |
| Европа | Западна Европа, Северна Европа |
| Германия | ГерманияСевер, ГерманияЗападен Централен |
| Швейцария | ШвейцарияСевер, ШвейцарияЗапад |
| Канада | Канада Централна, Канада Изток |
| Бразилия | БразилияЮг |
| Австралия | АвстралияЮгоизток, АвстралияИзток |
| Азия | Източна Азия, Югоизточна Азия |
| UAE | Север на ОАЕ |
| Южна Корея | Южна Корея, Централна Корея |
| Норвегия | НорвегияЗапад, НорвегияИзток |
| Сингапур | Югоизточна Азия |
| Швеция | Швецияцентрален |
| Италия | Италиясевер |
Поддържани услуги
Таблицата по-долу изброява услугите, които поддържат делегиране на подмрежа на Azure за поддръжка на виртуална мрежа. Power Platform
| Област | Power Platform услуги | Наличност на поддръжка на виртуална мрежа |
|---|---|---|
| Dataverse | Dataverse Плъгини | Общодостъпно |
| Конектори | Общодостъпно | |
| Конектори | В преглед |
Съображения за активиране на поддръжка на виртуална мрежа за Power Platform среда
Когато използвате поддръжка на виртуална мрежа в среда Power Platform , всички поддържани услуги, като Dataverse добавки и конектори, изпълняват заявки по време на изпълнение във вашата делегирана подмрежа и са предмет на вашите мрежови правила. Призивите за публично достъпни ресурси ще започнат да се прекъсват.
Важно
Преди да разрешите поддръжката на виртуална среда за Power Platform среда, уверете се, че сте проверили кода на добавките и конекторите. URL адресите и връзките трябва да бъдат актуализирани, за да работят с частна свързаност.
Например добавка може да се опита да се свърже с обществено достъпна услуга, но правилата ви за мрежата не позволяват публичен достъп до интернет във вашата виртуална мрежа. Обаждането от приставката се блокира в съответствие с вашата мрежова политика. За да избегнете блокираното повикване, можете да хоствате публично достъпната услуга във вашата виртуална мрежа. Като алтернатива, ако вашата услуга се хоства в Azure, можете да използвате частна крайна точка в услугата, преди да включите поддръжката Power Platform на виртуална мрежа в средата.
ЧЗВ
Каква е разликата между шлюз за данни на виртуална мрежа и поддръжка на виртуална мрежа на Azure Power Platform?
Шлюзът за данни на виртуална мрежа е управляван шлюз, който ви позволява да осъществявате достъп до Azure и Power Platform услуги от вашата виртуална мрежа, без да се налага да настройвате локален шлюз за данни. Например, шлюзът е оптимизиран за ETL (извличане, трансформиране, зареждане) работни натоварвания и Power BI Power Platform потоци от данни.
Поддръжката на виртуална мрежа на Azure за Power Platform използва делегиране на подмрежа на Azure за вашата Power Platform среда. Подмрежите се използват от работни натоварвания в Power Platform средата. Power Platform Работните натоварвания на API използват поддръжка на виртуална мрежа, тъй като заявките са краткотрайни и оптимизирани за голям брой заявки.
Какви са сценариите, за които трябва да използвам поддръжката Power Platform на виртуална мрежа и шлюза за данни на виртуалната мрежа?
Поддръжката на виртуална мрежа за Power Platform е единствената поддържана опция за всички сценарии за изходяща свързаност от Power Platform освен Power BI и Power Platform потоци от данни.
Power BI и Power Platform потоците от данни продължават да използват шлюз за данни на виртуална мрежа (vNet).
Как да гарантирате, че подмрежа на виртуална мрежа или шлюз за данни от един клиент не се използва от друг клиент? Power Platform
Поддръжка на виртуална мрежа за Power Platform използва делегиране на подмрежа на Azure.
Всяка Power Platform среда е свързана с една виртуална мрежова подмрежа. Само повиквания от тази среда имат достъп до тази виртуална мрежа.
Делегирането ви позволява да определите конкретна подмрежа за всяка платформа на Azure като услуга (PaaS), която трябва да бъде инжектирана във вашата виртуална мрежа.
Виртуалната Power Platform мрежа поддържа ли отказ?
Да, трябва да делегирате виртуалните мрежи и за двата региона на Azure, които са свързани с вашия Power Platform регион. Например, ако вашата Power Platform среда е в Канада, трябва да създадете, делегирате и конфигурирате виртуални мрежи в CanadaCentral и CanadaEast.
Как среда в един регион може да Power Platform се свърже с ресурси, хоствани в друг регион?
Виртуална мрежа, свързана със среда Power Platform , трябва да се намира в региона на Power Platform околната среда. Ако виртуалната мрежа е в различен регион, създайте виртуална мрежа в Power Platform региона на средата и използвайте пиъринг на виртуална мрежа в двете делегирани виртуални мрежи на подмрежата на региона на Azure, за да преодолеете празнината с виртуалната мрежа в отделния регион.
Мога ли да наблюдавам изходящия трафик от делегирани подмрежи?
Да. Можете да използвате група за защита на мрежата и защитни стени, за да наблюдавате изходящия трафик от делегирани подмрежи. Научете повече в Наблюдение на виртуалната мрежа на Azure.
Колко IP адреса Power Platform трябва да бъдат делегирани в подмрежата?
Подмрежата, която създавате, трябва да има поне /24 адресен блок за безкласово маршрутизиране между домейни (CIDR), което се равнява на 251 IP адреса, включително пет запазени IP адреса. Ако планирате да използвате една и съща делегирана подмрежа за множество Power Platform среди, може да се нуждаете от по-голям IP адресен блок от /24.
Мога ли да извършвам обвързани с интернет повиквания от добавки или конектори, след като средата ми е делегирана от подмрежата?
Да. Можете да извършвате обвързани с интернет повиквания от добавки или конектори, но подмрежата трябва да бъде конфигурирана с шлюз NAT на Azure.
Мога ли да актуализирам диапазона от IP адреси на подмрежата, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies"?
Не, не и докато функцията се използва във вашата среда. Не можете да промените диапазона от IP адреси на подмрежата, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies". Ако направите това, конфигурацията на делегирането е нарушена и средата спира да работи. За да промените диапазона от IP адреси, трябва да премахнете функцията за делегиране от вашата среда, да направите необходимите промени и след това да включите функцията за вашата среда.
Мога ли да актуализирам DNS адреса на моята виртуална мрежа, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies"?
Не, не и докато функцията се използва във вашата среда. Не можете да промените DNS адреса на виртуалната мрежа, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies". Ако направите това, промяната не се отчита в нашата конфигурация и средата ви може да спре да работи. За да промените DNS адреса, трябва да премахнете функцията за делегиране от вашата среда, да направите необходимите промени и след това да включите функцията за вашата среда.
Моята виртуална мрежа има персонализиран DNS. Използва ли Power Platform моя персонализиран DNS?
Да. Power Platform използва персонализирания DNS, конфигуриран във виртуалната мрежа, който съдържа делегираната подмрежа, за разрешаване на всички крайни точки. След като средата е делегирана, можете да актуализирате добавките, за да използвате правилната крайна точка, така че вашият персонализиран DNS да може да ги разреши.
Моята среда има плъгини, предоставени от ISV. Тези добавки ще работят ли в делегираната подмрежа?
Да. Всички клиентски добавки и независими доставчици на софтуер могат да се изпълняват с помощта на вашата подмрежа. Ако добавките за независими доставчици на софтуер имат изходяща връзка, може да се наложи тези URL адреси да бъдат изброени в защитната стена.
Моите локални TLS сертификати за крайна точка не са подписани от добре познати главни сертифициращи органи (CA). Поддържате ли неизвестни сертификати?
Не. Трябва да гарантираме, че крайната точка представя TLS сертификат с цялата верига. Не е възможно да добавите вашия персонализиран корен CA към нашия списък с добре познати CA.
Каква е препоръчителната настройка на виртуална мрежа в клиентски клиент?
Не препоръчваме конкретна топология. Въпреки това, нашите клиенти широко използват топологията на мрежата Hub-spoke в Azure.
Необходимо ли е свързване на абонамент за Azure с моя Power Platform клиент, за да активирате виртуална мрежа?
Да, за да активирате поддръжката на виртуална мрежа за Power Platform среди, важно е да имате абонамент за Azure, свързан с клиента. Power Platform
Как Power Platform се използва делегирането на подмрежа на Azure?
Когато дадена Power Platform среда има присвоена делегирана подмрежа на Azure, тя използва инжектиране на виртуална мрежа на Azure, за да инжектира контейнера по време на изпълнение в делегирана подмрежа. По време на този процес на мрежова интерфейсна карта (NIC) на контейнера се разпределя IP адрес от делегираната подмрежа. Комуникацията между хоста (Power Platform) и контейнера се осъществява чрез локален порт на контейнера, а трафикът преминава през Azure Fabric.
Мога ли да използвам съществуваща виртуална мрежа за? Power Platform
Да, можете да използвате съществуваща виртуална мрежа за Power Platform, при условие че една нова подмрежа във виртуалната мрежа е делегирана специално. Power Platform Делегираната подмрежа трябва да е предназначена за делегиране на подмрежа и не може да се използва за други цели.
Какво е плъгин? Dataverse
Приставката Dataverse е част от персонализиран код, който може да бъде внедрен в Power Platform среда. Тази добавка може да бъде конфигурирана да се изпълнява по време на събития (като например промяна в данните) или да се задейства като персонализиран API. Научете повече: Dataverse Плъгини
Как работи приставката Dataverse ?
Плъгинът Dataverse работи в контейнер. Когато на дадена Power Platform среда бъде присвоена делегирана подмрежа, IP адрес от адресното пространство на тази подмрежа се разпределя към мрежовата интерфейсна карта (NIC) на контейнера. Комуникацията между хоста (Power Platform) и контейнера се осъществява чрез локален порт на контейнера, а трафикът преминава през Azure Fabric.
Могат ли няколко добавки да работят в един и същ контейнер?
Да. В дадена Power Platform среда Dataverse няколко плъгини могат да работят в един и същ контейнер. Всеки контейнер консумира един IP адрес от адресното пространство на подмрежата и всеки контейнер може да изпълнява няколко заявки.
Как инфраструктурата се справя с увеличаването на едновременните изпълнения на приставки?
Тъй като броят на едновременните изпълнения на плъгини се увеличава, инфраструктурата автоматично се мащабира или увеличава, за да поеме натоварването. Подмрежата, делегирана на среда Power Platform , трябва да има достатъчно адресни пространства, за да се справи с пиковия обем на изпълнения за работните натоварвания в тази Power Platform среда.
Кой контролира виртуалната мрежа и мрежовите политики, свързани с нея?
Като клиент вие имате собственост и контрол върху виртуалната мрежа и свързаните с нея мрежови правила. От друга страна, Power Platform използва разпределените IP адреси от делегираната подмрежа в тази виртуална мрежа.
Добавките , поддържащи Azure, поддържат ли виртуална мрежа?
Не, добавките , поддържащи Azure, не поддържат виртуална мрежа.