Přehled podpory Virtual Network
S podporou Azure Virtual Network pro Power Platform můžete integrovat Power Platform s prostředky ve vaší virtuální síti, aniž by došlo k jejich odhalení přes veřejný internet. Podpora Virtual Network používá Delegování podsítě Azure pro správu odchozího provozu z Power Platform za běhu. Pomocí delegování podsítě Azure se vyhnete nutnosti mít chráněné prostředky dostupné přes internet pro integraci s Power Platform. Díky podpoře virtuální sítě mohou komponenty Power Platform volat prostředky vlastněné vaším podnikem ve vaší síti, ať už jsou hostované v Azure nebo místní, a používat zásuvné moduly a konektory k odchozím voláním.
Power Platform se typicky integruje s podnikovými prostředky prostřednictvím veřejných sítí. U veřejných sítí musí být podnikové prostředky přístupné ze seznamu rozsahů Azure IP nebo značek služeb, které popisují veřejné IP adresy. Nicméně podpora Azure Virtual Network pro Power Platform vám umožňuje používat privátní síť a přesto integrovat s cloudovými službami nebo službami hostovanými v rámci vaší podnikové sítě.
Služby Azure jsou chráněny uvnitř Virtual Network pomocí privátních koncových bodů. Můžete použít expresní trasu k přenesení místních prostředků uvnitř Virtual Network.
Power Platform používá Virtual Network a podsítě, které delegujete, k provádění odchozích volání do podnikových prostředků prostřednictvím podnikové privátní sítě. Použití privátní sítě eliminuje potřebu směrovat provoz přes veřejný internet, což by mohlo odhalit podnikové prostředky.
Ve Virtual Network máte plnou kontrolu nad odchozím provozem z Power Platform. Provoz podléhá síťovým zásadám aplikovaným správcem sítě. Následující schéma ukazuje, jak prostředky uvnitř vaší sítě interagují s Virtual Network.
Výhody podpory Virtual Network
S podporou Virtual Network získají vaše komponenty Power Platform a Dataverse všechny výhody, které delegování podsítě Azure poskytuje, jako je:
Ochrana dat: Virtual Network umožňuje službám Power Platform připojit se k vašim soukromým a chráněným zdrojům, aniž by byly vystaveny internetu.
Žádný neautorizovaný přístup: Virtual Network se připojí k vašim zdrojům, aniž by při připojení potřebovala rozsahy IP nebo servisní značky Power Platform.
Podporované scénáře
Power Platform umožňuje podporu Virtual Network pro moduly plug-in a konektory Dataverse. S touto podporou můžete vytvořit zabezpečené, soukromé, odchozí připojení z Power Platform k prostředkům ve vaší Virtual Network. Moduly plug-in a konektory Dataverse zvyšují zabezpečení integrace dat připojením k externím zdrojům dat z aplikací Power Apps, Power Automate a Dynamics 365. Umožňují například následující:
- Pomocí modulů plug-in Dataverse se můžete připojit ke cloudovým zdrojům dat, jako je Azure SQL, Azure Storage, úložiště objektů blob nebo Azure Key Vault. Svá data můžete chránit před exfiltrací a dalšími incidenty.
- Pomocí modulů plug-in Dataverse se bezpečně připojíte k soukromým prostředkům chráněným koncovým bodem v Azure, jako je webové rozhraní API nebo jakékoli prostředky v rámci vaší privátní sítě, jako je SQL nebo webové rozhraní API. Svá data můžete chránit před proniknutím jejich ochranou a dalšími externími hrozbami.
- Pomocí konektorů podporovaných službou Virtual Network jako SQL Server se můžete bezpečně připojit ke zdrojům dat hostovaným v cloudu, jako je Azure SQL nebo SQL Server, aniž by byly vystaveny prostředí internetu. Podobně můžete použít konektor Azure Queue k navázání zabezpečených připojení k soukromým frontám Azure Queue s povoleným koncovým bodem.
- Pomocí konektoru Azure Key Vault se můžete bezpečně připojte k soukromému úložišti Azure Key Vault chráněnému koncovým bodem.
- Pomocí vlastních konektorů se můžete bezpečně připojit k vašim službám chráněným privátními koncovými body v Azure nebo službami hostovanými ve vaší privátní síti.
- Použijte Azure File Storage k bezpečnému připojení k soukromému úložišti souborů Azure s povoleným koncovým bodem.
- Pomocí protokolu HTTP s Microsoft Entra ID (předem autorizované) můžete bezpečně načítat prostředky přes Virtual Networks z různých webových služeb ověřených pomocí Microsoft Entra ID nebo z místní webové služby.
Omezení
- Moduly plug-in Dataverse s minimem kódu, které používají konektory, nejsou podporovány, dokud nebudou tyto typy konektorů aktualizovány tak, aby používaly delegování podsítě.
- Používáte operace kopírování, zálohování a obnovy životního cyklu prostředí v prostředí Power Platform s podporou virtuální sítě. Operaci obnovení lze provést v rámci stejné virtuální sítě a také v různých prostředích za předpokladu, že jsou připojeni ke stejné virtuální síti. Operace obnovy je navíc přípustná z prostředí, která nepodporují virtuální sítě, do těch, která je podporují.
Podporované oblasti
Ujistěte se, že prostředí Power Platform a podnikové zásady jsou v podporovaných oblastech Power Platform a Azure. Pokud je například vaše prostředí Power Platform ve Spojených státech, Virtual Network a podsítě musí být v oblasti Azure eastus a westus.
| Oblast Power Platform | Oblast Azure |
|---|---|
| USA | eastus, westus |
| Jihoafrická republika | eouthafricanorth, southafricawest |
| Spojené království | uksouth, ukwest |
| Japonsko | japaneast, japanwest |
| Indie | centralindia, southindia |
| Francie | francecentral, francesouth |
| Evropě | westeurope, northeurope |
| Německo | germanynorth, germanywestcentral |
| Švýcarsko | switzerlandnorth, switzerlandwest |
| Kanada | canadacentral, canadaeast |
| Brazílie | brazilsouth, southcentralus |
| Austrálie | australiasoutheast, australiaeast |
| Asie | eastasia, southeastasia |
| UAE | uaecentral, uaenorth |
| Korea | koreasouth, koreacentral |
| Nersko | norwaywest, norwayeast |
| Singapur | southeastasia |
| Švédsko | swedencentral |
Podporované služby
V následující tabulce jsou uvedeny služby, které podporují delegování podsítě Azure v rámci podpory Virtual Network pro Power Platform.
| Plocha | Služby Power Platform | Dostupnost podpory Virtual Network |
|---|---|---|
| Dataverse | Dataverse Moduly plug-in | Obecně dostupné |
| Spojnice | Obecně dostupné | |
| Spojnice | Preview |
Důležité informace o povolení podpory Virtual Network v prostředí Power Platform
Když použijete podporu Virtual Network v prostředí Power Platform, všechny podporované služby, jako jsou moduly plug-in a konektory Dataverse, provádějí požadavky za běhu ve vaší delegované podsíti a podléhají zásadám vaší sítě. Volání po veřejně dostupných prostředcích by se začala rozpadat.
Důležité
Než povolíte podporu virtuálního prostředí Power Platform, nezapomeňte zkontrolovat kód modulů plug-in a konektorů. Adresy URL a připojení je třeba aktualizovat, aby fungovaly se soukromým připojením.
Modul plug-in se například může pokusit připojit k veřejně dostupné službě, ale vaše síťové zásady nepovolují veřejný přístup k internetu ve Virtual Network. Volání z modulu plug-in je blokováno v souladu s vašimi síťovými zásadami. Chcete-li se vyhnout blokovanému volání, ve Virtual Network můžete hostovat veřejně dostupnou službu. Alternativně, pokud je vaše služba hostována v Azure, můžete použít privátní koncový bod ve službě, než zapněte podporu Virtual Network v prostředí Power Platform.
Často kladené dotazy
Jaký je rozdíl mezi bránou dat virtuální sítě a podporou Azure Virtual Network pro Power Platform?
Brána dat virtuální sítě je spravovaná brána, která umožňuje přistupovat k službám Azure a Power Platform z vaší virtuální sítě bez nutnosti nastavovat místní bránu dat. Brána je například optimalizována pro úlohy ETL (extrakce, přenos, načtení) v tocích dat Power BI a Power Platform.
Podpora Azure Virtual Network pro Power Platform používá delegování podsítě Azure pro vaše prostředí Power Platform. Podsítě jsou využívány úlohami v prostředí Power Platform. Úlohy rozhraní API pro Power Platform používají podporu Virtual Network, protože požadavky jsou krátkodobé a jsou optimalizovány pro velký počet požadavků.
V jakých situacích bych měl používat podporu Virtual Network pro Power Platform a pro bránu dat virtuální sítě?
Podpora služby Virtual Network pro Power Platform je jedinou podporovanou možností ve všech situacích odchozího připojení z Power Platform kromě Power BI a datových toků Power Platform.
Datové toky Power BI a Power Platform nadále používají bránu dat virtuální sítě (vNet).
Jak můžete zajistit, aby podsíť virtuální sítě nebo brána dat jednoho zákazníka nebyla používána jiným zákazníkem v Power Platform?
Podpora Virtual Network pro Power Platform používá delegování podsítě Azure.
Každé prostředí Power Platform je propojeno s jednou podsítí virtuální sítě. K této virtuální síti mají povolen přístup pouze volání z tohoto prostředí.
Delegování umožňuje určit konkrétní podsíť pro libovolnou platformu jako službu (PaaS) Azure, kterou chcete vložit do virtuální sítě.
Podporuje služba Virtual Network převzetí služeb při selhání Power Platform?
Ano, virtuální sítě musíte delegovat pro obě oblasti Azure, které jsou přidruženy k vaší oblasti Power Platform. Pokud je například vaše prostředí Power Platform v Kanadě, musíte vytvořit, delegovat a nakonfigurovat virtuální sítě v oblastech CanadaCentral a CanadaEast.
Jak se může prostředí Power Platform v jedné oblasti připojit ke zdrojům hostovaným v jiné oblasti?
Služba Virtual Network propojená s prostředím Power Platform se musí nacházet v oblasti prostředí Power Platform. Pokud je Virtual Network v jiné oblasti, vytvořte Virtual Network v oblasti prostředí Power Platform a použijte partnerský vztah Virtual Network v delegovaných virtuálních sítích pro podsíť oblasti Azure k přemostění mezery mezi službou Virtual Network v samostatné oblasti.
Mohu monitorovat odchozí provoz z delegovaných podsítí?
Ano. K monitorování odchozího provozu z delegovaných podsítí můžete použít National Security Group a brány firewall. Další informace najdete v části Monitorování služby Azure Virtual Network.
Kolik IP adres vyžaduje Power Platform, aby mohla být delegována v podsíti?
Podsíť, kterou vytvoříte, by měla mít alespoň blok adres CIDR (Classless Inter-Domain Routing) /24, což odpovídá 251 IP adresám, včetně pěti vyhrazených IP adres. Pokud plánujete použít stejnou delegovanou podsíť pro více prostředí Power Platform, možná budete potřebovat větší blok IP adres než /24.
Mohu uskutečňovat hovory přes internet z modulů plug-in nebo konektorů poté, co je moje prostředí delegováno na podsíť?
Ano. Prostřednictvím modulů plug-in nebo konektorů můžete uskutečňovat hovory přes internet, ale podsíť musí být nakonfigurována s bránou Azure NAT bránou.
Mohu aktualizovat rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“?
Ne, ne, pokud se funkce používá ve vašem prostředí. Rozsah IP adres podsítě nemůžete změnit poté, co je delegována na "Microsoft.PowerPlatform/enterprisePolicies". Pokud to uděláte, konfigurace delegování se přeruší a prostředí přestane fungovat. Chcete-li změnit rozsah IP adres, je nutné odebrat funkci delegování z prostředí, provést potřebné změny a poté tuto funkci pro vaše prostředí zapnout.
Můžu aktualizovat adresu DNS své Virtual Network poté, co je delegovaná na Microsoft.PowerPlatform/enterprisePolicies?
Ne, ne, pokud se funkce používá ve vašem prostředí. Po delegování na Microsoft.PowerPlatform/enterprisePolicies nemůžete změnit adresu DNS Virtual Network. Pokud to uděláte, změna se v naší konfiguraci nezachytí a vaše prostředí může přestat fungovat. Chcete-li změnit adresu DNS, je nutné odebrat funkci delegování z prostředí, provést potřebné změny a poté tuto funkci pro vaše prostředí zapnout.
Moje Virtual Network má nakonfigurovánu vlastní DNS. Používá Power Platform můj vlastní DNS?
Ano. Power Platform používá vlastní DNS nakonfigurovanou ve Virtual Network, která obsahuje delegovanou podsíť, k rozpoznání všech koncových bodů. Jakmile je prostředí delegováno, můžete aktualizovat moduly plug-in, aby používaly správný koncový bod, aby je vaše vlastní DNS dokázala rozpoznat.
Moje prostředí má moduly plug-in poskytnuté nezávislým výrobcem softwaru. Běžely by tyto moduly plug-in v delegované podsíti?
Ano. Všechny zákaznické moduly plug-in a moduly ISV lze spustit pomocí vaší podsítě. Pokud mají moduly plug-in ISV odchozí připojení, může být nutné, aby tyto adresy URL byly uvedeny ve vaší bráně firewall.
Moje certifikáty TLS místního koncového bodu nejsou podepsány známými kořenovými certifikačními autoritami (CA). Podporujete neznámé certifikáty?
Č. Musíme zajistit, aby koncový bod předkládal certifikát TLS s celým řetězcem. Není možné přidat vlastní kořenovou CA do našeho seznamu známých CA.
Jaké je doporučené nastavení služby Virtual Network v rámci zákaznického klienta?
Nedoporučujeme žádnou konkrétní topologii. Naši zákazníci však široce používají hvězdicovou topologii sítě v Azure.
Je k aktivaci služby Virtual Network nutné propojení předplatného Azure s mým klientem Power Platform?
Ano, pro aktivaci podpory služby Virtual Network v prostředí Power Platform je nezbytné předplatné Azure propojené s klientem Power Platform.
Jak Power Platform využívá delegování podsítě Azure?
Když má prostředí Power Platform přiřazenu delegovanou podsíť Azure, používá injektáž Azure Virtual Network pro vložení kontejneru za běhu do delegované podsítě. Během tohoto procesu je kartě síťového rozhraní (NIC) kontejneru přidělena adresa IP z delegované podsítě. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Mohu využít existující Virtual Network pro Power Platform?
Ano, můžete využít existující Virtual Network pro Power Platform, pokud je jedna nová podsíť v rámci služby Virtual Network delegována konkrétně na Power Platform. Delegovaná podsíť musí být vyhrazená pro delegování podsítě a nedá se použít pro jiné účely.
Co je modul plug-in Dataverse?
Modul plug-in Dataverse je kousek vlastního kódu, který lze nasadit do prostředí Power Platform. Tento modul plug-in lze nakonfigurovat tak, aby se spouštěl během událostí (jako je změna dat) nebo jako vlastní rozhraní API. Další informace: Moduly plug-in Dataverse
Jak se spustí modul plug-in Dataverse?
Modul plug-in Dataverse funguje v kontejneru. Když je prostředí Power Platform přiřazena delegovaná podsíť, IP adresa z adresního prostoru této podsítě je přidělena kartě síťového rozhraní (NIC) kontejneru. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Může v jednom kontejneru běžet více modulů plug-in?
Ano. V daném prostředí Power Platform nebo Dataverse může v rámci stejného kontejneru skutečně fungovat více modulů plug-in. Každý kontejner spotřebovává jednu IP adresu z adresního prostoru podsítě a každý kontejner může provádět více požadavků.
Jak infrastruktura zvládá nárůst souběžných spouštění modulů plug-in?
Jak se zvyšuje počet souběžných spuštění modulů plug-in, infrastruktura se automaticky škáluje (ven nebo dovnitř), aby zvládala zatížení. Podsíť delegovaná na prostředí Power Platform by měla mít dostatečný adresní prostor, aby v tomto prostředí Power Platform zvládla maximální počet spuštění.
Kdo řídí službu Virtual Network a síťové zásady s ní spojené?
Jako zákazník máte vlastnictví a kontrolu nad službou Virtual Network a s ní souvisejícími síťovými zásadami. Oproti tomu Power Platform využívá přidělené IP adresy z delegované podsítě v rámci této Virtual Network.
Podporují moduly plug-in pro Azure Virtual Network?
Ne, moduly plug-in pro Azure nepodporují Virtual Network.