A Virtual Network támogatás áttekintése
Feljegyzés
Az új és továbbfejlesztett Power Platform felügyeleti központ mostantól nyilvános előzetes verzióban érhető el! Az új felügyeleti központot úgy terveztük, hogy könnyebben használható legyen, feladatorientált navigációval, amely segít gyorsabban elérni bizonyos eredményeket. Új és frissített dokumentációt fogunk közzétenni, amint az új Power Platform felügyeleti központ általánosan elérhetővé válik.
Az Azure Virtual Network támogatásával Power Platform integrálhatja Power Platform a virtuális hálózaton belüli erőforrásokat anélkül, hogy elérhetővé tenné őket a nyilvános interneten keresztül. Virtual Network támogatás Azure-alhálózat-delegálást használ a kimenő forgalom Power Platform kezeléséhez futásidőben. Az Azure-alhálózat delegálásával elkerülhető, hogy a védett erőforrások elérhetők legyenek az interneten keresztül az integrációhoz Power Platform. A virtuális hálózatok támogatásával Power Platform az összetevők meghívhatják a vállalat tulajdonában lévő erőforrásokat a hálózaton belül, függetlenül attól, hogy az Azure-ban vagy a helyszínen üzemeltetik-e őket, és beépülő modulokkal és összekötőkkel kezdeményezhetnek kimenő hívásokat.
Power Platform általában nyilvános hálózatokon keresztül integrálható a vállalati erőforrásokkal. Nyilvános hálózatok esetén a vállalati erőforrásoknak elérhetőnek kell lenniük az Azure IP-címtartományok vagy szolgáltatáscímkék listájából, amelyek leírják a nyilvános IP-címeket. Az Azure Virtual Network támogatása Power Platform azonban lehetővé teszi magánhálózat használatát, és továbbra is integrálhatja a vállalati hálózaton belüli felhőszolgáltatásokat vagy szolgáltatásokat.
Az Azure-szolgáltatásokat privát végpontok védik a Virtual Network. Az Express Route használatával a helyszíni erőforrásokat a Virtual Network hozhatja be.
Power Platform a delegált Virtual Network és alhálózatokat használja a vállalati erőforrások vállalati magánhálózaton keresztüli kimenő hívásainak kezdeményezésére. A magánhálózat használatával nincs szükség a forgalom nyilvános interneten keresztüli irányítására, ami vállalati erőforrásokat tehet elérhetővé.
A Virtual Network teljes körű vezérléssel rendelkezik a kimenő Power Platform forgalom felett. A forgalomra a hálózati rendszergazda által alkalmazott hálózati házirendek vonatkoznak. Az alábbi ábra bemutatja, hogyan kommunikálnak a hálózaton belüli erőforrások egy Virtual Network.
A Virtual Network támogatás előnyei
A Virtual Network támogatással az Ön Power Platform és az Dataverse összetevők az Azure-alhálózatok delegálása által biztosított összes előnyt megkapják, például:
Adatvédelem: Virtual Network lehetővé teszi, Power Platform hogy a szolgáltatások anélkül csatlakozzanak a privát és védett erőforrásokhoz, hogy elérhetővé tegyék őket az interneten.
Nincs jogosulatlan hozzáférés: Virtual Network IP-címtartományok vagy szolgáltatáscímkék nélkül Power Platform csatlakozik az erőforrásokhoz.
Támogatott forgatókönyvek
Power Platform Engedélyezi Virtual Network a beépülő modulok és az Dataverse összekötők támogatását. Ezzel a támogatással biztonságos, privát, kimenő kapcsolatot Power Platform létesíthet a Virtual Network erőforrásaihoz. Dataverse A beépülő modulok és összekötők növelik az adatintegráció biztonságát azáltal, hogy külső adatforrásokhoz Power Apps Power Automate csatlakoznak a Dynamics 365 alkalmazásokból. Lehetőség van például a következőkre:
- Beépülő modulok Dataverse használatával csatlakozhat a felhőalapú adatforrásokhoz, például az Azure SQL-hez, az Azure Storage-hoz, a Blob Storage-hoz vagy az Azure Key Vaulthoz. Megvédheti adatait az adatok kiszivárgásától és egyéb incidensektől.
- A beépülő modulok Dataverse használatával biztonságosan csatlakozhat az Azure-beli privát, végpont által védett erőforrásokhoz, például a webes API-hoz vagy a magánhálózaton belüli erőforrásokhoz, például az SQL-hez és a webes API-hoz. Megvédheti adatait az adatszivárgásoktól és más külső fenyegetésektől.
- A Virtual Network által támogatott összekötők , például a SQL Server használatával biztonságosan csatlakozhat a felhőben üzemeltetett adatforrásokhoz, például az Azure SQL-hez vagy a SQL Serverhez anélkül, hogy elérhetővé tenné őket az interneten. Hasonlóképpen az Azure Queue-összekötővel biztonságos kapcsolatokat létesíthet privát, végpont-kompatibilis Azure-üzenetsorokkal.
- Az Azure Key Vault-összekötővel biztonságosan csatlakozhat a privát, végpont által védett Azure Key Vaulthoz.
- Egyéni összekötőkkel biztonságosan csatlakozhat az Azure-beli privát végpontok által védett szolgáltatásokhoz vagy a magánhálózaton üzemeltetett szolgáltatásokhoz.
- Az Azure File Storage használatával biztonságosan csatlakozhat a privát, végpontbarát Azure-fájltárolóhoz.
- A HTTP azonosítóval (előzetesen engedélyezett) Microsoft Entra használatával biztonságosan lekérheti az erőforrásokat virtuális hálózatokon keresztül különböző webszolgáltatásokból, azonosítóval hitelesítve Microsoft Entra vagy helyszíni webszolgáltatásból.
Korlátozások
- Dataverse Az összekötőket használó kevés kódolást igénylő beépülő modulok csak akkor támogatottak, ha ezek az összekötőtípusok frissülnek az alhálózat-delegálás használatára.
- A környezet életciklus-műveleteit másolási, biztonsági mentési és visszaállítási műveleteket virtuális hálózat által támogatott Power Platform környezetekben használhatja. A visszaállítási művelet ugyanazon a virtuális hálózaton belül, valamint különböző környezetekben is elvégezhető, feltéve, hogy ugyanahhoz a virtuális hálózathoz csatlakoznak. Emellett a visszaállítási művelet engedélyezett a virtuális hálózatokat nem támogató környezetekből a virtuális hálózatokat támogató környezetekbe.
Támogatott régiók
Győződjön meg arról, hogy a környezet és a Power Platform vállalati szabályzat támogatott Power Platform és Azure-régiókban van. Ha például a Power Platform környezet az Egyesült Államokban található, akkor a Virtual Network és az alhálózatoknak az eastus és a westus Azure-régióban kell lenniük.
| Power Platform régió | Azure-régió |
|---|---|
| Egyesült Államok | Eastus, Westus |
| Dél-afrikai Köztársaság | Dél-Afrika északi régiója, Dél-Afrika Nyugat |
| Egyesült Királyság | Egyesült KirályságDél, Egyesült Királyság |
| Japán | Japánkelet, japánnyugat |
| India | Közép-India, Dél-India |
| Franciaország | Franciaország Közép-Franciaország, Dél-Franciaország |
| Európa | Nyugat-Európa, Észak-Európa |
| Németország | NémetországÉszak, NémetországNyugat-Közép |
| Svájc | SvájcÉszak, SvájcNyugat |
| Kanada | Kanada központja, Kanadakelet |
| Brazília | BrazíliaDél |
| Ausztrália | AusztráliaDélkelet, AusztráliaKelet |
| Ázsia | Kelet-Ázsia, Délkelet-Ázsia |
| UAE | Egyesült Arab Emírségek észak |
| Korea | Dél-Korea, Korea középső régiója |
| Norvégia | Norvégianyugat, NorvégiaKelet |
| Szingapúr | Délkelet-Ázsia |
| Svédország | Svédország középső része |
| Olaszország | Olaszország északa |
Támogatott szolgáltatások
Az alábbi táblázat azokat a szolgáltatásokat sorolja fel, amelyek támogatják az Azure-alhálózat delegálását Virtual Network támogatáshoz Power Platform.
| Terület | Power Platform szolgáltatás | Virtual Network támogatás rendelkezésre állása |
|---|---|---|
| Dataverse | Dataverse beépülő modulok | Általánosan elérhető |
| Összekötők | Általánosan elérhető | |
| Összekötők | Előnézet megtekintése |
A Virtual Network környezet támogatásának Power Platform engedélyezésével kapcsolatos szempontok
Ha Virtual Network támogatást használ egy Power Platform környezetben, az összes támogatott szolgáltatás, például Dataverse a beépülő modulok és az összekötők futásidőben hajtják végre a kéréseket a delegált alhálózaton, és a hálózati szabályzatok vonatkoznak rájuk. A nyilvánosan elérhető források hívásai elkezdtek megszakadni.
Fontos
Mielőtt engedélyezné a virtuális környezet támogatását a Power Platform környezethez, ellenőrizze a beépülő modulok és az összekötők kódját. Az URL-címeket és a kapcsolatokat frissíteni kell, hogy működjenek a privát kapcsolattal.
Előfordulhat például, hogy egy beépülő modul megpróbál csatlakozni egy nyilvánosan elérhető szolgáltatáshoz, de a hálózati szabályzat nem engedélyezi a nyilvános internet-hozzáférést a Virtual Network. A beépülő modul hívása a hálózati házirendnek megfelelően le van tiltva. A letiltott hívás elkerülése érdekében a nyilvánosan elérhető szolgáltatást a Virtual Network üzemeltetheti. Ha a szolgáltatás az Azure-ban üzemel, használhat privát végpontot a szolgáltatásban, mielőtt bekapcsolja a Virtual Network támogatását a Power Platform környezetben.
GYIK
Mi a különbség a virtuális hálózati adatátjáró és az Azure Virtual Network támogatása között Power Platform?
A virtuális hálózati adatátjáró egy felügyelt átjáró, amely lehetővé teszi az Azure és Power Platform a szolgáltatások elérését a virtuális hálózaton belülről anélkül, hogy helyszíni adatátjárót kellene beállítania. Az átjáró például ETL (kinyerés, átalakítás, betöltés) számítási feladatokra Power BI és Power Platform adatfolyamokra van optimalizálva.
Az Azure Virtual Network támogatása Power Platform Azure-alhálózat-delegálást használ a Power Platform környezethez. Az alhálózatokat a környezetben lévő számítási feladatok Power Platform használják. Power Platform Az API-számítási feladatok Virtual Network támogatást használnak, mert a kérések rövid élettartamúak és nagy számú kérésre vannak optimalizálva.
Milyen forgatókönyvekhez kell használnom a Virtual Network támogatást Power Platform és a virtuális hálózati adatátjárót?
Virtual Network támogatás Power Platform az egyetlen támogatott lehetőség a kimenő kapcsolatok Power Platform minden forgatókönyvéhez, kivéve Power BI és az Power Platform adatfolyamokat.
Power BI Az Power Platform adatfolyamok továbbra is virtuális hálózati (vNet) adatátjárót használnak.
Hogyan biztosíthatja, hogy az egyik ügyfél virtuális hálózati alhálózatát vagy adatátjáróját ne használja egy másik ügyfél Power Platform?
Virtual Network támogatás az Azure-alhálózat delegálásához Power Platform használja.
Minden Power Platform környezet egy virtuális hálózati alhálózathoz van csatolva. Csak az adott környezetből érkező hívások férhetnek hozzá a virtuális hálózathoz.
A delegálás lehetővé teszi, hogy kijelöljön egy adott alhálózatot bármely szolgáltatásként nyújtott Azure-platformhoz (PaaS), amelyet be kell injektálni a virtuális hálózatba.
Támogatja Virtual Network a Power Platform feladatátvételt?
Igen, delegálnia kell a virtuális hálózatokat a régióhoz Power Platform társított mindkét Azure-régióhoz. Ha például a Power Platform környezet Kanadában található, létre kell hoznia, delegálnia és konfigurálnia kell a virtuális hálózatokat a CanadaCentral és a CanadaEast.
Hogyan csatlakozhat egy Power Platform régió környezete egy másik régióban üzemeltetett erőforrásokhoz?
A környezethez Power Platform csatolt Virtual Network a Power Platform környezet régiójában kell lennie. Ha a Virtual Network egy másik régióban található, hozzon létre egy Virtual Network a Power Platform környezet régiójában, és használja a Virtual Network társviszony-létesítést az Azure-régió alhálózatának mindkét alhálózatán delegált virtuális hálózatokon, hogy áthidalja a szakadékot a külön régióban lévő Virtual Network.
Figyelhetem a delegált alhálózatok kimenő forgalmát?
Igen. A hálózati biztonsági csoport és a tűzfalak használatával figyelheti a delegált alhálózatokról érkező kimenő forgalmat. További információ: Azure Virtual Network.
Hány IP-címet Power Platform kell delegálni az alhálózatban?
A létrehozott alhálózatnak legalább /24 osztály nélküli tartományközi útválasztási (CIDR) címblokkkal kell rendelkeznie, amely 251 IP-címnek felel meg, beleértve öt fenntartott IP-címet is. Ha ugyanazt a delegált alhálózatot több Power Platform környezethez is szeretné használni, előfordulhat, hogy a /24-nél nagyobb IP-címblokkra van szüksége.
Kezdeményezhetek internethez kötött hívásokat beépülő modulokból vagy összekötőkből, miután a környezetem alhálózat delegálva van?
Igen. Beépülő modulokból vagy összekötőkből is kezdeményezhet internethez kötött hívásokat, de az alhálózatot Azure-átjáróval NAT kell konfigurálni.
Frissíthetem az alhálózat IP-címtartományát, miután delegáltam a "Microsoft.PowerPlatform/enterprisePolicies" szolgáltatásba?
Nem, nem addig, amíg a funkciót a környezetében használják. Az alhálózat IP-címtartománya nem módosítható, miután azt a "Microsoft.PowerPlatform/enterprisePolicies" delegálása után delegálta. Ha így tesz, a delegálási konfiguráció megszakad, és a környezet leáll. Az IP-címtartomány módosításához el kell távolítania a delegálási funkciót a környezetből, el kell végeznie a szükséges módosításokat, majd be kell kapcsolnia a funkciót a környezetében.
Frissíthetem a virtuális hálózat DNS-címét, miután delegáltam a "Microsoft.PowerPlatform/enterprisePolicies" szolgáltatásba?
Nem, nem addig, amíg a funkciót a környezetében használják. A virtuális hálózat DNS-címe nem módosítható, miután delegálta a "Microsoft.PowerPlatform/enterprisePolicies" szolgáltatást. Ha ezt teszi, a rendszer nem veszi fel a módosítást a konfigurációban, és előfordulhat, hogy a környezet leáll. A DNS-cím módosításához el kell távolítania a delegálási funkciót a környezetből, el kell végeznie a szükséges módosításokat, majd be kell kapcsolnia a szolgáltatást a környezetében.
A Virtual Network egyéni DNS-t konfigurált. Használja Power Platform az egyéni DNS-emet?
Igen. Power Platform a delegált alhálózatot tároló Virtual Network konfigurált egyéni DNS-t használja az összes végpont feloldásához. A környezet delegálása után frissítheti a beépülő modulokat a megfelelő végpont használatára, hogy az egyéni DNS fel tudja oldani őket.
A környezetem független szoftverszállító által biztosított beépülő modulokkal rendelkezik. Ezek a beépülő modulok a delegált alhálózaton futnak?
Igen. Az összes ügyfél-beépülő modul és ISV-beépülő modul futtatható az alhálózat használatával. Ha az ISV beépülő modulok kimenő kapcsolattal rendelkeznek, előfordulhat, hogy ezeket az URL-címeket fel kell sorolni a tűzfalon.
A helyszíni végponti TLS-tanúsítványokat nem jól ismert legfelső szintű hitelesítésszolgáltatók (CA) írták alá. Támogatják az ismeretlen tanúsítványokat?
Nem. Biztosítanunk kell, hogy a végpont TLS-tanúsítványt mutasson be a teljes lánccal. Az egyéni legfelső szintű hitelesítésszolgáltatót nem lehet hozzáadni a jól ismert hitelesítésszolgáltatók listájához.
Mi az ajánlott beállítás egy Virtual Network egy ügyfélbérlőn belül?
Nem javasoljuk a konkrét topológiát. Ügyfeleink azonban széles körben használják a küllős hálózati topológiát az Azure-ban.
Szükséges egy Azure-előfizetést a bérlőhöz Power Platform csatolni a Virtual Network?
Igen, a Virtual Network környezetek támogatásának Power Platform engedélyezéséhez elengedhetetlen, hogy a bérlőhöz Power Platform társított Azure-előfizetéssel rendelkezzen.
Hogyan használható az Power Platform Azure-alhálózat delegálása?
Ha egy környezethez Power Platform delegált Azure-alhálózat van hozzárendelve, az Azure Virtual Network injektálásával injektálja a tárolót futásidőben egy delegált alhálózatba. A folyamat során a tároló hálózati adaptere (NIC) IP-címet foglal le a delegált alhálózatról. A gazdagép (Power Platform) és a tároló közötti kommunikáció a tároló helyi portján keresztül történik, és a forgalom az Azure Fabricon keresztül áramlik.
Használhatok meglévő Virtual Network Power Platform?
Igen, használhat meglévő Virtual Network Power Platform, feltéve, hogy a Virtual Network egyetlen, új alhálózata kifejezetten delegálva Power Platform van. A delegált alhálózatot alhálózat-delegáláshoz kell dedikálni, és más célokra nem használható.
Mi az a Dataverse beépülő modul?
A Dataverse beépülő modul egy egyéni kód, amely üzembe helyezhető egy Power Platform környezetben. Ez a beépülő modul konfigurálható úgy, hogy események (például adatváltozás) során fusson, vagy egyéni API-ként aktiválható. További információ: Dataverse Beépülő modulok
Hogyan működik a Dataverse beépülő modul?
A Dataverse beépülő modul egy tárolón belül működik. Ha egy környezethez Power Platform delegált alhálózat van hozzárendelve, az alhálózat címteréből származó IP-cím a tároló hálózati adapteréhez lesz lefoglalva. A gazdagép (Power Platform) és a tároló közötti kommunikáció a tároló helyi portján keresztül történik, és a forgalom az Azure Fabricon keresztül áramlik.
Több beépülő modul is futtatható ugyanabban a tárolóban?
Igen. Egy adott Power Platform környezetben Dataverse több beépülő modul is működhet ugyanabban a tárolóban. Minden tároló egy IP-címet használ az alhálózat címteréből, és minden tároló több kérést is futtathat.
Hogyan kezeli az infrastruktúra az egyidejű beépülő modulok végrehajtásának növekedését?
Az egyidejű beépülő modulok végrehajtásának számának növekedésével az infrastruktúra automatikusan horizontálisan fel- vagy felskálázódik a terhelés befogadására. A környezethez delegált Power Platform alhálózatnak elegendő címtérrel kell rendelkeznie az adott Power Platform környezetben lévő számítási feladatok végrehajtásának csúcsmennyiségének kezeléséhez.
Ki szabályozza a Virtual Network és a hozzá társított hálózati szabályzatokat?
Ügyfélként Ön rendelkezik a Virtual Network és a hozzá tartozó hálózati szabályzatok felett. Másrészről a delegált alhálózat lefoglalt IP-címeit Power Platform használja az adott virtuális hálózaton belül.
Az Azure-kompatibilis beépülő modulok támogatják a Virtual Network?
Nem, az Azure-kompatibilis beépülő modulok nem támogatják a Virtual Network.