Prezentare generală a asistenței pentru rețeaua virtuală
Notă
Noul și îmbunătățit Power Platform Centrul de administrare este acum în previzualizare publică! Am proiectat noul centru de administrare pentru a fi mai ușor de utilizat, cu o navigare orientată către sarcini care vă ajută să obțineți mai rapid rezultate specifice. Vom publica documentație nouă și actualizată pe măsură ce noul Power Platform centru de administrare va trece la disponibilitate generală.
Cu Azure Virtual Network asistență pentru Power Platform, puteți integra Power Platform resurse din interiorul rețelei virtuale fără a le expune pe internetul public. Asistența pentru rețeaua virtuală utilizează delegarea subrețelei Azure pentru a gestiona traficul de ieșire de la Power Platform la execuție. Utilizarea delegației Azure Subnet evită necesitatea ca resursele protejate să fie disponibile pe internet pentru a se integra cu Power Platform. Cu ajutorul rețelei virtuale, Power Platform componentele pot apela resursele deținute de întreprinderea dvs. în interiorul rețelei dvs., indiferent dacă sunt găzduite în Azure sau on-premises, și pot utiliza plug-in-uri și conectori pentru a efectua apeluri de ieșire.
Power Platform se integrează de obicei cu resursele întreprinderii prin rețele publice. Cu rețelele publice, resursele întreprinderii trebuie să fie accesibile dintr-o listă de intervale IP Azure sau etichete de serviciu, care descriu adrese IP publice. Cu toate acestea, suportul pentru rețeaua virtuală Azure pentru Power Platform vă permite să utilizați o rețea privată și în continuare integrarea cu serviciile sau serviciile cloud care sunt găzduite în rețeaua dvs. de companie.
Serviciile Azure sunt protejate în interiorul unei rețele virtuale de puncte finale private. Puteți folosi Express Route pentru a vă aduce resursele locale în rețeaua virtuală.
Power Platform folosește rețeaua virtuală și subrețelele pe care le delegați pentru a efectua apeluri de ieșire către resursele întreprinderii prin rețeaua privată a întreprinderii. Utilizarea unei rețele private elimină nevoia de a direcționa traficul pe internetul public, ceea ce ar putea expune resursele întreprinderii.
Într-o rețea virtuală, aveți control deplin asupra traficului de ieșire de la Power Platform. Traficul este supus politicilor de rețea aplicate de administratorul de rețea. Următoarea diagramă arată modul în care resursele din rețeaua dvs. interacționează cu o rețea virtuală.
Beneficiile suportului pentru rețeaua virtuală
Cu ajutorul rețelei virtuale, componentele dvs. Power Platform și Dataverse obțin toate beneficiile pe care le oferă delegația de subrețea Azure, cum ar fi:
Protecția datelor: rețeaua virtuală permite Power Platform serviciilor să se conecteze la resursele dvs. private și protejate fără a le expune la internet.
Fără acces neautorizat: rețeaua virtuală se conectează la resursele dvs. fără a avea nevoie de Power Platform intervaluri IP sau etichete de serviciu în conexiune.
Scenarii acceptate
Power Platform permite suportul pentru rețeaua virtuală atât pentru Dataverse pluginuri, cât și pentru conectori. Cu această asistență, puteți stabili conectivitate securizată, privată, de ieșire de la Power Platform la resursele din rețeaua dvs. virtuală. Dataverse plug-in-urile și conectorii îmbunătățesc securitatea integrării datelor prin conectarea la surse de date externe din aplicațiile Power Apps, Power Automate și Dynamics 365. De exemplu, puteți să:
- Utilizați Dataverse plug-in-uri pentru a vă conecta la sursele dvs. de date cloud, cum ar fi Azure SQL, Azure Storage, blob storage sau Azure Key Vault. Vă puteți proteja datele de exfiltrarea datelor și de alte incidente.
- Utilizați Dataverse plug-in-uri pentru a vă conecta în siguranță la resurse private, protejate de puncte finale din Azure, cum ar fi API-ul web, sau orice resurse din rețeaua privată, cum ar fi SQL și API-ul web. Vă puteți proteja datele împotriva încălcării datelor și a altor amenințări externe.
- Utilizați conectori acceptați de rețea virtuală cum ar fi SQL Server pentru a vă conecta în siguranță la sursele de date găzduite în cloud, cum ar fi Azure SQL sau SQL Server, fără a le expune la internet. În mod similar, puteți utiliza conectorul Azure Queue pentru a stabili conexiuni sigure la cozile Azure private, activate pentru punctele finale.
- Utilizați conectorul Azure Key Vault pentru a vă conecta în siguranță la Azure Key Vault privat, protejat de puncte finale.
- Utilizați conectori personalizați pentru a vă conecta în siguranță la serviciile dvs. care sunt protejate de puncte finale private în Azure sau servicii care sunt găzduite în rețeaua dvs. privată.
- Folosiți Azure File Storage pentru a vă conecta în siguranță la stocarea de fișiere Azure privată, activată pentru punctul final.
- Utilizați HTTP cu Microsoft Entra ID (preautorizat) pentru a prelua în siguranță resurse prin rețele virtuale de la diferite servicii web, autentificate prin Microsoft Entra ID sau de la un serviciu web local.
Limitări
- Dataverse pluginurile low-code care folosesc conectori nu sunt acceptate până când aceste tipuri de conector nu sunt actualizate pentru a utiliza delegarea subrețelei.
- Utilizați copierea, copierea de rezervă și restaurarea operațiunilor ciclului de viață al mediului în medii acceptate de rețea virtuală Power Platform . Operația de restaurare poate fi efectuată în cadrul aceleiași rețele virtuale, precum și în medii diferite, cu condiția să fie conectate la aceeași rețea virtuală. În plus, operația de restaurare este permisă din medii care nu acceptă rețele virtuale până la cele care o fac.
Regiuni acceptate
Confirmați că Power Platform politica dvs. de mediu și de întreprindere se află în regiunile acceptate Power Platform și Azure. De exemplu, dacă Power Platform mediul dvs. se află în Statele Unite, atunci rețeaua virtuală și subrețelele trebuie să fie în regiunile eastus și westus Azure.
| Power Platform regiune | Regiune Azure |
|---|---|
| Statele Unite ale Americii | Eastus, westus |
| Africa de Sud | Sudafricanorth, southafricawest |
| Regatul Unit | Uksouth, ukwest |
| Japonia | Japaneast, japanwest |
| India | Centralindia, Southindia |
| Franța | Francecentral, francesouth |
| Europa | Europa de Vest, Europa de Nord |
| Germania | Germanynorth, germanywestcentral |
| Elveția | Switzerlandnorth, switzerlandwest |
| Canada | Canadacentral, canadaeast |
| Brazilia | brazilsud |
| Australia | Australia sud-est, australia-est |
| Asia | Eastasia, sud-astasia |
| UAE | uaenorth |
| Coreea de Sud | Coreea de Sud, Coreea Centrală |
| Norvegia | Norwaywest, norwayeast |
| Singapore | sud-astasia |
| Suedia | Suediacentrala |
| Italia | Italia nordul |
Servicii suportate
Următorul tabel listează serviciile care acceptă delegarea subrețelei Azure pentru suport pentru rețeaua virtuală pentru Power Platform.
| Suprafață | Power Platform servicii | Disponibilitatea suportului pentru rețeaua virtuală |
|---|---|---|
| Dataverse | Dataverse plug-in-uri | General disponibil |
| Conectori | General disponibil | |
| Conectori | Previzualizați |
Considerații pentru activarea suportului pentru rețeaua virtuală pentru Power Platform Mediu
Când utilizați asistența pentru rețea virtuală într-un mediu Power Platform , toate serviciile acceptate, cum ar fi Dataverse plug-in-urile și conectorii, execută solicitări în timpul execuției în subrețeaua delegată și sunt supuse politicilor de rețea. Apelurile către resursele disponibile public ar începe să se întrerupă.
Important
Înainte de a activa suportul pentru mediul virtual pentru Power Platform mediu, asigurați-vă că verificați codul plug-in-urilor și conectorilor. Adresele URL și conexiunile trebuie actualizate pentru a funcționa cu conectivitate privată.
De exemplu, un plug-in ar putea încerca să se conecteze la un serviciu disponibil public, dar politica dvs. de rețea nu permite accesul public la internet în rețeaua dvs. virtuală. Apelul de la plug-in este blocat în conformitate cu politica dvs. de rețea. Pentru a evita apelul blocat, puteți găzdui serviciul disponibil public în rețeaua dvs. virtuală. Ca alternativă, dacă serviciul dvs. este găzduit în Azure, puteți utiliza un punct final privat pe serviciu înainte de a activa compatibilitatea pentru rețea virtuală în mediul Power Platform .
Întrebări frecvente
Care este diferența dintre un gateway de date de rețea virtuală și suport pentru rețea virtuală Azure Power Platform?
Un gateway de date de rețea virtuală este un gateway gestionat care vă permite să accesați Azure și Power Platform servicii din rețeaua virtuală, fără a fi nevoie să configurați un gateway de date local. De exemplu, gateway-ul este optimizat pentru sarcinile de lucru ETL (extragere, transformare, încărcare) în fluxurile de date Power BI și Power Platform .
Suportul pentru rețeaua virtuală Azure pentru Power Platform folosește o delegare de subrețea Azure pentru mediul Power Platform dvs. Subrețelele sunt utilizate de sarcinile de lucru din Power Platform mediul. Power Platform Sarcinile de lucru API folosesc suport pentru rețeaua virtuală, deoarece solicitările sunt de scurtă durată și sunt optimizate pentru un număr mare de solicitări.
Care sunt scenariile în care ar trebui să folosesc suportul pentru rețeaua virtuală pentru Power Platform și gateway-ul de date rețelei virtuale?
Compatibilitatea rețelei virtuale pentru Power Platform este singura opțiune acceptată pentru toate scenariile de conectivitate de ieșire de la Power Platform cu excepția Power BI și Power Platform fluxurile de date.
Power BI și Power Platform fluxurile de date continuă să folosească gateway de date pentru rețeaua virtuală (vNet).
Cum vă asigurați că o subrețea de rețea virtuală sau un gateway de date de la un client nu este utilizat de un alt client în Power Platform?
Compatibilitate cu rețeaua virtuală pentru Power Platform folosește delegarea subrețelei Azure.
Fiecare Power Platform mediu este conectat la o subrețea de rețea virtuală. Numai apelurile din acel mediu au voie să acceseze acea rețea virtuală.
Delegarea vă permite să desemnați o anumită subrețea pentru orice platformă Azure ca serviciu (PaaS) care trebuie injectată în rețeaua virtuală.
Rețeaua virtuală acceptă Power Platform failover?
Da, trebuie să delegați rețelele virtuale pentru ambele regiuni Azure care sunt asociate cu regiunea dvs. Power Platform . De exemplu, dacă Power Platform mediul dvs. se află în Canada, trebuie să creați, să delegați și să configurați rețele virtuale în CanadaCentral și CanadaEast.
Cum se poate conecta un Power Platform mediu dintr-o regiune la resursele găzduite în altă regiune?
O rețea virtuală conectată la un Power Platform mediu trebuie să locuiască în Power Platform regiunea mediului. Dacă rețeaua virtuală se află într-o regiune diferită, creați o rețea virtuală în Power Platform regiunea mediului și utilizați peering-ul rețelei virtuale pe ambele rețele virtuale delegate de subrețea din regiunea Azure pentru a reduce decalajul cu rețeaua virtuală din regiunea separată.
Pot monitoriza traficul de ieșire din subrețelele delegate?
Da. Puteți utiliza Network Security Group și firewall-uri pentru a monitoriza traficul de ieșire din subrețelele delegate. Aflați mai multe în Monitorizare rețea virtuală Azure.
Câte adrese IP trebuie Power Platform să fie delegate în subrețea?
Subrețeaua pe care o creați ar trebui să aibă cel puțin un bloc de adrese CIDR (Clasless Inter-Domain Routing) /24, care echivalează cu 251 de adrese IP, inclusiv cinci adrese IP rezervate. Dacă intenționați să utilizați aceeași subrețea delegată pentru mai multe medii Power Platform , este posibil să aveți nevoie de un bloc de adrese IP mai mare decât /24.
Pot efectua apeluri la internet de la plug-in-uri sau conectori după ce mediul meu este sub-delegat?
Da. Puteți efectua apeluri la internet din pluginuri sau conectori, dar subrețeaua trebuie configurată cu un Azure NAT gateway.
Pot actualiza intervalul de adrese IP de subrețea după ce este delegat la „Microsoft.PowerPlatform/enterprisePolicies”?
Nu, nu în timp ce funcția este utilizată în mediul dvs. Nu puteți modifica intervalul de adrese IP a subrețelei după ce este delegată la „Microsoft.PowerPlatform/enterprisePolicies”. Dacă faceți acest lucru, configurația de delegare este întreruptă și mediul nu mai funcționează. Pentru a modifica intervalul de adrese IP, trebuie să eliminați caracteristica de delegare din mediul dvs., să faceți modificările necesare și apoi să activați caracteristica pentru mediul dvs.
Pot să actualizez adresa DNS a rețelei mele virtuale după ce este delegată la „Microsoft.PowerPlatform/enterprisePolicies”?
Nu, nu în timp ce funcția este utilizată în mediul dvs. Nu puteți schimba adresa DNS a rețelei virtuale după ce aceasta este delegată la „Microsoft.PowerPlatform/enterprisePolicies”. Dacă faceți acest lucru, modificarea nu este preluată în configurația noastră și mediul dvs. poate înceta să funcționeze. Pentru a schimba adresa DNS, trebuie să eliminați caracteristica de delegare din mediul dvs., să faceți modificările necesare și apoi să activați caracteristica pentru mediul dvs.
Rețeaua mea virtuală are un DNS personalizat configurat. Folosește Power Platform DNS-ul meu personalizat?
Da. Power Platform utilizează DNS-ul personalizat configurat în rețeaua virtuală care deține subrețeaua delegată pentru a rezolva toate punctele finale. După ce mediul este delegat, puteți actualiza plug-in-urile pentru a utiliza punctul final corect, astfel încât DNS-ul dvs. personalizat să le poată rezolva.
Mediul meu are plug-in-uri furnizate de ISV. Aceste plug-in-uri ar rula în subrețeaua delegată?
Da. Toate pluginurile pentru clienți și pluginurile ISV pot rula, folosind subrețeaua dvs. Dacă pluginurile ISV au conectivitate de ieșire, este posibil ca acele adrese URL să fie listate în firewall.
Certificatele mele TLS ale punctelor finale locale nu sunt semnate de autoritățile de certificare rădăcină (CA) binecunoscute. Acceptați certificate necunoscute?
Nu. Trebuie să ne asigurăm că punctul final prezintă un certificat TLS cu lanțul complet. Nu este posibil să adăugați CA rădăcină personalizată la lista noastră de CA bine-cunoscute.
Care este configurarea recomandată a unei rețele virtuale în cadrul unui client chiriaș?
Nu recomandăm nicio topologie specifică. Cu toate acestea, clienții noștri folosesc pe scară largă topologia rețelei Hub-spoke din Azure.
Este necesară conectarea unui abonament Azure la Power Platform chiriașul meu pentru a activa rețeaua virtuală?
Da, pentru a activa suportul pentru rețeaua virtuală pentru Power Platform medii, este esențial să aveți un abonament Azure asociat cu chiriașul Power Platform .
Cum se utilizează Power Platform delegarea subrețelei Azure?
Atunci când unui Power Platform mediu are alocată o subrețea Azure delegată, folosește injecția în rețea virtuală Azure pentru a injecta containerul în timpul execuției într-o subrețea delegată. În timpul acestui proces, unei plăci de interfață de rețea (NIC) a containerului i se aloca o adresă IP de la subrețeaua delegată. Comunicarea dintre gazdă (Power Platform) și container are loc printr-un port local al containerului, iar traficul circulă prin Azure Fabric.
Pot folosi o rețea virtuală existentă pentru Power Platform?
Da, puteți utiliza o rețea virtuală existentă pentru Power Platform, cu condiția ca o singură subrețea nouă din cadrul rețelei virtuale să fie delegată în mod special către Power Platform. Subrețeaua delegată trebuie să fie dedicată pentru delegarea subrețelei și nu poate fi utilizată în alte scopuri.
Ce este un Dataverse plug-in?
Un Dataverse plug-in este o bucată de cod personalizat care poate fi implementat într-un mediu Power Platform . Acest plug-in poate fi configurat să ruleze în timpul evenimentelor (cum ar fi o modificare a datelor) sau declanșat ca un API personalizat. Aflați mai multe: Dataverse Pluginuri
Cum funcționează un Dataverse plug-in?
Un Dataverse plug-in funcționează într-un container. Când unui Power Platform mediu i se atribuie o subrețea delegată, o adresă IP din spațiul de adrese al acelei subrețele este alocată cardului de interfață de rețea (NIC) a containerului. Comunicarea dintre gazdă (Power Platform) și container are loc printr-un port local al containerului, iar traficul circulă prin Azure Fabric.
Pot rula mai multe plug-in-uri în același container?
Da. Într-un anumit mediu Power Platform sau Dataverse , mai multe plug-in-uri pot funcționa în același container. Fiecare container consumă o adresă IP din spațiul de adrese de subrețea și fiecare container poate rula mai multe solicitări.
Cum gestionează infrastructura o creștere a execuțiilor simultane de plug-in?
Pe măsură ce numărul de execuții concomitente de plug-in crește, infrastructura se extinde automat pentru a se adapta la sarcină. Subrețeaua delegată unui Power Platform mediu ar trebui să aibă suficiente spații de adrese pentru a gestiona volumul maxim de execuții pentru sarcinile de lucru din acel Power Platform mediu.
Cine controlează rețeaua virtuală și politicile de rețea asociate acesteia?
În calitate de client, aveți dreptul de proprietate și controlul asupra rețelei virtuale și asupra politicilor de rețea asociate acesteia. Pe de altă parte, Power Platform folosește adresele IP alocate din subrețeaua delegată din acea rețea virtuală.
Sunt Pluginurile care compatibile Azure suportă rețeaua virtuală?
Nu, Pluginurile care compatibile Azure nu acceptă rețeaua virtuală.