Prehľad podpory virtuálnej siete
Poznámka
nové a vylepšené Power Platform centrum správcov je teraz vo verejnej ukážke! Nové centrum spravovania sme navrhli tak, aby bolo jednoduchšie na používanie, s navigáciou orientovanou na úlohy, ktorá vám pomôže rýchlejšie dosiahnuť konkrétne výsledky. Keď sa nové Power Platform centrum spravovania presunie na všeobecnú dostupnosť, budeme zverejňovať novú a aktualizovanú dokumentáciu.
Vďaka podpore Azure Virtual Network pre Power Platform sa môžete integrovať Power Platform so zdrojmi vo vašej virtuálnej sieti bez toho, aby ste ich zverejňovali cez verejný internet. Podpora virtuálnej siete využíva delegovanie podsiete Azure na správu odchádzajúcej návštevnosti z Power Platform za behu. Použitím delegovania podsiete Azure sa vyhnete potrebe, aby boli chránené zdroje dostupné cez internet na integráciu s Power Platform. Vďaka podpore virtuálnej siete Power Platform môžu komponenty volať prostriedky vlastnené vaším podnikom vo vašej sieti, či už sú hosťované v Azure alebo lokálne, a používať doplnky a konektory na uskutočňovanie odchádzajúcich hovorov.
Power Platform zvyčajne sa integruje s podnikovými zdrojmi cez verejné siete. V prípade verejných sietí musia byť podnikové zdroje dostupné zo zoznamu rozsahov IP Azure alebo značiek služieb, ktoré popisujú verejné adresy IP. Podpora virtuálnej siete Azure pre Power Platform vám však umožňuje používať súkromnú sieť a stále sa integrovať s cloudovými službami alebo službami, ktoré sú hosťované vo vašej podnikovej sieti.
Služby Azure sú vo virtuálnej sieti chránené súkromnými koncovými bodmi. Môžete použiť Expresnú cestu na prenesenie svojich lokálnych prostriedkov do virtuálnej siete.
Power Platform používa virtuálnu sieť a podsiete, ktoré delegujete, na uskutočňovanie odchádzajúcich volaní do podnikových prostriedkov cez podnikovú súkromnú sieť. Použitie súkromnej siete eliminuje potrebu smerovať prevádzku cez verejný internet, čo by mohlo vystaviť podnikové zdroje.
Vo virtuálnej sieti máte plnú kontrolu nad odchádzajúcou prevádzkou z Power Platform. Prevádzka podlieha sieťovým pravidlám, ktoré uplatňuje správca siete. Nasledujúci diagram ukazuje, ako zdroje vo vašej sieti interagujú s virtuálnou sieťou.
Výhody podpory virtuálnej siete
S podporou virtuálnej siete získajú vaše komponenty Power Platform a Dataverse všetky výhody , ktoré poskytuje delegovanie podsiete Azure, ako napríklad:
Ochrana údajov: Virtuálna sieť umožňuje Power Platform službám pripojiť sa k vašim súkromným a chráneným zdrojom bez toho, aby boli vystavené internetu.
Žiadny neoprávnený prístup: Virtuálna sieť sa pripája k vašim zdrojom bez toho, aby ste pri pripojení potrebovali Power Platform rozsahy IP alebo servisné značky.
Podporované scenáre
Power Platform umožňuje podporu virtuálnej siete pre Dataverse doplnky a konektory. S touto podporou môžete vytvoriť zabezpečené, súkromné, odchádzajúce pripojenie z Power Platform k zdrojom vo vašej virtuálnej sieti. Dataverse doplnky a konektory zvyšujú bezpečnosť integrácie údajov pripojením k externým zdrojom údajov z aplikácií Power Apps, Power Automate a Dynamics 365. Môžete napríklad:
- Použite Dataverse doplnky na pripojenie k vašim cloudovým zdrojom údajov, ako sú Azure SQL, Azure Storage, úložisko blob alebo Azure Key Vault. Môžete chrániť svoje údaje pred únikom údajov a inými incidentmi.
- Použite Dataverse doplnky na bezpečné pripojenie k súkromným, koncovým bodom chráneným prostriedkom v Azure, ako je Web API, alebo k akýmkoľvek prostriedkom v rámci vašej súkromnej siete, ako je SQL a Web API. Svoje údaje môžete chrániť pred únikmi údajov a inými vonkajšími hrozbami.
- Použite konektory podporované virtuálnou sieťou ako napríklad SQL Server na bezpečné pripojenie k vašim cloudovým zdrojom údajov, ako je Azure SQL alebo SQL Server, bez toho, aby ste ich vystavili internetu. Podobne môžete použiť konektor Azure Queue na vytvorenie bezpečných pripojení k súkromným frontom Azure s povoleným koncovým bodom.
- Pomocou konektora Azure Key Vault sa bezpečne pripojte k súkromnej službe Azure Key Vault chránenej koncovým bodom.
- Použite vlastné konektory na bezpečné pripojenie k vašim službám, ktoré sú chránené súkromnými koncovými bodmi v Azure alebo službami, ktoré sú hosťované vo vašej súkromnej sieti.
- Použite Azure File Storage na bezpečné pripojenie k súkromnému úložisku súborov Azure s povoleným koncovým bodom.
- Použite HTTP s Microsoft Entra ID (vopred autorizované) na bezpečné načítanie zdrojov cez virtuálne siete z rôznych webových služieb, overených pomocou Microsoft Entra ID alebo z lokálnej webovej služby.
Obmedzenia
- Dataverse nízkokódové doplnky , ktoré používajú konektory, nie sú podporované, kým sa tieto typy konektorov neaktualizujú na používanie delegovania podsiete.
- Používate operácie kopírovania, zálohovania a obnovy životného cyklu prostredia v prostrediach Power Platform podporovaných virtuálnou sieťou. Operáciu obnovy možno vykonať v rámci rovnakej virtuálnej siete, ako aj v rôznych prostrediach za predpokladu, že sú pripojené k rovnakej virtuálnej sieti. Okrem toho je operácia obnovy povolená z prostredí, ktoré nepodporujú virtuálne siete, do prostredí, ktoré ich podporujú.
Podporované oblasti
Potvrďte, že vaše Power Platform prostredie a podniková politika sú v podporovaných Power Platform regiónoch a Azure. Ak je napríklad vaše Power Platform prostredie v Spojených štátoch, vaša virtuálna sieť a podsiete musia byť v regiónoch eastus a westus Azure.
| Región Power Platform | Oblasť Azure |
|---|---|
| Spojené štáty americké | Eastus, westus |
| Južná Afrika | Juhoafricanorth, juhoafrická záp |
| Spojené kráľovstvo | Uk juh, ukwest |
| Japonsko | Japonsko, japonsko |
| India | Centrálna India, južná India |
| Francúzsko | Stredné Francúzsko, Južné Francúzsko |
| Európa | Západná Európa, Severná Európa |
| Nemecko | Nemeckoseverné, nemeckozápadné stred |
| Švajčiarsko | švajčiarsko sever, švajčiarsko západ |
| Kanada | Canadacentral, Canadaeast |
| Brazília | Brazília juh |
| Austrália | Austrália juhovýchodná, východná Austrália |
| Ázia | Východná Ázia, juhovýchodná Ázia |
| UAE | uaenorth |
| Kórejská republika | Kórejský, koreacentrálny |
| Nórsko | Nórsko, Nórsko |
| Singapur | Juhovýchodnej Ázii |
| Švédsko | švédsky centrálny |
| Taliansko | Taliansko sever |
Podporované služby
V nasledujúcej tabuľke sú uvedené služby, ktoré podporujú delegovanie podsiete Azure pre podporu virtuálnej siete pre Power Platform.
| Plocha | Power Platform služby | Dostupnosť podpory virtuálnej siete |
|---|---|---|
| Dataverse | Dataverse zásuvné moduly | Všeobecne dostupné |
| Konektory | Všeobecne dostupné | |
| Konektory | Prehrať ukážku |
Úvahy o povolení podpory virtuálnej siete pre Power Platform prostredie
Keď používate podporu virtuálnej siete v Power Platform prostredí, všetky podporované služby, ako sú Dataverse zásuvné moduly a konektory, vykonávajú požiadavky za behu vo vašej delegovanej podsieti a podliehajú vašim sieťovým pravidlám. Výzvy na verejne dostupné zdroje by sa začali lámať.
Dôležité
Pred povolením podpory virtuálneho prostredia pre Power Platform prostredie sa uistite, že ste skontrolovali kód doplnkov a konektorov. Adresy URL a pripojenia je potrebné aktualizovať, aby fungovali so súkromným pripojením.
Doplnok sa môže napríklad pokúsiť pripojiť k verejne dostupnej službe, ale vaša sieťová politika nepovoľuje verejný prístup na internet vo vašej virtuálnej sieti. Hovor z doplnku je blokovaný v súlade s vašou sieťovou politikou. Aby ste sa vyhli zablokovanému hovoru, môžete hostiť verejne dostupnú službu vo vašej virtuálnej sieti. Prípadne, ak je vaša služba hosťovaná v Azure, môžete použiť súkromný koncový bod služby predtým, ako zapnete podporu virtuálnej siete v Power Platform prostredí.
Najčastejšie otázky
Aký je rozdiel medzi bránou údajov virtuálnej siete a podporou virtuálnej siete Azure Power Platform?
A virtuálna sieťová dátová brána je spravovaná brána, ktorá vám umožňuje pristupovať k Azure a Power Platform službám z vašej virtuálnej siete bez toho, aby ste museli nastavovať lokálnu dátovú bránu. Napríklad brána je optimalizovaná pre ETL (extrah, transform, load) pracovné zaťaženie v Power BI a Power Platform dátových tokoch.
Podpora virtuálnej siete Azure pre Power Platform používa delegovanie podsiete Azure pre vaše Power Platform prostredie. Podsiete sú využívané pracovnými záťažami v Power Platform prostredí. Power Platform Pracovné zaťaženia API využívajú podporu virtuálnej siete, pretože požiadavky sú krátkodobé a sú optimalizované pre veľký počet požiadaviek.
Aké sú scenáre, v ktorých by som mal použiť podporu virtuálnej siete pre Power Platform a dátovú bránu virtuálnej siete?
Podpora virtuálnej siete pre Power Platform je jedinou podporovanou možnosťou pre všetky scenáre pre odchádzajúce pripojenie z Power Platform okrem Power BI a Power Platform dátových tokov.
Power BI a Power Platform toky údajov naďalej používajú bránu údajov virtuálnej siete (vNet).
Ako zabezpečíte, aby podsieť virtuálnej siete alebo dátovú bránu od jedného zákazníka nepoužíval iný zákazník v Power Platform?
Podpora virtuálnej siete pre Power Platform používa delegovanie podsiete Azure.
Každé Power Platform prostredie je prepojené s jednou podsieťou virtuálnej siete. Do tejto virtuálnej siete majú povolený prístup iba volania z tohto prostredia.
Delegovanie vám umožňuje určiť konkrétnu podsieť pre akúkoľvek platformu Azure ako službu (PaaS), ktorú je potrebné vložiť do vašej virtuálnej siete.
Podporuje virtuálna sieť Power Platform zlyhanie?
Áno, musíte delegovať virtuálne siete pre obe oblasti Azure, ktoré sú priradené k vášmu Power Platform regiónu. Ak sa napríklad vaše Power Platform prostredie nachádza v Kanade, musíte vytvoriť, delegovať a nakonfigurovať virtuálne siete v CanadaCentral a Cana7.
Ako sa môže Power Platform prostredie v jednom regióne pripojiť k zdrojom hosteným v inom regióne?
Virtuálna sieť prepojená s Power Platform prostredím sa musí nachádzať v regióne Power Platform prostredia. Ak sa virtuálna sieť nachádza v inej oblasti, vytvorte virtuálnu sieť v Power Platform regióne prostredia a použite rovnoprávny vzťah virtuálnej siete na oboch delegovaných virtuálnych sieťach oblasti Azure, aby ste preklenuli medzeru s virtuálnou sieťou v samostatnej oblasti.
Môžem monitorovať odchádzajúce prenosy z delegovaných podsietí?
Áno. Skupinu zabezpečenia siete a brány firewall môžete použiť na monitorovanie odchádzajúcej prevádzky z delegovaných podsietí. Ďalšie informácie nájdete v časti Monitorovanie virtuálnej siete Azure.
Koľko IP adries je Power Platform treba delegovať v podsieti?
Podsieť, ktorú vytvoríte, by mala mať blok adries aspoň /24 Classless Inter-Domain Routing (CIDR), čo sa rovná 251 adresám IP vrátane piatich vyhradených adries IP. Ak plánujete použiť rovnakú delegovanú podsieť pre viacero Power Platform prostredí, možno budete potrebovať väčší blok IP adries ako /24.
Môžem uskutočňovať hovory viazané na internet z doplnkov alebo konektorov po delegovaní podsiete v mojom prostredí?
Áno. Môžete uskutočňovať hovory cez internet z doplnkov alebo konektorov, ale podsieť musí byť nakonfigurovaná s Azure NAT bránou.
Môžem aktualizovať rozsah adries IP podsiete po jeho delegovaní na „Microsoft.PowerPlatform/enterprisePolicies“?
Nie, kým sa funkcia používa vo vašom prostredí. Po delegovaní na "Microsoft.PowerPlatform/enterprisePolicies" nie je možné zmeniť rozsah adries IP podsiete. Ak to urobíte, konfigurácia delegovania sa preruší a prostredie prestane fungovať. Ak chcete zmeniť rozsah adries IP, musíte zo svojho prostredia odstrániť funkciu delegovania, vykonať potrebné zmeny a potom túto funkciu pre svoje prostredie zapnúť.
Môžem aktualizovať adresu DNS mojej virtuálnej siete po jej delegovaní na „Microsoft.PowerPlatform/enterprisePolicies“?
Nie, kým sa funkcia používa vo vašom prostredí. Adresu DNS virtuálnej siete nemôžete zmeniť po jej delegovaní na „Microsoft.PowerPlatform/enterprisePolicies“. Ak to urobíte, zmena sa v našej konfigurácii nepreberie a vaše prostredie môže prestať fungovať. Ak chcete zmeniť adresu DNS, musíte zo svojho prostredia odstrániť funkciu delegovania, vykonať potrebné zmeny a potom túto funkciu pre svoje prostredie zapnúť.
Moja virtuálna sieť má nakonfigurovaný vlastný DNS. Power Platform Používa môj vlastný DNS?
Áno. Power Platform používa vlastný DNS nakonfigurovaný vo virtuálnej sieti, ktorý obsahuje delegovanú podsieť na riešenie všetkých koncových bodov. Po delegovaní prostredia môžete aktualizovať doplnky, aby používali správny koncový bod, aby ich mohol vyriešiť váš vlastný DNS.
Moje prostredie má zásuvné moduly poskytované ISV. Spustili by sa tieto doplnky v delegovanej podsieti?
Áno. Všetky zákaznícke doplnky a doplnky ISV môžu byť spustené pomocou vašej podsiete. Ak majú doplnky ISV odchádzajúce pripojenie, tieto adresy URL možno bude potrebné uviesť vo vašej bráne firewall.
Moje lokálne certifikáty TLS koncového bodu nie sú podpísané známymi koreňovými certifikačnými autoritami (CA). Podporujete neznáme certifikáty?
Nie. Musíme zabezpečiť, aby koncový bod predložil certifikát TLS s celým reťazcom. Nie je možné pridať vlastnú koreňovú CA do nášho zoznamu známych CA.
Aké je odporúčané nastavenie virtuálnej siete v rámci nájomníka zákazníka?
Neodporúčame žiadnu špecifickú topológiu. Naši zákazníci však široko používajú topológiu siete Hub-spoke v Azure.
Je na aktiváciu virtuálnej siete potrebné prepojenie predplatného Azure s mojím Power Platform nájomníkom?
Áno, ak chcete povoliť podporu virtuálnej siete pre Power Platform prostredia, je nevyhnutné mať predplatné Azure spojené s Power Platform nájomníkom.
Ako sa Power Platform používa delegovanie podsiete Azure?
Keď má prostredie Power Platform priradenú delegovanú podsieť Azure, použije injekciu virtuálnej siete Azure na vloženie kontajnera za behu do delegovanej podsiete. Počas tohto procesu sa karte sieťového rozhrania (NIC) kontajnera pridelí adresa IP z delegovanej podsiete. Komunikácia medzi hostiteľom (Power Platform) a kontajnerom prebieha cez lokálny port na kontajneri a prevádzka prúdi cez Azure Fabric.
Môžem použiť existujúcu virtuálnu sieť pre Power Platform?
Áno, existujúcu virtuálnu sieť môžete použiť pre Power Platform za predpokladu, že jedna nová podsieť v rámci virtuálnej siete je delegovaná konkrétne na Power Platform. Delegovaná podsieť musí byť vyhradená na delegovanie podsiete a nemôže byť použitá na iné účely.
Čo je to Dataverse doplnok?
Doplnok Dataverse je časť vlastného kódu, ktorý je možné nasadiť v Power Platform prostredí. Tento doplnok možno nakonfigurovať tak, aby sa spúšťal počas udalostí (ako je zmena údajov) alebo sa spúšťal ako vlastné rozhranie API. Ďalšie informácie: Dataverse Doplnky
Ako funguje doplnok Dataverse ?
Doplnok Dataverse funguje v kontajneri. Keď je k Power Platform prostrediu priradená delegovaná podsieť, IP adresa z adresného priestoru tejto podsiete sa pridelí karte sieťového rozhrania (NIC) kontajnera. Komunikácia medzi hostiteľom (Power Platform) a kontajnerom prebieha cez lokálny port na kontajneri a prevádzka prúdi cez Azure Fabric.
Je možné spustiť viacero doplnkov v rámci toho istého kontajnera?
Áno. V danom Power Platform alebo Dataverse prostredí môže v rámci jedného kontajnera fungovať viacero zásuvných modulov. Každý kontajner spotrebuje jednu IP adresu z priestoru adries podsiete a každý kontajner môže spúšťať viacero požiadaviek.
Ako infraštruktúra zvláda nárast počtu súbežných spustení doplnkov?
So zvyšujúcim sa počtom súbežných spustení zásuvných modulov sa infraštruktúra automaticky rozšíri alebo zväčší, aby sa prispôsobila záťaži. Podsieť delegovaná na Power Platform prostredie by mala mať dostatok adresných priestorov na zvládnutie špičkového objemu vykonávania pracovných zaťažení v tomto Power Platform prostredí.
Kto riadi virtuálnu sieť a sieťové politiky s ňou spojené?
Ako zákazník máte vlastníctvo a kontrolu nad virtuálnou sieťou a jej pridruženými sieťovými politikami. Na druhej strane Power Platform používa pridelené IP adresy z delegovanej podsiete v rámci danej virtuálnej siete.
Podporujú Azure-aware plug-iny virtuálnu sieť?
Nie, Doplnky podporujúce Azure nepodporujú virtuálnu sieť.