Общ преглед на поддръжката на виртуална мрежа
С поддръжката на виртуална мрежа Power Platformна Azure можете да се интегрирате Power Platform с ресурси във вашата виртуална мрежа, без да ги излагате през публичния интернет. Поддръжката на виртуална мрежа използва делегиране на подмрежа на Azure за управление на изходящия трафик по Power Platform време на изпълнение. Използването на делегиране на подмрежа на Azure избягва необходимостта защитените ресурси, които да бъдат достъпни през интернет, с които да се интегрират Power Platform. С поддръжката Power Platform на виртуална мрежа компонентите могат да се обаждат на ресурси, собственост на вашето предприятие във вашата мрежа, независимо дали се хостват в Azure или локално, и да използват добавки и конектори за извършване на изходящи повиквания.
Power Platform Обикновено се интегрира с корпоративни ресурси през обществени мрежи. При публичните мрежи корпоративните ресурси трябва да бъдат достъпни от списък с Azure IP диапазони или етикети на услугата, които описват публични IP адреси. Поддръжката на виртуална мрежа на Azure обаче Power Platform ви позволява да използвате частна мрежа и все пак да се интегрирате с облачни услуги или услуги, които се хостват във вашата корпоративна мрежа.
Услугите на Azure са защитени във виртуална мрежа от частни крайни точки. Можете да използвате Express Route , за да пренесете вашите локални ресурси във виртуалната мрежа.
Power Platform използва виртуалната мрежа и подмрежите, които делегирате, за да извършва изходящи повиквания към корпоративни ресурси през корпоративната частна мрежа. Използването на частна мрежа елиминира необходимостта от насочване на трафика през обществения интернет, което може да изложи корпоративни ресурси.
Във виртуална мрежа имате пълен контрол върху изходящия трафик от Power Platform. Трафикът е предмет на мрежови правила, прилагани от вашия мрежов администратор. Следващата диаграма показва как ресурсите във вашата мрежа взаимодействат с виртуална мрежа.
Предимства на поддръжката на виртуална мрежа
С поддръжката на виртуална мрежа вашите Power Platform и компонентите Dataverse получават всички предимства , които делегирането на подмрежата на Azure предоставя , като например:
Защита на данните: Виртуалната мрежа позволява Power Platform на услугите да се свързват с вашите частни и защитени ресурси, без да ги излагат на интернет.
Без неоторизиран достъп: Виртуалната мрежа се свързва с вашите ресурси, без да се нуждае от Power Platform IP диапазони или сервизни етикети във връзката.
Поддържани сценарии
Power Platform позволява поддръжка на виртуална мрежа както Dataverse за плъгини, така и за конектори. С тази поддръжка можете да установите защитена, частна, изходяща свързаност от Power Platform ресурси във вашата виртуална мрежа. Dataverse добавките и конекторите подобряват защитата на интегрирането на данни, като се свързват с външни източници на данни от Power Apps Power Automate приложения на Dynamics 365. Например можете да:
- Използвайте Dataverse добавки, за да се свържете с вашите източници на данни в облака, като например Azure SQL, Azure Storage, хранилище за BLOB или Azure Key Vault. Можете да защитите данните си от ексфилтрация на данни и други инциденти.
- Използвайте Dataverse добавки за сигурно свързване с частни, защитени от крайни точки ресурси в Azure, като например уеб API, или всякакви ресурси във вашата частна мрежа, като SQL и Web API. Можете да защитите данните си от пробиви в данните и други външни заплахи.
- Използвайте поддържани от виртуална мрежа конектори, като SQL Server , за да се свържете сигурно с вашите хоствани в облака източници на данни, като Azure SQL или SQL Server, без да ги излагате на интернет. По същия начин можете да използвате конектор за опашка на Azure, за да установите защитени връзки към частни опашки на Azure с активирани крайни точки.
- Използвайте конектора на Azure Key Vault , за да се свържете сигурно с частен, защитен от крайна точка Azure Key Vault.
- Използвайте персонализирани конектори , за да се свържете сигурно с вашите услуги, които са защитени от частни крайни точки в Azure, или услуги, които се хостват във вашата частна мрежа.
- Използвайте Azure File Storage , за да се свържете сигурно с частно хранилище за файлове на Azure с активирана крайна точка.
- Използвайте HTTP с Microsoft Entra ИД (предварително упълномощен) за сигурно извличане на ресурси през виртуални мрежи от различни уеб услуги, удостоверени с Microsoft Entra ИД или от локална уеб услуга.
Ограничения
- Dataverse Добавките с малко код, които използват конектори, не се поддържат, докато тези типове конектори не бъдат актуализирани, за да използват делегиране на подмрежа.
- Използвате операции за копиране, архивиране и възстановяване на среда в среди, поддържани Power Platform от виртуална мрежа. Операцията за възстановяване може да се извърши в рамките на една и съща виртуална мрежа, както и в различни среди, при условие че са свързани към една и съща виртуална мрежа. Освен това операцията за възстановяване е допустима от среди, които не поддържат виртуални мрежи, до такива, които поддържат.
Поддържани региони
Потвърдете, че вашата Power Platform среда и корпоративни правила са в поддържани Power Platform региони и региони на Azure. Например, ако вашата Power Platform среда е в Съединените щати, тогава вашата виртуална мрежа и подмрежи трябва да са в източните и западните региони на Azure.
| Power Platform регион | Регион на Azure |
|---|---|
| САЩ | Изток, Запад |
| Южна Африка | Северна Африка, Южна АфрикаЗапад |
| Обединеното кралство | UKSOUTH, Ukwest |
| Япония | ЯпонияИзток, ЯпонияЗапад |
| Индия | Централна Индия, Южна Индия |
| Франция | Централна Франция, ФранцияЮг |
| Европа | Западна Европа, Северна Европа |
| Германия | ГерманияСевер, ГерманияЗападен Централен |
| Швейцария | ШвейцарияСевер, ШвейцарияЗапад |
| Канада | Канада Централна, Канада Изток |
| Бразилия | БразилияЮг, Южен Централен |
| Австралия | АвстралияЮгоизток, АвстралияИзток |
| Азия | Източна Азия, Югоизточна Азия |
| UAE | UAECENTRAL, ОАЕ Север |
| Южна Корея | Южна Корея, Централна Корея |
| Норвегия | НорвегияЗапад, НорвегияИзток |
| Сингапур | Югоизточна Азия |
| Швеция | Швецияцентрален |
Поддържани услуги
Таблицата по-долу изброява услугите, които поддържат делегиране на подмрежа на Azure за поддръжка на виртуална мрежа. Power Platform
| Област | Power Platform услуги | Наличност на поддръжка на виртуална мрежа |
|---|---|---|
| Dataverse | Dataverse Плъгини | Общодостъпно |
| Конектори | Общодостъпно |
Съображения за активиране на поддръжка на виртуална мрежа за Power Platform среда
Когато използвате поддръжка на виртуална мрежа в среда Power Platform , всички поддържани услуги, като Dataverse добавки и конектори, изпълняват заявки по време на изпълнение във вашата делегирана подмрежа и са предмет на вашите мрежови правила. Призивите за публично достъпни ресурси ще започнат да се прекъсват.
Важно
Преди да разрешите поддръжката на виртуална среда за Power Platform среда, уверете се, че сте проверили кода на добавките и конекторите. URL адресите и връзките трябва да бъдат актуализирани, за да работят с частна свързаност.
Например добавка може да се опита да се свърже с обществено достъпна услуга, но правилата ви за мрежата не позволяват публичен достъп до интернет във вашата виртуална мрежа. Обаждането от приставката се блокира в съответствие с вашата мрежова политика. За да избегнете блокираното повикване, можете да хоствате публично достъпната услуга във вашата виртуална мрежа. Като алтернатива, ако вашата услуга се хоства в Azure, можете да използвате частна крайна точка в услугата, преди да включите поддръжката Power Platform на виртуална мрежа в средата.
ЧЗВ
Каква е разликата между шлюз за данни на виртуална мрежа и поддръжка на виртуална мрежа на Azure Power Platform?
Шлюзът за данни на виртуална мрежа е управляван шлюз, който ви позволява да осъществявате достъп до Azure и Power Platform услуги от вашата виртуална мрежа, без да се налага да настройвате локален шлюз за данни. Например, шлюзът е оптимизиран за ETL (извличане, трансформиране, зареждане) работни натоварвания и Power BI Power Platform потоци от данни.
Поддръжката на виртуална мрежа на Azure за Power Platform използва делегиране на подмрежа на Azure за вашата Power Platform среда. Подмрежите се използват от работни натоварвания в Power Platform средата. Power Platform Работните натоварвания на API използват поддръжка на виртуална мрежа, тъй като заявките са краткотрайни и оптимизирани за голям брой заявки.
Какви са сценариите, за които трябва да използвам поддръжката Power Platform на виртуална мрежа и шлюза за данни на виртуалната мрежа?
Поддръжката на виртуална мрежа за Power Platform е единствената поддържана опция за всички сценарии за изходяща свързаност от Power Platform освен Power BI и Power Platform потоци от данни.
Power BI и Power Platform потоците от данни продължават да използват шлюз за данни на виртуална мрежа (vNet).
Как да гарантирате, че подмрежа на виртуална мрежа или шлюз за данни от един клиент не се използва от друг клиент? Power Platform
Поддръжка на виртуална мрежа за Power Platform използва делегиране на подмрежа на Azure.
Всяка Power Platform среда е свързана с една виртуална мрежова подмрежа. Само повиквания от тази среда имат достъп до тази виртуална мрежа.
Делегирането ви позволява да определите конкретна подмрежа за всяка платформа на Azure като услуга (PaaS), която трябва да бъде инжектирана във вашата виртуална мрежа.
Виртуалната Power Platform мрежа поддържа ли поддръжка при отказ?
Да, трябва да делегирате първична виртуална мрежа и подмрежи при отказ по време на настройката.
Как среда в един регион може да Power Platform се свърже с ресурси, хоствани в друг регион?
Виртуална мрежа, свързана със среда Power Platform , трябва да се намира в региона Power Platform наоколната среда. Ако виртуалната мрежа е в различен регион, създайте виртуална мрежа в Power Platform региона на средата и използвайте пиъринг на виртуална мрежа, за да свържете двата региона.
Мога ли да наблюдавам изходящия трафик от делегирани подмрежи?
Да. Можете да използвате група за защита на мрежата и защитни стени, за да наблюдавате изходящия трафик от делегирани подмрежи.
Колко IP адреса Power Platform трябва да бъдат делегирани в подмрежата?
Трябва да делегирате поне 24 безкласово междудомейново маршрутизиране (CIDR) или 255 IP адреса в подмрежата. Ако искате да делегирате една и съща подмрежа на няколко среди, може да се нуждаете от повече IP адреси в тази подмрежа.
Мога ли да извършвам обвързани с интернет повиквания от добавки или конектори, след като средата ми е делегирана от подмрежата?
Да. Можете да извършвате обвързани с интернет повиквания от добавки или конектори, но подмрежата трябва да бъде конфигурирана с шлюз на Azure NAT .
Мога ли да актуализирам диапазона от IP адреси на подмрежата, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies"?
Не. Не можете да промените диапазона от IP адреси на подмрежата, след като е делегиран на "Microsoft.PowerPlatform/enterprisePolicies".
Моята виртуална мрежа има персонализиран DNS. Използва ли Power Platform моя персонализиран DNS?
Да. Power Platform използва персонализирания DNS, конфигуриран във виртуалната мрежа, който съдържа делегираната подмрежа, за разрешаване на всички крайни точки. След като средата е делегирана, можете да актуализирате добавките, за да използвате правилната крайна точка, така че вашият персонализиран DNS да може да ги разреши.
Моята среда има плъгини, предоставени от ISV. Тези добавки ще работят ли в делегираната подмрежа?
Да. Всички клиентски добавки и независими доставчици на софтуер могат да се изпълняват с помощта на вашата подмрежа. Ако добавките за независими доставчици на софтуер имат изходяща връзка, може да се наложи тези URL адреси да бъдат изброени в защитната стена.
Моите TLS сертификати за локални крайни точки не са подписани от добре познати главни сертифициращи органи (CA). Поддържате ли неизвестни сертификати?
Не. Трябва да гарантираме, че крайната точка представя TLS сертификат с цялата верига. Не е възможно да добавите вашия персонализиран корен CA към нашия списък с добре познати CA.
Каква е препоръчителната настройка на виртуална мрежа в клиентски клиент?
Не препоръчваме конкретна топология. Въпреки това, нашите клиенти широко използват модела на мрежовата мрежа с топология на главина и спици.
Необходимо ли е свързване на абонамент за Azure с моя Power Platform клиент, за да активирате виртуална мрежа?
Да, за да активирате поддръжката на виртуална мрежа за Power Platform среди, важно е да имате абонамент за Azure, свързан с клиента. Power Platform
Как Power Platform се използва делегирането на подмрежа на Azure?
Когато дадена Power Platform среда има присвоена делегирана подмрежа на Azure, тя използва инжектиране на виртуална мрежа на Azure, за да инжектира контейнера по време на изпълнение в делегирана подмрежа. По време на този процес на мрежова интерфейсна карта (NIC) на контейнера се присвоява IP адрес от делегираната подмрежа. Комуникацията между хоста (Power Platform) и контейнера се осъществява чрез локален порт на контейнера, а трафикът преминава през Azure Fabric.
Мога ли да използвам съществуваща виртуална мрежа за? Power Platform
Да, можете да използвате съществуваща виртуална мрежа за Power Platform, при условие че една нова подмрежа във виртуалната мрежа е делегирана специално. Power Platform Важно е да се отбележи, че тази делегирана подмрежа не трябва да хоства други услуги.
Мога ли да използвам US East 2 като отказ, ако средата ми Power Platform е в Канада?
За да се осигури правилно превключване при отказ, основната подмрежа и подмрежата при отказ трябва да бъдат осигурени съответно в canadacentral и canadaeast. За ефективно превключване при отказ създайте първичната подмрежа и подмрежата при отказ съответно в централния и източния регион на Канада. Освен това, ако искате да поддържате свързаност с ресурси в региона useast2 , установете пиъринг на виртуална мрежа между първичната и виртуалната мрежа при отказ, включително виртуалната мрежа в региона useast2 .
Какво е плъгин? Dataverse
Приставката Dataverse е част от персонализиран код, който може да бъде внедрен в Power Platform среда. Тази добавка може да бъде конфигурирана да се изпълнява по време на събития (като например промяна в данните) или да се задейства като персонализиран API. Научете повече: Dataverse Плъгини
Как работи приставката Dataverse ?
Плъгинът Dataverse работи в контейнер. Когато на дадена Power Platform среда е присвоена делегирана подмрежа, IP адрес от адресното пространство на тази подмрежа се разпределя към мрежовата интерфейсна карта (NIC) на контейнера. Комуникацията между хоста (Power Platform) и контейнера се осъществява чрез локален порт на контейнера, а трафикът преминава през Azure Fabric.
Могат ли няколко добавки да работят в един и същ контейнер?
Да. В дадена Power Platform среда Dataverse няколко плъгини могат да работят в един и същ контейнер. Всеки контейнер консумира един IP адрес от адресното пространство на подмрежата и всеки контейнер може да изпълнява няколко заявки.
Как инфраструктурата се справя с увеличаването на едновременните изпълнения на приставки?
Тъй като броят на едновременните изпълнения на плъгини се увеличава, инфраструктурата автоматично се мащабира или увеличава, за да поеме натоварването. Подмрежата, делегирана на среда Power Platform , трябва да има достатъчно адресни пространства, за да се справи с пиковия обем на изпълнения за работните натоварвания в тази Power Platform среда.
Кой контролира виртуалната мрежа и мрежовите политики, свързани с нея?
Като клиент вие имате собственост и контрол върху виртуалната мрежа и свързаните с нея мрежови правила. От друга страна, Power Platform използва разпределените IP адреси от делегираната подмрежа в тази виртуална мрежа.
Добавките , поддържащи Azure, поддържат ли виртуална мрежа?
Не, добавките , поддържащи Azure, не поддържат виртуална мрежа.