Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Note
K dispozici je komunita Power Platform Virtual Network na Microsoft Viva Engage. Můžete publikovat jakékoli dotazy nebo zpětnou vazbu, které máte o této funkci. Můžete se připojit vyplněním žádosti prostřednictvím následujícího formuláře: Požádejte o přístup k aplikaci Finance and Operations Viva Engage Community.
Pomocí podpory Azure Virtual Network pro Power Platform můžete Power Platform integrovat s prostředky ve virtuální síti, aniž byste je zpřístupnili přes veřejný internet. Podpora virtuální sítě používá delegování podsítě Azure ke správě odchozího provozu z Power Platform při běhu. Pomocí delegování podsítě Azure nemusí být chráněné prostředky dostupné přes internet, aby bylo možné integrovat se službou Power Platform. Díky podpoře virtuální sítě můžou komponenty Power Platform volat prostředky vlastněné vaší společností v síti, ať už jsou hostované v Azure nebo místně, a k odchozím voláním používat moduly plug-in a konektory.
Power Platform se typicky integruje s podnikovými prostředky prostřednictvím veřejných sítí. U veřejných sítí musí být podnikové prostředky přístupné ze seznamu rozsahů IP adres nebo značek služeb Azure, které popisují veřejné IP adresy. Podpora Azure Virtual Network pro Power Platform ale umožňuje používat privátní síť a still integrovat s cloudovými službami nebo službami hostovanými v podnikové síti.
Azure služby jsou chráněné v rámci virtuální sítě pomocí soukromých koncových bodů. K přenesení místních prostředků do Virtual Network můžete použít Express Route.
Power Platform využívá Virtual Network a podsítě, které delegujete, k uskutečňování odchozích volání k podnikovým prostředkům přes soukromou podnikovou síť. Pomocí privátní sítě nemusíte směrovat provoz přes veřejný internet, který by mohl vystavit podnikové prostředky.
V Virtual Network máte úplnou kontrolu nad odchozím provozem z Power Platform. Provoz podléhá síťovým zásadám aplikovaným správcem sítě. Následující diagram znázorňuje, jak prostředky ve vaší síti komunikují s Virtual Network.
Výhody podpory Virtual Network
Díky podpoře virtuální sítě získávají komponenty Power Platform a Dataverse všechny výhody , které poskytuje delegování podsítě Azure, například:
Ochrana dat: Virtual Network umožňuje službám Power Platform připojit se k vašim privátním a chráněným prostředkům bez jejich vystavení na internetu.
Žádný neautorizovaný přístup: Virtual Network se připojí k vašim zdrojům, aniž by při připojení potřebovala rozsahy IP nebo servisní značky Power Platform.
Odhad velikosti podsítě pro prostředí Power Platform
Telemetrická data a pozorování z minulého roku ukazují, že produkční prostředí obvykle vyžadují 25 až 30 IP adres, přičemž většina případů použití spadá do tohoto rozsahu. Na základě těchto informací přidělte 25 až 30 IP adres pro produkční prostředí a 6 až 10 IP adres pro neprodukční prostředí, jako je sandbox nebo vývojová prostředí. Kontejnery připojené k virtuální síti primárně používají IP adresy v rámci podsítě. Když se prostředí začne používat, vytvoří se minimálně čtyři kontejnery, které se dynamicky škálují podle objemu hovorů, a obvykle zůstávají v rozmezí 10 až 30 kontejnerů. Tyto kontejnery provádějí všechny požadavky pro příslušná prostředí a efektivně zpracovávají žádosti o paralelní připojení.
Plánování pro více prostředí
Pokud používáte stejnou delegovanou podsíť pro více prostředí Power Platform, možná budete potřebovat větší blok IP adres CIDR (Classless Inter-Domain Routing). Při propojení prostředí s jednou zásadou zvažte doporučený počet IP adres pro produkční a neprodukční prostředí. Každá podsíť si vyhrazuje pět IP adres, proto tyto rezervované adresy zahrňte do odhadu.
Note
Aby se zlepšil přehled o využití prostředků, tým produktu pracuje na odhalení spotřeby IP adres delegovaných podsítí pro firemní strategie a podsítě.
Příklad přidělení IP adresy
Uvažujme tenanta se dvěma podnikovými zásadami. První zásada je určená pro produkční prostředí a druhá zásada je určená pro neprodukční prostředí.
Podnikové zásady v provozním prostředí
Pokud máte čtyři produkční prostředí přidružená k podnikovým zásadám a každé prostředí vyžaduje 30 IP adres, celkové přidělení IP adres je:
(Čtyři prostředí x 30 IP adres) + 5 rezervovaných IP adres = 125 IP adres
Tento scénář vyžaduje blok CIDR o velikosti /25 s kapacitou pro 128 IP adres.
Politika podniku mimo produkční prostředí
Pro neprodukční podnikovou zásadu s 20 vývojářskými a sandboxovými prostředími, kdy každé z těchto prostředí vyžaduje 10 IP adres, je celkem přiděleno:
(Dvacet prostředí x 10 IP adres) + 5 rezervovaných IP adres = 205 IP adres
Tento scénář vyžaduje blok CIDR /24, který má kapacitu 256 IP adres a má dostatek místa pro přidání dalších prostředí do podnikových zásad.
Podporované scénáře
Power Platform podporuje Virtuální Síť pro moduly plug-inů Dataverse i konektory. Pomocí této podpory můžete vytvořit zabezpečené, privátní a odchozí připojení z Power Platform k prostředkům ve vaší virtuální síti. Moduly plug-in a konektory služby Dataverse zlepšují zabezpečení integrace dat připojením k externím zdrojům dat z Power Apps, Power Automate a aplikací Dynamics 365. Například můžete:
- Pomocí modulů plug-in Dataverse se připojte ke cloudovým zdrojům dat, jako jsou Azure SQL, Azure Storage, úložiště objektů blob nebo Azure Key Vault. Svá data můžete chránit před exfiltrací a dalšími incidenty.
- Pomocí modulů plug-in Dataverse se můžete bezpečně připojit k privátním prostředkům chráněným koncovým bodem v Azure, jako je webové rozhraní API nebo jakékoli prostředky v privátní síti, jako je SQL a webové rozhraní API. Svá data můžete chránit před proniknutím jejich ochranou a dalšími externími hrozbami.
- Pomocí konektorů podporovaných Virtual Network, jako jsou SQL Server, se můžete bezpečně připojit ke zdrojům dat hostovaným v cloudu, jako jsou Azure SQL nebo SQL Server, aniž byste je museli vystavit na internetu. Podobně můžete použít konektor Azure Queue k navázání zabezpečených připojení k soukromým frontám Azure Queue s povoleným koncovým bodem.
- Pomocí konektoru Azure Key Vault se bezpečně připojte k privátnímu Azure Key Vault chráněnému koncovým bodem.
- Pomocí konektorů custom se můžete bezpečně připojit ke službám, které jsou chráněné privátními koncovými body v Azure nebo službách hostovaných ve vaší privátní síti.
- Pomocí Azure File Storage se bezpečně připojte k privátnímu úložišti souborů s podporou koncových bodů Azure.
- Pomocí HTTP s Microsoft Entra ID (předem ověřenými) můžete bezpečně načítat prostředky přes virtuální sítě z různých webových služeb ověřených Microsoft Entra ID nebo z místní webové služby.
Limitations
- Moduly plug-in Dataverse s minimem kódu, které používají konektory, nejsou podporovány, dokud nebudou tyto typy konektorů aktualizovány tak, aby používaly delegování podsítě.
- Používáte operace kopírování, zálohování a obnovy životního cyklu prostředí v prostředí Power Platform s podporou virtuální sítě. Operaci obnovení můžete provést ve stejné virtuální síti a v různých prostředích za předpokladu, že jsou připojené ke stejné virtuální síti. Operace obnovy je navíc přípustná z prostředí, která nepodporují virtuální sítě, do těch, která je podporují.
Podporované oblasti
Před vytvořením Virtual Network a podnikových zásad ověřte oblast prostředí Power Platform a ujistěte se, že je v podporované oblasti. K načtení informací o oblasti prostředí můžete použít rutinu Get-EnvironmentRegion z modulu PowerShellu diagnostiky podsítě .
Po potvrzení oblasti vašeho prostředí se ujistěte, že jsou vaše podnikové zásady a prostředky Azure nakonfigurované v odpovídajících podporovaných oblastech Azure. Pokud je vaše prostředí Power Platform například ve Spojeném království, musí být vaše virtuální síť a podsítě v oblastech Uksouth a Ukwest Azure. V případě, že oblast Power Platform obsahuje více než dvě dostupné páry oblastí, musíte použít konkrétní dvojici oblastí, která odpovídá oblasti vašeho prostředí. Pokud například Get-EnvironmentRegion vrátí westus pro vaše prostředí, musí být virtuální síť a podsítě v oblastech eastus a westus.
| Oblast Power Platform | oblast Azure |
|---|---|
| USA | eastus (datové centrum), westus (datové centrum) |
| Jihoafrická republika | jihoafrickýsever, jihoafrickýzápad |
| Velká Británie | UK South (Uksouth), UK West (Ukwest) |
| Japonsko | Japonsko-východ, Japonsko-západ |
| India | Centrální Indie, Jižní Indie |
| Francie | francecentral, francesouth |
| Evropa | západní Evropa, severní Evropa |
| Německo | Německosever, Německozápadostřed |
| Švýcarsko | švýcarskosever, švýcarskozápad |
| Kanada | Kanada-Central, Kanada-Východ |
| Brazílie | Jižní Brazílie |
| Australia | Austrálie-jihovýchod, Austrálie-východ |
| Asie | eastasia, southeastasia |
| Spojené arabské emiráty | uaenorth |
| Korea | koreasouth, koreacentral |
| Norsko | norskozápad, norskovýchod |
| Singapur | southeastasia |
| Švédsko | swedencentral |
| Itálie | itálie sever |
| Státní správa USA | usgovtexas, usgovvirginia |
Note
Podpora v cloudu GCC (Us Government Community Cloud) je aktuálně dostupná jenom pro prostředí nasazená v GCC High. Podpora pro prostředí Ministerstva obrany (DoD) a GCC není dostupná.
Podporované služby
Následující tabulka uvádí služby, které podporují delegování podsítě Azure pro podporu Virtual Network pro Power Platform.
| Plocha | Služby Power Platform | dostupnost podpory Virtual Network |
|---|---|---|
| Dataverse | Moduly plugin pro Dataverse | Obecně dostupné |
| Konektory | Obecně dostupné | |
| Konektory | Obecně dostupné |
Podporovaná prostředí
Podpora virtuální sítě pro Power Platform není dostupná pro všechna prostředí Power Platform. Následující tabulka uvádí, které typy prostředí podporují virtuální síť.
| Typ prostředí | Podporováno |
|---|---|
| Výrobní | Ano |
| Default | Ano |
| Izolované prostředí (sandbox) | Ano |
| Developer | Ano |
| Trial | Ne |
| Microsoft Dataverse pro Teams | Ne |
Zvážení pro umožnění podpory Virtual Network pro prostředí Power Platform
Pokud používáte podporu Virtual Network v prostředí Power Platform, všechny podporované služby, jako jsou moduly plug-in a konektory Dataverse, spouštějí žádosti za běhu v delegované podsíti a podléhají vašim zásadám sítě. Volání veřejně dostupných zdrojů se začínají přerušovat.
Important
Než povolíte podporu virtuálního prostředí Power Platform, nezapomeňte zkontrolovat kód modulů plug-in a konektorů. Abyste mohli pracovat s privátním připojením, musíte aktualizovat adresy URL a připojení.
Například modul plug-in se může pokusit připojit k veřejně dostupné službě, ale vaše zásady sítě neumožňují veřejný přístup k internetu v rámci vašeho Virtual Network. Zásady sítě zablokují volání z modulu plug-in. Abyste se vyhnuli zablokovaným voláním, můžete ve svém Virtual Network hostovat veřejně dostupnou službu. Případně pokud je vaše služba hostovaná v Azure, můžete před zapnutím podpory Virtual Network v prostředí Power Platform použít privátní koncový bod ve službě.
Nejčastější dotazy
Jaký je rozdíl mezi bránou dat virtuální sítě a podporou služby Azure Virtual Network pro Power Platform?
Brána dat virtuální sítě je spravovaná brána, kterou používáte pro přístup ke službám Azure a Power Platform z vaší virtuální sítě, aniž byste museli nastavovat místní bránu dat. Brána je například optimalizovaná pro úlohy ETL (extrakce, transformace, načítání) v tocích dat Power BI a Power Platform.
Podpora služby Azure Virtual Network pro Power Platform používá delegování podsítě Azure pro prostředí Power Platform. Podsítě jsou využívány úlohami v prostředí Power Platform. Úlohy rozhraní POWER PLATFORM API používají Virtual Network podporu, protože požadavky jsou krátkodobé a optimalizované pro velký počet požadavků.
Ve kterých scénářích bych měl použít podporu virtuální sítě pro Power Platform a datovou bránu virtuální sítě?
Virtual Network podpora platformy Power Platform je jedinou podporovanou možností pro všechny scénáře odchozího připojení z Power Platform s výjimkou Power BI a toků dat platformy Power Platform.
Power BI a datové toky Power Platform nadále používají bránu dat virtuální sítě (vNet).
Jak můžete zajistit, aby podsíť virtuální sítě nebo brána dat jednoho zákazníka nebyla používána jiným zákazníkem v Power Platform?
Virtuální síťová podpora platformy Power Platform používá delegaci podsítě Azure.
Každé prostředí Power Platform je propojeno s jednou podsítí virtuální sítě. K této virtuální síti mají povolen přístup pouze volání z tohoto prostředí.
Delegování umožňuje určit konkrétní podsíť pro libovolnou Azure platformu jako službu (PaaS), kterou je potřeba vložit do virtuální sítě.
Podporuje služba Virtual Network převzetí služeb při selhání Power Platform?
Ano, virtuální sítě musíte delegovat pro obě Azure oblasti, které jsou přidružené k vaší oblasti Power Platform. Pokud je například vaše prostředí Power Platform v Kanadě, musíte vytvořit, delegovat a nakonfigurovat virtuální sítě v oblastech CanadaCentral a CanadaEast.
Jak se může prostředí Power Platform v jedné oblasti připojit ke zdrojům hostovaným v jiné oblasti?
Virtual Network propojené s prostředím Power Platform musí být umístěné v oblasti prostředí Power Platform. Pokud je virtuální síť v jiné oblasti, vytvořte virtuální síť v oblasti prostředí Power Platform a pomocí propojení virtuálních sítí v delegovaných podsítích Azure oblastí přemostěte rozdíl s virtuální sítí v samostatné oblasti.
Mohu monitorovat odchozí provoz z delegovaných podsítí?
Ano. K monitorování odchozího provozu z delegovaných podsítí můžete použít National Security Group a brány firewall. Další informace najdete v tématu Monitorování služby Azure Virtual Network.
Mohu uskutečňovat hovory přes internet z modulů plug-in nebo konektorů poté, co je moje prostředí delegováno na podsíť?
Ano. Přístup zaměřený na internet je ve výchozím nastavení dostupný z plug-inů a konektorů v delegovaném prostředí podsítě. Doporučujeme připojit službu Azure NAT Gateway k delegované podsíti, aby vaše organizace mohla řídit a zabezpečit odchozí přístup. Další informace najdete v tématu Osvědčené postupy pro zabezpečení odchozích připojení ze služeb Power Platform.
Mohu aktualizovat rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“?
Ne, ne, pokud se funkce používá ve vašem prostředí. Rozsah IP adres podsítě nelze změnit po jejím delegování do „Microsoft.PowerPlatform/enterprisePolicies“. Pokud to uděláte, konfigurace delegování se poruší a prostředí přestane fungovat. Pokud chcete změnit rozsah IP adres, odeberte funkci delegování z vašeho prostředí, proveďte potřebné změny a potom tuto funkci zapněte pro vaše prostředí.
Můžu po delegování na Microsoft.PowerPlatform/enterprisePolicies aktualizovat adresu DNS mého Virtual Network?
Ne, ne, pokud se funkce používá ve vašem prostředí. Po delegování na Microsoft.PowerPlatform/enterprisePolicies nemůžete změnit adresu DNS virtuální sítě. Pokud to uděláte, změna se v konfiguraci nenabídne a vaše prostředí může přestat fungovat. Pokud chcete změnit adresu DNS, odeberte funkci delegování z vašeho prostředí, proveďte potřebné změny a potom tuto funkci zapněte pro vaše prostředí.
Mohu použít stejné podnikové zásady pro více prostředí Power Platform?
Ano. Můžete použít stejné podnikové zásady pro více prostředí Power Platform. Existuje však omezení, že prostředí s cyklem raného vydání nelze použít se stejnými podnikovými zásadami jako jiná prostředí.
Moje Virtual Network má nakonfigurovaný vlastní DNS. Používá Power Platform můj vlastní DNS?
Ano. Power Platform používá vlastní DNS, který je nakonfigurován ve Virtual Network, jež obsahuje delegovanou podsíť pro překlad všech koncových bodů. Po delegování prostředí můžete aktualizovat moduly plug-in, aby používaly správný koncový bod, takže vaše vlastní DNS je může vyřešit.
Moje prostředí má moduly plug-in poskytnuté nezávislým výrobcem softwaru. Běžely by tyto moduly plug-in v delegované podsíti?
Ano. Všechny zákaznické plug-iny a plug-iny ISV můžou běžet v rámci vaší podsítě. Pokud mají moduly plug-in ISV odchozí připojení, může být nutné, aby tyto adresy URL byly uvedeny ve vaší bráně firewall.
Moje certifikáty TLS místního koncového bodu nejsou podepsány známými kořenovými certifikačními autoritami (CA). Podporujete neznámé certifikáty?
Ne. Musíme zajistit, aby koncový bod předkládal certifikát TLS s celým řetězcem. Není možné přidat vlastní kořenovou CA do našeho seznamu známých CA.
Jaké je doporučené nastavení Virtual Network v rámci tenanta zákazníka?
Nedoporučujeme žádnou konkrétní topologii. Naši zákazníci ale široce používají hvězdicovou síťovou topologii v Azure.
Je propojení Azure předplatného s mým tenantem Power Platform nezbytné k aktivaci Virtual Network?
Ano, pokud chcete povolit podporu Virtual Network prostředí Power Platform, je nezbytné mít předplatné Azure přidružené k tenantovi Power Platform.
Jak Power Platform používá delegování podsítě Azure?
Pokud má prostředí Power Platform přiřazenou delegovanou podsíť Azure, použije k vložení kontejneru za běhu do delegované podsítě Azure Virtual Network injektáž. Během tohoto procesu je kartě síťového rozhraní (NIC) kontejneru přidělena adresa IP z delegované podsítě. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port v kontejneru a provoz prochází přes Azure Fabric.
Můžu použít existující Virtual Network pro Power Platform?
Ano, můžete použít existující Virtual Network pro Power Platform, pokud se jedna nová podsíť v rámci Virtual Network deleguje konkrétně na Power Platform. Delegovanou podsíť musíte vyhradit pro delegování podsítě a nemůžete ji použít pro jiné účely.
Mohu stejnou delegovanou podsíť znovu použít ve více podnikových zásadách?
Ne. Stejnou podsíť nemůžete použít opakovaně v několika podnikových zásadách. Každá podniková zásada Power Platform musí mít svou vlastní jedinečnou podsíť pro delegování.
Co je modul plug-in Dataverse?
Modul plug-in Dataverse je kus vlastního kódu, který můžete nasadit v prostředí Power Platform. Tento modul plug-in můžete nakonfigurovat tak, aby běžel během událostí (například při změně dat), nebo ho aktivovat jako vlastní rozhraní API. Další informace najdete v tématu Moduly plug-in Dataverse.
Jak se spustí modul plug-in Dataverse?
Plug-in Dataverse běží v kontejneru. Když přiřadíte delegovanou podsíť prostředí Power Platform, síťová karta kontejneru získá IP adresu z adresního prostoru dané podsítě. Hostitel (Power Platform) a kontejner komunikují přes místní port kontejneru a provoz prochází přes Azure Fabric.
Může v jednom kontejneru běžet více modulů plug-in?
Ano. V daném prostředí Power Platform nebo Dataverse může v rámci stejného kontejneru běžet několik modulů plug-in. Každý kontejner používá jednu IP adresu z adresního prostoru podsítě a každý kontejner může spouštět více požadavků.
Jak infrastruktura zvládá nárůst souběžných spouštění modulů plug-in?
Jak se zvyšuje počet souběžných spuštění modulů plug-in, infrastruktura se automaticky škáluje (ven nebo dovnitř), aby zvládala zatížení. Podsíť delegovaná na prostředí Power Platform by měla mít dostatečný adresní prostor, aby v tomto prostředí Power Platform zvládla maximální počet spuštění.
Kdo řídí zásady Virtual Network a sítě přidružené k němu?
Máte vlastnictví a kontrolu nad virtuální sítí a jejími přidruženými zásadami sítě. Na druhou stranu Power Platform používá přidělené IP adresy z delegované podsítě v rámci této Virtual Network.
Podporují zásuvné moduly s podporou Azure virtuální sítě?
Ne, moduly plug-in s podporou Azure nepodporují Virtual Network.
Další kroky
Nastavit podporu Virtual Network