Přehled podpory Virtual Network pro Power Platform
S podporou Azure Virtual Network pro Power Platform můžete integrovat Power Platform s prostředky ve vaší virtuální síti, aniž by došlo k jejich odhalení přes veřejný internet. Podpora Virtual Network používá Delegování podsítě Azure pro správu odchozího provozu z Power Platform za běhu. Pomocí delegování podsítě Azure se vyhnete nutnosti mít chráněné prostředky dostupné přes internet pro integraci s Power Platform. Díky podpoře virtuální sítě mohou komponenty Power Platform volat prostředky vlastněné vaším podnikem ve vaší síti, ať už jsou hostované v Azure nebo místní, a používat zásuvné moduly a konektory (náhled) k odchozím voláním.
Power Platform se typicky integruje s podnikovými prostředky prostřednictvím veřejných sítí. U veřejných sítí musí být podnikové prostředky přístupné ze seznamu rozsahů Azure IP nebo značek služeb, které popisují veřejné IP adresy. Nicméně podpora Azure Virtual Network pro Power Platform vám umožňuje používat privátní síť a přesto integrovat s cloudovými službami nebo službami hostovanými v rámci vaší podnikové sítě.
Služby Azure jsou chráněny uvnitř Virtual Network pomocí privátních koncových bodů. Můžete použít expresní trasu k přenesení místních prostředků uvnitř Virtual Network.
Power Platform používá Virtual Network a podsítě, které delegujete, k provádění odchozích volání do podnikových prostředků prostřednictvím podnikové privátní sítě. Použití privátní sítě eliminuje potřebu směrovat provoz přes veřejný internet, což by mohlo odhalit podnikové prostředky.
Ve Virtual Network máte plnou kontrolu nad odchozím provozem z Power Platform. Provoz podléhá síťovým zásadám aplikovaným správcem sítě. Následující schéma ukazuje, jak prostředky uvnitř vaší sítě interagují s Virtual Network.
Výhody podpory Virtual Network
S podporou Virtual Network získají vaše komponenty Power Platform a Dataverse všechny výhody, které delegování podsítě Azure poskytuje, jako je:
Ochrana dat: Virtual Network umožňuje službám Power Platform připojit se k vašim soukromým a chráněným zdrojům, aniž by byly vystaveny internetu.
Žádný neautorizovaný přístup: Virtual Network se připojí k vašim zdrojům, aniž by při připojení potřebovala rozsahy IP nebo servisní značky Power Platform.
Podporované scénáře
Power Platform umožňuje podporu Virtual Network pro moduly plug-in a konektory Dataverse (preview). S touto podporou můžete vytvořit zabezpečené, soukromé, odchozí připojení z Power Platform k prostředkům ve vaší Virtual Network. Moduly plug-in a konektory Dataverse (preview) zvyšují zabezpečení integrace dat připojením k externím zdrojům dat z aplikací Power Apps, Power Automate a Dynamics 365. Umožňují například následující:
- Pomocí modulů plug-in Dataverse se můžete připojit ke cloudovým zdrojům dat, jako je Azure SQL, Azure Storage, úložiště objektů blob nebo Azure Key Vault. Svá data můžete chránit před exfiltrací a dalšími incidenty.
- Pomocí modulů plug-in Dataverse se bezpečně připojíte k soukromým prostředkům chráněným koncovým bodem v Azure, jako je webové rozhraní API nebo jakékoli prostředky v rámci vaší privátní sítě, jako je SQL nebo webové rozhraní API. Svá data můžete chránit před proniknutím jejich ochranou a dalšími externími hrozbami.
- Pomocí konektorů podporovaných službou Virtual Network (preview) jako SQL Server (preview) se můžete bezpečně připojit ke zdrojům dat hostovaným v cloudu, jako je Azure SQL nebo SQL Server, aniž by byly vystaveny prostředí internetu. Podobně můžete použít konektor Azure Queue (preview) k navázání zabezpečených připojení k soukromým frontám Azure Queue s povoleným koncovým bodem.
- Pomocí konektoru Azure Key Vault (preview) se můžete bezpečně připojte k soukromému úložišti Azure Key Vault chráněnému koncovým bodem.
- Pomocí HTTP s Microsoft Entra ID (preview) se můžete bezpečné připojit ke službě ověřování pomocí Microsoft Entra ID.
- Pomocí vlastních konektorů (preview) se můžete bezpečně připojit k vašim službám chráněným privátními koncovými body v Azure nebo službami hostovanými ve vaší privátní síti.
Omezení
- Moduly plug-in Dataverse s minimem kódu, které používají konektory, nejsou podporovány, dokud nebudou tyto typy konektorů aktualizovány tak, aby používaly delegování podsítě.
- Používáte operace kopírování, zálohování a obnovy životního cyklu prostředí v prostředí Power Platform s podporou virtuální sítě. Operaci obnovení lze provést v rámci stejné virtuální sítě a také v různých prostředích za předpokladu, že jsou připojeni ke stejné virtuální síti. Operace obnovy je navíc přípustná z prostředí, která nepodporují virtuální sítě, do těch, která je podporují.
Podporované oblasti
Ujistěte se, že prostředí Power Platform a podnikové zásady jsou v podporovaných oblastech Power Platform a Azure. Pokud je například vaše prostředí Power Platform ve Spojených státech, Virtual Network, podsítě a podnikové zásady musí být v oblasti Azure eastus nebo westus.
| Oblast Power Platform | Oblast Azure |
|---|---|
| USA | eastus, westus |
| Jihoafrická republika | eouthafricanorth, southafricawest |
| Spojené království | uksouth, ukwest |
| Japonsko | japaneast, japanwest |
| Indie | centralindia, southindia |
| Francie | francecentral, francesouth |
| Evropě | westeurope, northeurope |
| Německo | germanynorth, germanywestcentral |
| Švýcarsko | switzerlandnorth, switzerlandwest |
| Kanada | canadacentral, canadaeast |
| Brazílie | brazilsouth, southcentralus |
| Austrálie | australiasoutheast, australiaeast |
| Asie | eastasia, southeastasia |
| UAE | uaecentral, uaenorth |
| Korea | koreasouth, koreacentral |
| Nersko | norwaywest, norwayeast |
| Singapur | southeastasia |
| Švédsko | swedencentral |
Podporované služby
V následující tabulce jsou uvedeny služby, které podporují delegování podsítě Azure v rámci podpory Virtual Network pro Power Platform.
| Plocha | Služby Power Platform | Dostupnost podpory Virtual Network |
|---|---|---|
| Dataverse | Moduly plug-in Dataverse | Obecně dostupné |
| Spojnice | Preview |
Požadavky na licencování
Podpora virtuální sítě pro Power Platform je vynucena pouze v prostředích, která jsou aktivována pro spravovaná prostředí. Spravovaná prostředí jsou zahrnuta jako nárok v samostatných licencích Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages a Dynamics 365, které poskytují prémiová práva na užívání. Další informace o licencování ve Spravovaném prostředí naleznete v přehledu licencí pro Microsoft Power Platform.
Kromě toho přístup k používání podpory virtuální sítě pro Power Platform vyžaduje, aby uživatelé v prostředích, kde je povolena virtuální síť, měli jedno z těchto předplatných:
- Microsoft 365 nebo Office 365 A5/E5/G5
- Dodržování předpisů Microsoft 365 A5/E5/F5/G5
- Zabezpečení a dodržování předpisů Microsoft 365 F5
- Microsoft 365 A5/E5/F5/G5 Ochrana a správa informací
- Správa insiderských rizik Microsoft 365 A5/E5/F5/G5
Přečtěte si další informace o těchto licencích
Důležité informace o povolení podpory Virtual Network v prostředí Power Platform
Když použijete podporu Virtual Network v prostředí Power Platform, všechny podporované služby, jako jsou moduly plug-in a konektory Dataverse (preview), provádějí požadavky za běhu ve vaší delegované podsíti a podléhají zásadám vaší sítě. Volání po veřejně dostupných prostředcích by se začala rozpadat.
Důležité
Než povolíte podporu virtuálního prostředí pro prostředí Power Platform, ujistěte se, že jste zkontrolovali kód modulů plug-in a konektorů (preview). Adresy URL a připojení je třeba aktualizovat, aby fungovaly se soukromým připojením.
Modul plug-in se například může pokusit připojit k veřejně dostupné službě, ale vaše síťové zásady nepovolují veřejný přístup k internetu ve Virtual Network. Volání z modulu plug-in je blokováno v souladu s vašimi síťovými zásadami. Chcete-li se vyhnout blokovanému volání, ve Virtual Network můžete hostovat veřejně dostupnou službu. Alternativně, pokud je vaše služba hostována v Azure, můžete použít privátní koncový bod ve službě, než zapněte podporu Virtual Network v prostředí Power Platform.
Často kladené dotazy
Jaký je rozdíl mezi bránou dat virtuální sítě a podporou Azure Virtual Network pro Power Platform?
Brána dat virtuální sítě je spravovaná brána, která umožňuje přistupovat k službám Azure a Power Platform z vaší virtuální sítě bez nutnosti nastavovat místní bránu dat. Brána je například optimalizována pro úlohy ETL (extrakce, přenos, načtení) v tocích dat Power BI a Power Platform.
Podpora Azure Virtual Network pro Power Platform používá delegování podsítě Azure pro vaše prostředí Power Platform. Podsítě jsou využívány úlohami v prostředí Power Platform. Úlohy rozhraní API pro Power Platform používají podporu Virtual Network, protože požadavky jsou krátkodobé a jsou optimalizovány pro velký počet požadavků.
V jakých situacích bych měl používat podporu Virtual Network pro Power Platform a pro bránu dat virtuální sítě?
Podpora služby Virtual Network pro Power Platform je jedinou podporovanou možností ve všech situacích odchozího připojení z Power Platform kromě Power BI a datových toků Power Platform.
Datové toky Power BI a Power Platform nadále používají bránu dat virtuální sítě (vNet).
Jak můžete zajistit, aby podsíť virtuální sítě nebo brána dat jednoho zákazníka nebyla používána jiným zákazníkem v Power Platform?
Podpora Virtual Network pro Power Platform používá delegování podsítě Azure.
Každé prostředí Power Platform je propojeno s jednou podsítí virtuální sítě. K této virtuální síti mají povolen přístup pouze volání z tohoto prostředí.
Delegování umožňuje určit konkrétní podsíť pro libovolnou platformu jako službu (PaaS) Azure, kterou chcete vložit do virtuální sítě.
Podporuje Virtual Network pro Power Platform převzetí služeb při selhání?
Ano, během instalace musíte delegovat primární virtuální síť a virtuální síť pro převzetí služeb při selhání a podsítě.
Jak se může prostředí Power Platform v jedné oblasti připojit ke zdrojům hostovaným v jiné oblasti?
Služba Virtual Network propojená s prostředím Power Platform se musí nacházet v oblasti prostředí Power Platform. Pokud se Virtual Network nachází v jiné oblasti, vytvořte novou Virtual Network v oblasti prostředí Power Platform a použijte partnerský vztah Virtual Network k přemostění dvou oblastí.
Mohu monitorovat odchozí provoz z delegovaných podsítí?
Ano. K monitorování odchozího provozu z delegovaných podsítí můžete použít National Security Group a brány firewall.
Kolik IP adres vyžaduje Power Platform, aby mohla být delegována v podsíti?
V podsíti musíte delegovat alespoň 24 mezidoménových směrování bez tříd (CIDR) nebo 255 IP adres. Chcete-li delegovat stejnou podsíť do více prostředí, možná budete v této podsíti potřebovat více IP adres.
Mohu provádět volání vázané na internet z modulů plug-in po delegování prostředí pro podsíť?
Ano. Pomocí modulů plug-in můžete provádět volání z modulů plug-in vázaná na internet, ale podsíť musí být konfigurována s bránou Azure NAT.
Mohu aktualizovat rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“?
Č. Nemůžete změnit rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“.
Moje Virtual Network má nakonfigurovánu vlastní DNS. Používá Power Platform můj vlastní DNS?
Ano. Power Platform používá vlastní DNS nakonfigurovanou ve Virtual Network, která obsahuje delegovanou podsíť, k rozpoznání všech koncových bodů. Jakmile je prostředí delegováno, můžete aktualizovat moduly plug-in, aby používaly správný koncový bod, aby je vaše vlastní DNS dokázala rozpoznat.
Moje prostředí má moduly plug-in poskytnuté nezávislým výrobcem softwaru. Běžely by tyto moduly plug-in v delegované podsíti?
Ano. Všechny zákaznické moduly plug-in a moduly ISV lze spustit pomocí vaší podsítě. Pokud mají moduly plug-in ISV odchozí připojení, může být nutné, aby tyto adresy URL byly uvedeny ve vaší bráně firewall.
Moje certifikáty TLS místního koncového bodu nejsou podepsány známými kořenovými certifikačními autoritami (CA). Podporujete neznámé certifikáty?
Č. Musíme zajistit, aby koncový bod předkládal certifikát TLS s celým řetězcem. Není možné přidat vlastní kořenovou CA do našeho seznamu známých CA.
Jaké je doporučené nastavení služby Virtual Network v rámci zákaznického klienta?
Nedoporučujeme žádnou konkrétní topologii. Naši zákazníci však široce využívají model sítě s topologií rozbočovačů a paprsků.
Je k aktivaci služby Virtual Network nutné propojení předplatného Azure s mým klientem Power Platform?
Ano, pro aktivaci podpory služby Virtual Network v prostředí Power Platform je nezbytné předplatné Azure propojené s klientem Power Platform.
Jak Power Platform využívá delegování podsítě Azure?
Když má prostředí Power Platform přiřazenu delegovanou podsíť Azure, používá injektáž Azure Virtual Network pro vložení kontejneru za běhu do delegované podsítě. Během tohoto procesu je kartě síťového rozhraní (NIC) kontejneru přidělena adresa IP z delegované podsítě. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Mohu využít existující Virtual Network pro Power Platform?
Ano, můžete využít existující Virtual Network pro Power Platform, pokud je jedna nová podsíť v rámci služby Virtual Network delegována konkrétně na Power Platform. Je důležité vědět, že tato delegovaná podsíť nesmí hostovat žádné další služby.
Mohu použít US East 2 jako převzetí služeb při selhání, pokud mám své prostředí Power Platform v Kanadě?
Aby bylo zajištěno správné převzetí služeb při selhání, musí být primární a záložní podsítě zřízeny v oblastech canadacentral a canadaeast. Aby bylo zajištěno efektivní převzetí služeb při selhání, vytvořte primární a záložní podsítě v oblastech canadacentral a canadaeast. Kromě toho vytvořte partnerský vztah Virtual Network mezi primární Virtual Network a Virtual Network pro převzetí služeb při selhání, včetně Virtual Network v oblasti useast2 pro připojení.
Co je modul plug-in Dataverse?
Modul plug-in Dataverse je kousek vlastního kódu, který lze nasadit do prostředí Power Platform. Tento modul plug-in lze nakonfigurovat tak, aby se spouštěl během událostí (jako je změna dat) nebo jako vlastní rozhraní API. Další informace: Moduly plug-in Dataverse
Jak se spustí modul plug-in Dataverse?
Modul plug-in Dataverse funguje v kontejneru. Když je prostředí Power Platform přiřazena delegovaná podsíť, IP adresa z adresního prostoru této podsítě je přidělena kartě síťového rozhraní (NIC) kontejneru. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Může v jednom kontejneru běžet více modulů plug-in?
Ano. V daném prostředí Power Platform nebo Dataverse může v rámci stejného kontejneru skutečně fungovat více modulů plug-in. Každý kontejner spotřebovává jednu IP adresu z adresního prostoru podsítě a každý kontejner může provádět více požadavků.
Jak infrastruktura zvládá nárůst souběžných spouštění modulů plug-in?
Jak se zvyšuje počet souběžných spuštění modulů plug-in, infrastruktura se automaticky škáluje (ven nebo dovnitř), aby zvládala zatížení. Podsíť delegovaná na prostředí Power Platform by měla mít dostatečný adresní prostor, aby v tomto prostředí Power Platform zvládla maximální počet spuštění.
Kdo řídí službu Virtual Network a síťové zásady s ní spojené?
Jako zákazník máte vlastnictví a kontrolu nad službou Virtual Network a s ní souvisejícími síťovými zásadami. Oproti tomu Power Platform využívá přidělené IP adresy z delegované podsítě v rámci této Virtual Network.
Jak mohu nakonfigurovat podporu Virtual Network v prostředích Power Platform pro vývoj/testování bez použití dvou samostatných Virtual Network v různých oblastech Azure?
Pro produkční úlohy je potřeba jedna virtuální síť a jedna vyhrazená podsíť v každé z vašich primárních a sekundárních oblastí Azure, aby bylo zajištěno správné převzetí služeb při selhání. Pro vývojová/testovací prostředí však doporučujeme jednu virtuální síť spolu se dvěma vyhrazenými podsítěmi Power Platform.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro