Oversigt over understøttelse af virtuelle netværk
Med Azure Virtual Network-understøttelse til Power Platform kan du integrere Power Platform med ressourcer i dit virtuelle netværk uden at afsløre dem via det offentlige internet. Virtual Network-support bruger Azure-undernetdelegering til at administrere udgående trafik under kørsel fra Power Platform. Ved hjælp af Azure Subnet-delegering undgår du, at beskyttede ressourcer er tilgængelige via internettet, der skal integreres med Power Platform. Med understøttelse af virtuelt netværk kan komponenter kalde ressourcer, der ejes af din virksomhed, Power Platform på dit netværk, uanset om de hostes i Azure eller i det lokale miljø, og bruge plug-ins og connectorer til at foretage udgående opkald.
Power Platform integreres typisk med virksomhedsressourcer via offentlige netværk. Med offentlige netværk skal der være adgang til virksomhedsressourcer fra en liste over Azure IP-områder eller servicekoder, der beskriver offentlige IP-adresser. Understøttelse af Azure virtuelle netværk til Power Platform giver dig mulighed for at bruge et privat netværk og stadig blive integreret med cloudtjenester eller tjenester, som dit virksomhedsnetværk er vært for.
Azure-tjenester er beskyttet i et virtuelt netværk via private slutpunkter. Du kan bruge Express Route til at hente det lokale miljø ressourcer ind i det virtuelle netværk.
Power Platform bruger det virtuelle netværk og undernet, som du uddelegerede til at foretage udgående kald til virksomhedsressourcer på det private netværk. Ved hjælp af et privat netværk elimineres behovet for at øge trafik over det offentlige internet, hvilket kan afsløre virksomhedsressourcer.
I et virtuelt netværk har du fuld kontrol over udgående trafik fra Power Platform. Trafik er underlagt netværkspolitikker, der anvendes af administrator. I følgende diagram vises, hvordan ressourcer i netværket kommunikerer med et virtuelt netværk.
Virtuelle netværk understøtter fordele
Med understøttelse af Virtual Network kan dine Power Platform og Dataverse komponenter få alle de fordele, som Azure-undernetdelegering giver, f.eks.:
Databeskyttelse: Virtual Network giver tjenester mulighed Power Platform for at oprette forbindelse til dine private og beskyttede ressourcer uden at udsætte dem for internettet.
Ingen uautoriseret adgang: Virtual Network opretter forbindelse til dine ressourcer uden at skulle bruge IP-intervaller Power Platform eller servicekoder i forbindelsen.
Understøttede scenarier
Power Platform aktiverer understøttelse af virtuelle netværk for både Dataverse-plug-ins og connectorer. Med denne understøttelse kan du oprette sikker, privat, udgående forbindelse fra Power Platform til ressourcer i dit virtuelle netværk. Dataverse-plug-ins og connectorer forbedrer dataintegrationssikkerheden ved at oprette forbindelse til eksterne datakilder fra Power Apps-, Power Automate- og Dynamics 365-apps. Du kan f.eks.:
- Brug Dataverse-plug-ins til at oprette forbindelse til dine datakilder i skyen, f.eks. Azure SQL, Azure Storage, Blob Storage eller Azure Key Vault. Du kan beskytte dine data mod dataudtrækning og andre hændelser.
- Brug Dataverse-plug-ins til at oprette sikker forbindelse til private slutpunktsbeskyttede ressourcer i Azure, f.eks. web-API eller ressourcer i dit private netværk, f.eks. SQL og web-API. Du kan beskytte dine data mod databrud og andre eksterne trusler.
- Brug Virtual Network-understøttede connectorer , f.eks. . SQL Server , til at oprette sikker forbindelse til dine cloudbaserede datakilder, f.eks. Azure SQL eller SQL Server, uden at udsætte dem for internettet. På samme måde kan du bruge Azure Queue-connectoren til at oprette sikre forbindelser til private slutpunktsaktiverede Azure-køer.
- Brug Azure Key Vault-connectoren til at oprette sikker forbindelse til privat slutpunktsbeskyttet Azure Key Vault.
- Brug brugerdefinerede connectorer til sikkert at oprette forbindelse til dine tjenester, der er beskyttet af private slutpunkter i Azure eller tjenester, der hostes på dit private netværk.
- Brug Azure File Storage til sikkert at oprette forbindelse til privat, slutpunktsaktiveret Azure-fillager.
Begrænsninger
- Dataverse low-code-plug-ins, der bruger connectorer , understøttes ikke, før disse connector-typer er opdateret til at bruge undernetdelegering.
- Du bruger kopiering, sikkerhedskopiering og gendannelse af miljøers livscyklushandlinger i virtuelle netværks understøttede Power Platform miljøer. Gendannelseshandlingen kan udføres i det samme virtuelle netværk og på tværs af forskellige miljøer, hvis de har forbindelse til det samme virtuelle netværk. Derudover er gendannelseshandlingen tilladt fra miljøer, der ikke understøtter virtuelle netværk, til dem, der gør.
Understøttede områder
Bekræft, at dit Power Platform-miljø- og virksomhedspolitik er i understøttede Power Platform og Azure-områder. Hvis dit Power Platform miljø f.eks. er i USA, skal dit virtuelle netværk og undernet være i Azure-områderne Eastus og Westus .
| Power Platform-område | Azure-område |
|---|---|
| USA | eastus, westus |
| Sydafrika | eouthafricanorth, southafricawest |
| Storbritannien | uksouth, ukwest |
| Japan | japaneast, japanwest |
| Indien | centralindia, southindia |
| Frankrig | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Tyskland | germanynorth, germanywestcentral |
| Schweiz | switzerlandnorth, switzerlandwest |
| Canada | canadacentral, canadaeast |
| Brasilien | brazilsouth, southcentralus |
| Australien | australiasoutheast, australiaeast |
| Asien | eastasia, southeastasia |
| Forenede Arabiske Emirater | uaecentral, uaenorth |
| Korea | koreasouth, koreacentral |
| Norge | norwaywest, norwayeast |
| Singapore | southeastasia |
| Sverige | swedencentral |
Understøttede tjenester
Følgende tabel indeholder de tjenester, der understøtter Azure-undernetdelegering for understøttelse af Virtual Network til Power Platform.
| Areal | Power Platform-servicer | Tilgængelighed af understøttelse af virtuelle netværk |
|---|---|---|
| Dataverse | Dataverse Plug-ins | Generelt tilgængelig |
| Connectors | Generelt tilgængelig |
Overvejelser i forbindelse med at aktivere understøttelse af virtuelle netværk i et Power Platform-miljø
Når du bruger Virtual Network-understøttelse i et Power Platform miljø, udfører alle understøttede tjenester, f.eks. Dataverse plug-ins og connectorer, anmodninger på kørselstidspunktet i dit delegerede undernet og er underlagt dine netværkspolitikker. Opkaldene til offentligt tilgængelige ressourcer vil begynde at blive afbrudt.
Vigtigt
Før du aktiverer understøttelse af det virtuelle miljø for Power Platform miljøet, skal du kontrollere koden for plug-ins og connectorerne. URL-adresserne og forbindelserne skal opdateres, så de fungerer sammen med private forbindelser.
En plug-in kan f.eks. forsøge at oprette forbindelse til en offentligt tilgængelig tjeneste, men din netværkspolitik tillader ikke offentlig internetadgang i dit virtuelle netværk. Opkaldet fra plug-in'en blokeres i overensstemmelse med netværkspolitikken. Du kan undgå det blokerede opkald ved at hoste den offentligt tilgængelige tjeneste i det virtuelle netværk. Hvis din tjeneste hostes i Azure, kan du også aktivere et privat slutpunkt i tjenesten, før du aktiverer understøttelse af virtuelle netværk i Power Platform-miljøet.
OFTE STILLEDE SPØRGSMÅL
Hvad er forskellen på en virtuel netværksdata gateway og Azure Virtual Network-understøttelse for Power Platform?
Den virtuelle netværksdata gateway er en administreret gateway, der giver dig adgang til Azure og Power Platform-tjenester fra dit virtuelle netværk uden en lokal miljødata-gateway. Gatewayen er f.eks. optimeret til ETL-opgaver (udtrække, transformere, indlæse) i Power BI og Power Platform dataflow.
Understøttelse af Azure Virtual Network for Power Platform bruger en Azure-undernetdelegering til dit Power Platform-miljø. Undernet bruges af arbejdsbelastninger i Power Platform-miljøet. Understøttelse af virtuelle netværk bruges til Power Platform API-arbejdsbelastninger, da forespørgslerne kun findes i kort tid, og det er optimeret til et stort antal forespørgsler.
I hvilke scenarier skal jeg bruge understøttelse af virtuelle netværk til Power Platform og datagatewayen til virtuelle netværk?
Understøttelse af virtuelle netværk til Power Platform er den eneste understøttede mulighed i alle scenarier for udgående forbindelse fra Power Platform, undtagen Power BI- og Power Platform-dataflows.
Power BI og dataflow Power Platform fortsætter med at bruge virtual network (vNet) datagateway .
Hvordan kan du sikre, at et virtuelt netværksundernet eller en data gateway fra en kunde ikke bruges af en anden kunde i Power Platform?
Understøttelse af Virtual Network for Power Platform bruger Azure-undernetdelegering.
De enkelte Power Platform-miljøer er knyttet til ét virtuelt netværksundernet. Det er kun opkald fra det pågældende miljø, der har adgang til det pågældende virtuelle netværk.
Ved hjælp af uddelegering kan du angive et bestemt undernet til en Azure PaaS-tjeneste efter eget valg, der skal indsættes i dit virtuelle netværk.
Understøtter Virtuelt netværk for Power Platform-failover?
Ja, du skal uddelegere et primært virtuelt netværk og et virtuelt failovernetværk og undernet under installationen.
Hvordan kan et Power Platform-miljø i ét område oprette forbindelse til ressourcer i et andet område?
Et virtuelt netværk, der er knyttet til et Power Platform-miljø, skal være placeret i Power Platform-miljøets område. Hvis det virtuelle netværk er i et andet område, skal du oprette et virtuelt netværk i Power Platform-miljøets område og bruge det virtuelle netværks peering til at skabe bro mellem de to områder.
Kan jeg overvåge udgående trafik fra uddelegerede undernet?
Ja. Du kan bruge netværkssikkerhedsgruppen og/eller firewalls til at overvåge udgående trafik fra delegerede undernet.
Hvor mange IP-adresser kræver Power Platform, at undernet uddelegeres?
Der kræves mindst 24 Classless Inter-Domain Routing (CIDR) eller 255 IP-adresser i det undernet, der er uddelegeret til . Hvis du vil uddelegere det samme undernet til flere miljøer, skal du muligvis klargøre flere IP-adresser i det pågældende undernet.
Kan jeg foretage internetbundne opkald fra plug-ins eller connectorer, når mit miljø er uddelegeret til et undernet?
Ja. Du kan foretage internetbundne kald fra plug-ins eller connectorer, men undernettet skal konfigureres med en Azure NAT-gateway.
Kan jeg opdatere IP-adresseintervallet for undernettet, efter at det er delegeret til "Microsoft. PowerPlatform/enterprisePolicies"?
Nej. Du kan ikke ændre IP-adresseområdet for undernettet, når det er delegeret til "Microsoft. PowerPlatform/enterprisePolicies."
Mit virtuelle netværk har en brugerdefineret DNS konfigureret. Bruger Power Platform min brugerdefinerede DNS?
Ja. Power Platform bruger den brugerdefinerede DNS i det virtuelle netværk, som indeholder det uddelegerede undernet, til at fortolke alle slutpunkter. Når miljøet er uddelegeret, kan du opdatere plug-in'en, så den bruger den slutpunkt, så den brugerdefinerede DNS kan løse dem.
Mit miljø har ISV-angivne plug-ins. Ville disse plug-ins køre på det uddelegerede undernet?
Ja. Alle kunde-plug-ins og ISV-plug-ins kan køre ved hjælp af undernet. Hvis ISV-plug-ins har udgående forbindelse, skal disse URL-adresser muligvis vises i din firewall.
Mine lokale slutpunkt TLS-certifikater er ikke signeret af velkendte rod-certificeringsmyndigheder (CA). Understøtter du ukendte certifikater?
Nej. Vi skal sikre, at slutpunkt præsenterer et TLS-certifikat med det fuldstændige certifikat. Det er ikke muligt at føje dit brugerdefinerede rodnøglecenter til listen over kendte nøglecentercertifikater.
Hvad er den anbefalede konfiguration af et virtuelt netværk i en kundelejer?
Vi anbefaler ikke nogen specifik topologi. Men vores kunder anvender hubben og den talte topologinetværksmodel.
Er det nødvendigt at knytte et Azure-abonnement til min Power Platform-lejer for at aktivere Virtual Network?
Ja, hvis du vil aktivere understøttelse af Virtual Network til Power Platform-miljøer, er det vigtigt, at der er knyttet et Azure-abonnement til Power Platform-lejeren.
Hvordan bruger Power Platform delegering af Azure-undernet?
Når et Power Platform-miljø er tildelt et uddelegeret Azure-undernet, bruges injektion af Azure Virtual Network til at injicere objektbeholderen på kørselstidspunktet i et uddelegeret undernet. I denne proces tildeles et NIC-kort (Network Interface Card) for objektbeholderen en IP-adresse fra det uddelegerede undernet. Kommunikationen mellem værten (Power Platform) og objektbeholderen sker via en lokal port på objektbeholderen, og trafikken flyder via Azure Fabric.
Kan jeg bruge et eksisterende virtuelt netværk til Power Platform?
Ja, du kan bruge et eksisterende virtuelt netværk til Power Platform, så længe et enkelt, nyt undernet i det virtuelle netværk er uddelegeret specifikt til Power Platform. Det er vigtigt at være opmærksom på, at dette uddelegerede undernet ikke skal være vært for andre tjenester.
Kan jeg bruge Det østlige USA 2 som failover, hvis jeg har mit Power Platform-miljø i Canada?
Hvis du vil sikre korrekt failover, skal de primære undernet og failoverundernettene være klargjort i henholdsvis canadacentral og canadaeast. Hvis du vil sikre effektiv failover, skal du oprette de primære undernet og failoverundernettene i henholdsvis canadacentral og canadaeast. Hvis du vil understøtte forbindelse med ressourcer i useast2-området , skal du desuden oprette Virtual Network-peering mellem det primære netværk og failover-virtuelle netværk, herunder Virtual Network i useast2-området .
Hvad er en Dataverse-plug-in?
En Dataverse-plug-in er brugerdefineret kode, der kan installeres i et Power Platform-miljø. Denne plug-in kan konfigureres til at køre under hændelser (f.eks. en ændring i data) eller udløses som en brugerdefineret API. Få mere at vide: Dataverse-plug-ins
Hvordan køres en Dataverse-plug-in?
En Dataverse-plug-in arbejder i en objektbeholder. Når et Power Platform-miljø tildeles et uddelegeret undernet, tildeles der en IP-adresse fra det pågældende undernets adresseområde til NIC-kortet (Network Interface Card) i objektbeholderen. Kommunikation mellem værten (Power Platform) og objektbeholderen sker via en lokal port på objektbeholderen, og trafikken flyder via Azure Fabric.
Kan flere plug-ins køre i samme objektbeholder?
Ja. I et givet Power Platform- eller Dataverse-miljø kan flere plug-ins sagtens arbejde i samme objektbeholder. Hver objektbeholder forbruger én IP-adresse fra adresseområdet i undernettet, og hver objektbeholder kan udføre flere forespørgsler.
Hvordan håndterer infrastrukturen en stigning i samtidige kørsler af plug-ins?
Efterhånden som antallet af samtidige kørsler af plug-ins stiger, udfører infrastrukturen automatisk autoskalering (ud eller ind), så der er plads til belastningen. Det undernet, der er uddelegeret til et Power Platform-miljø, skal have tilstrækkelige adresseområder til at håndtere det maksimale antal kørsler for arbejdsbelastningerne i det pågældende Power Platform-miljø.
Hvem styrer det virtuelle netværk og de netværkspolitikker, der er knyttet til det?
Som kunde har du ejerskab og kontrol over det virtuelle netværk og dets tilknyttede netværkspolitikker. Power Platform anvender på den anden side de tildelte IP-adresser fra det uddelegerede undernet i det pågældende virtuelle netværk.
Understøtter Azure-bevidste plug-ins Virtual Network?
Nej, Azure-bevidste plug-ins understøtter ikke Virtual Network.