הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
Power Platform תומכת בשימוש ברשת וירטואלית Azure כדי לגשת למשאבים בתוך הרשת הווירטואלית שלכם בלי לחשוף אותם לאינטרנט הציבורי.
עצה
מאמר זה מספק תרחיש לדוגמה וארכיטקטורה כללית לדוגמה כדי להמחיש כיצד לאבטח את הגישה של Power Platform למשאבי Azure באמצעות Azure Virtual Network. ניתן לשנות את הארכיטקטורה לדוגמה עבור תרחישים ותעשיות רבות ושונות.
תרשים ארכיטקטורה
Workflow
השלבים הבאים מתארים את זרימת העבודה המוצגת בדיאגרמת הארכיטקטורה לדוגמה:
יישום ניהול אירועים: יישום בד ציור או יישום מונחה-דגמים של Power Apps משתמש במחבר Power Platform מותאם אישית כדי לגשת למסד נתונים או לשירות עורפי המתארח ב- Azure. קביעת התצורה מנוהלת ברמת הסביבה כדי להתחבר לרשת וירטואלית ספציפית של Azure כנדרש. לדוגמה, ייתכן שסביבת הפיתוח לא תצטרך להשתמש ברשת וירטואלית, אך סביבות בדיקה והפקה כן.
בקשת חיפוש: בקשת חיפוש מהאפליקציה עושה שימוש במחבר מותאם אישית של Power Platform כדי לגשת ל- API העורפי שמתארח ב- Azure.
הרשאת בקשה: ה-API העורפי מאובטח על-ידי Microsoft Entra ID, ו- Microsoft Entra ID מאמת את המשתמש ליישום. המחבר משתמש ב- OAuth לאישור גישת המשתמש ל- API העורפי. המחבר מקבל את מזהה הלקוח ואת הסוד מ- Azure Key Vault באמצעות משתני הסביבה של Power Platform.
גישה לרשת: ה- API העורפי מתארח ברשת וירטואלית Azure ואינו מאפשר גישה לרשת הציבורית. הרשת הווירטואלית מקצה רשת משנה עבור סביבת Power Platform, ומאפשרת לבקשת ה- API ולתגובה לחצות את הרשת בלי להשתמש ברשת הציבורית של Azure.
חיפוש API עורפי: ה- API העורפי מקבל את בקשת החיפוש ומבצע חיפוש במסד נתונים בהקשר של המשתמש שהגיש את הבקשה.
רכיבים
סביבת Power Platform: מכילה את משאבי Power Platform. הסביבה היא הגבול לגישה לנתונים ולאבטחה. ניתן להגדיר סביבות Power Platform לשימוש בשילוב Azure Virtual Network, המאפשר למשאבי Power Platform לקיים תקשורת עם משאבי Azure ברשת וירטואלית.
Power Apps: יישום חוויית המשתמש של הפתרון. משתמשים נכנסים ליישום בד ציור או יישום מונחה-דגמים באמצעות Microsoft Entra ID.
מחברים מותאמים אישית של Power Platform: הגדרת הפעולות הזמינות ליישומי Power Platform מהשירותים שאליהם הם מתחברים.
Azure Virtual Network: תמיכה בקישוריות היברידית עם רשת מקומית ועם יכולות רשת נוספות של Azure כדי לספק רשת וירטואלית בענן. רשתות וירטואליות יכולות להקצות רשת משנה למשאבי Power Platform, ולאפשר ל- Power Platform ולמשאבי Azure לקיים אינטראקציה ברשת פרטית בלי לשלוח תעבורה ברשתות ציבוריות.
Azure Key Vault: מאחסן את האישורים הדרושים כדי להתחבר לממשקי API עורפיים באמצעות OAuth. בדומה לממשקי ה- API העורפיים, משאבי Power Platform ניגשים ל- Azure Key Vault דרך הרשת הווירטואלית.
פרטי תרחיש
ארגונים עם צורכי אבטחה גבוהים חייבים להבטיח תקשורת בטוחה בין מערכות פנימיות לשירותי ענן. השתמשו בבקרות אבטחה זמינות ושלבו רשתות וירטואליות בין Power Platform למשאבי Azure כחלק מארכיטקטורת הפתרון שלכם.
יישום בקרות אבטחת רשת בין רכיבי יישום מציב לעתים קרובות אתגרים, במיוחד כאשר הם נמצאים ברמות שונות של הפשטה טכנולוגית. עם Azure Virtual Network, תוכלו לבנות פתרונות באמצעות Power Platform ורכיבי Azure ללא המורכבות של פתרון מרובה רשתות טיפוסי. הארכיטקטורה לדוגמה משתמשת בהקצאת רשת משנה של רשת וירטואלית כדי לאפשר ל- Power Platform ולמשאבי Azure לעבוד יחד בפתרונות המשתמשים בחוזקות של שני המוצרים בלי להתפשר על פשטות ואבטחה.
שיקולים
שיקולים אלה מיישמים את עמודי התווך של Power Platform Well-Architected, מערכת של עקרונות מנחים המשפרים את איכות עומס העבודה. מידע נוסף: Microsoft Power Platform Well-Architected.
מהימנות
יתירות: התשתית של Power Platform בנויה לשימוש באזור ראשי ובאזור מעבר לגיבוי בעת כשל ללא פעולה מפורשת של הלקוח. לדוגמה, אם סביבת Power Platform שלכם נמצאת במערב ארה"ב, אזור מעבר לגיבוי בעת כשל הוא מזרח ארה"ב. כדי להשיג את החוסן הטוב ביותר, הגדירו רשת וירטואלית בשני אזורי Azure מתואמים וצרו חיבור עמיתים ביניהם. הגדרה זו מאפשרת מעבר חלק לגיבוי בעת כשל של משאבי Azure במקרה של אסון. למידע נוסף בנושא המשכיות עסקית ושחזור מאסונות ותרחישים לדוגמה עבור הגדרה ותצורה של רשת וירטואלית.
אבטחה
בקרת גישה לנתונים: ממשקי ה- API, מאגר הנתונים ומשאבי Azure אחרים עבור הפתרון מבודדים ונגישים רק מיישומים הפועלים בסביבת Power Platform המחוברת לרשת הווירטואלית.
סגמנטציה מכוונת וגבולות: שילוב של Azure Virtual Network מאפשר ל-Power Platform ולמשאבי Azure לתקשר בצורה מאובטחת, בבידוד מהפרעות אחרות ברשת ענן. הגדרה זו מונעת מסביבות ברמה נמוכה יותר, כגון סביבות פיתוח, להתחבר בטעות למשאבי בדיקה או ייצור של Azure, ובכך מסייעת לשמור על מחזור חיים מאובטח של פיתוח. כאשר הרשת הווירטואלית מוגדרת בסביבת Power Platform, אתם שולטים בתעבורה היוצאת מ- Power Platform. מידע נוסף: שיטות עבודה מומלצות לאבטחת חיבורים יוצאים משירותי Power Platform.
הצפנה: נתונים העוברים מ- Power Platform לשירותי Azure ברשת הווירטואלית אינם עוברים באינטרנט הציבורי.
מצוינות תפעולית
ניהול מחזור חיים של יישום (ALM): השילוב מוגדר ברמת הסביבה של Power Platform. רשתות וירטואליות תואמות של Azure מהוות אזור נחיתה שלם עבור הפתרון כולו ויכולות לבודד שלבי פיתוח, בדיקה וייצור או שלבי מחזור חיים ספציפיים בתהליכי ALM של הארגון שלכם.
יעילות ביצועים
איסוף נתוני ביצועים: שירות Azure Monitor אוסף וצובר מדדים ויומנים מכל רכיב במערכת שלכם, ומספק לכם תצוגה של זמינות, ביצועים וגמישות. מידע נוסף על ניטור הרשת הווירטואלית של Azure.
משתתפים
תחזוקת המאמר הזה מתבצעת על-ידי Microsoft. המחברים הבאים תרמו למאמר הזה.
מחברים ראשיים:
- Rahul Kannathusseril, מנהל תוכניות ראשי
- הנרי לואו, מנהל תוכנית בכיר
השלבים הבאים
בצעו שלבים ברמה גבוהה אלה כדי לבנות פתרון מקצה לקצה:
צרו REST API המתארח ב- Azure באמצעות הטכניקה המועדפת עליכם. הגנו על ה- API באמצעות Microsoft Entra ID. קבלו מידע נוסף בנושא הגדרת יישום App Service או Azure Functions לשימוש בכניסת Microsoft Entra.
צרו משתני סביבת Power Platform כדי לשמור את מזהה הלקוח ואת הסוד מ- Azure Key Vault. מידע נוסף ניתן למצוא בנושא שימוש במשתני סביבה עבור סודות Azure Key Vault.
כיצד ליצור מחבר מותאם אישית עבור ה- API. תחילת העבודה עם ערכת לימוד.
הגדירו את המחבר המותאם אישית לשימוש ב- OAuth 2.0 עם Azure Active Directory (Microsoft Entra ID) והפעילו תמיכה של מנהל שירות.
הגדירו את מזהה הלקוח ואת סוד הלקוח לשימוש בערכים ממשתני הסביבה שיצרתם בשלב 2.
צרו יישום בד ציור ב- Power Apps כדי לספק ממשק חיפוש.
