Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usando il supporto di Rete virtuale di Azure per Power Platform, è possibile integrare Power Platform con risorse all'interno della rete virtuale senza esporle tramite la rete Internet pubblica. Il supporto di Rete virtuale utilizza la delega della subnet di Azure per gestire il traffico in uscita da Power Platform al runtime. Usando la delega subnet di Azure, le risorse protette non devono essere disponibili tramite Internet per l'integrazione con Power Platform. Usando il supporto della rete virtuale, i componenti di Power Platform possono chiamare le risorse di proprietà dell'azienda all'interno della rete, indipendentemente dal fatto che siano ospitate in Azure o in locale e usare plug-in e connettori per effettuare chiamate in uscita.
Power Platform si integra generalmente con le risorse aziendali su reti pubbliche. Con le reti pubbliche, le risorse aziendali devono essere accessibili da un elenco di intervalli IP o tag del servizio di Azure, che descrivono gli indirizzi IP pubblici. Tuttavia, il supporto per Rete virtuale di Azure per Power Platform ti consente di utilizzare una rete privata e di integrarsi con servizi cloud o servizi ospitati nella rete aziendale.
I servizi di Azure sono protetti in una rete virtuale tramite endpoint privati. Puoi utilizzare Express Route per portare le tue risorse locali all'interno della rete virtuale.
Power Platform utilizza la rete virtuale e la subnet delegata per effettuare chiamate in uscita alle risorse aziendali sulla rete privata aziendale. Usando una rete privata, non è necessario instradare il traffico su Internet pubblico, che potrebbe esporre le risorse aziendali.
In una rete virtuale hai il controllo completo sul traffico in uscita da Power Platform. Il traffico è soggetto ai criteri di rete applicati dall'amministratore della rete. Il diagramma seguente mostra come le risorse all'interno della rete interagiscono con una rete virtuale.
Vantaggi del supporto di Rete virtuale
Usando il supporto della rete virtuale, i componenti Power Platform e Dataverse ottengono tutti i vantaggi offerti dalla delega della subnet di Azure, ad esempio:
Protezione dei dati: Rete virtuale consente ai servizi Power Platform di connettersi alle tue risorse private e protette senza esporle a Internet.
Nessun accesso non autorizzato: Rete virtuale si connette alle tue risorse senza bisogno di intervalli IP di Power Platform o tag di servizio nella connessione.
Stima delle dimensioni della subnet per gli ambienti Power Platform
I dati di telemetria e le osservazioni dell'anno precedente indicano che gli ambienti di produzione richiedono in genere da 25 a 30 indirizzi IP, con la maggior parte dei casi d'uso che rientrano in questo intervallo. In base a queste informazioni, allocare da 25 a 30 indirizzi IP per gli ambienti di produzione e da 6 a 10 indirizzi IP per ambienti non di produzione, ad esempio ambienti sandbox o di sviluppo. I contenitori connessi alla rete virtuale usano principalmente indirizzi IP all'interno della subnet. Quando l'ambiente inizia a essere usato, crea almeno quattro contenitori, che vengono ridimensionati in modo dinamico in base al volume delle chiamate, anche se in genere rimangono entro l'intervallo da 10 a 30 contenitori. Questi contenitori eseguono tutte le richieste per i rispettivi ambienti ed gestiscono in modo efficiente le richieste di connessione parallele.
Pianificazione per più ambienti
Se si usa la stessa subnet delegata per più ambienti Power Platform, potrebbe essere necessario un blocco più ampio di indirizzi IP CIDR (Classless Inter-Domain Routing). Prendere in considerazione il numero consigliato di indirizzi IP per gli ambienti di produzione e non di produzione quando si collegano gli ambienti a un singolo criterio. Ogni subnet riserva cinque indirizzi IP, quindi includere questi indirizzi riservati nella stima.
Nota
Per migliorare la visibilità sull'utilizzo delle risorse, il team di prodotto sta lavorando per rendere visibile il consumo di IP delle subnet delegate per le politiche aziendali e delle subnet.
Esempio di allocazione IP
Consideriamo un tenant con due criteri aziendali. Il primo criterio è per gli ambienti di produzione e il secondo criterio è per gli ambienti non di produzione.
Criteri aziendali di produzione
Se si dispone di quattro ambienti di produzione associati ai criteri aziendali e ogni ambiente richiede 30 indirizzi IP, l'allocazione ip totale è:
(Quattro ambienti x 30 INDIRIZZI IP) + 5 indirizzi IP riservati = 125 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /25, con capacità per 128 IP.
Politica aziendale di non produzione
Per i criteri aziendali non di produzione con 20 ambienti di sviluppo e sandbox e ogni ambiente richiede 10 indirizzi IP, l'allocazione IP totale è:
(Venti ambienti x 10 INDIRIZZI IP) + 5 indirizzi IP riservati = 205 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /24, che ha capacità per 256 INDIRIZZI IP e ha spazio sufficiente per aggiungere altri ambienti ai criteri aziendali.
Scenari supportati
Power Platform supporta la rete virtuale sia per i plug-in dataverse che per i connettori. Usando questo supporto, è possibile creare connettività protetta, privata e in uscita da Power Platform alle risorse all'interno della rete virtuale. I plug-in dataverse e i connettori migliorano la sicurezza dell'integrazione dei dati connettendosi a origini dati esterne dalle app Power Apps, Power Automate e Dynamics 365. È ad esempio possibile:
- Utilizza i plug-in Dataverse per connetterti alle origini dati cloud, ad esempio SQL di Azure, Archiviazione di Azure, Archiviazione BLOB o Azure Key Vault. Puoi proteggere i tuoi dati dall'esfiltrazione di dati e da altri incidenti.
- Utilizza i plug-in Dataverse per connetterti in modo sicuro a risorse private protette da endpoint in Azure, come l'API Web o qualsiasi risorsa nella tua rete privata, come SQL e API Web. Puoi proteggere i tuoi dati da violazioni di dati e altre minacce esterne.
- Utilizza connettori supportati da Rete virtuale come SQL Server per connetterti in modo sicuro alle tue origini dati ospitate nel cloud, come Azure SQL o SQL Server, senza esporli a Internet. Allo stesso modo, puoi usare il connettore Azure Queue per stabilire connessioni sicure a code di Azure private abilitate per endpoint.
- Utilizza il connettore Azure Key Vault per connetterti in modo sicuro ad Azure Key Vault privato e protetto da endpoint.
- Utilizza connettori personalizzati per connetterti in modo sicuro ai tuoi servizi protetti da endpoint privati in Azure o ai servizi ospitati nella tua rete privata.
- Utilizza Archiviazione file di Azure per connetterti all'archiviazione file di Azure privata e abilitata per endpoint.
- Usa HTTP con Microsoft Entra ID (preautorizzato) per recuperare in modo sicuro le risorse in Rete virtuale da vari servizi Web autenticati mediante Microsoft Entra ID o da un servizio Web locale.
Limiti
- I plug-in Dataverse con poco codice che utilizzano connettori non sono supportati finché tali tipi di connettori non vengono aggiornati per utilizzare la delega della subnet.
- Utilizzi operazioni di copia, backup e ripristino del ciclo di vita dell'ambiente su ambienti Power Platform supportati dalla rete virtuale. È possibile eseguire l'operazione di ripristino all'interno della stessa rete virtuale e in ambienti diversi, purché siano connessi alla stessa rete virtuale. Inoltre, l'operazione di ripristino è consentita dagli ambienti che non supportano le reti virtuali a quelli che le supportano.
Aree geografiche supportate
Prima di creare la rete virtuale e i criteri aziendali, convalidare l'area dell'ambiente Power Platform per assicurarsi che si tratti di un'area supportata. È possibile usare il Get-EnvironmentRegion cmdlet del modulo PowerShell di diagnostica della subnet per recuperare le informazioni sull'area dell'ambiente.
Dopo aver confermato l'area dell'ambiente, assicurarsi che i criteri aziendali e le risorse di Azure siano configurati nelle aree di Azure supportate corrispondenti. Ad esempio, se l'ambiente Power Platform si trova nel Regno Unito, la rete virtuale e le subnet devono trovarsi nelle aree uksouth e ukwest di Azure. Nel caso in cui un'area di Power Platform abbia più di due coppie di aree disponibili, è necessario usare la coppia di aree specifica che corrisponde all'area dell'ambiente. Ad esempio, se Get-EnvironmentRegion restituisce westus per l'ambiente, la rete virtuale e le subnet devono trovarsi in eastus e westus. Se restituisce eastus2, la rete virtuale e le subnet devono trovarsi in centralus e eastus2.
| Area geografica di Power Platform | Area di Azure |
|---|---|
| Stati Uniti |
|
| Sudafrica | sudafricanord, sudafricasud |
| Regno Unito | Regno Unito meridionale, Regno Unito occidentale |
| Giappone | Giappone Est, Giappone Ovest |
| India | India centrale, India del sud |
| Francia | francecentral, francesouth |
| Europa | Europa occidentale, Europa settentrionale |
| Germania | Germania Nord, Germania Ovest-Centrale |
| Svizzera | svizzera nord, svizzera ovest |
| Canada | Canada centrale, Canada orientale |
| Brasile | brazilsouth |
| Australia | Australia sud-orientale, Australia orientale |
| Asia | Asia orientale, Asia sud-orientale |
| UAE | uaenorth |
| Corea del Sud | koreasouth, koreacentral |
| Norvegia | norwaywest, norwayeast |
| Singapore | southeastasia |
| Svezia | Svezia centrale |
| Italia | italynorth |
| Governo degli Stati Uniti | usgovtexas, usgovvirginia |
Nota
Il supporto in US Government Community Cloud (GCC) è attualmente disponibile solo per gli ambienti distribuiti in GCC High. Il supporto per gli ambienti DoD (Department of Defense) e GCC non è disponibile.
Servizi supportati
La tabella seguente elenca i servizi che supportano la delega della subnet di Azure per il supporto per Rete virtuale per Power Platform.
| Area | Servizi di Power Platform | Disponibilità del supporto di Rete virtuale |
|---|---|---|
| Dataverse | Plug-in Dataverse | Generalmente disponibile |
| Connettori | Generalmente disponibile | |
| Connettori | Generalmente disponibile |
Ambienti supportati
Il supporto della rete virtuale per Power Platform non è disponibile per tutti gli ambienti Power Platform. Nella tabella seguente sono elencati i tipi di ambiente che supportano la rete virtuale.
| Tipo di ambiente | Sostenuto |
|---|---|
| Produzione | Yes |
| Default | Yes |
| Sandbox | Yes |
| Developer | Yes |
| Trial | NO |
| Microsoft Dataverse per Teams | NO |
Considerazioni per abilitare il supporto per la Rete virtuale di Azure per l'ambiente Power Platform
Quando usi il supporto Rete virtuale in un ambiente Power Platform, tutti i servizi supportati, come i connettori e i plug-in Dataverse eseguono le richieste in fase di runtime nella subnet delegata e sono soggetti a criteri di rete. Le chiamate alle risorse disponibili pubblicamente iniziano a interrompersi.
Importante
Prima di abilitare il supporto dell'ambiente virtuale per l'ambiente Power Platform, assicurati di controllare il codice dei plug-in e dei connettori. È necessario aggiornare gli URL e le connessioni per lavorare con la connettività privata.
Ad esempio, un plug-in potrebbe tentare di connettersi a un servizio disponibile pubblicamente, ma i criteri di rete non consentono l'accesso pubblico a Internet all'interno della rete virtuale. I criteri di rete bloccano la chiamata dal plug-in. Per evitare la chiamata bloccata, puoi ospitare il servizio disponibile pubblicamente nella tua rete virtuale. In alternativa, se il servizio è ospitato in Azure, puoi usare un endpoint privato nel servizio prima di abilitare il supporto della rete virtuale nell'ambiente Power Platform.
Domande frequenti
Qual è la differenza tra un gateway dati di rete virtuale e il supporto della rete virtuale di Azure per Power Platform?
Un gateway dati di rete virtuale è un gateway gestito usato per accedere ai servizi di Azure e Power Platform dall'interno della rete virtuale senza dover configurare un gateway dati locale. Ad esempio, il gateway è ottimizzato per carichi di lavoro ETL (estrazione, trasformazione, caricamento) in Power BI e nei flussi di dati Power Platform.
Il supporto di Rete virtuale per Power Platform usa una delega della subnet di Azure per il tuo ambiente Power Platform. Le subnet vengono utilizzate dai carichi di lavoro all'interno dell'ambiente Power Platform. I carichi di lavoro API di Power Platform usano il supporto per la rete virtuale poiché le richieste hanno vita breve e sono ottimizzate per un numero elevato di richieste.
Quali sono gli scenari in cui dovrei utilizzare il supporto di Rete virtuale per Power Platform e il gateway dati della rete virtuale?
Il supporto di Rete virtuale per Power Platform è l'unica opzione supportata per tutti gli scenari di connettività in uscita da Power Platform eccetto Power BI e Flussi di dati di Power Platform.
Power BI e i flussi di dati Power Platform continuano a utilizzare un gateway dati di rete virtuale (vNet).
Come è possibile garantire che una subnet di rete virtuale o un gateway dati di un cliente non venga utilizzato da un altro cliente in Power Platform?
Il supporto di Rete virtuale per Power Platform utilizza la delega della subnet di Azure.
Ogni ambiente Power Platform è collegato a una subnet della rete virtuale. Solo le chiamate provenienti da tale ambiente possono accedere alla rete virtuale.
La delega consente di designare una subnet specifica per un servizio PaaS di Azure di tua scelta che deve essere inserito nella tua rete virtuale.
Rete virtuale supporta il failover di Power Platform?
Sì, è necessario delegare le reti virtuali per entrambe le aree di Azure associate alla tua area geografica Power Platform. Ad esempio, se l'ambiente Power Platform è in Canada, è necessario creare, delegare e configurare le reti virtuali in CanadaCentral e CanadaEast.
Come può un ambiente Power Platform in un'area geografica connettersi alle risorse ospitate in un'altra area geografica?
Una rete virtuale collegata a un ambiente Power Platform deve risiedere nell'area geografica dell'ambiente Power Platform. Se Rete virtuale si trova in un'area diversa, crea una rete virtuale nell'area dell'ambiente Power Platform e usa il peering di Rete virtuale su entrambe le reti virtuali delegate della subnet dell'area Azure per colmare il divario con la rete virtuale nell'area separata.
Posso monitorare il traffico in uscita dalle subnet delegate?
Sì. È possibile utilizzare il gruppo di sicurezza di rete e i firewall per monitorare il traffico in uscita dalle subnet delegate. Per altre informazioni, vedere Monitorare la rete virtuale di Azure.
Posso effettuare chiamate via Internet da plug-in o connettori dopo che il mio ambiente è delegato alla subnet?
Sì. Puoi effettuare chiamate verso Internet da plug-in o connettori, ma la subnet delegata deve essere configurata con un gateway Azure NAT.
Posso aggiornare l'intervallo di indirizzi IP della subnet dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non puoi possibile modificare l'intervallo di indirizzi IP della subnet dopo averla delegata a "Microsoft.PowerPlatform/enterprisePolicies". In tal caso, la configurazione della delega non verrà più eseguita e l'ambiente smetterà di funzionare. Per modificare l'intervallo di indirizzi IP, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
Posso aggiornare l'indirizzo DNS della mia rete virtuale dopo averla delegata a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non è possibile modificare l'indirizzo DNS della rete virtuale dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies". In questo caso, la modifica non viene rilevata nella configurazione e l'ambiente potrebbe smettere di funzionare. Per modificare l'indirizzo DNS, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform?
Sì. Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform. Tuttavia, esiste una limitazione per cui gli ambienti con ciclo di rilascio anticipato non possono essere utilizzati con gli stessi criteri aziendali degli altri ambienti.
La mia rete virtuale ha un DNS personalizzato configurato. Power Platform usa il mio DNS personalizzato?
Sì. Power Platform usa il DNS personalizzato configurato all'interno di Rete virtuale che contiene la subnet delegata per risolvere tutti gli endpoint. Dopo aver delegato l'ambiente, è possibile aggiornare i plug-in per usare l'endpoint corretto in modo che il DNS personalizzato possa risolverli.
Il mio ambiente dispone di plug-in forniti dall'ISV. Questi plug-in verranno eseguiti nella subnet delegata?
Sì. Tutti i plug-in dei clienti e i plug-in ISV possono essere eseguiti usando la subnet. Se i plug-in ISV dispongono di connettività in uscita, potrebbe essere necessario elencare tali URL nel firewall.
I miei certificati TLS dell'endpoint locale non sono firmati da autorità di certificazione root (CA) note. Sono supportati i certificati sconosciuti?
Nr. Dobbiamo garantire che l'endpoint presenti un certificato TLS con la catena completa. Non è possibile aggiungere la tua CA radice personalizzata al nostro elenco di CA note.
Qual è la configurazione consigliata di una rete virtuale all'interno di un tenant del cliente?
Non consigliamo alcuna topologia specifica. Tuttavia, i nostri clienti utilizzano ampiamente la topologia di rete hub-spoke in Azure.
Devi collegare una sottoscrizione di Azure al mio tenant Power Platform per attivare Rete virtuale?
Sì, per abilitare il supporto per Rete virtuale per gli ambienti Power Platform, è essenziale avere una sottoscrizione di Azure associata al tenant Power Platform.
In che modo Power Platform utilizza la delega della subnet di Azure?
Quando a un ambiente Power Platform è assegnata una subnet delegata di Azure, usa l'inserimento della rete virtuale di Azure per inserire il contenitore al runtime in una subnet delegata. In questo processo, a una scheda di interfaccia di rete (NIC) del contenitore viene assegnata un indirizzo IP dalla subnet delegata. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico scorre su Fabric di Azure.
Posso utilizzare una rete virtuale esistente per Power Platform?
Sì, è possibile utilizzare una rete virtuale esistente per Power Platform, se una singola, nuova subnet all'interno di Rete virtuale viene delegata specificatamente a Power Platform. È necessario assegnare la subnet delegata alla delega della subnet e non usarla per altri scopi.
Posso riutilizzare la stessa subnet delegata in più criteri aziendali?
Nr. Non è possibile riutilizzare la stessa subnet in più criteri aziendali. I criteri aziendali Power Platform devono avere una propria subnet univoca per la delega.
Cos'è un plug-in Dataverse?
Un plug-in Dataverse è un frammento di codice personalizzato che è possibile distribuire in un ambiente Power Platform. È possibile configurare questo plug-in per l'esecuzione durante gli eventi (ad esempio una modifica dei dati) o attivarli come API personalizzata. Per altre informazioni, vedere Plug-in Dataverse.
Come viene eseguito un plug-in Dataverse?
Un plugin Dataverse viene eseguito all'interno di un contenitore. Quando si assegna una subnet delegata a un ambiente Power Platform, la scheda di interfaccia di rete del contenitore ottiene un indirizzo IP dallo spazio indirizzi della subnet. L'host (Power Platform) e il contenitore comunicano tramite una porta locale nel contenitore e il traffico passa attraverso Azure Fabric.
È possibile eseguire più plug-in nello stesso contenitore?
Sì. In un determinato ambiente Power Platform o Dataverse, più plug-in possono essere eseguiti all'interno dello stesso contenitore. Ogni contenitore usa un indirizzo IP dallo spazio indirizzi della subnet e ogni contenitore può eseguire più richieste.
In che modo l'infrastruttura gestisce un aumento delle esecuzioni simultanee di plug-in?
All'aumentare del numero di esecuzioni simultanee di plug-in, l'infrastruttura si ridimensiona automaticamente (in entrata o in uscita) in base al carico. La subnet delegata a un ambiente Power Platform deve disporre di spazi di indirizzi sufficienti per gestire il volume di picco delle esecuzioni per i carichi di lavoro in quell'ambiente Power Platform.
Chi controlla la rete virtuale e i criteri di rete ad essa associati?
Si ha la proprietà e il controllo sulla rete virtuale e sui criteri di rete associati. Power Platform, d'altro canto, utilizza gli indirizzi IP allocati dalla subnet delegata all'interno di quella rete virtuale.
I plug-in compatibili con Azure supportano Rete virtuale?
No, i plug-in compatibili con Azure non supportano Rete virtuale.
Passaggi successivi
Impostare il supporto per Rete virtuale