Nata
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti prisijungti arba pakeisti katalogus.
Norint pasiekti šį puslapį, reikalingas leidimas. Galite pabandyti pakeisti katalogus.
Naudodami "Azure" virtualiojo tinklo palaikymą, skirtą "Power Platform", galite integruoti "Power Platform" su ištekliais savo virtualiame tinkle, neatskleisdami jų viešajame internete. Virtualaus tinklo palaikymas naudoja „Azure“ potinklio delegavimą, kad valdytų išeinantį srautą iš Power Platform vykdymo metu. Naudojant "Azure" potinklio delegavimą, apsaugoti ištekliai nebūtinai turi būti pasiekiami internetu, kad būtų galima integruoti su "Power Platform". Naudodami virtualaus tinklo palaikymą, "Power Platform" komponentai gali skambinti jūsų įmonei priklausantiems ištekliams tinkle, nesvarbu, ar jie nuomojami "Azure", ar vietinėje, ir naudoti priedus bei jungtis išeinantiems skambučiams.
Power Platform paprastai integruojamas su įmonės ištekliais per viešuosius tinklus. Naudojant viešuosius tinklus, įmonės ištekliai turi būti pasiekiami iš "Azure" IP diapazonų arba paslaugų žymių, apibūdinančių viešuosius IP adresus, sąrašo. Tačiau "Azure" virtualaus tinklo palaikymas Power Platform leidžia naudoti privatų tinklą ir vis tiek integruotis su debesies paslaugomis arba paslaugomis, kurios yra jūsų įmonės tinkle.
"Azure" paslaugos virtualiajame tinkle yra apsaugotos privačiais galiniais punktais. Galite naudoti greitąjį maršrutą , kad vietinius išteklius perkeltumėte į virtualųjį tinklą.
Power Platform naudoja virtualųjį tinklą ir potinklius, kuriuos deleguojate, kad būtų galima skambinti į įmonės išteklius per privatų įmonės tinklą. Naudojant privatų tinklą, jums nereikia nukreipti srauto per viešąjį internetą, nes tai gali atskleisti įmonės išteklius.
Virtualiajame tinkle galite visiškai valdyti siunčiamą srautą iš Power Platform. Srautui taikomos tinklo strategijos, kurias taiko tinklo administratorius. Šioje diagramoje parodyta, kaip jūsų tinklo ištekliai sąveikauja su virtualiuoju tinklu.
Virtualaus tinklo palaikymo pranašumai
Naudodami virtualiojo tinklo palaikymą, jūsų "Power Platform" ir "Dataverse" komponentai gauna visus "Azure" potinklio delegavimo teikiamus privalumus , pvz.:
Duomenų apsauga: virtualus tinklas leidžia Power Platform paslaugoms prisijungti prie jūsų privačių ir apsaugotų išteklių neatskleidžiant jų internete.
Jokios neteisėtos prieigos: virtualusis tinklas prisijungia prie jūsų išteklių, nereikalaujant Power Platform IP diapazonų ar paslaugų žymų ryšyje.
Aplinkų Power Platform potinklio dydžio įvertinimas
Telemetrijos duomenys ir praėjusių metų stebėjimai rodo, kad gamybos aplinkoje paprastai reikia 25–30 IP adresų, o dauguma naudojimo atvejų patenka į šį diapazoną. Remdamiesi šia informacija, paskirstykite 25–30 IP gamybos aplinkoms ir 6–10 IP ne gamybinėms aplinkoms, pvz., smėlio dėžės ar kūrėjų aplinkoms. Prie virtualaus tinklo prijungti konteineriai pirmiausia naudoja IP adresus potinklyje. Kai aplinka pradedama naudoti, ji sukuria mažiausiai keturis konteinerius, kurie dinamiškai keičiasi pagal skambučių kiekį, nors paprastai jie išlieka nuo 10 iki 30 konteinerių diapazone. Šie konteineriai vykdo visas užklausas atitinkamose aplinkose ir efektyviai apdoroja lygiagrečias ryšio užklausas.
Kelių aplinkų planavimas
Jei naudojate tą patį deleguotąjį potinklį kelioms "Power Platform" aplinkoms, jums gali prireikti didesnio beklasių tarpdomenų maršruto parinkimo (CIDR) IP adresų bloko. Atsižvelkite į rekomenduojamą IP adresų skaičių gamybos ir ne gamybinėms aplinkoms, kai susiejate aplinkas su viena strategija. Kiekvienas potinklis rezervuoja penkis IP adresus, todėl įtraukite šiuos rezervuotus adresus į savo vertinimą.
Pastaba.
Siekdama pagerinti išteklių naudojimo matomumą, produktų komanda stengiasi atskleisti deleguotą potinklio IP naudojimą įmonės strategijoms ir potinkliams.
IP paskirstymo pavyzdys
Apsvarstykite nuomotoją su dviem įmonės strategijomis. Pirmoji politika skirta gamybos aplinkai, o antroji – negamybinei aplinkai.
Gamybos įmonės politika
Jei turite keturias gamybos aplinkas, susietas su jūsų įmonės strategija, ir kiekvienai aplinkai reikia 30 IP adresų, bendras IP paskirstymas yra:
(Keturios aplinkos x 30 IP) + 5 rezervuoti IP = 125 IP
Šiam scenarijui reikalingas CIDR blokas /25, kurio talpa yra 128 IP.
Ne gamybinės įmonės politika
Ne gamybinės įmonės strategijoje, kurioje yra 20 kūrėjų ir smėlio dėžės aplinkų, o kiekvienai aplinkai reikia 10 IP adresų, bendras IP paskirstymas yra:
(Dvidešimt aplinkų x 10 IP) + 5 rezervuoti IP = 205 IP
Šiam scenarijui reikalingas /24 CIDR blokas, kuriame telpa 256 IP adresai ir yra pakankamai vietos įtraukti daugiau aplinkų į įmonės strategiją.
Palaikomi scenarijai
"Power Platform" palaiko virtualųjį tinklą tiek "Dataverse" papildiniams, tiek jungtims. Naudodami šį palaikymą galite sukurti saugų, privatų, siunčiamą ryšį iš "Power Platform" su virtualiojo tinklo ištekliais. "Dataverse" priedai ir jungtys pagerina duomenų integravimo saugą prisijungdami prie išorinių duomenų šaltinių iš "Power Apps", "Power Automate" ir "Dynamics 365" programų. Pavyzdžiui, galite:
- Naudokite Dataverse papildinius , kad prisijungtumėte prie debesies duomenų šaltinių, pvz., "Azure SQL", "Azure" saugyklos, didelių dvejetainių objektų saugyklos arba "Azure Key Vault". Galite apsaugoti savo duomenis nuo duomenų išfiltravimo ir kitų incidentų.
- Naudokite Dataverse priedus , kad saugiai prisijungtumėte prie privačių, galinio punkto apsaugotų išteklių "Azure", pvz., žiniatinklio API, arba bet kokių išteklių privačiame tinkle, pvz., SQL ir žiniatinklio API. Galite apsaugoti savo duomenis nuo duomenų pažeidimų ir kitų išorinių grėsmių.
- Naudokite virtualiojo tinklo palaikomas jungtis, pvz., SQL serverį , kad saugiai prisijungtumėte prie debesyje laikomų duomenų šaltinių, pvz., "Azure SQL" arba SQL serverio, neatskleisdami jų internete. Panašiai galite naudoti "Azure" eilės jungtį, kad užmegztumėte saugius ryšius su privačiomis, galinio punkto įgalintomis "Azure" eilėmis.
- Naudokite "Azure Key Vault " jungtį, kad saugiai prisijungtumėte prie privačios, galinio punkto apsaugotos "Azure Key Vault".
- Naudokite pasirinktines jungtis , kad saugiai prisijungtumėte prie savo paslaugų, apsaugotų privačiais galiniais punktais "Azure" arba paslaugomis, kurios nuomojamos jūsų privačiame tinkle.
- Naudokite "Azure" failų saugyklą , kad saugiai prisijungtumėte prie privačios, galinio punkto įgalintos "Azure" failų saugyklos.
- Naudokite HTTP su Microsoft Entra ID (iš anksto autorizuotu), kad saugiai gautumėte išteklius virtualiaisiais tinklais iš įvairių žiniatinklio tarnybų, autentifikuotų pagal Microsoft Entra ID, arba iš vietinės žiniatinklio tarnybos.
Apribojimai
- Dataverse Žemo kodo priedai, kurie naudoja jungtis, nepalaikomi tol, kol šie jungčių tipai nebus atnaujinti, kad būtų galima naudoti potinklio perdavimą.
- Galite naudoti kopijavimo, atsarginių kopijų kūrimo ir atkūrimo aplinkos gyvavimo ciklo operacijas virtualiojo tinklo palaikomose Power Platform aplinkose. Atkūrimo operaciją galite atlikti tame pačiame virtualiame tinkle ir skirtingose aplinkose, jei jos prijungtos prie to paties virtualaus tinklo. Be to, atkūrimo operacija leidžiama iš aplinkų, kurios nepalaiko virtualiųjų tinklų, į tas, kurios tai daro.
Palaikomi regionai
Prieš kurdami virtualaus tinklo ir įmonės strategiją, patikrinkite savo "Power Platform" aplinkos regioną, kad įsitikintumėte, jog jis yra palaikomame regione. Galite naudoti Get-EnvironmentRegionpotinklio diagnostikos "PowerShell" modulio cmdlet, kad gautumėte savo aplinkos regiono informaciją.
Patvirtinę savo aplinkos regioną, įsitikinkite, kad jūsų įmonės strategija ir "Azure" ištekliai sukonfigūruoti atitinkamuose palaikomuose "Azure" regionuose. Pavyzdžiui, jei jūsų "Power Platform" aplinka yra Jungtinėje Karalystėje, jūsų virtualusis tinklas ir potinkliai turi būti "uksouth " ir "ukwest Azure" regionuose. Jei "Power Platform" regione yra daugiau nei dvi galimos regionų poros, turite naudoti konkrečią regionų porą, atitinkančią jūsų aplinkos regioną. Pavyzdžiui, jei Get-EnvironmentRegion grąžina jūsų aplinkos westus , jūsų virtualusis tinklas ir potinkliai turi būti eastus ir westus. Jei jis grąžina eastus2, jūsų virtualus tinklas ir potinkliai turi būti centralus ir eastus2.
Pastaba.
Planuojamas aplinkų prieinamumas eastUS2 ir centralUS . Jei turite "Azure" išteklių šiuose regionuose, taip pat galite apsvarstyti galimybę naudoti virtualųjį tinklą.
| Power Platform regionas | „Azure“ regionas |
|---|---|
| Jungtinės Valstijos |
|
| Pietų Afrika | SouthAfricaNorth, SouthAfricaWest |
| JK | UKSOUTH, Jungtinė Karalystė |
| Japonija | Japonai, japonai |
| Indija | CentrinėIndija, Pietų Indija |
| Prancūzija | FranceCentral, FranceSouth |
| Europa | Vakarų Europa, Šiaurės Europa |
| Vokietija | VokietijaNorth, VokietijaVakarCentrinė dalis |
| Šveicarija | ŠveicarijaNorth, Šveicarija |
| Kanada | KanadaCentral, KanadaEast |
| Brazilija | Brazilija |
| Australija | AustralijaPietryčiai, AustralijaEast |
| Azija | Rytų Azija, Pietryčių Azija |
| UAE | JAENORTH |
| Pietų Korėja | Korėja, Korėja |
| Norvegija | NorvegijaVakarai, Norvegija |
| Singapūras | Pietryčių Azija |
| Švedija | ŠvedijaCentrinė |
| Italija | ItalijaŠiaurės |
| „ US Government“ | usgovtexas, Usgovvirginia |
Pastaba.
Šiuo metu JAV vyriausybės bendruomenės debesies (GCC) palaikymas galimas tik aplinkose, įdiegtose GCC High. Gynybos departamento (DoD) ir GCC aplinkų palaikymas nepasiekiamas.
Palaikomos paslaugos
Šioje lentelėje išvardytos paslaugos, kurios palaiko "Azure" potinklio perdavimą virtualaus tinklo palaikymui Power Platform.
| Plotas | Power Platform Paslaugos | Virtualaus tinklo palaikymo pasiekiamumas |
|---|---|---|
| Dataverse | Dataverse papildiniai | Bendrai pasiekiama |
| Jungtys | Bendrai pasiekiama | |
| Jungtys | Bendrai pasiekiama |
Palaikomos aplinkos
"Power Platform" virtualaus tinklo palaikymas galimas ne visose "Power Platform" aplinkose. Šioje lentelėje išvardyti, kurie aplinkos tipai palaiko virtualųjį tinklą.
| Aplinkos tipas | Palaikomas |
|---|---|
| Gamyba | Taip |
| Numatytoji reikšmė | Taip |
| Smėlio dėžė | Taip |
| Developer | Taip |
| Bandomoji versija | Ne |
| "Microsoft Dataverse", skirta komandoms | Ne |
Virtualiojo tinklo palaikymo Power Platform aplinkai įgalinimo aplinkybės
Kai aplinkoje naudojate virtualaus tinklo palaikymą Power Platform , visos palaikomos paslaugos, pvz., Dataverse papildiniai ir jungtys, vykdymo metu vykdo užklausas jūsų įgaliotajame potinklyje ir joms taikomos jūsų tinklo strategijos. Raginimai viešai prieinamų išteklių pradeda lūžti.
Svarbu
Prieš įjungdami virtualios aplinkos palaikymą Power Platform aplinkai, būtinai patikrinkite papildinių ir jungčių kodą. Turite atnaujinti URL ir ryšius, kad galėtumėte dirbti su privačiu ryšiu.
Pavyzdžiui, priedas gali bandyti prisijungti prie viešai pasiekiamos paslaugos, bet jūsų tinklo strategija neleidžia viešos interneto prieigos virtualiajame tinkle. Tinklo strategija blokuoja skambutį iš papildinio. Norėdami išvengti užblokuoto skambučio, galite priglobti viešai prieinamą paslaugą savo virtualiame tinkle. Arba, jei jūsų paslauga nuomojama "Azure", galite naudoti privatų paslaugos galinį punktą prieš įjungdami virtualaus tinklo palaikymą Power Platform aplinkoje.
Dažnai užduodami klausimai
Kuo skiriasi virtualaus tinklo duomenų šliuzas ir "Azure" virtualaus tinklo palaikymas, skirtas "Power Platform"?
Virtualaus tinklo duomenų šliuzas yra valdomas šliuzas, kurį naudojate norėdami pasiekti "Azure" ir "Power Platform" paslaugas iš savo virtualiojo tinklo, nenustatydami vietinio duomenų šliuzo. Pavyzdžiui, šliuzas yra optimizuotas ETL (išskleisti, transformuoti, įkelti) darbo krūviams Power BI ir Power Platform duomenų srautams.
"Azure Virtual Network" palaikymas naudoja Power Platform "Azure" potinklio perdavimą jūsų Power Platform aplinkai. Potinklius naudoja aplinkos darbo krūviai Power Platform . Power Platform API darbo krūviai naudoja virtualaus tinklo palaikymą, nes užklausos yra trumpalaikės ir optimizuotos daugeliui užklausų.
Kokiais atvejais turėčiau naudoti virtualaus tinklo palaikymą Power Platform ir virtualaus tinklo duomenų šliuzą?
Virtualaus tinklo palaikymas Power Platform yra vienintelė palaikoma parinktis visiems išeinančio ryšio iš Power Platform išskyrų Power BI ir Power Platform duomenų srautų scenarijams.
Power BI ir Power Platform duomenų srautai ir toliau naudoja virtualaus tinklo (vNet) duomenų šliuzą.
Kaip užtikrinti, kad vieno kliento virtualaus tinklo potinklio ar duomenų šliuzo nenaudotų kitas klientas Power Platform?
Virtualaus tinklo palaikymas Power Platform naudojant "Azure" potinklio perdavimą.
Kiekviena Power Platform aplinka yra susieta su vienu virtualaus tinklo potinkliu. Tik skambučiams iš tos aplinkos leidžiama pasiekti tą virtualų tinklą.
Perdavimas leidžia jums paskirti konkretų potinklį bet kuriai "Azure" platformai kaip paslaugą (PaaS), kurią reikia įterpti į jūsų virtualų tinklą.
Ar virtualusis tinklas palaiko Power Platform permetimą?
Taip, turite perduoti virtualiuosius tinklus abiejuose "Azure" regionuose, susietuose su jūsų Power Platform regionu. Pavyzdžiui, jei jūsų Power Platform aplinka yra Kanadoje, turite sukurti, deleguoti ir konfigūruoti virtualius tinklus CanadaCentral ir CanadaEast.
Kaip viename regione esanti **aplinka** gali prisijungti prie kitame regione esančių išteklių? Power Platform
Su **aplinka** susietas virtualus tinklas turi būti **aplinkos** regione. Power Platform Power Platform Jei virtualus tinklas yra kitame regione, sukurkite virtualų tinklą **aplinkos** regione ir naudokite **virtualaus tinklo tarpusavio ryšį** abiejuose „Azure“ regiono potinkliuose deleguotuose virtualiuose tinkluose, kad užpildytumėte spragą su virtualiuoju tinklu atskirame regione. Power Platform
Ar galiu stebėti siunčiamą srautą iš deleguotų potinklių?
Taip. Galite naudoti tinklo saugos grupę ir užkardas, kad stebėtumėte siunčiamą srautą iš deleguotų potinklių. Daugiau informacijos rasite "Azure" virtualiojo tinklo stebėjimas.
Ar galiu atlikti su internetu susijusius skambučius iš papildinių arba jungčių, kai mano aplinka deleguojama potinkliui?
Taip. Galite atlikti interneto skambučius iš papildinių arba jungčių, tačiau deleguotas potinklis turi būti sukonfigūruotas naudojant **„Azure** šliuzą**. NAT
Ar galiu atnaujinti potinklio IP adresų diapazoną po to, kai jis deleguojamas „Microsoft.PowerPlatform/enterprisePolicies“?
Ne, ne, kol funkcija naudojama jūsų aplinkoje. Negalite keisti potinklio IP adresų diapazono, kai jis deleguojamas „Microsoft.PowerPlatform/enterprisePolicies“. Jei tai padarysite, delegavimo konfigūracija bus sugadinta ir aplinka nustos veikti. Norėdami pakeisti IP adresų diapazoną, pašalinkite perdavimo funkciją iš savo aplinkos, atlikite reikiamus pakeitimus ir įjunkite šią funkciją savo aplinkoje.
Ar galiu atnaujinti savo virtualiojo tinklo DNS adresą po to, kai jis deleguojamas „Microsoft.PowerPlatform/enterprisePolicies“?
Ne, ne, kol funkcija naudojama jūsų aplinkoje. Negalite pakeisti virtualiojo tinklo DNS adreso, kai jis perduodamas "Microsoft.PowerPlatform/enterprisePolicies". Jei tai padarysite, pakeitimas nebus paimtas konfigūracijoje ir jūsų aplinka gali nustoti veikti. Norėdami pakeisti DNS adresą, pašalinkite perdavimo funkciją iš savo aplinkos, atlikite reikiamus pakeitimus ir įjunkite šią funkciją savo aplinkoje.
Ar galiu naudoti tą pačią įmonės politiką keliose Power Platform aplinkose?
Taip. Galite naudoti tą pačią įmonės politiką keliose Power Platform aplinkose. Tačiau yra apribojimas, kad ankstyvojo leidimo ciklo aplinkų negalima naudoti su ta pačia įmonės politika kaip ir kitų aplinkų.
Mano virtualiame tinkle sukonfigūruotas pasirinktinis DNS. Ar naudojamas mano pasirinktinis DNS? Power Platform
Taip. Power Platform naudoja pasirinktinį DNS, sukonfigūruotą virtualiame tinkle, kuriame yra deleguotas potinklis, kad būtų galima išspręsti visus galinius taškus. Delegavę aplinką, galite atnaujinti priedus, kad jie naudotų tinkamą galinį punktą, kad jūsų pasirinktinis DNS galėtų juos išspręsti.
Mano aplinkoje yra ISV teikiami papildiniai. Ar šie papildiniai veiktų deleguotame potinklyje?
Taip. Visi kliento priedai ir ISV priedai gali veikti naudojant jūsų potinklį. Jei ISV papildiniai turi išorinį ryšį, šie URL adresai gali būti įtraukti į jūsų užkardą.
Mano vietinio galinio taško TLS sertifikatai nėra pasirašyti žinomų pagrindinių sertifikavimo tarnybų (CA). Ar palaikote nežinomus sertifikatus?
Nr. Turime užtikrinti, kad galinis taškas pateiktų TLS sertifikatą su visa grandine. Neįmanoma įtraukti savo pasirinktinio šakninio CA į mūsų gerai žinomų CA sąrašą.
Kokia rekomenduojama virtualiojo tinklo konfigūracija kliento nuomotojuje?
Mes nerekomenduojame jokios konkrečios topologijos. Tačiau mūsų klientai plačiai naudoja **„Azure“ **„Hub-spoke“ tinklo topologiją**. ...
Ar norint aktyvuoti virtualų tinklą, būtina susieti „Azure“ prenumeratą su mano nuomininku? Power Platform
Taip, norint įjungti virtualaus tinklo palaikymą **aplinkoms**, būtina turėti „Azure“ prenumeratą, susietą su **nuomininku**. Power Platform Power Platform
Kaip naudojamas „Azure“ potinklio delegavimas? Power Platform
Kai aplinkai priskirtas deleguotas „Azure“ potinklis, ji naudoja „Azure“ virtualiojo tinklo injekciją, kad vykdymo metu įterptų konteinerį į deleguotą potinklį. Power Platform Šio proceso metu konteinerio tinklo sąsajos plokštei (NIC) priskiriamas IP adresas iš deleguoto potinklio. Ryšys tarp pagrindinio kompiuterio (Power Platform) ir konteinerio vyksta per vietinį konteinerio prievadą, o srautas teka per „Azure Fabric“.
Ar galiu naudoti esamą virtualų tinklą šiam tikslui? Power Platform
Taip, galite naudoti esamą virtualų tinklą, jei tam virtualiam tinklui yra deleguotas vienas naujas potinklis Power Platform. Power Platform Įgaliotąjį potinklį turite skirti potinklio delegavimui ir negalite jo naudoti kitiems tikslams.
Ar galiu pakartotinai naudoti tą patį deleguotą potinklį keliose įmonės politikose?
Nr. Negalite pakartotinai naudoti to paties potinklio keliose įmonės strategijose. Kiekviena Power Platform įmonės politika turi turėti savo unikalų potinklį delegavimui.
Kas yra **įskiepis**? Dataverse
"Dataverse" papildinys yra pasirinktinio kodo dalis, kurią galite įdiegti "Power Platform" aplinkoje. Galite sukonfigūruoti šį priedą, kad jis veiktų įvykių metu (pvz., keičiant duomenis) arba suaktyvinti jį kaip tinkintą API. Daugiau informacijos rasite "Dataverse" papildiniai.
Kaip veikia **įskiepis**? Dataverse
"Dataverse" papildinys veikia konteineryje. Kai priskiriate įgaliotąjį potinklį "Power Platform" aplinkai, konteinerio tinklo sąsajos plokštė (NIC) gauna IP adresą iš to potinklio adresų srities. Pagrindinis kompiuteris ("Power Platform") ir konteineris bendrauja per vietinį konteinerio prievadą, o srautas vyksta per "Azure Fabric".
Ar keli papildiniai gali veikti tame pačiame konteineryje?
Taip. Tam tikroje "Power Platform" arba "Dataverse" aplinkoje tame pačiame konteineryje gali veikti keli papildiniai. Kiekvienas konteineris naudoja vieną IP adresą iš potinklio adresų srities, o kiekvienas konteineris gali vykdyti kelias užklausas.
Kaip infrastruktūra susidoroja su padidėjusiu vienu metu vykdomų papildinių skaičiumi?
Didėjant vienu metu vykdomų papildinių skaičiui, infrastruktūra automatiškai didinama arba mažinama, kad būtų galima prisitaikyti prie apkrovos. Aplinkai deleguotas potinklis turėtų turėti pakankamai adresų erdvių, kad galėtų apdoroti didžiausią vykdomų darbo krūvių kiekį toje aplinkoje. Power Platform Power Platform
Kas kontroliuoja virtualų tinklą ir su juo susijusias tinklo politikas?
Jūs turite nuosavybės teisę ir kontroliuojate virtualųjį tinklą ir su juo susijusią tinklo politiką. Kita vertus, Power Platform naudoja priskirtus IP adresus iš deleguoto potinklio tame virtualiame tinkle.
Ar „Azure“ palaikantys papildiniai palaiko virtualų tinklą?
Ne, „Azure“ palaikantys papildiniai nepalaiko virtualaus tinklo.
Paskesni veiksmai
Nustatykite virtualaus tinklo palaikymą