Oversikt over støtte for virtuelt nettverk
Med Azure Virtual Network-støtte for Power Platform kan du integrere Power Platform med ressurser i det virtuelle nettverket uten å utsette dem for det offentlige Internett. Virtual Network-støtte bruker delegering av delnett for Azure til å håndtere utgående trafikk fra Power Platform ved kjøretid. Hvis du bruker Azure-delnettdelegering, trenger ikke beskyttede ressurser å være tilgjengelige over Internett for å integreres med Power Platform. Med støtte for virtuelt nettverk kan Power Platform-komponenter kalle opp ressurser som eies av bedriften, i nettverket, enten de driftes i Azure eller lokalt, og bruke programtillegg og koblinger til å foreta utgående oppkall.
Power Platform integreres vanligvis med virksomhetsressurser via offentlige nettverk. Når det gjelder offentlige nettverk, må virksomhetsressurser være tilgjengelige fra en liste over IP-områder eller servicemerker for Azure, som beskriver offentlige IP-adresser. Azure Virtual Network-støtte for Power Platform lar deg imidlertid bruke et privat nettverk og likevel foreta integrering med skytjenester eller tjenester som driftes i bedriftsnettverket.
Azure-tjenester beskyttes i et Virtual Network av private endepunkter. Du kan bruke Express Route til å sende de lokale ressursene inn i Virtual Network.
Power Platform bruker Virtual Network og delnettene du delegerer, til å foreta utgående oppkall til virksomhetsressurser via det private nettverket til virksomheten. Bruk av et privat nettverk fjerner behovet for å rute trafikken via det offentlige Internett, som kan eksponere virksomhetsressurser.
I Virtual Network har du full kontroll over utgående trafikk fra Power Platform. Trafikken styres av nettverkspolicyer som nettverksadministratoren bruker på den. Diagrammet nedenfor viser hvordan ressurser i nettverket samhandler med Virtual Network.
Fordeler med Virtual Network-støtte
Med Virtual Network-støtte får Power Platform- og Dataverse-komponentene alle fordelene som delegering av delnett for Azure gir, for eksempel følgende:
Databeskyttelse: Virtual Network gjør at Power Platform-tjenester kan koble til dine private og beskyttede ressurser uten å utsette dem for Internett.
Ingen uautorisert tilgang: Virtual Network kobler til ressursene uten at du trenger IP-områder eller servicemerker for Power Platform i tilkoblingen.
Scenarioer som støttes
Power Platform aktiverer støtte for Virtual Network for både Dataverse-programtillegg og kontakter. Med denne støtten kan du opprette sikret, privat, utgående tilkobling fra Power Platform til ressurser i Virtual Network. Dataverse-programtillegg og -kontakter forbedrer dataintegreringssikkerheten ved å koble til eksterne datakilder fra Power Apps-, Power Automate- og Dynamics 365-apper. Du kan for eksempel gjøre følgende:
- Bruk Dataverse-programtillegg til å koble til skydatakilder, for eksempel Azure SQL, Azure Storage, blob storage eller Azure Key Vault. Du kan beskytte dataene mot dataeksfiltrasjon og andre hendelser.
- Bruk Dataverse-programtillegg til sikker tilkobling til private, endepunktbeskyttede ressurser i Azure, for eksempel nett-API eller ressurser i det private nettverket, for eksempel SQL og nett-API. Du kan beskytte dataene mot databrudd og andre eksterne trusler.
- Bruk koblinger som støttes av Virtual Network, for eksempel SQL Server, for å koble dem sikkert til de skydriftede datakildene, for eksempel Azure SQL eller SQL Server, uten å utsette dem for Internett. På samme måte kan du bruke Azure Queue-koblingen til å opprette sikre tilkoblinger til private, endepunktaktiverte Azure-køer.
- Bruk Azure Key Vault-koblingen til å koble til privat, endepunktbeskyttet Azure Key Vault på en sikker måte.
- Bruk egendefinerte koblinger til å koble til tjenestene som er beskyttet av private endepunkter i Azure eller tjenester som driftes i ditt private nettverk.
- Bruk Azure File Storage til å foreta en sikker tilkobling til privat, endepunktaktivert Azure-fillagring.
- Bruk HTTP med Microsoft Entra ID (forhåndsautorisert) til sikker henting av ressurser over Virtual Networks fra ulike nettjenester, godkjent av Microsoft Entra ID eller fra en lokal nettjeneste.
Begrensninger
- Lavkodebaserte Dataverse-programtillegg som bruker koblinger, støttes ikke før disse koblingstypene oppdateres slik at de bruker delegering av delnett.
- Du bruker miljølivssyklusoperasjoner for kopiering, sikkerhetskopiering og gjenoppretting i Power Platform-miljøer som støttes av virtuelle nettverk. Gjenopprettingsoperasjonen kan utføres i det samme virtuelle nettverket og i forskjellige miljøer hvis de er koblet til det samme virtuelle nettverket. Gjenopprettingsoperasjonen kan i tillegg utføres fra miljøer som ikke støtter virtuelle nettverk til de som gjør det.
Støttede områder
Bekreft at Power Platform-miljøet og virksomhetspolicyen er i støttede Power Platform- og Azure-områder. Hvis Power Platform-miljøet for eksempel er i USA, må Virtual Network og delnettene være i Azure-områdene øst-usa og vest-usa.
| Power Platform-region | Azure-område |
|---|---|
| USA | øst-usa, vest-usa |
| Sør-Afrika | eouthafricanorth, southafricawest |
| Storbritannia | sør-storbritannia, vest-storbritannia |
| Japan | japaneast, japanwest |
| India | centralindia, southindia |
| Frankrike | francecentral, francesouth |
| Europa | vest-europa, nord-europa |
| Tyskland | germanynorth, germanywestcentral |
| Sveits | switzerlandnorth, switzerlandwest |
| Canada | sentral-canada, øst-canada |
| Brasil | brazilsouth, southcentralus |
| Australia | sørøst-australia, øst-australia |
| Asia | øst-asia, sørøst-asia |
| UAE | uaecentral, uaenorth |
| Sør-Korea | koreasouth, koreacentral |
| Norge | norwaywest, norwayeast |
| Singapore | southeastasia |
| Sverige | sentra-Sverige |
Støttede tjenester
Tabellen nedenfor viser tjenestene som støtter delegering av delnett for Azure for Virtual Network-støtte for Power Platform.
| Areal | Power Platform-tjenester | Tilgjengelighet av støtte for virtuelt nettverk |
|---|---|---|
| Dataverse | Programtillegg i Dataverse | Tilgjengelig |
| Koblinger | Tilgjengelig |
Hensyn ved aktivering av støtte for Virtual Network for Power Platform-miljø
Når du bruker støtte for Virtual Network i et Power Platform-miljø, kjører alle støttede tjenester, for eksempel Dataverse-programtillegg og -koblinger, forespørsler ved kjøretid i det delegerte delnettet og styres av nettverkspolicyene dine. Oppkallene til offentlig tilgjengelige ressurser begynner å avbrytes.
Viktig!
Før du aktiverer støtte for det virtuelle miljøet for Power Platform-miljøet, må du kontrollere koden for programtilleggene og koblingene. Nettadressene og tilkoblingene må oppdateres for at de skal kunne fungere med privat tilkobling.
Det kan for eksempel hende at et programtillegg prøver å prøve å koble til en offentlig tilgjengelig tjeneste, men nettverkspolicyen tillater ikke offentlig Internett-tilgang i Virtual Network. Samtalen fra programtilleggmodulen blokkeres i forbindelse med nettverkspolicyen. Du kan unngå det blokkerte oppkallet ved å drifte den offentlig tilgjengelige tjenesten i Virtual Network. Hvis tjenesten driftes i Azure, kan du bruke et privat endepunkt i tjenesten før du aktiverer støtten for Virtual Network i Power Platform-miljøet.
VANLIGE SPØRSMÅL
Hva er forskjellen mellom en datagateway for virtuelt nettverk og Azure Virtual Network-støtte for Power Platform?
En datagateway for virtuelt nettverk er en administrert gateway som gir deg tilgang til Azure- og Power Platform-tjenester fra det virtuelle nettverket uten å måtte konfigurere en lokal datagateway. Gatewayen er for eksempel optimalisert for ETL-arbeidsbelastninger (uttrekking, transformering, lasting) i Power BI- og Power Platform-dataflyter.
Azure Virtual Network-støtte for Power Platform bruker en delegering av delnett for Azure for Power Platform-miljøet. Delnett brukes av arbeidsbelastninger i Power Platform-miljøet. API-arbeidsbelastninger for Power Platform bruker støtte for Virtual Network siden forespørslene er korte og optimalisert for et stort antall forespørsler.
Hva er scenarioene der jeg skal bruke støtte for Virtual Network for Power Platform og gatewayen for virtuelle nettverk?
Støtte for Virtual Network for Power Platform er det eneste alternativet som støttes for alle scenarioer for utgående tilkobling fra Power Platform, unntatt Power BI og Power Platform-dataflytprosesser.
Power BI- og Power Platform-dataflyter fortsetter å bruke datagatewayen for virtuelt nettverk (vNet).
Hvordan sikrer du at et delnett eller en datagateway for virtuelt nettverk fra en kunde ikke brukes av en annen kunde, i Power Platform?
Virtual Network-støtte for Power Platform bruker delegering av delnett for Azure.
Hvert Power Platform-miljø er koblet til ett delnett for virtuelt nettverk. Bare oppkall fra dette miljøet har tilgang til dette virtuelle nettverket.
Med delegering kan du angi et bestemt delnett for enhver Azure PaaS (plattform som tjeneste), og som må settes inn i det virtuelle nettverket.
Støtter Virtual Network-støtte failover for Power Platform?
Ja, du må delegere et primært virtuelt nettverk og et virtuelt failover-nettverk og delnett under konfigurasjon.
Hvordan kan et Power Platform-miljø i ett område koble til ressurser som driftes i et annet område?
Et Virtual Network som er koblet til et Power Platform-miljø, må være i Power Platform-miljøets område. Hvis Virtual Network er i et annet område, oppretter du Virtual Network i Power Platform-miljøets område og bruker nodenettverk for Virtual Network til å legge en bro mellom de to områdene.
Kan jeg overvåke utgående trafikk fra delegerte delnett?
Ja. Du kan bruke Network Security Group og brannmurer til å overvåke utgående trafikk fra delegerte delnett.
Hvor mange IP-adresserer trenger Power Platform for å kunne delegeres i delnettet?
Du må delegere minst 24 CIDR (Classless Inter-Domain Routing) eller 255 IP-adresser i delnettet. Hvis du vil delegere samme delnett til flere miljøer, må du kanskje ha flere IP-adresser i dette delnettet.
Kan jeg foreta Internett-bundne oppkall fra programtillegg eller koblinger etter at miljøet er delegert fra et delnett?
Ja. Du kan foreta Internett-bundne oppkall fra programtillegg eller koblinger, men delnettet må konfigureres med en Azure NAT-gateway.
Kan jeg oppdatere IP-adresseområdet for delnett etter at det er delegert til Microsoft.PowerPlatform/enterprisePolicies?
Nei. Du kan ikke endre IP-adresseområdet for delnettet etter at det er delegert til Microsoft.PowerPlatform/enterprisePolicies.
Virtual Network har en egendefinert DNS-konfigurasjon. Bruker Power Platform den egendefinerte DNS-en?
Ja. Power Platform bruker den egendefinerte DNS-en som er konfigurert i Virtual Network, og inneholder det delegerte delnettet for å løse alle endepunktene. Etter at miljøet er delegert, kan du oppdatere programtilleggene slik at de bruker riktig endepunkt og den egendefinerte DNS-en kan løse dem.
Miljøet har programtillegg fra ISV-er. Kjører disse programtilleggene i det delegerte delnettet?
Ja. Alle kundeprogramtillegg og ISV-programtillegg kan kjøre ved hjelp av delnettet. Hvis ISV-programtilleggene har utgående tilkobling, kan det hende at disse nettadressene må vises i brannmuren.
Mine TLS-sertifikater for lokale endepunkt er ikke signert av den velkjente rotsertifiseringsinstansen. Støtter dere ukjente sertifikater?
Nei. Vi må sørge for at endepunktet fremviser et TLS-sertifikat med hele kjeden. Det går ikke an å legge til den egendefinerte rotsertifiseringsinstansen i listen over velkjente sertifiseringsinstanser.
Hva er det anbefalte oppsettet for et Virtual Network i en kundeleier?
Vi anbefaler ingen spesifikk topologi. Kundene våre bruker imidlertid ofte nettverksmodellen med nav-og-eike-topologi.
Er det nødvendig å koble et Azure-abonnement til Power Platform-leieren min for å aktivere Virtual Network?
Ja, hvis du vil aktivere støtte for Virtual Network for Power Platform-miljøer, er det viktig at du har et Azure-abonnement knyttet til Power Platform-leieren.
Hvordan bruker Power Platform delegering av Azure-delnett?
Når et Power Platform-miljø har et delegert, tilordnet Azure-delnett, bruker det Azure Virtual Network-injeksjon til å sette inn beholderen ved kjøretid, i et delegert delnett. I denne prosessen får et nettverkskort (NIC) for beholderen tildelt en IP-adresse fra det delegerte delnettet. Kommunikasjonen mellom verten (Power Platform) og beholderen skjer via en lokal port på beholderen, og trafikken flyter over Azure Fabric.
Kan jeg bruke et eksisterende Virtual Network for Power Platform?
Ja, du kan bruke et eksisterende Virtual Network for Power Platform gitt at ett nytt delnett i Virtual Network delegeres spesifikt til Power Platform. Det er viktig å merke seg at dette delegerte delnettet ikke skal være vert for andre tjenester.
Kan jeg bruke USA, øst 2 som failover hvis Power Platform-miljøet er i Canada?
For å sikre riktig failover må primære delnett og failover-delnett klargjøres i henholdsvis canadacentral og canadaeast. For å sikre riktig failover må primær- og failover-delnett opprettes i henholdsvis canadacentral- og canadaeast-områdene. Hvis du vil støtte tilkobling til ressurser i området useast2, oppretter du i tillegg Virtual Network-nodenettverk mellom primære Virtual Networks og failover-Virtual Networks, inkludert Virtual Network i området useast2.
Hva er et Dataverse-programtillegg?
Et Dataverse-programtillegg er en egendefinert kodebit som kan rulles ut i et Power Platform-miljø. Dette programtillegget kan konfigureres til å kjøre under hendelser (for eksempel en endring i data) eller utløses som en egendefinert API. Mer informasjon: Dataverse-programtillegg
Hvordan kjører et Dataverse-programtillegg?
Et Dataverse-programtillegg kjøres i en beholder. Når et Power Platform-miljø tilordnes til et delegert delnett, tildeles en IP-adresse fra delnettets adresseområde til nettverkskortet (NIC) i beholderen. Kommunikasjon mellom verten (Power Platform) og beholderen skjer via en lokal port i beholderen, og trafikken flyter over Azure Fabric.
Kan flere programtilleggsmoduler kjøres i samme beholder?
Ja. I et gitt Power Platform- eller Dataverse-miljø kan flere programtillegg fungere i samme beholder. Hver beholder bruker én IP-adresse fra adresseområdet for delnettet, og hver beholder kan kjøre flere forespørsler.
Hvordan håndterer infrastrukturen en økning i kjøring av samtidige programmtillegg?
Etter hvert som antall samtidige kjøringer av programtillegg økes, skaleres infrastrukturen automatisk (ut eller inn) for å få plass til belastningen. Delnettet som delegeres til et Power Platform-miljø, må ha nok adresseområder til å håndtere det høyeste kjøringsvolumet for arbeidsbelastningene i det Power Platform-miljøet.
Hvem styrer Virtual Network og nettverkspolicyene som er knyttet til det?
Som kunde har du eierskap og kontroll over Virtual Network og de tilknyttede nettverkspolicyene. Power Platform bruker derimot de tildelte IP-adressene fra det delegerte delnettet i Virtual Network.
Støtter Azure-aktiverte programtillegg Virtual Network?
Nei, Azure-aktiverte programtillegg støtter ikke Virtual Network.