Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Ved hjelp av Azure Virtual Network-støtte for Power Platform kan du integrere Power Platform med ressurser i det virtuelle nettverket uten å eksponere dem via offentlig Internett. Virtual Network-støtte bruker delegering av delnett for Azure til å håndtere utgående trafikk fra Power Platform ved kjøretid. Ved hjelp av Azure Subnet-delegering trenger ikke beskyttede ressurser å være tilgjengelige via Internett for å integrere med Power Platform. Ved hjelp av støtte for virtuelt nettverk kan Power Platform-komponenter ringe ressurser som eies av bedriften din i nettverket, enten de driftes i Azure eller lokalt, og bruke plugin-moduler og koblinger til å foreta utgående anrop.
Power Platform integreres vanligvis med bedriftsressurser over offentlige nettverk. Når det gjelder offentlige nettverk, må virksomhetsressurser være tilgjengelige fra en liste over IP-områder eller servicemerker for Azure, som beskriver offentlige IP-adresser. Azure Virtual Network-støtte for Power Platform lar deg imidlertid bruke et privat nettverk og fortsatt integrere med skytjenester eller tjenester som driftes i bedriftsnettverket ditt.
Azure-tjenester beskyttes i et Virtual Network av private endepunkter. Du kan bruke Express Route til å sende de lokale ressursene inn i Virtual Network.
Power Platform bruker det virtuelle nettverket og delnettene du delegerer til å foreta utgående anrop til bedriftsressurser over det private bedriftsnettverket. Ved å bruke et privat nettverk trenger du ikke å rute trafikken over det offentlige Internett, noe som kan avsløre virksomhetsressurser.
I et virtuelt nettverk har du full kontroll over utgående trafikk fra Power Platform. Trafikken styres av nettverkspolicyer som nettverksadministratoren bruker på den. Diagrammet nedenfor viser hvordan ressurser i nettverket samhandler med Virtual Network.
Fordeler med Virtual Network-støtte
Ved hjelp av virtual network-støtte får Power Platform- og Dataverse-komponentene alle fordelene som Azure-delnettdelegering gir, for eksempel:
Databeskyttelse: Virtuelt nettverk lar Power Platform-tjenester koble til dine private og beskyttede ressurser uten å eksponere dem for internett.
Ingen uautorisert tilgang: Virtuelt nettverk kobler seg til ressursene dine uten at du trenger Power Platform IP-områder eller servicekoder i tilkoblingen.
Estimering av delnettstørrelse for Power Platform-miljøer
Telemetridata og observasjoner fra det siste året indikerer at produksjonsmiljøer vanligvis krever 25 til 30 IP-adresser, og de fleste brukstilfeller faller innenfor dette området. Basert på denne informasjonen kan du tildele 25 til 30 IP-er for produksjonsmiljøer og 6 til 10 IP-er for miljøer som ikke er i produksjon, for eksempel sandkasse- eller utviklermiljøer. Beholdere som er koblet til det virtuelle nettverket, bruker primært IP-adresser i delnettet. Når miljøet begynner å bli brukt, oppretter det minst fire beholdere, som dynamisk skaleres basert på anropsvolum, selv om de vanligvis forblir innenfor beholderområdet 10 til 30. Disse beholderne utfører alle forespørsler for sine respektive miljøer og håndterer effektivt parallelle tilkoblingsforespørsler.
Planlegging for flere miljøer
Hvis du bruker det samme delegerte delnettet for flere Power Platform-miljøer, trenger du kanskje en større blokk med klasseløse IP-adresser for interdomeneruting (CIDR). Vurder det anbefalte antallet IP-adresser for produksjons- og ikke-produksjonsmiljøer når du kobler miljøer til én enkelt policy. Hvert delnett reserverer fem IP-adresser, så inkluder disse reserverte adressene i beregningen.
Obs!
Hvis du vil forbedre synligheten i ressursutnyttelsen, arbeider produktteamet med å eksponere delegert IP-forbruk for delnett for virksomhetspolicyer og delnett.
Eksempel på IP-tildeling
Tenk deg en leietaker med to bedriftspolicyer. Den første policyen er for produksjonsmiljøer, og den andre policyen er for miljøer som ikke er i produksjon.
Produksjonsbedriftens politikk
Hvis du har fire produksjonsmiljøer som er knyttet til virksomhetspolicyen, og hvert miljø krever 30 IP-adresser, er den totale IP-tildelingen:
(Fire miljøer x 30 IP-er) + 5 reserverte IP-er = 125 IP-er
Dette scenariet krever en CIDR-blokk på /25, som har kapasitet til 128 IP-adresser.
Ikke-produksjonsvirksomhetspolicy
For en virksomhetspolicy for ikke-utvikling med 20 utvikler- og sandkassemiljøer, og hvert miljø krever 10 IP-adresser, er den totale IP-tildelingen:
(Tjue miljøer x 10 IP-er) + 5 reserverte IP-er = 205 IP-er
Dette scenarioet krever en CIDR-blokk på /24, som har kapasitet for 256 IP-er og har nok plass til å legge til flere miljøer i virksomhetspolicyen.
Scenarioer som støttes
Power Platform støtter Virtuelt nettverk for både dataverse plugin-moduler og koblinger. Ved å bruke denne støtten kan du opprette sikret, privat, utgående tilkobling fra Power Platform til ressurser i det virtuelle nettverket. Dataverse plugin-moduler og koblinger forbedrer sikkerheten for dataintegrering ved å koble til eksterne datakilder fra Power Apps, Power Automate og Dynamics 365-apper. Du kan for eksempel gjøre følgende:
- Bruk Dataverse-plugin-moduler for å koble til skydatakildene dine, for eksempel Azure SQL, Azure Storage, blob-lagring eller Azure Key Vault. Du kan beskytte dataene mot dataeksfiltrasjon og andre hendelser.
- Bruk Dataverse-plugin-moduler for å koble til private, endepunktbeskyttede ressurser i Azure på en sikker måte, for eksempel Web API, eller andre ressurser i ditt private nettverk, for eksempel SQL og Web API. Du kan beskytte dataene mot databrudd og andre eksterne trusler.
- Bruk koblinger som støttes av Virtual Network, for eksempel SQL Server, for å koble dem sikkert til de skydriftede datakildene, for eksempel Azure SQL eller SQL Server, uten å utsette dem for Internett. På samme måte kan du bruke Azure Queue-koblingen til å opprette sikre tilkoblinger til private, endepunktaktiverte Azure-køer.
- Bruk Azure Key Vault-koblingen til å koble til privat, endepunktbeskyttet Azure Key Vault på en sikker måte.
- Bruk egendefinerte koblinger til å koble til tjenestene som er beskyttet av private endepunkter i Azure eller tjenester som driftes i ditt private nettverk.
- Bruk Azure File Storage til å foreta en sikker tilkobling til privat, endepunktaktivert Azure-fillagring.
- Bruk HTTP med Microsoft Entra ID (forhåndsgodkjent) for å hente ressurser sikkert over virtuelle nettverk fra ulike webtjenester, autentisert av Microsoft Entra ID eller fra en lokal webtjeneste.
Begrensninger
- Dataverse lavkode-plugin-moduler som bruker koblinger støttes ikke før disse koblingstypene oppdateres til å bruke delnettdelegering.
- Du bruker kopiering, sikkerhetskopiering og gjenoppretting miljø livssyklusoperasjoner på virtuelle nettverksstøttede Power Platform-miljøer. Du kan utføre gjenopprettingsoperasjonen i samme virtuelle nettverk, og på tvers av ulike miljøer, forutsatt at de er koblet til det samme virtuelle nettverket. Gjenopprettingsoperasjonen kan i tillegg utføres fra miljøer som ikke støtter virtuelle nettverk til de som gjør det.
Støttede områder
Før du oppretter policyen for virtuelt nettverk og virksomhet, må du validere Power Platform-miljøets område for å sikre at det er i et støttet område. Du kan bruke cmdleten Get-EnvironmentRegion fra PowerShell-modulen for delnettdiagnose til å hente områdeinformasjonen for miljøet.
Når du har bekreftet miljøets område, må du sørge for at bedriftspolicyen og Azure-ressursene er konfigurert i de tilsvarende støttede Azure-områdene. Hvis Power Platform-miljøet for eksempel er i Storbritannia, må virtual network og delnett være i uksouth - og ukwest Azure-områdene. Hvis et Power Platform-område har mer enn to tilgjengelige områdepar, må du bruke det bestemte områdeparet som samsvarer med miljøets område. Hvis for Get-EnvironmentRegion eksempel returnerer westus for miljøet, må virtual network og delnett være i eastus og westus. Hvis den returnerer eastus2, må virtual network og delnett være i centralus og eastus2.
| Power Platform-region | Azure-område |
|---|---|
| USA |
|
| Sør-Afrika | southafricanorth, southafricawest |
| Storbritannia | sør-storbritannia, vest-storbritannia |
| Japan | japanøst, japanvest |
| India | sentralindia, sørindia |
| Frankrike | francecentral, francesouth |
| Europa | vest-europa, nord-europa |
| Tyskland | Tysklandnord, Tysklandvestsentral |
| Sveits | SveitsNord, SveitsVest |
| Canada | sentral-canada, øst-canada |
| Brasil | brazilsouth |
| Australia | sørøst-australia, øst-australia |
| Asia | øst-asia, sørøst-asia |
| UAE | uaenorth |
| Sør-Korea | koreasouth, koreacentral |
| Norge | norgevest, norgeøst |
| Singapore | southeastasia |
| Sverige | sentra-Sverige |
| Italia | italynorth |
| USAs offentlige sektor | usgovtexas, usgovvirginia |
Obs!
Støtte i US Government Community Cloud (GCC) er for øyeblikket bare tilgjengelig for miljøer distribuert i GCC High. Støtte for Forsvarsdepartementet (DoD) og GCC-miljøer er ikke tilgjengelig.
Støttede tjenester
Tabellen nedenfor viser tjenestene som støtter Azure-delnettdelegering for støtte for virtuelle nettverk for Power Platform.
| Areal | Power Platform-tjenester | Tilgjengelighet av støtte for virtuelt nettverk |
|---|---|---|
| Dataverse | Dataverse-plugin-moduler | Tilgjengelig |
| Koblinger | Tilgjengelig | |
| Koblinger | Tilgjengelig |
Støttede miljøer
Støtte for virtuelt nettverk for Power Platform er ikke tilgjengelig for alle Power Platform-miljøer. Tabellen nedenfor viser hvilke miljøtyper som støtter Virtuelt nettverk.
| Miljøtype | Støttes |
|---|---|
| Produksjon | Ja |
| Default | Ja |
| Sandkasse | Ja |
| Developer | Ja |
| Prøveabonnement | Nei |
| Microsoft Dataverse for Teams | Nei |
Hensyn til å aktivere støtte for virtuelle nettverk for Power Platform-miljøet
Når du bruker støtte for virtuelle nettverk i et Power Platform-miljø, utfører alle støttede tjenester, som Dataverse-plugin-moduler og -koblinger, forespørsler under kjøretid i det delegerte delnettet og er underlagt nettverkspolicyene dine. Anropene til offentlig tilgjengelige ressurser begynner å bryte sammen.
Viktig
Før du aktiverer støtte for det virtuelle miljøet for Power Platform-miljøet, må du kontrollere koden til plugin-modulene og koblingene. Du må oppdatere nettadressene og tilkoblingene for å fungere med privat tilkobling.
Det kan for eksempel hende at et programtillegg prøver å prøve å koble til en offentlig tilgjengelig tjeneste, men nettverkspolicyen tillater ikke offentlig Internett-tilgang i Virtual Network. Nettverkspolicyen blokkerer anropet fra plugin-modulen. Du kan unngå det blokkerte oppkallet ved å drifte den offentlig tilgjengelige tjenesten i Virtual Network. Alternativt, hvis tjenesten din driftes i Azure, kan du bruke et privat endepunkt på tjenesten før du aktiverer støtte for virtuelle nettverk i Power Platform-miljøet.
Vanlige spørsmål
Hva er forskjellen mellom en virtuell nettverksdatagateway og støtte for Azure Virtual Network for Power Platform?
En virtuell nettverksdatagateway er en administrert gateway som du bruker til å få tilgang til Azure- og Power Platform-tjenester fra det virtuelle nettverket uten å måtte konfigurere en lokal datagateway. For eksempel er gatewayen optimalisert for ETL-arbeidsbelastninger (uttrekk, transformering, innlasting) i Power BI- og Power Platform-dataflyter.
Støtte for Azure Virtual Network for Power Platform bruker en Azure-delnettdelegering for Power Platform-miljøet ditt. Delnett brukes av arbeidsbelastninger i Power Platform-miljøet. Power Platform API-arbeidsbelastninger bruker støtte for virtuelle nettverk fordi forespørslene er kortvarige og optimalisert for et stort antall forespørsler.
I hvilke scenarioer bør jeg bruke støtte for virtuelle nettverk for Power Platform og datagatewayen for virtuelle nettverk?
Støtte for virtuelle nettverk for Power Platform er det eneste støttede alternativet for alle scenarier for utgående tilkobling fra Power Platform unntatt Power BI og Power Platform-dataflyter.
Power BI og Power Platform-dataflyter fortsetter å bruke virtuell nettverksdatagateway (vNet).
Hvordan sikrer du at et virtuelt nettverksdelnett eller en datagateway fra én kunde ikke brukes av en annen kunde i Power Platform?
Støtte for virtuelle nettverk for Power Platform bruker Azure delnettdelegering.
Hvert Power Platform-miljø er koblet til ett virtuelt nettverksdelnett. Bare oppkall fra dette miljøet har tilgang til dette virtuelle nettverket.
Med delegering kan du angi et bestemt delnett for enhver Azure PaaS (plattform som tjeneste), og som må settes inn i det virtuelle nettverket.
Støtter Virtual Network Power Platform-failover?
Ja, du må delegere de virtuelle nettverkene for begge Azure-regionene som er knyttet til Power Platform-regionen din. Hvis for eksempel Power Platform-miljøet ditt er i Canada, må du opprette, delegere og konfigurere virtuelle nettverk i CanadaCentral og CanadaEast.
Hvordan kan et Power Platform-miljø i én region koble til ressurser som er lagret i en annen region?
Et virtuelt nettverk koblet til et Power Platform-miljø må befinne seg i Power Platform-miljøets region. Hvis det virtuelle nettverket er i en annen region, oppretter du et virtuelt nettverk i Power Platform-miljøets region og bruker Virtuell nettverks-peering på begge Azure-regionens delnett-delegerte virtuelle nettverk for å bygge bro over gapet med det virtuelle nettverket i det separate region.
Kan jeg overvåke utgående trafikk fra delegerte delnett?
Ja. Du kan bruke Network Security Group og brannmurer til å overvåke utgående trafikk fra delegerte delnett. Hvis du vil ha mer informasjon, kan du se Overvåke Azure Virtual Network.
Kan jeg foreta Internett-bundne oppkall fra programtillegg eller koblinger etter at miljøet er delegert fra et delnett?
Ja. Du kan foreta internett-bundne anrop fra plugin-moduler eller koblinger, men det delegerte delnettet må konfigureres med en Azure NAT gateway.
Kan jeg oppdatere IP-adresseområdet for delnett etter at det er delegert til Microsoft.PowerPlatform/enterprisePolicies?
Nei, ikke mens funksjonen brukes i miljøet ditt. Du kan ikke endre IP-adresseområdet til delnettet etter at det er delegert til «Microsoft.PowerPlatform/enterprisePolicies». Hvis du gjør dette, blir delegeringskonfigurasjonen ødelagt, og miljøet slutter å fungere. Hvis du vil endre IP-adresseområdet, fjerner du delegeringsfunksjonen fra miljøet, gjør de nødvendige endringene og aktiverer deretter funksjonen for miljøet.
Kan jeg oppdatere DNS-adressen til mitt virtuelle nettverk etter at det er delegert til «Microsoft.PowerPlatform/enterprisePolicies»?
Nei, ikke mens funksjonen brukes i miljøet ditt. Du kan ikke endre DNS-adressen til det virtuelle nettverket etter at det er delegert til «Microsoft.PowerPlatform/enterprisePolicies». Hvis du gjør dette, blir ikke endringen plukket opp i konfigurasjonen, og miljøet kan slutte å fungere. Hvis du vil endre DNS-adressen, fjerner du delegeringsfunksjonen fra miljøet, gjør de nødvendige endringene og aktiverer deretter funksjonen for miljøet.
Kan jeg bruke den samme bedriftspolicyen for flere Power Platform-miljøer?
Ja. Du kan bruke den samme bedriftspolicyen for flere Power Platform-miljøer. Det er imidlertid en begrensning at miljøer med tidlig utgivelsessyklus ikke kan brukes med samme bedriftspolicy som andre miljøer.
Virtual Network har en egendefinert DNS-konfigurasjon. Bruker Power Platform min tilpassede DNS?
Ja. Power Platform bruker den egendefinerte DNS-en som er konfigurert i det virtuelle nettverket som inneholder det delegerte delnettet, for å løse alle endepunkter. Når du har delegert miljøet, kan du oppdatere plugin-moduler for å bruke riktig endepunkt, slik at egendefinert DNS kan løse dem.
Miljøet har programtillegg fra ISV-er. Kjører disse programtilleggene i det delegerte delnettet?
Ja. Alle plugin-moduler for kunder og ISV-plugin-moduler kan kjøre ved hjelp av delnettet. Hvis ISV-programtilleggene har utgående tilkobling, kan det hende at disse nettadressene må vises i brannmuren.
Mine TLS-sertifikater for lokale endepunkt er ikke signert av den velkjente rotsertifiseringsinstansen. Støtter dere ukjente sertifikater?
Nei. Vi må sørge for at endepunktet fremviser et TLS-sertifikat med hele kjeden. Det går ikke an å legge til den egendefinerte rotsertifiseringsinstansen i listen over velkjente sertifiseringsinstanser.
Hva er det anbefalte oppsettet for et Virtual Network i en kundeleier?
Vi anbefaler ingen spesifikk topologi. Kundene våre bruker imidlertid i stor grad nav-eiker-nettverkstopologien i Azure.
Er det nødvendig å koble et Azure-abonnement til Power Platform-leieren min for å aktivere Virtual Network?
Ja, for å aktivere støtte for virtuelle nettverk for Power Platform-miljøer er det viktig å ha et Azure-abonnement tilknyttet Power Platform-leietakeren.
Hvordan bruker Power Platform Azure-delnettdelegering?
Når et Power Platform-miljø har et delegert Azure-delnett tildelt, bruker det Azure Virtual Network-injeksjon til å injisere beholderen under kjøretid i et delegert delnett. I denne prosessen får et nettverkskort (NIC) for beholderen tildelt en IP-adresse fra det delegerte delnettet. Kommunikasjonen mellom verten (Power Platform) og containeren skjer via en lokal port på containeren, og trafikken flyter over Azure Fabric.
Kan jeg bruke et eksisterende virtuelt nettverk for Power Platform?
Ja, du kan bruke et eksisterende virtuelt nettverk for Power Platform, hvis et enkelt, nytt delnett i det virtuelle nettverket delegeres spesifikt til Power Platform. Du må dedikere det delegerte delnettet for delnettdelegering og kan ikke bruke det til andre formål.
Kan jeg bruke det samme delegerte delnettet om igjen i flere bedriftspolicyer?
Nei. Du kan ikke bruke det samme delnettet på nytt i flere virksomhetspolicyer. Hver Power Platform-bedriftspolicy må ha sitt eget unike delnett for delegering.
Hva er en Dataverse-plugin?
Et dataverst programtillegg er en egendefinert kode som du kan distribuere i et Power Platform-miljø. Du kan konfigurere denne plugin-modulen til å kjøre under hendelser (for eksempel en endring i data) eller utløse den som en egendefinert API. Hvis du vil ha mer informasjon, kan du se Dataverse Plugin-moduler.
Hvordan kjører en Dataverse-plugin?
Et Dataverse-programtillegg kjører innenfor en beholder. Når du tilordner et delegert delnett til et Power Platform-miljø, får nettverksgrensesnittkortet (NIC) for beholderen en IP-adresse fra adresseområdet for delnettet. Verten (Power Platform) og beholderen kommuniserer gjennom en lokal port på beholderen, og trafikken flyter over Azure Fabric.
Kan flere programtilleggsmoduler kjøres i samme beholder?
Ja. I et gitt Power Platform- eller Dataverse-miljø kan flere plugin-moduler kjøre i samme beholder. Hver beholder bruker én IP-adresse fra adresseområdet for delnett, og hver beholder kan kjøre flere forespørsler.
Hvordan håndterer infrastrukturen en økning i kjøring av samtidige programmtillegg?
Etter hvert som antall samtidige kjøringer av programtillegg økes, skaleres infrastrukturen automatisk (ut eller inn) for å få plass til belastningen. Delnettet som er delegert til et Power Platform-miljø, bør ha nok adresseområder til å håndtere toppvolumet av utførelser for arbeidsbelastningene i det Power Platform-miljøet.
Hvem styrer Virtual Network og nettverkspolicyene som er knyttet til det?
Du har eierskap og kontroll over virtual network og tilhørende nettverkspolicyer. På den annen side bruker Power Platform de tildelte IP-adressene fra det delegerte delnettet i det virtuelle nettverket.
Støtter Azure-aktiverte programtillegg Virtual Network?
Nei, Azure-aktiverte programtillegg støtter ikke Virtual Network.
Neste trinn
Konfigurer støtte for virtuelle nettverk