Overzicht van de Virtual Network-ondersteuning voor Power Platform-overzicht
Met Azure Virtual Network-ondersteuning voor Power Platformkunt u Power Platform integreren met resources in uw virtuele netwerk zonder dat u deze blootstelt aan het openbare internet. Virtual Network-ondersteuning maakt gebruik van Azure-subnetdelegering om tijdens runtime uitgaand verkeer van Power Platform te regelen. Door gebruik te maken van Azure Subnet-delegatie hoeven beveiligde bronnen niet via internet beschikbaar te zijn voor integratie met Power Platform. Met ondersteuning voor virtuele netwerken kunnen Power Platform-componenten resources aanroepen die eigendom zijn van uw onderneming binnen uw netwerk, of ze nu worden gehost in Azure of on-premises en invoegtoepassingen en connectoren (preview) gebruiken om uitgaande oproepen te plaatsen.
Doorgaans integreert Power Platform met bedrijfsresources via openbare netwerken. Bij openbare netwerken moeten bedrijfsresources toegankelijk zijn via een lijst met Azure IP-bereiken of servicetags, die openbare IP-adressen beschrijven. Dankzij de Azure Virtual Network-ondersteuning voor Power Platform kunt u echter een particulier netwerk gebruiken en toch integreren met cloudservices of services die binnen het netwerk van uw onderneming worden gehost.
Azure-services worden binnen een Virtual Network beveiligd door privé-eindpunten. U kunt ExpressRoute gebruiken om uw on-premises resources binnen het Virtual Network te brengen.
Power Platform gebruikt het Virtual Network en door u gedelegeerde subnetten om uitgaande aanroepen naar bedrijfsresouces uit te voeren via het particuliere netwerk van de onderneming. Met een particulier netwerk is het niet meer nodig om verkeer via het openbare internet te routeren, waardoor bedrijfsresources blootgelegd zouden worden.
In een Virtual Network hebt u volledige controle over het uitgaande verkeer van Power Platform. Het verkeer is onderworpen aan het netwerkbeleid dat wordt toegepast door uw netwerkbeheerder. In het volgende diagram ziet u hoe resources binnen uw netwerk communiceren met een Virtual Network.
Voordelen van Virtual Network-ondersteuning
Met Virtual Network-ondersteuning kunnen uw Power Platform- en Dataverse-componenten gebruikmaken van alle voordelen die Azure-subnetdelegering biedt.
Gegevensbescherming : Virtual Network staat Power Platform-services toe om verbinding te maken met uw privé- en beschermde bronnen zonder ze bloot te stellen aan internet.
Geen toegang voor onbevoegden : Virtual Network maakt verbinding met uw bronnen zonder dat u Power Platform IP-bereiken of servicetags in de verbinding nodig hebt.
Ondersteunde scenario's
Power Platform maakt Virtual Network-ondersteuning mogelijk voor zowel Dataverse-invoegtoepassingen als connectors (preview). Met deze ondersteuning kunt u beveiligde, privé, uitgaande connectiviteit tot stand brengen van Power Platform naar bronnen binnen uw Virtual Network. Dataverse-invoegtoepassingen en connectors (preview) verbeteren de beveiliging van gegevensintegratie door verbinding te maken met externe gegevensbronnen uit Power Apps, Power Automate en Dynamics 365-apps. U kunt bijvoorbeeld:
- Gebruik Dataverse-invoegtoepassingen om verbinding te maken met uw cloudgegevensbronnen, zoals Azure SQL, Azure Storage, blobopslag of Azure Key Vault. U kunt uw gegevens beschermen tegen gegevensexfiltratie en andere incidenten.
- Gebruik Dataverse-invoegtoepassingen om veilig verbinding te maken met privé, door eindpunten beveiligde bronnen in Azure, zoals Web-API of andere bronnen binnen uw privénetwerk, zoals SQL en Web-API. U kunt uw gegevens beschermen tegen datalekken en andere bedreigingen.
- Gebruik door Virtual Network ondersteunde connectors (preview) zoals SQL Server (preview) om veilig verbinding te maken met uw in de cloud gehoste gegevensbronnen, zoals Azure SQL of SQL Server, zonder ze weer te geven op internet. Op dezelfde manier kunt u de connector Azure-wachtrij (preview) gebruiken om veilige verbindingen tot stand te brengen met privé, voor eindpunten geschikte Azure-wachtrijen.
- Gebruik de connector Azure Key Vault (preview) om veilig verbinding te maken met privé, door eindpunten beveiligde Azure Key Vault.
- Gebruik HTTP met Microsoft Entra ID (preview) om veilig verbinding te maken met authenticatie van services door Microsoft Entra ID.
- Gebruik aangepaste connectors (preview) om veilig verbinding te maken met uw services die worden beschermd door privé-eindpunten in Azure of services die worden gehost binnen uw privénetwerk.
Beperkingen
- Dataverse-invoegtoepassingen met weinig code die connectors gebruiken, worden pas ondersteund als die connectortypen zijn bijgewerkt om te werken met subnetdelegering.
- U maakt gebruik van kopieer-, back-up- en herstelbewerkingen voor de omgevingslevenscyclus in door virtuele netwerken ondersteunde Power Platform-omgevingen. De herstelbewerking kan binnen hetzelfde virtuele netwerk worden uitgevoerd, maar ook in verschillende omgevingen, op voorwaarde dat ze zijn verbonden met hetzelfde virtuele netwerk. Bovendien is de herstelbewerking vanuit omgevingen toegestaan die geen virtuele netwerken ondersteunen, naar omgevingen die dat wel doen.
Ondersteunde regio's
Controleer of uw Power Platform-omgeving en ondernemingsbeleid zich in ondersteunde Power Platform- en Azure-regio's bevinden. Als uw Power Platform-omgeving zich bijvoorbeeld in de Verenigde Staten bevindt, moeten uw Virtual Network, subnetten en ondernemingsbeleid zich in de Azure-regio eastus of westus bevinden.
| Power Platform-regio | Azure-regio |
|---|---|
| Verenigde Staten | eastus, westus |
| Zuid-Afrika | eouthafricanorth, southafricawest |
| VK | uksouth, ukwest |
| Japan | japaneast, japanwest |
| India | centralindia, southindia |
| Frankrijk | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Duitsland | germanynorth, germanywestcentral |
| Zwitserland | switzerlandnorth, switzerlandwest |
| Canada | canadacentral, canadaeast |
| Brazilië | brazilsouth, southcentralus |
| Australië | australiasoutheast, australiaeast |
| Azië | eastasia, southeastasia |
| VAE | uaecentral, uaenorth |
| Zuid-Korea | koreasouth, koreacentral |
| Noorwegen | norwaywest, norwayeast |
| Singapore | southeastasia |
| Zweden | swedencentral |
Ondersteunde services
In de volgende tabel worden de services vermeld die ondersteuning bieden voor Azure-subnetdelegering voor Virtual Network-ondersteuning voor Power Platform.
| Oppervlak | Power Platform-services | Overzicht van Virtual Network-beschikbaarheid |
|---|---|---|
| Dataverse | Dataverse-invoegtoepassingen | Algemeen beschikbaar |
| Connectors | Preview |
Licentievereisten
Ondersteuning voor virtuele netwerken voor Power Platform wordt alleen afgedwongen in omgevingen die zijn geactiveerd voor Beheerde omgevingen. Beheerde omgevingen zijn als recht inbegrepen bij zelfstandige Power Apps-, Power Automate-, Microsoft Copilot Studio-, Power Pages- en Dynamics 365-licenties die premium gebruiksrechten bieden. Meer informatie over licenties voor beheerde omgevingen met het Licentieoverzicht voor Microsoft Power Platform.
Bovendien vereist toegang tot het gebruik van ondersteuning voor virtuele netwerken voor Power Platform dat gebruikers in de omgevingen waarin het virtuele netwerk is ingeschakeld, een van deze abonnementen hebben:
- Microsoft 365 of Office 365 A5/E5/G5
- Naleving van Microsoft 365 A5/E5/F5/G5
- Microsoft 365 F5 Beveiliging en naleving
- Microsoft 365 A5/E5/F5/G5 Informatiebescherming en governance
- Microsoft 365 A5/E5/F5/G5 Beheer van insiderrisico's
Meer informatie over deze licenties
Overwegingen om Virtual Network-ondersteuning in te schakelen in een Power Platform-omgeving
Wanneer u Virtual Network-ondersteuning inschakelt in een Power Platform-omgeving, voeren alle ondersteunde services, zoals Dataverse-invoegtoepassingen en -connectors (preview), aanvragen uit tijdens runtime in uw gedelegeerde subnet en zijn deze onderworpen aan uw netwerkbeleid. De aanroepen naar openbaar beschikbare resources zouden worden onderbroken.
Belangrijk
Voordat u de ondersteuning voor de virtuele omgeving voor de Power Platform-omgeving inschakelt, moet u ervoor zorgen dat u de code van de invoegtoepassingen en de connectoren controleert (preview). De URL's en verbindingen moeten worden bijgewerkt om met privéconnectiviteit te werken.
Een invoegtoepassing kan bijvoorbeeld proberen verbinding te maken met een openbaar beschikbare service, maar uw netwerkbeleid staat geen openbare internettoegang binnen uw Virtual Network toe. De aanroep van de invoegtoepassing wordt geblokkeerd in overeenstemming met uw netwerkbeleid. Om te voorkomen dat de aanroep wordt geblokkeerd, kunt u de openbaar beschikbare service hosten in uw Virtual Network. Als uw service wordt gehost in Azure, kunt u ook een privé-eindpunt in de service inschakelen voordat u uw Virtual Network-ondersteuning inschakelt in de Power Platform-omgeving.
Veelgestelde vragen
Wat is het verschil tussen een gegevensgateway voor een virtueel netwerk en ondersteuning voor Azure Virtual Network voor Power Platform?
Een gegevensgateway voor een virtueel netwerk is een beheerde gateway waarmee u toegang krijgt tot Azure- en Power Platform-services vanuit uw virtuele netwerk zonder een on-premises gegevensgateway te hoeven instellen. De gateway is bijvoorbeeld geoptimaliseerd voor ETL-workloads (extraheren, transformeren, laden) in Power BI- en Power Platform-gegevensstromen.
Azure Virtual Network-ondersteuning voor Power Platform maakt gebruik van een Azure-subnetdelegering voor uw Power Platform-omgeving. Subnetten worden gebruikt door workloads in de Power Platform-omgeving. Power Platform API-workloads gebruiken Virtual Network-ondersteuning, omdat de aanvragen van korte duur zijn en zijn geoptimaliseerd voor een groot aantal aanvragen.
Wat zijn de scenario's waarin ik Virtual Network-ondersteuning moet gebruiken voor Power Platform en de gegevensgateway voor virtuele netwerken?
Ondersteuning voor Virtual Network voor Power Platform is de enige ondersteunde optie voor alle scenario's voor uitgaande connectiviteit van Power Platform, met uitzondering van Power BI en Power Platform-gegevensstromen.
Power BI- en Power Platform-gegevensstromen blijven gegevensgateway voor virtueel netwerk (vNet) gebruiken.
Hoe zorgt u ervoor dat een virtueel netwerksubnet of gegevensgateway van de ene klant in Power Platform niet door een andere klant wordt gebruikt?
Virtual Network-ondersteuning voor Power Platform gebruikt Azure-subnetdelegering.
Elke Power Platform-omgeving is gekoppeld aan één virtueel netwerksubnet. Alleen aanroepen uit die omgeving hebben toegang tot dat virtuele netwerk.
Met subnetdelegering kunt u een specifiek subnet aanwijzen voor een Azure PaaS-service van uw keuze die in uw virtuele netwerk moet worden geïnjecteerd.
Ondersteunt Virtual Network voor Power Platform failover?
Ja, u moet tijdens de installatie een primair netwerk en een failover-virtueel netwerk en subnetten delegeren.
Hoe kan een Power Platform-omgeving in de ene regio verbinding maken met resources die in een andere regio worden gehost?
Een Virtual Network dat aan een Power Platform-omgeving is gekoppeld, moet zich in de regio van de Power Platform-omgeving bevinden. Als het Virtual Network zich in een andere regio bevindt, maak dan een Virtual Network in de regio van de Power Platform-omgeving en gebruik Virtual Network-peering voor de overbrugging van de beide regio's.
Kan ik uitgaand verkeer van gedelegeerde subnetten controleren?
Ja. U kunt Network Security Group en/of firewalls gebruiken om uitgaand verkeer van gedelegeerde subnetten te controleren.
Hoeveel IP-adressen heeft Power Platform in het subnet nodig voor het delegeren?
U moet ten minste 24 CIDR-adressen (Classless Inter-Domain Routing) ofwel 255 IP-adressen delegeren in het subnet. Als u hetzelfde subnet naar meerdere omgevingen wilt delegeren, hebt u mogelijk meer IP-adressen binnen dat subnet nodig.
Kan ik via invoegtoepassingen internetgebonden aanroepen plaatsen nadat mijn omgeving aan een subnet is gedelegeerd?
Ja. U kunt internetgebonden aanroepen plaatsen via invoegtoepassingen, maar het subnet moet dan zijn geconfigureerd met een Azure NAT-gateway.
Kan ik het IP-adresbereik van het subnet bijwerken nadat dit is gedelegeerd aan 'Microsoft.PowerPlatform/enterprisePolicies'?
Nee U kunt het IP-adresbereik van het subnet niet wijzigen nadat het is gedelegeerd aan 'Microsoft.PowerPlatform/enterprisePolicies'.
Voor mijn Virtual Network is een aangepaste DNS geconfigureerd. Gebruikt Power Platform mijn aangepaste DNS?
Ja. Power Platform gebruikt de aangepaste DNS die is geconfigureerd in het Virtual Network dat het gedelegeerde subnet bevat om alle eindpunten om te zetten. Nadat de omgeving is gedelegeerd, kunt u invoegtoepassingen bijwerken om het juiste eindpunt te gebruiken, zodat uw aangepaste DNS deze kan omzetten.
Mijn omgeving beschikt over door ISV geleverde invoegtoepassingen. Zouden deze in het gedelegeerde subnet kunnen worden uitgevoerd?
Ja. Alle invoegtoepassingen voor klanten en ISV-invoegtoepassingen kunnen inderdaad worden uitgevoerd via uw subnet. Als de ISV-invoegtoepassingen uitgaande connectiviteit hebben, moeten deze URL's mogelijk in uw firewall worden vermeld.
Mijn on-premises TLS-certificaat-eindpunten zijn niet ondertekend door bekende basiscertificeringsinstanties (CA). Ondersteunt u onbekende certificaten?
Nee We moeten ervoor zorgen dat de eindpunt een TLS-certificaat presenteert met de volledige keten. Het is niet mogelijk om uw aangepaste root-CA toe te voegen aan onze lijst met bekende CA's.
Wat is de aanbevolen configuratie van een Virtual Network binnen een klanttenant?
We raden geen specifieke topologie aan. Onze klanten maken echter op grote schaal gebruik van het hub-and-spoke-topologienetwerkmodel.
Is het koppelen van een Azure-abonnement aan mijn Power Platform-tenant nodig om Virtual Network te activeren?
Ja, om Virtual Network-ondersteuning voor Power Platform-omgevingen mogelijk te maken, is het essentieel dat er een Azure-abonnement is gekoppeld aan de Power Platform-tenant.
Hoe wordt in Power Platform gebruikgemaakt van Azure-subnetdelegatie?
Wanneer aan een Power Platform-omgeving een gedelegeerd Azure-subnet is toegewezen, wordt gebruikgemaakt van Azure Virtual Network-injectie om de container tijdens runtime in een gedelegeerd subnet te injecteren. Tijdens dit proces wordt aan een netwerkinterfacekaart (NIC) of container een IP-adres toegewezen vanuit het gedelegeerde subnet. De communicatie tussen de host (Power Platform) en de container vindt plaats via een lokale poort op de container, en het verkeer stroomt via Azure Fabric.
Kan ik een bestaand Virtual Network gebruiken voor Power Platform?
Ja, u kunt een bestaand Virtual Network gebruiken voor Power Platform, zolang er maar één nieuw subnet binnen het Virtual Network specifiek aan Power Platform wordt gedelegeerd. Het is belangrijk op te merken dat dit gedelegeerde subnet geen andere services mag hosten.
Kan ik VS oost 2 als failover gebruiken als mijn Power Platform-omgeving in Canada is?
Om een juiste failover te garanderen, moeten het primaire subnet en het failover-subnet respectievelijk in canadacentral en canadaeast worden ingericht. Maak voor een effectieve failover het primaire subnet en het failover-subnet respectievelijk in de regio´s canadacentral en canadaeast. Breng bovendien Virtual Network-peering tot stand tussen het primaire Virtual Network en het failover-Virtual Network, inclusief het Virtual Network in de regio useeast2 voor connectiviteit.
Wat is een Dataverse-invoegtoepassing?
Een Dataverse-invoegtoepassing is een stukje aangepaste code dat in een Power Platform-omgeving kan worden geïmplementeerd. Deze invoegtoepassing kan worden geconfigureerd om te worden uitgevoerd tijdens gebeurtenissen (zoals een wijziging in gegevens) of te worden geactiveerd als een aangepaste API. Meer informatie: Dataverse-invoegtoepassingen
Hoe wordt een Dataverse-invoegtoepassing uitgevoerd?
Een Dataverse-invoegtoepassing werkt binnen een container. Wanneer aan een Power Platform-omgeving een gedelegeerd subnet wordt toegewezen, wordt een IP-adres uit de adresruimte van dat subnet toegewezen aan de netwerkinterfacekaart (NIC) van de container. Communicatie tussen de host (Power Platform) en de container vindt via een lokale poort op de container plaats en het verkeer stroomt via Azure Fabric.
Kunnen meerdere invoegtoepassingen binnen dezelfde container worden uitgevoerd?
Ja. In een bepaalde Power Platform- of Dataverse-omgeving kunnen meerdere invoegtoepassingen binnen dezelfde container werken. Elke container gebruikt één IP-adres uit de subnetadresruimte en elke container kan meerdere aanvragen uitvoeren.
Hoe gaat de infrastructuur om met een toename van het aantal gelijktijdige uitvoeringen van invoegtoepassingen?
Naarmate het aantal gelijktijdige uitvoeringenen van de invoegtoepassing toeneemt, wordt de infrastructuur automatisch geschaald (uit of in) om de belasting op te vangen. Het subnet dat aan een Power Platform-omgeving wordt gedelegeerd, moet voldoende adresruimten hebben om het piekvolume van uitvoeringen voor de workloads in die Power Platform-omgeving te kunnen verwerken.
Wie beheert het Virtual Network en het bijbehorende netwerkbeleid?
Als klant bent u eigenaar van en hebt u controle over het Virtual Network en het bijbehorende netwerkbeleid. Power Platform daarentegen gebruikt de toegewezen IP-adressen van het gedelegeerde subnet binnen dat Virtual Network.
Hoe kan ik ondersteuning voor Virtual Network configureren voor Power Platform in ontwikkel-/testomgevingen zonder twee afzonderlijke Virtual Networks in verschillende Azure-regio's te gebruiken?
Er is één virtueel netwerk en één speciaal subnet in elk van uw primaire en secundaire Azure-regio's vereist voor productieworkloads om een goede failover te garanderen. Voor Dev-/Testomgevingen raden we echter één virtueel netwerk aan, samen met twee speciale subnetten voor Power Platform.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor