Pomoc techniczna usługi Virtual Network — omówienie
Dzięki pomocy technicznej Azure Virtual Network dla Power Platform można integrować Power Platform z zasobami w sieci wirtualnej bez konieczności dostępu do nich za pośrednictwem publicznego Internetu. Obsługa sieci wirtualnej używa delegowania podsieci Azure w celu zarządzania ruchu wychodzącego z Power Platform w czasie wykonywania. Korzystanie z delegowania podsieci Azure pozwala uniknąć konieczności korzystania z chronionej zasobów za pośrednictwem Internetu w celu integracji z Power Platform. Dzięki obsłudze Power Platform sieci wirtualnej składniki mogą wywoływać zasoby należące do przedsiębiorstwa w sieci, niezależnie od tego, czy są hostowane na platformie Azure, czy lokalne, oraz używać wtyczek i łączników do wykonywania połączeń wychodzących.
Power Platform przeważnie integruje się z zasobami przedsiębiorstwa za pośrednictwem sieci publicznych. W przypadku sieci publicznych zasoby przedsiębiorstwa muszą być dostępne z listy zakresów IP Azure lub tagów usług opisujących publiczne adresy IP. Jednak pomoc techniczna Azure Virtual Network dla Power Platform umożliwia korzystanie z sieci prywatnej i ciągłe integrowanie jej z usługami w chmurze lub usługami hostowanymi wewnątrz sieci przedsiębiorstwa.
Usługi Azure są chronione wewnątrz sieci wirtualnej przez prywatne punkty końcowe. Express Route umożliwia przenoszenie zasobów lokalnych do sieci wirtualnej.
Power Platform używa delegowanej sieci wirtualnej i podsieci do wywołań wychodzących do zasobów przedsiębiorstwa za pośrednictwem prywatnej sieci przedsiębiorstwa. Korzystanie z sieci prywatnej eliminuje konieczność kierowania ruchu przez publiczny Internet, co może uwidocznić zasoby przedsiębiorstwa.
W sieci wirtualnej użytkownik ma pełną kontrolę nad ruchem wychodzącym z platformy Power Platform. Ruch podlega zasadom sieciowym zastosowanym przez administratora sieci. Poniższy diagram przedstawia sposób interakcji zasobów w sieci z siecią wirtualną.
Korzyści z pomocy technicznej usługi Virtual Network
Dzięki pomocy technicznej usługi Virtual Network składniki Power Platform i Dataverse uzyskują wszystkie korzyści, jakie zapewnia delegowanie podsieci Azure, takie jak:
Ochrona danych: Virtual Network umożliwia Power Platform usługom łączenie się z prywatnymi i chronionymi zasobami bez uwidaczniania ich w Internecie.
Brak nieautoryzowanego dostępu: Virtual Network łączy się z zasobami bez konieczności używania zakresów Power Platform adresów IP lub tagów usług w połączeniu.
Obsługiwane scenariusze
Power Platform włącza obsługę sieci wirtualnej zarówno dla dodatku plug-in Dataverse, jak i łączników. Dzięki tej pomocy można ustanowić zabezpieczone, prywatne połączenia wychodzące z Power Platform do zasobów w ramach sieci wirtualnej. Dodatki plug-in Dataverse i łączniki zwiększają bezpieczeństwo integracji danych, łącząc się z zewnętrznymi źródłami danych z Power Apps, Power Automate i aplikacjami usługi Dynamics 365. Można na przykład:
- Używanie dodatków plug-in do Dataverse łączenia się ze źródłami danych w chmurze, takimi jak Azure SQL, Magazyn Azure Storage, Magazyn obiektów blob lub Magazyn Azure Key Vault. Można chronić dane przed eksfiltracją danych i innymi zdarzeniami.
- Używanie dodatków plug-in Dataverse do bezpiecznego łączenia się z prywatnymi, chronionymi punktami końcowymi zasobami na platformie Azure, takimi jak interfejs API sieci Web lub dowolne zasoby w sieci prywatnej, takie jak SQL i interfejs API sieci Web. Można chronić dane przed naruszeniami danych i innymi zewnętrznymi zagrożeniami.
- Użyj łączników obsługiwanych przez Virtual Network, takich jak SQL Server , aby bezpiecznie łączyć się ze źródłami danych hostowanymi w chmurze, takimi jak Azure SQL lub SQL Server, bez uwidaczniania ich w Internecie. Podobnie za pomocą łącznika kolejki Azure można ustanowić bezpieczne połączenia z prywatnymi, obsługowymi punktami końcowymi kolejek Azure.
- Użyj łącznika Azure Key Vault, aby nawiązać bezpieczne połączenie z prywatnym, chronionym punktem końcowym Azure Key Vault.
- Użyj łączników niestandardowych, aby bezpiecznie łączyć się z usługami, które są chronione przez prywatne punkty końcowe na platformie Azure lub usługi hostowane w sieci prywatnej.
- Użyj usługi Azure File Storage , aby bezpiecznie nawiązać połączenie z prywatnym magazynem plików platformy Azure z obsługą punktów końcowych.
Ograniczenia
- Dataverse Wtyczki niskokodowe korzystające z łączników nie są obsługiwane, dopóki te typy łączników nie zostaną zaktualizowane w celu korzystania z delegowania podsieci.
- Operacje kopii, kopii zapasowych i przywracania cyklu życia środowiska są używane w środowiskach Power Platform obsługiwanych w sieci wirtualnej. Operacja przywracania może być wykonywana w tej samej sieci wirtualnej, a także w różnych środowiskach, o ile jest połączona z tę samą siecią wirtualną. Ponadto operacja przywracania jest dozwolona ze środowisk, które nie obsługują takich sieci wirtualnych.
Obsługiwane regiony
Potwierdź, że środowisko Power Platform i zasady przedsiębiorstwa są obsługiwane w regionach Power Platform i Azure. Jeśli na przykład Power Platform środowisko znajduje się w Stanach Zjednoczonych, sieć wirtualna i podsieci muszą znajdować się w regionach świadczenia usługi Azure eastus i westus .
| Region Power Platform | Region platformy Azure |
|---|---|
| Stany Zjednoczone | eastus, westus |
| Republika Południowej Afryki | eouthafricanorth, southafricawest |
| Uk | uksouth, ukwest |
| Japonia | japaneast, japanwest |
| Indie | centralindia, southindia |
| Francja | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Niemcy | germanynorth, germanywestcentral |
| Szwajcaria | switzerlandnorth, switzerlandwest |
| Kanada | canadacentral, canadaeast |
| Brazylia | brazilsouth, southcentralus |
| Australia | australiasoutheast, australiaeast |
| Azja | eastasia, southeastasia |
| Zjednoczone Emiraty Arabskie | uaecentral, uaenorth |
| Korea Południowa | koreasouth, koreacentral |
| Norwegia | norwaywest, norwayeast |
| Singapur | southeastasia |
| Szwecja | swedencentral |
Obsługiwane usługi
W poniższej tabeli przedstawiono usługi obsługujące delegowanie podsieci Azure dla obsługi sieci wirtualnej (Virtual Network) dla Power Platform.
| Obszar | Usługi platformy Power Platform | Pomoc techniczna usługi Virtual Network — dostępność |
|---|---|---|
| Dataverse | Dataverse Wtyczki | Ogólna dostępność |
| Łączniki | Ogólna dostępność |
Zagadnienia dotyczące włączania obsługi sieci wirtualnej w środowisku Power Platform
W przypadku korzystania z obsługi Virtual Network w Power Platform środowisku wszystkie obsługiwane usługi, takie jak Dataverse wtyczki i łączniki, wykonują żądania w czasie wykonywania w delegowanej podsieci i podlegają zasadom sieciowym. Rozmowy z publicznie dostępnymi zasobami zaczynały się dzielić.
Ważne
Przed włączeniem obsługi środowiska wirtualnego Power Platform należy sprawdzić kod dodatków plug-in i łączników. Adresy URL i połączenia należy zaktualizować, aby działały w połączeniach prywatnych.
Na przykład dodatek plug-in może spróbować połączyć się z usługą publicznie dostępną, ale zasady sieciowe nie zezwalają na publiczny dostęp do Internetu w sieci wirtualnej. Połączenie z dodatku plug-in jest blokowane zgodnie z zasadami sieci użytkownika. Aby uniknąć zablokowanego połączenia, można hostować publicznie dostępną usługę w sieci wirtualnej. Jeśli usługa jest hostowana na platformie Azure, możesz użyć prywatnego punktu końcowego w usłudze przed włączeniem obsługi sieci wirtualnej w środowisku Power Platform.
Często zadawane pytania
Jaka jest różnica między bramą danych sieci wirtualnej a obsługą usługi Azure Virtual Network dla Power Platform?
Brama danych sieci wirtualnej to brama zarządzana, która umożliwia dostęp do platformy Azure i Power Platform z poziomu sieci wirtualnej bez konieczności ustawiania lokalnej bramy danych. Na przykład brama jest zoptymalizowana pod kątem obciążenia ETL (wyodrębnianie, przekształcanie, ładowanie) w przepływach danych Power BI i Power Platform.
Obsługa Azure Virtual Network dla Power Platform używa delegowania podsieci Azure dla środowiska Power Platform. Podsieci są używane przez obciążenia w środowisku Power Platform. Obciążenia interfejsu API używają obsługi sieci wirtualnej Power Platform, ponieważ żądania są krótkie i zoptymalizowane pod kątem dużej liczby żądań.
W jakich scenariuszach należy użyć obsługi sieci wirtualnej dla Power Platform i portalu danych sieci wirtualnej?
Obsługa sieci wirtualnej dla Power Platform jest jedyną obsługiwaną opcją w przypadku wszystkich scenariuszy połączeń wychodzących z Power Platform z wyjątkiem Power BI i Przepływów danych Power Platform.
Power BI a Power Platform przepływy danych nadal korzystają z bramy danych sieci wirtualnej (vNet).
Jak zagwarantować, że podsieć sieci wirtualnej lub brama danych od jednego klienta nie jest używana przez innego klienta w Power Platform?
Obsługa sieci wirtualnej dla Power Platform używa Delegowania podsieci Azure.
Każde środowisko Power Platform jest połączone z jedną podsiecią sieci wirtualnej. Dostęp do tej sieci wirtualnej mogą mieć tylko wywołania tego środowiska.
Delegowanie pozwala na wyznaczanie konkretnej podsieci dla wszystkich platform Azure jako usługi (PaaS), które trzeba przechować do sieci wirtualnej.
Czy sieć wirtualna obsługuje tryb failover dla Power Platform?
Tak, należy delegować podstawową sieć wirtualną i pracy awaryjnej failover i podsieci podczas konfiguracji.
Jak środowisko Power Platform w jednym regionie może się połączyć z zasobami hostowanymi w innym regionie?
Sieć wirtualna połączona ze środowiskiem Power Platform musi znajdować się w regionie środowiska Power Platform. Jeśli sieć wirtualna znajduje się w innym regionie, należy utworzyć sieć wirtualną w regionie środowiska Power Platform i użyć komunikacji równorzędnej sieci wirtualnych w celu połączenia obu regionów.
Czy można monitorować ruch wychodzący z delegowanych podsieci?
Tak. Do monitorowania ruchu wychodzącego z delegowanych podsieci można użyć sieciowej grupy zabezpieczeń lub zapory.
Ile adresów IP potrzebuje platforma Power Platform do delegowania w podsieci?
Musisz delegować przynajmniej 24 bezklasowe wyznaczanie klas miedzy domenami (CIDR) lub 255 adresów IP w podsieci. Aby delegować tę samą podsieć do wielu środowisk, może okazać się konieczne użycie więcej adresów IP w ramach tej podsieci.
Czy po delegowaniu środowiska z dodatki plug-in lub łączników można korzystać z połączeń powiązanych z Internetem?
Tak. Połączenia związane z Internetem można konfigurować za pomocą dodatek plug-in lub łączników, ale podsieć musi być skonfigurowana za pomocą portalu Azure NAT .
Czy mogę zaktualizować zakres adresów IP podsieci po jego delegowaniu do "Microsoft. PowerPlatform/enterprisePolicies"?
Nie Nie można zmienić zakresu adresów IP podsieci po jej delegowaniu do "Microsoft. PowerPlatform/enterprisePolicies."
Moja sieć wirtualna ma skonfigurowaną niestandardową konfigurację DNS. Czy Power Platform używa mojego niestandardowego DNS?
Tak. Power Platform używa niestandardowego serwera DNS skonfigurowanego w sieci wirtualnej, która zawiera delegowaną podsieć w celu rozwiązania wszystkich punktów końcowych. Po delegowaniu środowiska można zaktualizować dodatek plug-in, tak aby używać poprawnego pola punkt końcowy, aby niestandardowy system DNS mógł je rozwiązać.
Moje środowisko ma dodatki plug-in dostarczone przez ISV. Czy te dodatki plug-in są uruchamiane w podsieci delegowanej?
Tak. Mogą być uruchamiane wszystkie dodatki plug-in i ISV dla klientów używające podsieci. Jeśli dodatki plug-in ISV mają łączność wychodzącą, te adresy URL mogą być konieczne w zaporze.
Moje certyfikaty lokalnych punktów końcowych TLS nie są podpisane przez znane główne urzędy certyfikacji (CA). Czy są obsługujesz nieznane certyfikaty?
Nie Należy się upewnić, punkt końcowy przedstawia certyfikat TLS z kompletną całością. Nie można dodać niestandardowego głównego urzędu certyfikacji do listy znanych urządów certyfikacji.
Jaka jest zalecana konfiguracja sieci wirtualnej w dzierżawcy klienta?
Nie zaleca się korzystania z żadnej określonej topologii. Jednak nasi klienci często używają modelu topologii sieci „piasta i szprychy”.
Czy połączenie subskrypcji platformy Azure z dzierżawcą Power Platform jest konieczne do aktywowania sieci wirtualnej?
Tak, aby włączyć obsługę sieci wirtualnej dla środowisk Power Platform, istotne jest, aby subskrypcja Azure była skojarzona z dzierżawcą Power Platform.
Jak Power Platform korzysta z delegowania podsieci Azure?
Gdy środowisko jest delegowane Power Platform, przypisana podsieć Azure używa usługi Azure Virtual Network w celu połączenia kontenera w czasie wykonywania do delegowanej podsieci. Podczas tego procesu karta interfejsu sieciowego (NIC) konteneru jest przydzielania adresu IP z delegowanej podsieci. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.
Czy można korzystać z istniejącej sieci wirtualnej dla Power Platform?
Tak, można wykorzystać istniejącą sieć wirtualną dla Power Platform, o ile jest delegowana jedna, nowa podsieć w sieci wirtualnej Power Platform. Należy pamiętać, że w tej delegowanej podsieci nie powinny być hostowane żadne inne usługi.
Czy jeśli mam środowisko w Kanadzie, mogę użyć Wschodnie stany USA 2 jako pracy awaryjnej failover dla Power Platform?
Aby zapewnić poprawną pracę awaryjną, należy zaimprowizować podsieć canadacentral i canadaeast, a następnie pracy awaryjnej odpowiednio tych strefach. Aby zapewnić poprawny tryb failover, należy zaimprowizować podsieć canadacentral i canadaeast, a następnie pracy awaryjnej odpowiednio tych strefach. Ponadto, jeśli chcesz obsługiwać łączność z zasobami w regionie useast2 , ustanów komunikację równorzędną Virtual Network między sieciami wirtualnymi podstawowymi i awaryjnymi, w tym Virtual Network w regionie useast2 .
Co to jest dodatek plug-in Dataverse?
Dodatek plug-in Dataverse to element kodu niestandardowego, który można wdrożyć w środowisku Power Platform. Ten dodatek plug-in można skonfigurować do uruchamiania podczas zdarzeń (na przykład zmiany danych) lub wyzwalany jako niestandardowy interfejs API. Dowiedz się więcej: Dodatki plug-in Dataverse
Jak działa dodatek plug-in Dataverse?
Dodatek plug-in Dataverse działa w kontenerze. Gdy do środowiska Power Platform jest przypisywana delegowana podsieć, adres IP z obszaru adresowego tej podsieci jest przypisywany na kartę interfejsu sieciowego (NIC) konteneru. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.
Czy w tym samym kontenerze może być uruchamianych wiele dodatków plug-in?
Tak. W danym środowisku Power Platform lub Dataverse wiele dodatków plug-in może działać w tym samym kontenerze. Każdy kontener zużywa jeden adres IP z obszaru adresu podsieci, a każdy kontener może uruchomić wiele żądań.
Jak infrastruktura obsługuje zwiększenie liczby równoczesnych wykonań dodatku plug-in?
W wraz ze wzrostem liczby równoczesnych wykonań dodatku plug-in infrastruktura automatycznie skaluje na zewnątrz lub do wewnątrz w celu dostosowania obciążenia. Podsieć delegowana do środowiska Power Platform powinna mieć wystarczające przestrzenie adresowe do obsługi szczytowej liczby wykonań prac dla prac w tym środowisku Power Platform.
Kto steruje skojarzoną z nią siecią wirtualną i zasadami sieci?
Klient ma własność sieci wirtualnej oraz pełną kontrolę nad nią i jest skojarzoną z nią zasadami sieci. Z drugiej strony Power Platform korzysta z przydzielonego adresu IP z delegowanej podsieci w ramach tej sieci wirtualnej.
Czy dodatki Azure plug-in obsługują Virtual Network?
Nie, dodatki Azure plug-in nie obsługują Virtual Network.