Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzięki pomocy technicznej Azure Virtual Network dla Power Platform można integrować Power Platform z zasobami w sieci wirtualnej bez konieczności dostępu do nich za pośrednictwem publicznego Internetu. Obsługa sieci wirtualnej używa delegowania podsieci Azure w celu zarządzania ruchu wychodzącego z Power Platform w czasie wykonywania. Korzystanie z delegowania podsieci Azure Subnet pozwala uniknąć konieczności korzystania z chronionej zasobów za pośrednictwem Internetu w celu integracji z Power Platform. Dzięki obsłudze sieci wirtualnej składniki Power Platform mogą wywołać zasoby posiadane przez przedsiębiorstwo w sieci, niezależnie od tego, czy są hostowane na platformie Azure czy w lokalnie, a także używać dodatków plug-in i łączników w celu wywołania wychodzącego.
Power Platform przeważnie integruje się z zasobami przedsiębiorstwa za pośrednictwem sieci publicznych. W przypadku sieci publicznych zasoby przedsiębiorstwa muszą być dostępne z listy zakresów IP Azure lub tagów usług opisujących publiczne adresy IP. Jednak pomoc techniczna Azure Virtual Network dla Power Platform umożliwia korzystanie z sieci prywatnej i ciągłe integrowanie jej z usługami w chmurze lub usługami hostowanymi wewnątrz sieci przedsiębiorstwa.
Usługi Azure są chronione wewnątrz sieci wirtualnej przez prywatne punkty końcowe. Express Route umożliwia przenoszenie zasobów lokalnych do sieci wirtualnej.
Power Platform używa delegowanej sieci wirtualnej i podsieci do wywołań wychodzących do zasobów przedsiębiorstwa za pośrednictwem prywatnej sieci przedsiębiorstwa. Korzystanie z sieci prywatnej eliminuje konieczność kierowania ruchu przez publiczny Internet, co może uwidocznić zasoby przedsiębiorstwa.
W sieci wirtualnej użytkownik ma pełną kontrolę nad ruchem wychodzącym z platformy Power Platform. Ruch podlega zasadom sieciowym zastosowanym przez administratora sieci. Poniższy diagram przedstawia sposób interakcji zasobów w sieci z siecią wirtualną.
Korzyści z pomocy technicznej usługi Virtual Network
Dzięki pomocy technicznej usługi Virtual Network składniki Power Platform i Dataverse uzyskują wszystkie korzyści, jakie zapewnia delegowanie podsieci Azure, takie jak:
Ochrona danych: sieć wirtualna umożliwia Power Platform nawiązywanie połączeń z zasobami prywatnymi i chronionymi bez wyeksponowania ich do Internetu.
Brak nieautoryzowanych dostępu: sieć wirtualna łączy się z zasobami bez konieczności ujednolicania zakresów IP Power Platform ani tagów usług w połączeniu.
Szacowanie rozmiaru podsieci dla Power Platform środowisk
W ciągu ostatniego roku dane telemetryczne i obserwacje wskazują, że środowiska produkcyjne zazwyczaj wymagają od 25 do 30 adresów IP, a większość przypadków użycia mieści się w tym zakresie. Na podstawie tych informacji zalecamy przydzielanie od 25 do 30 adresów IP dla środowisk produkcyjnych i od 6 do 10 adresów IP dla środowisk nieprodukcyjnych, takich jak środowiska piaskownicy lub środowiska deweloperskie. Adresy IP w podsieci są używane głównie przez kontenery połączone z Virtual Network. Gdy środowisko zacznie być używane, zostaną utworzone co najmniej cztery kontenery, które dynamicznie skalują się na podstawie liczby wywołań, chociaż zwykle pozostają w zakresie od 10 do 30 kontenerów. Kontenery te są odpowiedzialne za wykonywanie wszystkich żądań dla odpowiednich środowisk i wydajną obsługę żądań połączeń równoległych.
Planowanie dla wielu środowisk
W przypadku korzystania z tej samej delegowanej podsieci dla wielu Power Platform środowisk może być potrzebny większy blok adresów IP routingu międzydomenowego (CIDR) bez klasy. Rozważ zalecaną ilość adresów IP dla środowisk produkcyjnych i nieprodukcyjnych podczas łączenia środowisk z jedną zasadą. Należy pamiętać, że każda podsieć rezerwuje pięć adresów IP, które należy uwzględnić w oszacowaniu.
Uwaga
Aby zwiększyć wgląd w wykorzystanie zasobów, pracujemy nad uwidocznieniem wykorzystania delegowanych adresów IP podsieci w politykach i podsieciach przedsiębiorstwa.
Przykładowa alokacja adresów IP
Rozważmy dzierżawę z dwiema zasadami przedsiębiorstwa. Pierwsza zasada dotyczy środowisk produkcyjnych, natomiast druga zasada dotyczy środowisk nieprodukcyjnych.
Polityka przedsiębiorstwa produkcyjnego
Jeśli masz cztery środowiska produkcyjne skojarzone z zasadami przedsiębiorstwa, z których każde wymaga 30 adresów IP. Całkowity przydział IP byłby następujący:
(Cztery środowiska x 30 adresów IP) + 5 zarezerwowanych adresów IP = 125 adresów IP
Ten scenariusz wymaga bloku CIDR o wartości /25, który ma pojemność dla 128 adresów IP.
Polityka przedsiębiorstw nieprodukcyjnych
W kontekście polityki przedsiębiorstwa dotyczącej środowisk nieprodukcyjnych z 20 środowiskami deweloperskimi i sandboxowymi — przy wymaganiu 10 adresów IP na każde — łączna alokacja adresów IP będzie następująca:
(Dwadzieścia środowisk x 10 adresów IP) + 5 zarezerwowanych adresów IP = 205 adresów IP
Ten scenariusz wymagałby bloku CIDR / 24, który ma pojemność dla 256 adresów IP i ma wystarczająco dużo miejsca, aby dodać więcej środowisk do zasad przedsiębiorstwa.
Obsługiwane scenariusze
Power Platform włącza obsługę sieci wirtualnej zarówno dla dodatku plug-in Dataverse, jak i łączników. Dzięki tej pomocy można ustanowić zabezpieczone, prywatne połączenia wychodzące z Power Platform do zasobów w ramach sieci wirtualnej. Dodatki plug-in Dataverse i łączniki zwiększają bezpieczeństwo integracji danych, łącząc się z zewnętrznymi źródłami danych z Power Apps, Power Automate i aplikacjami usługi Dynamics 365. Można na przykład:
- Używanie dodatków plug-in do Dataverse łączenia się ze źródłami danych w chmurze, takimi jak Azure SQL, Magazyn Azure Storage, Magazyn obiektów blob lub Magazyn Azure Key Vault. Można chronić dane przed eksfiltracją danych i innymi zdarzeniami.
- Używanie dodatków plug-in Dataverse do bezpiecznego łączenia się z prywatnymi, chronionymi punktami końcowymi zasobami na platformie Azure, takimi jak interfejs API sieci Web lub dowolne zasoby w sieci prywatnej, takie jak SQL i interfejs API sieci Web. Można chronić dane przed naruszeniami danych i innymi zewnętrznymi zagrożeniami.
- Używaj łączników obsługujących sieć wirtualną, jak serwer SQL Server, w celu bezpiecznego łączenia się z hostowanych w chmurze źródłami danych, takimi jak Azure SQL lub SQL Server, bez konieczności narażania ich na Internet. Podobnie za pomocą łącznika kolejki Azure można ustanowić bezpieczne połączenia z prywatnymi, obsługowymi punktami końcowymi kolejek Azure.
- Użyj łącznika Azure Key Vault, aby nawiązać bezpieczne połączenie z prywatnym, chronionym punktem końcowym Azure Key Vault.
- Użyj łączników niestandardowych, aby nawiązać bezpieczne połączenie z usługami chronionymi przez punkty końcowe prywatne na platformie Azure lub w usługach hostowanych w sieci prywatnej.
- Użyj Magazynu plików Azure, aby bezpiecznie połączyć się z prywatnym magazynem plików Azure z włączoną obsługą punktów końcowych.
- Użyj HTTP z Tożsamość Microsoft Entra (wstępna autoryzacja) do bezpiecznego pobierania zasobów przez sieci wirtualne z różnych usług internetowych, uwierzytelnionych przez Tożsamość Microsoft Entra lub z lokalnej usługi internetowej.
Ograniczenia
- Niskokodowe dodatki plug-in Dataverse, które korzystają z łączników, nie są obsługiwane, dopóki te typy łączników nie zostaną zaktualizowane w celu użycia delegowania podsieci.
- Operacje kopii, kopii zapasowych i przywracania cyklu życia środowiska są używane w środowiskach Power Platform obsługiwanych w sieci wirtualnej. Operacja przywracania może być wykonywana w tej samej sieci wirtualnej i w różnych środowiskach, pod warunkiem, że są one połączone z tą samą siecią wirtualną. Ponadto operacja przywracania jest dozwolona ze środowisk, które nie obsługują takich sieci wirtualnych.
Obsługiwane regiony
Potwierdź, że środowisko Power Platform i zasady przedsiębiorstwa są obsługiwane w regionach Power Platform i Azure. Jeśli na przykład środowisko platformy Power Platform znajduje się w Wielkiej Brytanii, sieć wirtualna i podsieci muszą znajdować się w regionach uksouth i ukwest platformy Azure. W przypadku, gdy region platformy Power Platform ma więcej niż dwa regiony, musisz upewnić się, że wybrano jedną z dostępnych par regionów. Jeśli na przykład środowisko znajduje się w Stanach Zjednoczonych, sieć wirtualna i podsieci muszą znajdować się w regionach eastus i westus lub w regionach centralus i eastus2.
| Region platformy Power Platform | region świadczenia platformy Azure |
|---|---|
| Stany Zjednoczone |
|
| Republika Południowej Afryki | southafricanorth, southafricawest |
| Zjednoczone Królestwo | uksouth, ukwest |
| Japonia | japaneast (wschód Japonii), japanwest (zachód Japonii) |
| Indie | Indie Środkowe, Indie Południowe |
| Francja | francecentral, francesouth |
| Europa | zachodnia Europa, północna Europa |
| Niemcy | Niemcy Północ, Niemcy Zachodnio-Centralna |
| Szwajcaria | SzwajcariaPółnoc, SzwajcariaZachód |
| Kanada | Kanada Centralny, Kanada Wschodni |
| Brazylia | brazilsouth |
| Australia | australiasoutheast, australiaeast |
| Azja | eastasia, southeastasia |
| UAE | uaenorth |
| Korea Południowa | koreasouth, koreacentral |
| Norwegia | norwegia-zachód, norwegia-wschód |
| Singapur | southeastasia |
| Szwecja | swedencentral |
| Włochy | italynorth |
| Rząd USA | usgovtexas, usgovvirginia |
Uwaga
Obsługa w chmurze GCC (US Government Community Cloud) jest obecnie dostępna tylko dla środowisk wdrożonych w GCC High. Wsparcie dla środowisk Departamentu Obrony i GCC nie jest dostępne.
Obsługiwane usługi
W poniższej tabeli przedstawiono usługi obsługujące delegowanie podsieci Azure dla obsługi sieci wirtualnej (Virtual Network) dla Power Platform.
| Obszar | Usługi platformy Power Platform | Pomoc techniczna usługi Virtual Network — dostępność |
|---|---|---|
| Dataverse | Wtyczki Dataverse | Ogólna dostępność |
| Łączniki | Ogólna dostępność | |
| Łączniki | Ogólna dostępność |
Obsługiwane środowiska
Obsługa sieci wirtualnej dla platformy Power Platform nie jest dostępna dla wszystkich środowisk platformy Power Platform. W poniższej tabeli wymieniono typy środowisk, które obsługują sieć wirtualną.
| Typ środowiska | Wsparte |
|---|---|
| Produkcja | Tak |
| Default | Tak |
| Piaskownica | Tak |
| Deweloper | Tak |
| Proces sądowy | Nie. |
| Microsoft Dataverse for Teams | Nie. |
Zagadnienia dotyczące włączania obsługi sieci wirtualnej w środowisku Power Platform
Po włączeniu obsługi sieci wirtualnej w środowisku Power Platform wszystkie obsługiwane usługi, takie jak dodatki plug-in i łączniki Dataverse, wykonują żądania w czasie wykonywania w delegowanej podsieci i podlegają zasadom dotyczącym sieci. Rozmowy z publicznie dostępnymi zasobami zaczynały się dzielić.
Ważne
Przed włączeniem obsługi środowiska wirtualnego Power Platform należy sprawdzić kod dodatków plug-in i łączników. Adresy URL i połączenia należy zaktualizować, aby działały w połączeniach prywatnych.
Na przykład dodatek plug-in może spróbować połączyć się z usługą publicznie dostępną, ale zasady sieciowe nie zezwalają na publiczny dostęp do Internetu w sieci wirtualnej. Połączenie z dodatku plug-in jest blokowane zgodnie z zasadami sieci użytkownika. Aby uniknąć zablokowanego połączenia, można hostować publicznie dostępną usługę w sieci wirtualnej. Jeśli usługa jest hostowana na platformie Azure, możesz użyć prywatnego punktu końcowego w usłudze przed włączeniem obsługi sieci wirtualnej w środowisku Power Platform.
Najczęściej zadawane pytania
Jaka jest różnica między bramą danych sieci wirtualnej a obsługą usługi Azure Virtual Network dla platformy Power Platform?
Brama danych sieci wirtualnej to brama zarządzana, która umożliwia dostęp do usług platformy Azure i Power Platform z poziomu sieci wirtualnej bez konieczności konfigurowania lokalnej bramy danych. Na przykład brama jest zoptymalizowana pod kątem obciążenia ETL (wyodrębnianie, przekształcanie, ładowanie) w przepływach danych Power BI i Power Platform.
Obsługa Azure Virtual Network dla Power Platform używa delegowania podsieci Azure dla środowiska Power Platform. Podsieci są używane przez obciążenia w środowisku Power Platform. Obciążenia interfejsu API używają obsługi sieci wirtualnej Power Platform, ponieważ żądania są krótkie i zoptymalizowane pod kątem dużej liczby żądań.
W jakich scenariuszach należy użyć obsługi sieci wirtualnej dla Power Platform i portalu danych sieci wirtualnej?
Obsługa sieci wirtualnej dla Power Platform jest jedyną obsługiwaną opcją w przypadku wszystkich scenariuszy połączeń wychodzących z Power Platform z wyjątkiem Power BI i Przepływów danych Power Platform.
Power BI i przepływy danych Power Platform nadal korzystają z portalu danych sieci wirtualnej (vNet).
Jak zagwarantować, że podsieć sieci wirtualnej lub brama danych od jednego klienta nie jest używana przez innego klienta w Power Platform?
Obsługa sieci wirtualnej dla Power Platform używa Delegowania podsieci Azure.
Każde środowisko Power Platform jest połączone z jedną podsiecią sieci wirtualnej. Dostęp do tej sieci wirtualnej mogą mieć tylko wywołania tego środowiska.
Delegowanie pozwala na wyznaczanie konkretnej podsieci dla wszystkich platform Azure jako usługi (PaaS), które trzeba przechować do sieci wirtualnej.
Czy Virtual Network obsługuje przełączanie awaryjne Power Platform?
Tak, należy delegować sieci wirtualne dla obu regionów Azure, które są powiązane z regionem Power Platform. Jeśli na przykład środowisko Power Platform znajduje się w Kanadzie, musisz utworzyć, delegować i skonfigurować sieci wirtualne w Kanadzie Środkowej i Kanadzie Wschodniej.
Jak środowisko Power Platform w jednym regionie może się połączyć z zasobami hostowanymi w innym regionie?
Sieć wirtualna połączona ze środowiskiem Power Platform musi znajdować się w regionie środowiska Power Platform. Jeśli sieć wirtualna znajduje się w innym regionie, utwórz sieć wirtualną w regionie środowiska Power Platform i użyj Virtual Network peering na obu podsieciach regionu Azure delegowanych sieci wirtualnych, aby wypełnić lukę z siecią wirtualną w oddzielnym regionie.
Czy można monitorować ruch wychodzący z delegowanych podsieci?
Tak. Do monitorowania ruchu wychodzącego z delegowanych podsieci można użyć sieciowej grupy zabezpieczeń lub zapory. Więcej informacji można znaleźć w Monitor Azure Virtual Network.
Czy po delegowaniu środowiska z dodatki plug-in lub łączników można korzystać z połączeń powiązanych z Internetem?
Tak. Połączenia internetowe można wykonywać z wtyczek lub łączników, ale delegowana podsieć musi być skonfigurowana przy użyciu bramy NAT platformy Azure.
Czy można zaktualizować zakres adresów IP podsieci po delegowaniu go do „Microsoft.Power Platform/enterprisePolicies”?
Nie, gdy dana funkcja jest używana w danym środowisku. Nie można zmienić zakresu adresów IP podsieci po jej delegowaniu do elementu "Microsoft.Power Platform/enterprisePolicies". Jeśli to zrobisz, konfiguracja delegowania zostanie uszkodzona, a środowisko przestanie działać. Aby zmienić zakres adresów IP, należy usunąć funkcję delegowania ze środowiska, wprowadzić niezbędne zmiany, a następnie włączyć tę funkcję w środowisku.
Czy mogę zaktualizować adres DNS mojej sieci wirtualnej po jej delegowaniu do "Microsoft.Power Platform/enterprisePolicies"?
Nie, gdy dana funkcja jest używana w danym środowisku. Nie można zmienić adresu DNS sieci wirtualnej po jej delegowaniu do elementu "Microsoft.Power Platform/enterprisePolicies". Jeśli to zrobisz, zmiana nie zostanie pobrana w naszej konfiguracji, a środowisko może przestać działać. Aby zmienić zakres adresów DNS, należy usunąć funkcję delegowania ze środowiska, wprowadzić niezbędne zmiany, a następnie włączyć tę funkcję w środowisku.
Czy mogę używać tych samych zasad przedsiębiorstwa w wielu Power Platform środowiskach?
Tak. Możesz używać tych samych zasad przedsiębiorstwa w wielu Power Platform środowiskach. Istnieje jednak ograniczenie polegające na tym, że środowiska wczesnego cyklu wydawniczego nie mogą być używane z tymi samymi zasadami przedsiębiorstwa co inne środowiska.
Moja sieć wirtualna ma skonfigurowaną niestandardową konfigurację DNS. Czy Power Platform używa mojego niestandardowego DNS?
Tak. Power Platform używa niestandardowego serwera DNS skonfigurowanego w sieci wirtualnej, która zawiera delegowaną podsieć w celu rozwiązania wszystkich punktów końcowych. Po delegowaniu środowiska można zaktualizować dodatek plug-in, tak aby używać poprawnego pola punkt końcowy, aby niestandardowy system DNS mógł je rozwiązać.
Moje środowisko ma dodatki plug-in dostarczone przez ISV. Czy te dodatki plug-in są uruchamiane w podsieci delegowanej?
Tak. Mogą być uruchamiane wszystkie dodatki plug-in i ISV dla klientów używające podsieci. Jeśli dodatki plug-in ISV mają łączność wychodzącą, te adresy URL mogą być konieczne w zaporze.
Moje certyfikaty lokalnych punktów końcowych TLS nie są podpisane przez znane główne urzędy certyfikacji (CA). Czy są obsługujesz nieznane certyfikaty?
Nie Należy się upewnić, punkt końcowy przedstawia certyfikat TLS z kompletną całością. Nie można dodać niestandardowego głównego urzędu certyfikacji do listy znanych urządów certyfikacji.
Jaka jest zalecana konfiguracja sieci wirtualnej w dzierżawcy klienta?
Nie zaleca się korzystania z żadnej określonej topologii. Jednak nasi klienci powszechnie korzystają z topologii sieci piast i szprych w Azure.
Czy połączenie subskrypcji platformy Azure z dzierżawcą Power Platform jest konieczne do aktywowania sieci wirtualnej?
Tak, aby włączyć obsługę sieci wirtualnej dla środowisk Power Platform, istotne jest, aby subskrypcja Azure była skojarzona z dzierżawcą Power Platform.
Jak Power Platform korzysta z delegowania podsieci Azure?
Gdy środowisko jest delegowane Power Platform, przypisana podsieć Azure używa usługi Azure Virtual Network w celu połączenia kontenera w czasie wykonywania do delegowanej podsieci. Podczas tego procesu karta interfejsu sieciowego (NIC) konteneru jest przydzielania adresu IP z delegowanej podsieci. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.
Czy można korzystać z istniejącej sieci wirtualnej dla Power Platform?
Tak, możesz użyć istniejącej Virtual Network dla Power Platform, jeśli pojedyncza, nowa podsieć w Virtual Network jest delegowana specjalnie do Power Platform. Delegowana podsieć musi być dedykowana do delegowania podsieci i nie może być używana do innych celów.
Czy mogę ponownie użyć tej samej delegowanej podsieci w wielu zasadach przedsiębiorstwa?
Nie Ponowne użycie tej samej podsieci w wielu zasadach przedsiębiorstwa nie jest obsługiwane. Każda Power Platform zasada przedsiębiorstwa musi mieć własną, unikatową podsieć na potrzeby delegowania.
Co to jest dodatek plug-in Dataverse?
Dodatek plug-in Dataverse to element kodu niestandardowego, który można wdrożyć w środowisku Power Platform. Ten dodatek plug-in można skonfigurować do uruchamiania podczas zdarzeń (na przykład zmiany danych) lub wyzwalany jako niestandardowy interfejs API. Dowiedz się więcej: Dodatki plug-in Dataverse
Jak działa dodatek plug-in Dataverse?
Dodatek plug-in Dataverse działa w kontenerze. Gdy do środowiska Power Platform jest przypisywana delegowana podsieć, adres IP z obszaru adresowego tej podsieci jest przypisywany na kartę interfejsu sieciowego (NIC) konteneru. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.
Czy w tym samym kontenerze może być uruchamianych wiele dodatków plug-in?
Tak. W danym środowisku Power Platform lub Dataverse wiele dodatków plug-in może działać w tym samym kontenerze. Każdy kontener zużywa jeden adres IP z obszaru adresu podsieci, a każdy kontener może uruchomić wiele żądań.
Jak infrastruktura obsługuje zwiększenie liczby równoczesnych wykonań dodatku plug-in?
W wraz ze wzrostem liczby równoczesnych wykonań dodatku plug-in infrastruktura automatycznie skaluje na zewnątrz lub do wewnątrz w celu dostosowania obciążenia. Podsieć delegowana do środowiska Power Platform powinna mieć wystarczające przestrzenie adresowe do obsługi szczytowej liczby wykonań prac dla prac w tym środowisku Power Platform.
Kto steruje skojarzoną z nią siecią wirtualną i zasadami sieci?
Klient ma własność sieci wirtualnej oraz pełną kontrolę nad nią i jest skojarzoną z nią zasadami sieci. Z drugiej strony Power Platform korzysta z przydzielonego adresu IP z delegowanej podsieci w ramach tej sieci wirtualnej.
Czy dodatki Azure plug-in obsługują Virtual Network?
Nie, dodatki Azure plug-in nie obsługują Virtual Network.
Następne kroki
Konfigurowanie pomocy technicznej usługi Virtual Network