Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dzięki obsłudze usługi Azure Virtual Network dla platformy Power Platform można zintegrować platformę Power Platform z zasobami wewnątrz sieci wirtualnej bez uwidaczniania ich za pośrednictwem publicznego Internetu. Obsługa sieci wirtualnej używa delegowania podsieci Azure w celu zarządzania ruchu wychodzącego z Power Platform w czasie wykonywania. Dzięki delegowaniu podsieci platformy Azure chronione zasoby nie muszą być dostępne za pośrednictwem Internetu, aby zintegrować je z platformą Power Platform. Korzystając z obsługi sieci wirtualnej, składniki platformy Power Platform mogą wywoływać zasoby należące do przedsiębiorstwa w sieci, niezależnie od tego, czy są hostowane na platformie Azure, czy w środowisku lokalnym, oraz używać wtyczek i łączników do nawiązywania wywołań wychodzących.
Power Platform przeważnie integruje się z zasobami przedsiębiorstwa za pośrednictwem sieci publicznych. W przypadku sieci publicznych zasoby przedsiębiorstwa muszą być dostępne z listy zakresów IP Azure lub tagów usług opisujących publiczne adresy IP. Jednak pomoc techniczna Azure Virtual Network dla Power Platform umożliwia korzystanie z sieci prywatnej i ciągłe integrowanie jej z usługami w chmurze lub usługami hostowanymi wewnątrz sieci przedsiębiorstwa.
Usługi Azure są chronione wewnątrz sieci wirtualnej przez prywatne punkty końcowe. Express Route umożliwia przenoszenie zasobów lokalnych do sieci wirtualnej.
Power Platform używa delegowanej sieci wirtualnej i podsieci do wywołań wychodzących do zasobów przedsiębiorstwa za pośrednictwem prywatnej sieci przedsiębiorstwa. Korzystając z sieci prywatnej, nie musisz kierować ruchu przez publiczny Internet, co może spowodować uwidocznienie zasobów przedsiębiorstwa.
W sieci wirtualnej użytkownik ma pełną kontrolę nad ruchem wychodzącym z platformy Power Platform. Ruch podlega zasadom sieciowym zastosowanym przez administratora sieci. Poniższy diagram przedstawia sposób interakcji zasobów w sieci z siecią wirtualną.
Korzyści z pomocy technicznej usługi Virtual Network
Korzystając z obsługi usługi Virtual Network, składniki platformy Power Platform i usługi Dataverse uzyskują wszystkie korzyści zapewniane przez delegowanie podsieci platformy Azure, takie jak:
Ochrona danych: sieć wirtualna umożliwia Power Platform nawiązywanie połączeń z zasobami prywatnymi i chronionymi bez wyeksponowania ich do Internetu.
Brak nieautoryzowanych dostępu: sieć wirtualna łączy się z zasobami bez konieczności ujednolicania zakresów IP Power Platform ani tagów usług w połączeniu.
Szacowanie rozmiaru podsieci dla Power Platform środowisk
Dane telemetryczne i obserwacje z ostatniego roku wskazują, że środowiska produkcyjne zwykle wymagają od 25 do 30 adresów IP, a większość przypadków użycia mieści się w tym zakresie. Na podstawie tych informacji przydziel 25 do 30 adresów IP dla środowisk produkcyjnych i od 6 do 10 adresów IP dla środowisk nieprodukcyjnych, takich jak piaskownica lub środowiska deweloperskie. Kontenery połączone z siecią wirtualną używają głównie adresów IP w podsieci. Gdy środowisko zacznie być używane, tworzy co najmniej cztery kontenery, które są dynamicznie skalowane na podstawie woluminu wywołań, choć zwykle pozostają w zakresie od 10 do 30 kontenerów. Te kontenery wykonują wszystkie żądania dla odpowiednich środowisk i efektywnie obsługują żądania połączeń równoległych.
Planowanie dla wielu środowisk
W przypadku korzystania z tej samej delegowanej podsieci dla wielu środowisk platformy Power Platform może być potrzebny większy blok adresów IP bezklasowego routingu międzydomenowego (CIDR). Rozważ zalecaną liczbę adresów IP dla środowisk produkcyjnych i nieprodukcyjnych podczas łączenia środowisk z jedną zasadą. Każda podsieć rezerwuje pięć adresów IP, dlatego uwzględnij te zarezerwowane adresy w szacowaniu.
Uwaga
Aby zwiększyć wgląd w wykorzystanie zasobów, zespół rozwoju produktu pracuje nad ujawnieniem zużycia adresów IP w delegowanych podsieciach w ramach zasad i podsieci przedsiębiorstwa.
Przykładowa alokacja adresów IP
Rozważmy dzierżawę z dwiema zasadami przedsiębiorstwa. Pierwsza zasada dotyczy środowisk produkcyjnych, a druga zasada dotyczy środowisk nieprodukcyjnych.
Polityka przedsiębiorstwa produkcyjnego
Jeśli masz cztery środowiska produkcyjne skojarzone z zasadami przedsiębiorstwa, a każde środowisko wymaga 30 adresów IP, łączna alokacja adresów IP to:
(Cztery środowiska x 30 adresów IP) + 5 zarezerwowanych adresów IP = 125 adresów IP
Ten scenariusz wymaga bloku CIDR o wartości /25, który ma pojemność dla 128 adresów IP.
Polityka przedsiębiorstw nieprodukcyjnych
W przypadku nieprodukcyjnej polityki przedsiębiorstwa obejmującej 20 środowisk deweloperskich i piaskownicowych, a każde środowisko wymaga 10 adresów IP, łączna alokacja adresów IP to:
(Dwadzieścia środowisk x 10 adresów IP) + 5 zarezerwowanych adresów IP = 205 adresów IP
Ten scenariusz wymaga bloku CIDR /24, który ma pojemność dla 256 adresów IP i ma wystarczającą ilość miejsca, aby dodać więcej środowisk do zasad przedsiębiorstwa.
Obsługiwane scenariusze
Platforma Power Platform obsługuje Wirtualną sieć dla wtyczek i łączników Dataverse. Dzięki tej obsłudze można utworzyć bezpieczną, prywatną, wychodzącą łączność z platformy Power Platform do zasobów w ramach sieci wirtualnej. Wtyczki i łączniki usługi Dataverse zwiększają bezpieczeństwo integracji danych, łącząc się z zewnętrznymi źródłami danych z poziomu aplikacji Power Apps, Power Automate i Dynamics 365. Można na przykład:
- Używanie dodatków plug-in do Dataverse łączenia się ze źródłami danych w chmurze, takimi jak Azure SQL, Magazyn Azure Storage, Magazyn obiektów blob lub Magazyn Azure Key Vault. Można chronić dane przed eksfiltracją danych i innymi zdarzeniami.
- Używanie dodatków plug-in Dataverse do bezpiecznego łączenia się z prywatnymi, chronionymi punktami końcowymi zasobami na platformie Azure, takimi jak interfejs API sieci Web lub dowolne zasoby w sieci prywatnej, takie jak SQL i interfejs API sieci Web. Można chronić dane przed naruszeniami danych i innymi zewnętrznymi zagrożeniami.
- Używaj łączników obsługujących sieć wirtualną, jak serwer SQL Server, w celu bezpiecznego łączenia się z hostowanych w chmurze źródłami danych, takimi jak Azure SQL lub SQL Server, bez konieczności narażania ich na Internet. Podobnie za pomocą łącznika kolejki Azure można ustanowić bezpieczne połączenia z prywatnymi, obsługowymi punktami końcowymi kolejek Azure.
- Użyj łącznika Azure Key Vault, aby nawiązać bezpieczne połączenie z prywatnym, chronionym punktem końcowym Azure Key Vault.
- Użyj łączników niestandardowych, aby nawiązać bezpieczne połączenie z usługami chronionymi przez punkty końcowe prywatne na platformie Azure lub w usługach hostowanych w sieci prywatnej.
- Użyj Magazynu plików Azure, aby bezpiecznie połączyć się z prywatnym magazynem plików Azure z włączoną obsługą punktów końcowych.
- Użyj HTTP z Tożsamość Microsoft Entra (wstępna autoryzacja) do bezpiecznego pobierania zasobów przez sieci wirtualne z różnych usług internetowych, uwierzytelnionych przez Tożsamość Microsoft Entra lub z lokalnej usługi internetowej.
Ograniczenia
- Niskokodowe dodatki plug-in Dataverse, które korzystają z łączników, nie są obsługiwane, dopóki te typy łączników nie zostaną zaktualizowane w celu użycia delegowania podsieci.
- Operacje kopii, kopii zapasowych i przywracania cyklu życia środowiska są używane w środowiskach Power Platform obsługiwanych w sieci wirtualnej. Możesz wykonać operację przywracania w tej samej sieci wirtualnej i w różnych środowiskach, pod warunkiem, że są one połączone z tą samą siecią wirtualną. Ponadto operacja przywracania jest dozwolona ze środowisk, które nie obsługują takich sieci wirtualnych.
Obsługiwane regiony
Przed utworzeniem sieci wirtualnej i zasad przedsiębiorstwa zweryfikuj region środowiska platformy Power Platform, aby upewnić się, że znajduje się on w obsługiwanym regionie. Możesz użyć Get-EnvironmentRegion polecenia cmdlet z modułu diagnostyki podsieci programu PowerShell , aby pobrać informacje o regionie środowiska.
Po potwierdzeniu regionu środowiska upewnij się, że zasady przedsiębiorstwa i zasoby platformy Azure są skonfigurowane w odpowiednich obsługiwanych regionach świadczenia usługi Azure. Jeśli na przykład środowisko platformy Power Platform znajduje się w Wielkiej Brytanii, sieć wirtualna i podsieci muszą znajdować się w regionach uksouth i ukwest platformy Azure. W przypadku, gdy region platformy Power Platform ma więcej niż dwie dostępne pary regionów, należy użyć określonej pary regionów zgodnej z regionem danego środowiska. Jeśli na przykład Get-EnvironmentRegion zwraca westus dla środowiska, to sieć wirtualna i podsieci muszą znajdować się w eastus i westus. Jeśli zwraca wartość eastus2, sieć wirtualna i podsieci muszą znajdować się w regionie centralnym i eastus2.
Uwaga
Dostępność środowisk w eastUS2 i centralUS jest planowana. Jeśli masz zasoby platformy Azure w tych regionach, możesz również rozważyć peering sieci wirtualnych.
| Region platformy Power Platform | region świadczenia platformy Azure |
|---|---|
| Stany Zjednoczone |
|
| Republika Południowej Afryki | afryka południowa północna, afryka południowa zachodnia |
| Zjednoczone Królestwo | uksouth, ukwest |
| Japonia | japaneast (wschód Japonii), japanwest (zachód Japonii) |
| Indie | Indie Środkowe, Indie Południowe |
| Francja | francecentral, francesouth |
| Europa | zachodnia Europa, północna Europa |
| Niemcy | Niemcy Północ, Niemcy Zachodnio-Centralna |
| Szwajcaria | SzwajcariaPółnoc, SzwajcariaZachód |
| Kanada | Kanada Centralny, Kanada Wschodni |
| Brazylia | brazilsouth |
| Australia | australia południowo-wschodnia, australia wschodnia |
| Azja | azja wschodnia, azja południowo-wschodnia |
| UAE | uaenorth |
| Korea Południowa | koreasouth, koreacentral |
| Norwegia | norwegia-zachód, norwegia-wschód |
| Singapur | southeastasia |
| Szwecja | swedencentral |
| Włochy | italynorth |
| Rząd USA | usgovtexas, usgovvirginia |
Uwaga
Obsługa w chmurze GCC (US Government Community Cloud) jest obecnie dostępna tylko dla środowisk wdrożonych w GCC High. Wsparcie dla środowisk Departamentu Obrony i GCC nie jest dostępne.
Obsługiwane usługi
W poniższej tabeli przedstawiono usługi obsługujące delegowanie podsieci Azure dla obsługi sieci wirtualnej (Virtual Network) dla Power Platform.
| Obszar | Usługi platformy Power Platform | Pomoc techniczna usługi Virtual Network — dostępność |
|---|---|---|
| Dataverse | Wtyczki Dataverse | Ogólna dostępność |
| Łączniki | Ogólna dostępność | |
| Łączniki | Ogólna dostępność |
Obsługiwane środowiska
Obsługa sieci wirtualnej dla platformy Power Platform nie jest dostępna dla wszystkich środowisk platformy Power Platform. W poniższej tabeli wymieniono typy środowisk, które obsługują sieć wirtualną.
| Typ środowiska | Wsparte |
|---|---|
| Produkcja | Tak |
| Default | Tak |
| Piaskownica | Tak |
| Deweloper | Tak |
| Proces sądowy | Nie. |
| Microsoft Dataverse for Teams | Nie. |
Zagadnienia dotyczące włączania obsługi sieci wirtualnej w środowisku Power Platform
Po włączeniu obsługi sieci wirtualnej w środowisku Power Platform wszystkie obsługiwane usługi, takie jak dodatki plug-in i łączniki Dataverse, wykonują żądania w czasie wykonywania w delegowanej podsieci i podlegają zasadom dotyczącym sieci. Rozmowy z publicznie dostępnymi zasobami zaczęły się łamać.
Ważne
Przed włączeniem obsługi środowiska wirtualnego Power Platform należy sprawdzić kod dodatków plug-in i łączników. Należy zaktualizować adresy URL i połączenia, aby pracować z łącznością prywatną.
Na przykład dodatek plug-in może spróbować połączyć się z usługą publicznie dostępną, ale zasady sieciowe nie zezwalają na publiczny dostęp do Internetu w sieci wirtualnej. Zasady sieciowe blokują połączenie z wtyczki. Aby uniknąć zablokowanego połączenia, można hostować publicznie dostępną usługę w sieci wirtualnej. Jeśli usługa jest hostowana na platformie Azure, możesz użyć prywatnego punktu końcowego w usłudze przed włączeniem obsługi sieci wirtualnej w środowisku Power Platform.
Najczęściej zadawane pytania
Jaka jest różnica między bramą danych sieci wirtualnej a obsługą usługi Azure Virtual Network dla platformy Power Platform?
Brama danych sieci wirtualnej to brama zarządzana używana do uzyskiwania dostępu do usług platformy Azure i Power Platform z sieci wirtualnej bez konieczności konfigurowania lokalnej bramy danych. Na przykład brama jest zoptymalizowana pod kątem obciążenia ETL (wyodrębnianie, przekształcanie, ładowanie) w przepływach danych Power BI i Power Platform.
Obsługa Azure Virtual Network dla Power Platform używa delegowania podsieci Azure dla środowiska Power Platform. Podsieci są używane przez obciążenia w środowisku Power Platform. Obciążenia interfejsu API używają obsługi sieci wirtualnej Power Platform, ponieważ żądania są krótkie i zoptymalizowane pod kątem dużej liczby żądań.
W jakich scenariuszach należy użyć obsługi sieci wirtualnej dla Power Platform i portalu danych sieci wirtualnej?
Obsługa sieci wirtualnej dla Power Platform jest jedyną obsługiwaną opcją w przypadku wszystkich scenariuszy połączeń wychodzących z Power Platform z wyjątkiem Power BI i Przepływów danych Power Platform.
Power BI i przepływy danych Power Platform nadal korzystają z portalu danych sieci wirtualnej (vNet).
Jak zagwarantować, że podsieć sieci wirtualnej lub brama danych od jednego klienta nie jest używana przez innego klienta w Power Platform?
Obsługa sieci wirtualnej dla Power Platform używa Delegowania podsieci Azure.
Każde środowisko Power Platform jest połączone z jedną podsiecią sieci wirtualnej. Dostęp do tej sieci wirtualnej mogą mieć tylko wywołania tego środowiska.
Delegowanie pozwala na wyznaczanie konkretnej podsieci dla wszystkich platform Azure jako usługi (PaaS), które trzeba przechować do sieci wirtualnej.
Czy Virtual Network obsługuje przełączanie awaryjne Power Platform?
Tak, należy delegować sieci wirtualne dla obu regionów Azure, które są powiązane z regionem Power Platform. Jeśli na przykład środowisko Power Platform znajduje się w Kanadzie, musisz utworzyć, delegować i skonfigurować sieci wirtualne w Kanadzie Środkowej i Kanadzie Wschodniej.
Jak środowisko Power Platform w jednym regionie może się połączyć z zasobami hostowanymi w innym regionie?
Sieć wirtualna połączona ze środowiskiem Power Platform musi znajdować się w regionie środowiska Power Platform. Jeśli sieć wirtualna znajduje się w innym regionie, utwórz sieć wirtualną w regionie środowiska Power Platform i użyj Virtual Network peering na obu podsieciach regionu Azure delegowanych sieci wirtualnych, aby wypełnić lukę z siecią wirtualną w oddzielnym regionie.
Czy można monitorować ruch wychodzący z delegowanych podsieci?
Tak. Do monitorowania ruchu wychodzącego z delegowanych podsieci można użyć sieciowej grupy zabezpieczeń lub zapory. Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Virtual Network.
Czy po delegowaniu środowiska z dodatki plug-in lub łączników można korzystać z połączeń powiązanych z Internetem?
Tak. Połączenia internetowe można wykonywać z wtyczek lub łączników, ale delegowana podsieć musi być skonfigurowana przy użyciu bramy NAT platformy Azure.
Czy można zaktualizować zakres adresów IP podsieci po delegowaniu go do „Microsoft.Power Platform/enterprisePolicies”?
Nie, gdy dana funkcja jest używana w danym środowisku. Nie można zmienić zakresu adresów IP podsieci po jej delegowaniu do elementu "Microsoft.Power Platform/enterprisePolicies". Jeśli to zrobisz, konfiguracja delegowania zostanie uszkodzona, a środowisko przestanie działać. Aby zmienić zakres adresów IP, usuń funkcję delegowania ze środowiska, wprowadź niezbędne zmiany, a następnie włącz funkcję dla danego środowiska.
Czy mogę zaktualizować adres DNS mojej sieci wirtualnej po jej delegowaniu do "Microsoft.Power Platform/enterprisePolicies"?
Nie, gdy dana funkcja jest używana w danym środowisku. Nie można zmienić adresu DNS sieci wirtualnej po jej delegowaniu do "Microsoft.PowerPlatform/enterprisePolicies". Jeśli to zrobisz, zmiana nie zostanie pobrana w konfiguracji, a środowisko może przestać działać. Aby zmienić adres DNS, usuń funkcję delegowania ze środowiska, wprowadź niezbędne zmiany, a następnie włącz funkcję dla danego środowiska.
Czy mogę używać tych samych zasad przedsiębiorstwa w wielu Power Platform środowiskach?
Tak. Możesz używać tych samych zasad przedsiębiorstwa w wielu Power Platform środowiskach. Istnieje jednak ograniczenie polegające na tym, że środowiska wczesnego cyklu wydawniczego nie mogą być używane z tymi samymi zasadami przedsiębiorstwa co inne środowiska.
Moja sieć wirtualna ma skonfigurowaną niestandardową konfigurację DNS. Czy Power Platform używa mojego niestandardowego DNS?
Tak. Power Platform używa niestandardowego serwera DNS skonfigurowanego w sieci wirtualnej, która zawiera delegowaną podsieć w celu rozwiązania wszystkich punktów końcowych. Po delegowaniu środowiska można zaktualizować dodatek plug-in, tak aby używać poprawnego pola punkt końcowy, aby niestandardowy system DNS mógł je rozwiązać.
Moje środowisko ma dodatki plug-in dostarczone przez ISV. Czy te dodatki plug-in są uruchamiane w podsieci delegowanej?
Tak. Wszystkie wtyczki klienta i wtyczki niezależnego dostawcy oprogramowania mogą działać w oparciu o Twoją podsieć. Jeśli dodatki plug-in ISV mają łączność wychodzącą, te adresy URL mogą być konieczne w zaporze.
Moje certyfikaty lokalnych punktów końcowych TLS nie są podpisane przez znane główne urzędy certyfikacji (CA). Czy są obsługujesz nieznane certyfikaty?
Nie Należy się upewnić, punkt końcowy przedstawia certyfikat TLS z kompletną całością. Nie można dodać niestandardowego głównego urzędu certyfikacji do listy znanych urządów certyfikacji.
Jaka jest zalecana konfiguracja sieci wirtualnej w dzierżawcy klienta?
Nie zaleca się korzystania z żadnej określonej topologii. Jednak nasi klienci powszechnie korzystają z topologii sieci piast i szprych w Azure.
Czy połączenie subskrypcji platformy Azure z dzierżawcą Power Platform jest konieczne do aktywowania sieci wirtualnej?
Tak, aby włączyć obsługę sieci wirtualnej dla środowisk Power Platform, istotne jest, aby subskrypcja Azure była skojarzona z dzierżawcą Power Platform.
Jak Power Platform korzysta z delegowania podsieci Azure?
Gdy środowisko jest delegowane Power Platform, przypisana podsieć Azure używa usługi Azure Virtual Network w celu połączenia kontenera w czasie wykonywania do delegowanej podsieci. Podczas tego procesu karta interfejsu sieciowego (NIC) konteneru jest przydzielania adresu IP z delegowanej podsieci. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.
Czy można korzystać z istniejącej sieci wirtualnej dla Power Platform?
Tak, możesz użyć istniejącej Virtual Network dla Power Platform, jeśli pojedyncza, nowa podsieć w Virtual Network jest delegowana specjalnie do Power Platform. Delegowaną podsieć należy dedykować do delegowania podsieci i nie można jej używać do innych celów.
Czy mogę ponownie użyć tej samej delegowanej podsieci w wielu zasadach przedsiębiorstwa?
Nie Ponowne użycie tej samej podsieci w wielu zasadach przedsiębiorstwa jest niedozwolone. Każda Power Platform zasada przedsiębiorstwa musi mieć własną, unikatową podsieć na potrzeby delegowania.
Co to jest dodatek plug-in Dataverse?
Wtyczka Dataverse to fragment kodu niestandardowego, który można wdrożyć w środowisku Power Platform. Tę wtyczkę można skonfigurować tak, aby była uruchamiana podczas zdarzeń (takich jak zmiana danych) lub wyzwolić ją jako niestandardowy interfejs API. Aby uzyskać więcej informacji, zobacz Dataverse Plug-ins (Wtyczki usługi Dataverse).
Jak działa dodatek plug-in Dataverse?
Wtyczka usługi Dataverse działa w kontenerze. Po przypisaniu delegowanej podsieci do środowiska platformy Power Platform karta interfejsu sieciowego kontenera pobiera adres IP z przestrzeni adresowej tej podsieci. Host (Power Platform) i kontener komunikują się za pośrednictwem portu lokalnego w kontenerze, a ruch przepływa przez usługę Azure Fabric.
Czy w tym samym kontenerze może być uruchamianych wiele dodatków plug-in?
Tak. W danym środowisku Power Platform lub Dataverse wiele wtyczek może działać w tym samym kontenerze. Każdy kontener używa jednego adresu IP z przestrzeni adresowej podsieci, a każdy kontener może uruchamiać wiele żądań.
Jak infrastruktura obsługuje zwiększenie liczby równoczesnych wykonań dodatku plug-in?
W wraz ze wzrostem liczby równoczesnych wykonań dodatku plug-in infrastruktura automatycznie skaluje na zewnątrz lub do wewnątrz w celu dostosowania obciążenia. Podsieć delegowana do środowiska Power Platform powinna mieć wystarczające przestrzenie adresowe do obsługi szczytowej liczby wykonań prac dla prac w tym środowisku Power Platform.
Kto steruje skojarzoną z nią siecią wirtualną i zasadami sieci?
Masz własność i kontrolę nad siecią wirtualną i skojarzonymi z nią zasadami sieci. Z drugiej strony Power Platform korzysta z przydzielonego adresu IP z delegowanej podsieci w ramach tej sieci wirtualnej.
Czy dodatki Azure plug-in obsługują Virtual Network?
Nie, dodatki Azure plug-in nie obsługują Virtual Network.
Następne kroki
Konfigurowanie pomocy technicznej usługi Virtual Network