Skonfiguruj obsługę sieci wirtualnej dla Power Platform

Uwaga

Dostępna jest społeczność Power Platform Virtual Network w witrynie Microsoft Viva Engage. Opublikuj wszelkie pytania lub opinie dotyczące tej funkcji. Dołącz, wypełniając żądanie za pośrednictwem następującego formularza: Żądanie dostępu do społeczności Finance and Operations Viva Engage.

Korzystając z Azure obsługi sieci wirtualnej dla platformy Power Platform, można zintegrować składniki platformy Power Platform i usługi Dataverse z usługami w chmurze lub usługami hostowanymi w sieci prywatnej przedsiębiorstwa bez ujawniania ich publicznemu Internetowi. W tym artykule wyjaśniono, jak skonfigurować obsługę sieci wirtualnej w środowiskach Power Platform.

Wymagania wstępne

Uwaga

Aby włączyć obsługę sieci wirtualnej dla Power Platform, środowiska muszą być środowiskami zarządzanymi.

• Przejrzyj zasoby Power Platform: sprawdź aplikacje, przepływy i kod wtyczki, aby upewnić się, że łączą się za pośrednictwem sieci wirtualnej. Nie powinny one wywoływać punktów końcowych za pośrednictwem publicznego Internetu. Jeśli komponenty muszą łączyć się z publicznymi punktami końcowymi, upewnij się, że zapora sieciowa lub konfiguracja sieci zezwalają na takie wywołania. Dowiedz się więcej w artykule Zagadnienia dotyczące włączania obsługi sieci wirtualnej dla środowiska platformy Power Platform i w często zadawanych pytaniach.

• Przygotuj dzierżawę i skonfiguruj uprawnienia:

  • Azure subskrypcja: upewnij się, że masz subskrypcję Azure, w której są tworzone zasoby sieci wirtualnej, podsieci i zasad przedsiębiorstwa.
  • Przypisywanie ról: Upewnij się, że masz role wymagane do tworzenia zasobów i zasad przedsiębiorstwa.
    • W portalu Azure Portal przypisz rolę administratora sieci Azure, taką jak rola współautora sieci lub równoważna rola niestandardowa.
    • W centrum administracyjnym Microsoft Entra przypisz rolę administratora platformy Power Platform.

• Przygotuj się do użycia PowerShell:

  • Użyj programu Windows PowerShell lub Install PowerShell Core. Moduł jest zgodny z obydwoma wersjami.

Poniższy diagram przedstawia funkcje ról w procesie konfiguracji obsługi sieci wirtualnej w środowisku Power Platform.

Wyjaśnienia

• Musisz utworzyć wirtualne sieci w regionach Azure skojarzonych ze środowiskiem platformy Power Platform. Jeśli na przykład region środowiska platformy Power Platform jest United States, utwórz sieci wirtualne w regionach eastus i westus Azure. Aby uzyskać mapowanie regionu środowiska na regiony Azure, przejrzyj listę obsługiwanych regionów.

• Jeśli dla lokalizacji geograficznej istnieją co najmniej dwa obsługiwane regiony, takie jak Stany Zjednoczone z eastus i westus, potrzebujesz dwóch sieci wirtualnych w różnych regionach, aby utworzyć politykę przedsiębiorstwa. To wymaganie dotyczy zarówno środowisk produkcyjnych, jak i nieprodukcyjnych.

• Upewnij się, że odpowiednio rozmiar utworzonej podsieci jest zgodny z szacowaniem rozmiaru podsieci dla środowisk platformy Power Platform. Jeśli wymagana jest więcej niż jedna podsieć, obie podsieci muszą mieć taką samą liczbę dostępnych adresów IP. Po delegowaniu podsieci do usługi Power Platform należy skontaktować się z Microsoft Support, aby zmienić zakres podsieci.

• W razie potrzeby można ponownie użyć istniejących sieci wirtualnych. Nie można ponownie użyć tej samej podsieci w wielu zasadach przedsiębiorstwa.

Konfigurowanie obsługi sieci wirtualnej

Obsługę sieci wirtualnych można skonfigurować i włączyć przy użyciu skryptów programu PowerShell lub kroków ręcznych. W obu metodach kroki, które należy wykonać, należą do następujących kategorii:

1. Skonfiguruj sieć wirtualną i podsieci.
2. Utwórz zasadę przedsiębiorstwa.
3. Skonfiguruj środowisko platformy Power Platform.

Konfigurowanie przy użyciu programu PowerShell

1. Zainstaluj i załaduj moduł Microsoft.PowerPlatform.EnterprisePolicies.

   Install-Module Microsoft.PowerPlatform.EnterprisePolicies
   Import-Module Microsoft.PowerPlatform.EnterprisePolicies
   

2. Skonfiguruj sieć wirtualną i podsieć na potrzeby delegowania do platformy Power Platform. Uruchom polecenie dla każdej sieci wirtualnej, która ma delegowaną podsieć. Przejrzyj liczbę adresów IP przydzielonych do każdej podsieci i rozważ obciążenie środowiska.

   Istniejąca sieć wirtualna

   New-VnetForSubnetDelegation -SubscriptionId "00000000-0000-0000-0000-000000000000" -VirtualNetworkName "myVnet" -SubnetName "mySubnet"
   

   Tworzenie sieci wirtualnej

   New-VnetForSubnetDelegation -SubscriptionId "00000000-0000-0000-0000-000000000000" -VirtualNetworkName "myVnet" -SubnetName "mySubnet" -ResourceGroupName "myResourceGroup" -CreateVirtualNetwork -AddressPrefix "10.0.0.0/16" -SubnetPrefix "10.0.1.0/24" -Region "westus"
   

   Ważne

   • Jeśli planujesz używać tej samej delegowanej podsieci dla wielu środowisk platformy Power Platform, może być potrzebny większy blok adresów IP niż /24. Zapoznaj się ze wskazówkami dotyczącymi ustalania rozmiaru podsieci w temacie Szacowanie rozmiaru podsieci dla środowisk Power Platform.
   • Aby zezwolić na publiczny dostęp do Internetu dla składników platformy Power Platform, utwórz bramę Azure NAT gateway dla podsieci.

3. Utwórz zasady przedsiębiorstwa przy użyciu delegowanych sieci wirtualnych i podsieci. Należy pamiętać, że dwie sieci wirtualne w różnych regionach są wymagane dla lokalizacji geograficznych obsługujących co najmniej dwa regiony.

   Lokalizacja geograficzna pojedynczego regionu

   New-SubnetInjectionEnterprisePolicy -SubscriptionId "00000000-0000-0000-0000-000000000000" -ResourceGroupName "myResourceGroup" -PolicyName "myPolicy" -PolicyLocation "unitedstates" -VirtualNetworkId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet" -SubnetName "default"
   

   Lokalizacja geograficzna dwóch regionów

   New-SubnetInjectionEnterprisePolicy -SubscriptionId "00000000-0000-0000-0000-000000000000" -ResourceGroupName "myResourceGroup" -PolicyName "myPolicy" -PolicyLocation "unitedstates" -VirtualNetworkId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet" -SubnetName "default" -VirtualNetworkId2 "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet" -SubnetName2 "default"
   

4. Udziel dostępu do zasad przedsiębiorstwa na odczyt użytkownikom z rolą administratora Power Platform. Ten krok jest istotny, gdy osoba kojarząca zasady przedsiębiorstwa ze środowiskiem platformy Power Platform różni się od tego, który utworzył zasady przedsiębiorstwa na platformie Azure.

5. Aby połączyć nowo utworzone zasady, uruchom następujące polecenie.

   Enable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000" -PolicyArmId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.PowerPlatform/enterprisePolicies/myPolicy"
   

   Wskazówka

   Jeśli potrzebujesz innego konta, aby połączyć zasady, użyj przełącznika -ForceAuth, aby upewnić się, że zostanie wyświetlony monit o zalogowanie się do nowego konta.

Konfiguracja ręczna

1. Zarejestruj następujących dostawców zasobów w ramach subskrypcji. Aby uzyskać informacje na temat rejestrowania dostawcy zasobów, zobacz Rejestrowanie dostawcy zasobów.

   • Microsoft.Network
   • Microsoft.PowerPlatform

2. Zarejestruj następującą funkcję w subskrypcji. Aby uzyskać informacje na temat rejestrowania funkcji, zobacz Rejestrowanie funkcji w wersji zapoznawczej .

   • PrzeglądPolitykPrzedsiębiorstwa

3. Utwórz sieć wirtualną i podsieci, postępując zgodnie ze wskazówkami w artykule Tworzenie sieci wirtualnej.

   Uwaga

   Możesz pominąć tworzenie hosta bastionu. Nie jest to konieczne w przypadku funkcji sieci wirtualnej platformy Power Platform.

4. Użyj istniejącej podsieci lub utwórz nową i deleguj ją do Microsoft.PowerPlatform/enterprisePolicies. Aby uzyskać więcej informacji, zobacz Dodawanie lub usuwanie delegowania podsieci.

5. Aby sprawdzić, czy podsieć została pomyślnie delegowana, przejdź do podsieci i sprawdź kolumnę Delegowane, jak pokazano na poniższej ilustracji.

6. Po utworzeniu sparowanych sieci wirtualnych można je wyświetlić w grupie zasobów Azure, jak pokazano na poniższej ilustracji.

   

7. Upewnij się, że przechwytujesz niezbędne szczegóły z utworzonych sieci wirtualnych, takich jak następujące informacje:

   • VnetOneSubnetName
   • VnetOneResourceId
   • VnetTwoSubnetName
   • VnetTwoResourceId

8. Wdróż szablon niestandardowy w portalu Azure. Wybierz link Utwórz własny szablon w edytorze, a następnie skopiuj i wklej następujący skrypt JSON.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "policyName": {
               "type": "string",
               "metadata": {
                   "description": "The name of the Enterprise Policy."
               }
           },
           "powerplatformEnvironmentRegion": {
               "type": "string",
               "metadata": {
                   "description": "Geography of the PowerPlatform environment."
               }
           },
           "vNetOneSubnetName": {
               "type": "string"
           },
           "vNetOneResourceId": {
               "type": "string",
                     "metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           },
           "vNetTwoSubnetName": {
               "defaultValue": "",
               "type": "string"
           },
           "vNetTwoResourceId": {
               "defaultValue": "",
               "type": "string",
                     "metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           }
       },
       "variables": {
           "vNetOne": {
               "id": "[parameters('vNetOneResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetOneSubnetName')]"
               }
           },
           "vNetTwo": {
               "id": "[parameters('vNetTwoResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetTwoSubnetName')]"
               }
           },
           "vNetTwoSupplied": "[and(not(empty(parameters('vNetTwoSubnetName'))), not(empty(parameters('vNetTwoResourceId'))))]"
       },
       "resources": [
           {
               "type": "Microsoft.PowerPlatform/enterprisePolicies",
               "apiVersion": "2020-10-30-preview",
               "name": "[parameters('policyName')]",
               "location": "[parameters('powerplatformEnvironmentRegion')]",
               "kind": "NetworkInjection",
               "properties": {
                   "networkInjection": {
                       "virtualNetworks": "[if(variables('vNetTwoSupplied'), concat(array(variables('vNetOne')), array(variables('vNetTwo'))), array(variables('vNetOne')))]"
                   }
               }
           }
       ]
   }
   

9. Zapisz szablon i wypełnij szczegóły, aby utworzyć zasady przedsiębiorstwa, które zawierają następujące informacje:

   • Nazwa zasad: nazwa zasad przedsiębiorstwa, która jest wyświetlana w centrum administracyjnym Power Platform.
   • Lokalizacja: wybierz lokalizację zasad przedsiębiorstwa odpowiadający regionowi środowiska Dataverse:
     • unitedstates
     • southafrica
     • uk
     • japan
     • india
     • france
     • europe
     • germany
     • switzerland
     • canada
     • brazil
     • australia
     • asia
     • uae
     • korea
     • norway
     • singapore
     • sweden
     • usgov
   • VnetOneSubnetName: wprowadź nazwę podsieci z pierwszej sieci wirtualnej.
   • VnetOneResourceId: wprowadź identyfikator zasobu z pierwszej sieci wirtualnej.
   • VnetTwoSubnetName: wprowadź nazwę podsieci z drugiej sieci wirtualnej.
   • VnetTwoResourceId: wprowadź identyfikator zasobu z drugiej sieci wirtualnej. Powinna być zgodna z ciągami ze skryptu JSON, na przykład: vNetOneResourceId, vNetOneSubnetName

10. Wybierz pozycję Przegląd + Utwórz, aby sfinalizować zasady przedsiębiorstwa.

    

11. Udziel dostępu do zasad przedsiębiorstwa na odczyt użytkownikom z rolą administratora Power Platform. Ten krok jest istotny, gdy osoba kojarząca zasady przedsiębiorstwa ze środowiskiem platformy Power Platform różni się od tego, który utworzył zasady przedsiębiorstwa na platformie Azure.

12. Aby przypisać zasady do środowiska, zaloguj się do centrum administracyjnego platformy Power Platform.

    1. W okienku nawigacji, wybierz Zabezpieczenia.
    2. W okienku Zabezpieczenia wybierz pozycję Dane i prywatność.
    3. Na stronie Ochrona danych i prywatność wybierz pozycję Azure Virtual Network policies. Zostanie wyświetlone okienko zasad Virtual Network.
    4. Wybierz środowisko, które chcesz przypisać do zasad przedsiębiorstwa, wybierz zasady, a następnie wybierz Zapisz. Teraz zasady przedsiębiorstwa są powiązane ze środowiskiem.

    Ważne

    Zasady przedsiębiorstwa można usunąć ze środowiska tylko za pomocą PowerShell, korzystając z Disable-SubnetInjection.

    Disable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000"
    

13. Zweryfikuj skojarzenie zasad, logując się do centrum administracyjnego platformy Power Platform.

    1. W okienku nawigacji wybierz pozycję Zarządzaj.
    2. W okienku Zarządzaj, wybierz Środowiska.
    3. Na stronie Środowiska wybierz środowisko.
    4. Z paska poleceń wybierz opcję Historia.
    5. Sprawdź, czy Stan to Pomyślnie.

Powiązana zawartość

• Wdrażanie zasad przedsiębiorstwa za pomocą szablonu ARM Microsoft.PowerPlatform/enterprisePolicies
• Quickstart: użyj portalu Azure, aby utworzyć sieć wirtualną
• Użyj dodatków plug-in w celu rozszerzania procesów biznesowych
• Rozwiązywanie problemów z Virtual Network