Suporte da Rede Virtual para visão geral do Power Platform (versão preliminar)
[Este artigo faz parte da documentação de pré-lançamento e está sujeito a alterações.]
Com o suporte do Azure Virtual Network para Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte à Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no tempo de execução. O uso de um delegado evita a necessidade de recursos protegidos para trafegar pela Internet para integração com o Power Platform. Os componentes da Rede Virtual, Dataverse e Power Platform podem chamar recursos pertencentes à sua empresa dentro da sua rede, estejam eles hospedados no Azure ou no local, e usar plug-ins e conectores para fazer chamadas de saída.
Importante
- Este é um recurso em versão preliminar.
- Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos são disponibilizados antes de um lançamento oficial para que os clientes possam ter acesso antecipado e forneçam comentários.
O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou marcas de serviço, que descrevem endereços IP públicos. No entanto, o suporte à Rede Virtual do Azure para o Power Platform permite que você use uma rede privada e ainda integre-se a serviços de nuvem ou serviços hospedados na rede da sua empresa.
Os serviços do Azure são protegidos em uma rede virtual por meio de pontos de extremidade privados. Você pode usar o ExpressRoute para trazer seus recursos locais para dentro da rede virtual.
O Power Platform usa a rede virtual e as sub-redes que você delegar para fazer chamadas de saída para recursos da empresa pela rede privada da empresa. O uso de uma rede privada elimina a necessidade de rotear o tráfego pela Internet pública, o que poderia expor os recursos da empresa.
Em uma rede virtual, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro de sua rede interagem com uma rede virtual.
Benefícios do suporte à Rede Virtual
Com o suporte à Rede Virtual, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure fornece, como:
Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se conectem aos seus recursos privados e protegidos sem expô-los à internet.
Sem acesso não autorizado: a Rede Virtual se conecta com seus recursos sem precisar de intervalos de IP ou marcas de serviço do Power Platform na conexão.
Cenários com suporte
O Power Platform oferece suporte a plug-ins, conectores do Dataverse, e com uma rede virtual, você pode usar conectividade de saída, protegida, privada com o software parceiro. Por exemplo, os plug-ins e conectores do Dataverse aprimoram a segurança da integração de dados com fontes de dados externas de seus aplicativos do Power Apps, Power Automate e Dynamics 365. Planejamos estender o suporte à rede virtual para mais cenários no Power Platform. Por enquanto, você pode:
Use plug-ins do Dataverse para se conectar às fontes de dados do seu local, como SQL Server, Oracle ou SAP. Você protege seus dados contra violações de dados e outras ameaças externas.
Use outros plug-ins de parceiros para se conectar às suas fontes de dados na nuvem, como Azure SQL, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Você protege seus dados de exfiltração de dados e outros incidentes.
Use conectores como o SQL Connector para se conectar com segurança às suas fontes de dados hospedadas na nuvem, como Azure SQL ou SQL Server, sem expô-los à Internet. Da mesma forma, você pode usar a Fila do Azure para estabelecer conexões seguras com Filas do Azure privadas habilitadas para ponto de extremidade.
Limitações
- Plug-ins low-code do Dataverse que usam conectores não terão suporte até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
- Você só pode usar as operações do ciclo de vida do ambiente de Cópia e Restauração. Se o ambiente de origem tiver rede virtual habilitada e o destino não, você não poderá executar Copiar e Restaurar.
Regiões com suporte
Confirme se o ambiente e a política corporativa do Power Platform estão em regiões compatíveis do Power Platform e do Azure. Por exemplo, se o ambiente do Power Platform estiver nos Estados Unidos, a rede virtual, as sub-redes e a política corporativa deverão estar na região eastus ou westus do Azure.
| Região do Power Platform | Região do Azure |
|---|---|
| Estados Unidos | eastus, westus |
| África do Sul | eouthafricanorth, southafricawest |
| Reino Unido | uksouth, ukwest |
| Japão | japaneast, japanwest |
| Índia | centralindia, southindia |
| França | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Alemanha | germanynorth, germanywestcentral |
| Suíça | switzerlandnorth, switzerlandwest |
| Canadá | canadacentral, canadaeast |
| Brasil | brazilsouth, southcentralus |
| Austrália | australiasoutheast, australiaeast |
| Ásia | eastasia, southeastasia |
| EAU | uaecentral, uaenorth |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | norwaywest, norwayeast |
| Cidade de Singapura | southeastasia |
| Suécia | swedencentral |
Serviços com suporte
A tabela a seguir lista os serviços compatíveis com a delegação de sub-rede do Azure para suporte à Rede Virtual para Power Platform.
| Area | Serviços do Power Platform | Suporte à Rede Virtual |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Versão Prévia |
| Conectores | Versão Prévia |
Requisitos de licenciamento
Os requisitos de licenciamento para suporte à Rede Virtual para o Power Platform serão anunciados quando o serviço estiver mais próximo da disponibilidade geral.
Considerações para habilitar o suporte de rede virtual para o Power Platform
Quando você usa o suporte de rede virtual em um ambiente do Power Platform, todos os serviços com suporte como conectores, plug-ins do Dataverse, executam solicitações em tempo de execução em sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas para recursos disponíveis publicamente começariam a falhar.
Importante
Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores. As URLs e conexões precisam ser atualizadas para funcionar com conectividade privada.
Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet dentro de sua rede virtual. A chamada do plug-in será bloqueada de acordo com sua política de rede. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em sua rede virtual. Como alternativa, se o serviço estiver hospedado no Azure, você poderá habilitar um ponto de extremidade privado no serviço antes de habilitar o suporte à rede virtual em um ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados de rede virtual e o suporte à Rede Virtual do Azure no Power Platform?
Um gateway de dados da rede virtual é um gateway gerenciado que permite acessar serviços do Azure e do Power Platform de sua rede virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) e fluxos de dados do Power BI e Power Platform.
O suporte à Rede Virtual do Azure no Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de rede virtual, pois as solicitações são de curta duração e otimizadas para um grande número de solicitações.
Quais são os cenários para os quais devo usar o suporte de rede virtual para o Power Platform e o gateway de dados de rede virtual?
O suporte de rede virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
Os fluxos de dados do Power BI e do Power Platform continuarão usando o gateway de dados da rede virtual (vNet).
Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?
O suporte à Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.
A delegação permite designar uma sub-rede específica para qualquer serviço plataforma como serviço (PaaS) do Azure que precise ser injetado na rede virtual.
A Rede Virtual é compatível com o failover de suporte do Power Platform?
Sim. Enquanto o recurso estiver na versão preliminar pública é necessário delegar uma rede virtual principal e de failover e sub-redes durante a configuração.
Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?
Uma rede virtual vinculada a um ambiente do Power Platform deve residir nas regiões do ambiente do Power Platform. Se a rede virtual estiver em uma região diferente, crie uma rede virtual na região do ambiente do Power Platform e use emparelhamento de rede virtual para fazer a ponte entre as duas regiões.
Posso monitorar o tráfego de saída das sub-redes delegadas?
Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas.
Quantos endereços IP o Power Platform precisa para ser delegado na sub-rede?
Você precisa delegar pelo menos 24 Roteamento entre Domínios sem Classificação (CIDR), ou 255 endereços IPs, na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, talvez seja necessário mais endereços IPs nessa sub-rede.
osso fazer chamadas associadas à Internet a partir de plug-ins depois que meu ambiente for delegado à sub-rede?
Sim. Você pode fazer chamadas associadas à Internet a partir de plug-ins, mas a sub-rede deve ser configurada com um Gateway NAT do Azure.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não. Você pode alterar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Minha rede virtual tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na rede virtual que contém a sub-rede delegada para resolver todos os pontos de extremidade. Depois que o ambiente for delegado, você poderá atualizar os plug-ins para usar o ponto de extremidade correto para que o DNS personalizado possa resolvê-los.
Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.
Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?
Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.
Qual é a configuração recomendada de uma rede virtual em um locatário do cliente?
Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.