Visão geral do suporte à Rede Virtual do Power Platform
Com o suporte do Azure Virtual Network para Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte à Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no tempo de execução. O uso da delegação da Sub-rede do Azure evita a necessidade de que recursos protegidos estejam disponíveis na Internet para integração com o Power Platform. Com o suporte de rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro da rede, estejam eles hospedados no Azure ou no local, e usar plug-ins e conectores (versão preliminar) para fazer chamadas de saída.
O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou marcas de serviço, que descrevem endereços IP públicos. No entanto, o suporte à Rede Virtual do Azure para o Power Platform permite que você use uma rede privada e ainda integre-se a serviços de nuvem ou serviços hospedados na rede da sua empresa.
Os serviços do Azure são protegidos em uma Rede Virtual por meio de pontos de extremidade privados. Você pode usar o ExpressRoute para trazer seus recursos locais para dentro da Rede Virtual.
O Power Platform usa a Rede Virtual e as sub-redes que você delegar para fazer chamadas de saída para recursos da empresa pela rede privada da empresa. O uso de uma rede privada elimina a necessidade de rotear o tráfego pela Internet pública, o que poderia expor os recursos da empresa.
Em uma Rede Virtual, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro de sua rede interagem com uma Rede Virtual.
Benefícios do suporte à Rede Virtual
Com o suporte à Rede Virtual, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure fornece, como:
Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se conectem aos seus recursos privados e protegidos sem expô-los à internet.
Sem acesso não autorizado: a Rede Virtual se conecta com seus recursos sem precisar de intervalos de IP ou marcas de serviço do Power Platform na conexão.
Cenários com suporte
O Power Platform habilita o suporte à Rede Virtual para plug-ins e conectores do Dataverse (versão preliminar). Com esse suporte, você pode estabelecer conectividade de saída segura, privada do Power Platform para recursos de dentro de sua Rede Virtual. Os plug-ins e conectores do Dataverse (versão preliminar) aprimoram a segurança da integração de dados conectando-se a fontes de dados externas e a aplicativos do Power Apps Power Automate e do Dynamics 365. Por exemplo, você pode:
- Use plug-ins do Dataverse para se conectar às suas fontes de dados na nuvem, como Azure SQL, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Você pode proteger seus dados contra exfiltração dos dados e outros incidentes.
- Use plug-ins do Dataverse para se conectar com segurança a recursos privados protegidos por ponto de extremidade no Azure, como a API Web ou quaisquer recursos em sua rede privada, como SQL e API Web. Você pode proteger seus dados contra violações dados e outras ameaças externas.
- Use Conectores com suporte de Rede Virtual, (versão preliminar) como SQL Server (versão preliminar), para se conectar com segurança às fontes de dados hospedadas na nuvem, como Azure SQL ou SQL Server, sem expô-las à Internet. Da mesma forma, você pode usar o conector da Fila do Azure (versão preliminar) para estabelecer conexões seguras com Filas do Azure privadas habilitadas para ponto de extremidade.
- Use o conector Azure Key Vault (versão preliminar) para se conectar com segurança ao Azure Key Vault privado protegido por ponto de extremidade.
- Use HTTP com Microsoft Entra ID (versão preliminar) para conectar-se com segurança à autenticação de serviços por Microsoft Entra ID.
- Use conectores personalizados (versão preliminar) para se conectar com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
- Use o Armazenamento de Arquivos do Azure (versão preliminar) para conectar-se com segurança ao armazenamento de arquivos do Azure privado habilitado para ponto de extremidade.
Limitações
- Plug-ins low-code do Dataverse que usam conectores não terão suporte até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
- Você usa as operações do ciclo de vida do ambiente copiar, fazer backup e restaurar em ambientes compatíveis da rede virtual do Power Platform. A operação de restauração pode ser executada na mesma rede virtual, bem como em diferentes ambientes, desde que estejam conectados à mesma rede virtual. Além disso, a operação de restauração é permitida de ambientes que não oferecem suporte a redes virtuais para aqueles que o fazem.
Regiões com suporte
Confirme se o ambiente e a política corporativa do Power Platform estão em regiões compatíveis do Power Platform e do Azure. Por exemplo, se o ambiente do Power Platform estiver nos Estados Unidos, a Rede Virtual, as sub-redes e a política corporativa deverão estar na região eastus ou westus do Azure.
| Região do Power Platform | Região do Azure |
|---|---|
| Estados Unidos | eastus, westus |
| África do Sul | eouthafricanorth, southafricawest |
| Reino Unido | uksouth, ukwest |
| Japão | japaneast, japanwest |
| Índia | centralindia, southindia |
| França | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Alemanha | germanynorth, germanywestcentral |
| Suíça | switzerlandnorth, switzerlandwest |
| Canadá | canadacentral, canadaeast |
| Brasil | brazilsouth, southcentralus |
| Austrália | australiasoutheast, australiaeast |
| Ásia | eastasia, southeastasia |
| EAU | uaecentral, uaenorth |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | norwaywest, norwayeast |
| Cidade de Singapura | southeastasia |
| Suécia | swedencentral |
Serviços com suporte
A tabela a seguir lista os serviços compatíveis com a delegação de sub-rede do Azure para suporte à Rede Virtual para Power Platform.
| Area | Serviços do Power Platform | Disponibilidade de suporte à Rede Virtual |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Disponível para o público geral |
| Conectores | Visualizações prontas para produção |
Importante
- Esta é uma versão prévia do recurso pronta para produção.
- As versões prévias do recurso prontas para produção estão sujeitas a termos de uso suplementares. Mais informações: Termos de uso complementares para o Dynamics 365
Requisitos de licenciamento
O suporte à rede virtual para o Power Platform é aplicado apenas em ambientes ativados para Ambientes Gerenciados. Ambientes Gerenciados são incluídos como um direito em licenças autônomas do Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e do Dynamics 365 que concedem direitos de uso premium. Saiba mais sobre licenciamento de Ambiente Gerenciado com a Visão geral de licenciamento para o Microsoft Power Platform.
Além disso, o acesso ao uso do suporte de Rede virtual para o Power Platform requer que os usuários nos ambientes em que a Rede virtual está habilitada tenham uma destas assinaturas:
- Microsoft 365 ou Office 365 A5/E5/G5
- Conformidade no Microsoft 365 A5/E5/F5/G5
- Segurança e Conformidade do Microsoft 365 F5
- Proteção e Governança da Informação do Microsoft 365 A5/E5/F5/G5
- Gerenciamento de riscos internos do Microsoft 365 A5/E5/F5/G5
Saiba mais sobre estas licenças
Considerações para habilitar o suporte de Rede Virtual para o Ambiente do Power Platform
Quando você usa o suporte de Rede Virtual em um ambiente do Power Platform, todos os serviços com suporte como conectores, plug-ins e conectores do Dataverse (versão preliminar), executam solicitações em tempo de execução em sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas para recursos disponíveis publicamente começariam a falhar.
Importante
Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores (versão preliminar). As URLs e conexões precisam ser atualizadas para funcionar com conectividade privada.
Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet dentro de sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com sua diretiva de rede. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em sua Rede Virtual. Como alternativa, se o serviço estiver hospedado no Azure, você poderá habilitar um ponto de extremidade privado no serviço antes de habilitar o suporte à Rede Virtual em um ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados de rede virtual e o suporte à Rede Virtual do Azure no Power Platform?
Um gateway de dados da rede virtual é um gateway gerenciado que permite acessar serviços do Azure e do Power Platform de sua rede virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) e fluxos de dados do Power BI e Power Platform.
O suporte à Rede Virtual do Azure no Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, pois as solicitações são de curta duração e otimizadas para um grande número de solicitações.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para o Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
Power BI e Fluxos de dados do Power Platform continuam usando gateway de dados de rede virtual (vNet).
Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?
O suporte à Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.
A delegação permite designar uma sub-rede específica para qualquer serviço plataforma como serviço (PaaS) do Azure que precise ser injetado na rede virtual.
A Rede Virtual é compatível com o failover de suporte do Power Platform?
Sim, você precisa delegar uma rede virtual primária e de failover e sub-redes durante a instalação.
Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?
Uma Rede Virtual vinculada a um ambiente do Power Platform deve residir nas regiões do ambiente do Power Platform. Se a Rede Virtual estiver em uma região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use emparelhamento de Rede Virtual para fazer a ponte entre as duas regiões.
Posso monitorar o tráfego de saída das sub-redes delegadas?
Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas.
Quantos endereços IP o Power Platform precisa para ser delegado na sub-rede?
Você precisa delegar pelo menos 24 Roteamento entre Domínios sem Classificação (CIDR), ou 255 endereços IPs, na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, talvez seja necessário mais endereços IPs nessa sub-rede.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois que meu ambiente for delegado por sub-rede?
Sim. É possível fazer chamadas para a Internet a partir de plug-ins ou conectores, mas a sub-rede deve ser configurada com um gateway do Azure NAT.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não. Você pode alterar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Minha Rede Virtual tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos de extremidade. Depois que o ambiente for delegado, você poderá atualizar os plug-ins para usar o ponto de extremidade correto para que o DNS personalizado possa resolvê-los.
Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.
Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?
Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.
Qual é a configuração recomendada de uma Rede Virtual em um locatário do cliente?
Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.
Vincular uma assinatura do Azure ao meu locatário do Power Platform é necessário para ativar a Rede Virtual?
Sim, para habilitar o suporte de Rede Virtual para ambientes do Power Platform, é essencial ter uma assinatura do Azure associada ao locatário do Power Platform.
Como o Power Platform usa a delegação de sub-rede do Azure?
Quando um ambiente do Power Platform tem uma sub-rede delegada do Azure atribuída, ele usa a injeção de Rede Virtual do Azure para injetar o contêiner em tempo de execução em uma sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contêiner é alocada a um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Posso usar uma Rede Virtual existente para o Power Platform?
Sim, você pode usar uma Rede Virtual existente para o Power Platform, desde que uma única e nova sub-rede dentro da Rede Virtual seja delegada especificamente para o Power Platform. É importante observar que essa sub-rede delegada não deve hospedar outros serviços.
Posso usar o Leste dos EUA 2 como failover se tiver meu ambiente do Power Platform no Canadá?
Para garantir o failover adequado, as sub-redes primária e failover devem ser provisionadas no canadacentral and canadaeast respectively. Para garantir failover efetivo, crie as sub-redes principais e de failover nas regiões canadacentral e canadaeast, respectivamente. Além disso, estabeleça o emparelhamento de Rede Virtual entre as Redes Virtuais primária e de failover, incluindo a Rede Virtual na região useast2 para conectividade.
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é um trecho de código personalizado que pode ser implantado em um ambiente do Power Platform. Esse plug-in pode ser configurado para ser executado durante eventos (como uma alteração nos dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como um plug-in do Dataverse é executado?
Um plug-in do Dataverse opera dentro de um contêiner. Quando um ambiente do Power Platform recebe uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a Placa de Interface de Rede (NIC) do contêiner. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Vários plug-ins podem ser executados no mesmo contêiner?
Sim. Em um determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem, de fato, operar no mesmo contêiner. Cada contêiner consome um endereço IP do espaço de endereço da sub-rede e cada contêiner pode executar várias solicitações.
Como a infraestrutura lida com um aumento nas execuções simultâneas de plug-in?
À medida que o número de execuções simultâneas de plug-in aumenta, a infraestrutura é dimensionada automaticamente (para fora ou para dentro) para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para lidar com o volume de pico de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as diretivas de rede associadas a ela?
Como cliente, você tem propriedade e controle sobre a Rede Virtual e suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Como posso configurar o suporte de Rede Virtual para o Power Platform em ambientes de Desenvolvimento/Teste sem usar duas Redes Virtuais separadas em regiões diferentes do Azure?
Uma Rede Virtual e uma sub-rede dedicada em cada uma das regiões primária e secundária do Azure são necessárias para cargas de trabalho de produção para garantir o failover adequado. No entanto, para ambientes de desenvolvimento/teste, recomendamos uma única Rede Virtual junto com duas sub-redes dedicadas para o Power Platform.
Os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual?
Não, os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de