Descrição geral do suporte de Rede Virtual
Com o suporte de Rede Virtual do Azure para Power Platform, pode integrar o Power Platform com recursos na sua rede virtual sem os expor através da internet pública. O suporte de Rede Virtual utiliza delegação da sub-rede do Azure para gerir o tráfego de saída em runtime do Power Platform. A utilização da delegação da Sub-rede do Azure evita a necessidade de os recursos protegidos estarem disponíveis através da Internet para integração com o Power Platform. Com o suporte de rede virtual, Power Platform os componentes podem chamar recursos de propriedade da sua empresa dentro da rede, estejam eles hospedados no Azure ou no no local, e usar plug-ins e conectores para fazer chamadas de saída.
Normalmente, o Power Platform integra-se com recursos empresariais através de redes públicas. Nas redes públicas, os recursos da empresa têm de estar acessíveis a partir de uma lista de intervalos de IP do Azure ou etiquetas de serviço, que descrevem endereços IP públicos. No entanto, o suporte de Rede Virtual do Azure para Power Platform permite-lhe usar uma rede privada e ainda integrar com serviços de cloud ou serviços alojados na sua rede corporativa.
Os serviços do Azure são protegidos Rede Virtual por pontos finais privados. Pode utilizar o Express Route para trazer os seus recursos no local para dentro da Rede Virtual.
O Power Platform utiliza a Rede Virtual e sub-redes que delega para fazer chamadas de saída para recursos da empresa através da rede privada da empresa. A utilização de uma rede privada elimina a necessidade de encaminhar o tráfego através da Internet pública, o que poderia expor os recursos da empresa.
Numa Rede Virtual, tem controlo total sobre o tráfego de saída do Power Platform. O tráfego está sujeito a políticas de rede aplicadas pelo seu administrador de rede. O diagrama seguinte mostra como os recursos dentro da rede interagem com uma Rede Virtual.
Benefícios do suporte de Rede Virtual
Com o suporte de Rede Virtual, os seus componentes do Power Platform e do Dataverse obtém todos os benefícios que a delegação da sub-rede do Azure oferece, como:
Proteção de dados: a Rede Virtual permite que Power Platform os serviços se conectem aos seus recursos privados e protegidos sem expô-los à Internet.
Sem acesso não autorizado: a Rede Virtual liga-se aos seus recursos sem necessitar de intervalos de Power Platform IP ou etiquetas de serviço na ligação.
Cenários suportados
O Power Platform permite o suporte de Rede Virtual tanto para plug-ins do Dataverse como conectores. Com este suporte, pode estabelecer uma conetividade segura, privada e de saída a partir do Power Platform para os recursos na sua Rede Virtual. Os plug-ins e conectores do Dataverse melhoram a segurança da integração de dados ao ligarem-se a origens de dados externas de aplicações do Power Apps, Power Automate e Dynamics 365. Por exemplo, pode:
- Utilize plug-ins do Dataverse para ligar às suas origens de dados na cloud, como o SQL do Azure, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Pode proteger os seus dados contra a transferência de dados não autorizada e outros incidentes.
- Utilize plug-ins do Dataverse para ligar-se em segurança a recursos privados protegidos por pontos finais no Azure, como a API Web ou quaisquer recursos dentro da sua rede privada, como SQL e API Web. Pode proteger os seus dados contra falhas de segurança de dados e outras ameaças externas.
- Use conectores com suporte de Rede Virtual, como o SQL Server , para se conectar com segurança às suas fontes de dados hospedadas na nuvem, como o Azure SQL ou o SQL Server, sem expô-las à Internet. Da mesma forma, pode utilizar o conector Azure Queue para estabelecer ligações seguras a Filas do Azure privadas e ativadas para pontos finais.
- Utilize o conector Azure Key Vault para se ligar de forma segura ao Azure Key Vault privado e protegido por pontos finais.
- Use conectores personalizados para se conectar com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
- Use o Armazenamento de Arquivos do Azure para se conectar com segurança ao armazenamento de arquivos do Azure privado habilitado para ponto de extremidade.
Limitações
- Dataverse low-code plug-ins que usam conectores não são suportados até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
- Utilize operações do ciclo de vida do ambiente de cópia, cópia de segurança e restauro em ambientes do Power Platform suportados pela rede virtual. A operação de restauro pode ser efetuada dentro da mesma rede virtual, bem como em diferentes ambientes, desde que estejam ligados à mesma rede virtual. Além disso, a operação de restauro é permissível a partir de ambientes que não suportam redes virtuais para aqueles que suportam.
Regiões suportadas
Confirme se o seu ambiente e política empresarial do Power Platform se encontram em regiões suportadas do Power Platform e do Azure. Por exemplo, se seu Power Platform ambiente estiver nos Estados Unidos, sua Rede Virtual e suas sub-redes deverão estar nas regiões eastus e westus Azure.
| Região do Power Platform | Região do Azure |
|---|---|
| Estados Unidos da América | este dos eua, oeste dos eua |
| África do Sul | eouthafricanorth, southafricawest |
| Reino Unido | sul do reino unido, oeste do reino unido |
| Japão | Leste do Japão, Oeste do Japão |
| Índia | centralindia, southindia |
| França | França Central, Sul de França |
| Europa | europa ocidental, europa do norte |
| Alemanha | Norte da Alemanha, Centro-Oeste da Alemanha |
| Suíça | switzerlandnorth, switzerlandwest |
| Canadá | canadá central, leste do canadá |
| Brasil | brazilsouth, southcentralus |
| Austrália | sudeste da austrália, leste da austrália |
| Ásia | ásia oriental, sudeste asiático |
| UAE | Centro dos EAU, Norte dos EAU |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | norwaywest, norwayeast |
| Singapura | southeastasia |
| Suécia | suécia central |
Serviços suportados
A tabela seguinte lista os serviços que suportam a delegação de sub-redes do Azure para suporte de Rede Virtual para o Power Platform.
| Area | Serviços do Power Platform | Disponibilidade do suporte de Rede Virtual |
|---|---|---|
| Dataverse | Dataverse Plug-ins | Disponibilidade geral |
| Conectores | Disponibilidade geral |
Considerações para ativar o suporte de Rede Virtual para o Ambiente do Power Platform
Quando você usa o suporte de Rede Virtual em um Power Platform ambiente, todos os serviços suportados, como Dataverse plug-ins e conectores, executam solicitações em tempo de execução em sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas a recursos publicamente disponíveis começariam a quebrar.
Importante
Antes de ativar o suporte do ambiente virtual para o ambiente do Power Platform, certifique-se de que verifica o código dos plug-ins e dos conectores. Os URL e ligações precisam de ser atualizados para funcionarem com conectividade privada.
Por exemplo, um Plug-in pode tentar ligar-se a um serviço disponível publicamente, mas a sua política de rede não permite o acesso público à Internet na sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com a política de rede. Para evitar a chamada bloqueada, pode alojar o serviço publicamente disponível na sua Rede Virtual. Em alternativa, se o seu serviço estiver alojado no Azure, pode usar um ponto final privado no serviço antes de ativar o suporte de Rede Virtual no ambiente do Power Platform.
FAQ
Qual é a diferença entre um gateway de dados de rede virtual e o suporte de Rede Virtual do Azure para o Power Platform?
Um gateway de dados da rede virtual é um gateway gerido que lhe permite aceder a serviços do Azure e do Power Platform a partir da sua rede virtual sem ter de configurar um gateway de dados no local. Por exemplo, o gateway está otimizado para cargas de trabalho ETL (extrair, transformar, carregar) em fluxos de dados do Power BI e do Power Platform.
O suporte de Rede Virtual do Azure para Power Platform usa uma delegação de sub-rede do Azure para o seu ambiente do Power Platform. As sub-redes são utilizadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, uma vez que os pedidos são de curta duração e otimizados para um grande número de pedidos.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para Power Platform é a única opção suportada para todos os cenários de conectividade de saída a partir do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
Power BI e Power Platform os fluxos de dados continuam a usar o gateway de dados de rede virtual (vNet).
Como pode garantir que uma rede virtual, sub-rede ou gateway de dados de um cliente não é utilizado por outro cliente no Power Platform?
O suporte de Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está ligado a uma sub-rede de rede virtual. Só é permitido às chamadas desse ambiente aceder a essa rede virtual.
A delegação permite-lhe designar uma sub-rede específica para qualquer plataforma como serviço (PaaS) do Azure que precisa de ser injetado na sua rede virtual.
O suporte de Rede Virtual para o Power Platform é compatível com ativação pós-falha?
Sim, precisa de delegar uma rede virtual primária e de ativação pós-falha e sub-redes durante a instalação.
Como pode um ambiente do Power Platform numa região ligar-se a recursos alojados noutra região?
Uma Rede Virtual ligada a um ambiente do Power Platform deve residir na região do ambiente do Power Platform. Se a Rede Virtual estiver numa região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use o peering de Rede Virtual para fazer a ponte entre as duas regiões.
Posso monitorizar o tráfego de saída de sub-redes delegadas?
Sim. Pode utilizar o Grupo de Segurança de Rede e firewalls para monitorizar o tráfego de saída de sub-redes delegadas.
Quantos endereços IP do Power Platform são necessários na sub-rede para serem delegados?
Deve delegar, pelo menos, 24 Classless Inter-Domain Routing (CIDR) ou 255 endereços IP na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, poderá necessitar de mais endereços IP nessa sub-rede.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois de o meu ambiente ser delegado à sub-rede?
Sim. Pode fazer chamadas ligadas à Internet a partir de plug-ins ou conectores, mas a sub-rede tem de estar configurada com um gateway Azure NAT.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado a "Microsoft. PowerPlatform/enterprisePolicies"?
Não Não é possível alterar o intervalo de endereços IP da sub-rede depois que ele é delegado a "Microsoft. PowerPlatform/enterprisePolicies."
A minha Rede Virtual tem um DNS personalizado configurado. O Power Platform utiliza o meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos finais. Depois de o ambiente ser delegado, pode atualizar os plug-ins para utilizar os pontos finais corretos, para que o seu DNS personalizado os possa resolver.
O meu ambiente tem plug-ins fornecidos pelo ISV. Estes plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins de ISV podem ser executados utilizando a sua sub-rede. Se os plug-ins de ISV tiverem conectividade de saída, esses URL poderão ter de ser listados na firewall.
Os meus certificados TLS de ponto final no local não estão assinados por autoridades de certificação (AC) de raiz bem conhecidas. Suportam certificados desconhecidos?
Não Temos de garantir que o ponto final apresenta um certificado TLS com a cadeia completa. Não é possível adicionar sua AC de raiz personalizada à nossa lista de AC conhecidas.
Qual é a configuração recomendada de uma Rede Virtual num inquilino de cliente?
Não recomendamos nenhuma topologia específica. No entanto, os nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.
É necessário associar uma subscrição do Azure ao meu inquilino do Power Platform para ativar a Rede Virtual?
Sim, para ativar o suporte da Rede Virtual para ambientes do Power Platform, é essencial ter uma subscrição do Azure associada ao inquilino do Power Platform.
Como é que o Power Platform utiliza a delegação da sub-rede do Azure?
Quando um ambiente do Power Platform tem atribuída uma sub-rede do Azure delegada, usa a injeção da Rede Virtual do Azure para injetar o contentor em tempo de execução numa sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contentor recebe um endereço IP da sub-rede delegada. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Posso utilizar uma Rede Virtual existente para o Power Platform?
Sim, pode utilizar uma Rede Virtual existente para o Power Platform, desde que uma única e nova sub-rede dentro da Rede Virtual seja delegada especificamente para o Power Platform. É importante que note que esta sub-rede delegada não deve alojar outros serviços.
Posso usar EUA Leste 2 como ativação pós-falha se o meu ambiente do Power Platform estiver no Canadá?
Para garantir a ativação pós-falha adequada, as sub-redes primária e de ativação pós-falha devem ser aprovisionadas em canadacentral e canadaeast, respetivamente. Para a ativação pós-falha eficaz, crie as sub-redes primária e de ativação pós-falha nas regiões canadacentral e canadaeast respetivamente. Além disso, se você quiser oferecer suporte à conectividade com recursos na região useast2 , estabeleça emparelhamento de Rede Virtual entre as Redes Virtuais primária e de failover, incluindo a Rede Virtual na região useast2 .
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é uma porção de código personalizada que pode ser implementada num ambiente do Power Platform. Este plug-in pode ser configurado para ser executado durante eventos (tal como uma alteração de dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como é que um plug-in do Dataverse é executado?
Um plug-in do Dataverse funciona dentro de um contentor. Quando a um ambiente do Power Platform é atribuída uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a placa de interface de rede (NIC) do contentor. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Podem ser executados vários plug-ins no mesmo contentor?
Sim. Num determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem funcionar dentro do mesmo contentor. Cada contentor consome um endereço IP do espaço de endereços da sub-rede e cada contentor pode executar vários pedidos.
Como é que a infraestrutura lida com um aumento nas execuções de plug-ins em simultâneo?
À medida que o número de execuções simultâneas de plug-ins aumenta, a infraestrutura dimensiona automaticamente para fora ou para dentro para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para processar o volume máximo de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as políticas de rede a ela associadas?
Como cliente, tem propriedade e o controlo sobre a Rede Virtual e as suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins conscientes do Azure suportam a Rede Virtual?
Não, os plug-ins conscientes do Azure não suportam a Rede Virtual.