Обзор поддержки виртуальной сети
Поддержка виртуальной сети Azure для Power Platform помогает интегрировать Power Platform с ресурсами внутри вашей виртуальной сети, не показывая ваши ресурсы в общественном Интернете. Поддержка виртуальной сети использует делегирование подсети Azure для управления исходящим трафиком во время выполнения из Power Platform. Использование делегирования подсети Azure позволяет избежать необходимости доступа к защищенным ресурсам через Интернет для интеграции с Power Platform. Благодаря поддержке виртуальной сети Power Platform компоненты могут вызывать ресурсы, принадлежащие вашему предприятию, внутри вашей сети, независимо от того, размещены ли они в Azure или локальный, а также использовать подключаемые модули и соединители для совершения исходящих вызовов.
Power Platform обычно интегрируется с ресурсами предприятия через общедоступные сети. В общедоступных сетях корпоративные ресурсы должны быть доступны из списка диапазонов IP-адресов Azure или тегов служб, которые описывают общедоступные IP-адреса. Однако поддержка виртуальной сети Azure для Power Platform позволяет использовать частную сеть и выполнять интеграцию с облачными службами или службами, размещенными внутри сети вашего предприятия.
Службы Azure защищены в виртуальной сети посредством частных конечных точек. Вы можете использовать Express Route, чтобы перенести локальные ресурсы в виртуальную сеть.
Power Platform использует виртуальную сеть и подсети, которые вы делегируете для совершения исходящих вызовов ресурсов предприятия через частную сеть предприятия. Использование частной сети устраняет необходимость направления трафика через общедоступный Интернет, что могло бы привести к раскрытию ресурсов предприятия.
В виртуальной сети вы имеете полный контроль над исходящим трафиком из Power Platform. На трафик распространяются сетевые политики, применяемые администратором вашей сети. На следующей схеме показано, как ресурсы внутри вашей сети взаимодействуют с виртуальной сетью.
Преимущества поддержки виртуальной сети
Благодаря поддержке виртуальной сети ваши компоненты Power Platform и Dataverse получают все преимущества, которые обеспечивает делегирование подсети Azure, такие как:
Защита данных: Виртуальная сеть позволяет Power Platform службам подключаться к вашим частным и защищенным ресурсам, не раскрывая их через Интернет.
Отсутствие несанкционированного доступа: виртуальная сеть подключается к вашим ресурсам без необходимости Power Platform IP-диапазонов или сервисных тегов в подключении.
Поддерживаемые сценарии
Power Platform включает поддержку виртуальной сети как для подключаемых модулей Dataverse, так и для соединителей. Благодаря этой поддержке вы можете установить защищенное частное исходящее соединение из Power Platform с ресурсами в вашей виртуальной сети. Подключаемые модули и соединители Dataverse повышают безопасность интеграции данных за счет подключения к внешним источникам данных из приложений Power Apps, Power Automate и Dynamics 365. Например, доступны следующие возможности:
- Используйте подключаемые модули Dataverse для подключения к облачным источникам данных, таким как Azure SQL, хранилище Azure, хранилище BLOB-объектов или Azure Key Vault. Вы можете защитить свои данные от кражи данных и других инцидентов.
- Используйте подключаемые модули Dataverse для безопасного подключения к частным, защищенным конечными точками ресурсам в Azure, таким как веб-API, или любым ресурсам в вашей частной сети, таким как SQL и веб-API. Вы можете защитить свои данные от утечки данных и других внешних угроз.
- Используйте поддерживаемые виртуальной сетью соединители , такие как SQL Server , для безопасного подключения к источникам данных, размещенным в облаке, таким как Azure SQL или SQL Server, не подвергая их воздействию Интернета. Аналогичным образом вы можете использовать соединитель Azure Queue для установки безопасных подключений к частным очередям Azure с поддержкой конечных точек.
- Используйте соединитель Azure Key Vault для безопасного подключения к частному, защищенному конечными точками Azure Key Vault.
- Используйте пользовательские соединители для безопасного подключения к вашим службам, защищенным частными конечными точками в Azure, или службам, размещенным в вашей частной сети.
- Используйте хранилище файлов Azure для безопасного подключения к частному хранилищу файлов Azure с поддержкой конечных точек.
Ограничения
- Dataverse Плагины малокодовый , использующие коннекторы, не поддерживаются, пока эти типы коннекторов не будут обновлены для использования делегирования подсети.
- Вы используете операции копирования, резервного копирования и восстановления жизненного цикла среды в средах Power Platform, поддерживаемых виртуальной сетью. Операцию восстановления можно выполнить в той же виртуальной сети, а также в разных средах при условии, что они подключены к одной виртуальной сети. Кроме того, операция восстановления разрешена из сред, не поддерживающих виртуальные сети, в те, которые их поддерживают.
Поддерживаемые регионы
Убедитесь, что ваша среда Power Platform и корпоративная политика находятся в поддерживаемых регионах Power Platform и Azure. Например, если ваша Power Platform среда находится в Соединенных Штатах, то ваша виртуальная сеть и подсети должны находиться в регионах eastus и westus Azure.
| Регион Power Platform | Регион Azure |
|---|---|
| США | eastus, westus |
| Южная Африка | eouthafricanorth, southafricawest |
| Соединенное Королевство | uksouth, ukwest |
| Япония | japaneast, japanwest |
| Индия | centralindia, southindia |
| Франция | francecentral, francesouth |
| Европа | westeurope, northeurope |
| Германия | germanynorth, germanywestcentral |
| Швейцария | switzerlandnorth, switzerlandwest |
| Канада | canadacentral, canadaeast |
| Бразилия | brazilsouth, southcentralus |
| Австралия | australiasoutheast, australiaeast |
| Азия | eastasia, southeastasia |
| UAE | uaecentral, uaenorth |
| Республика Корея | koreasouth, koreacentral |
| Норвегия | norwaywest, norwayeast |
| Сингапур | southeastasia |
| Швеция | swedencentral |
Поддерживаемые службы
В следующей таблице перечислены службы, которые поддерживают делегирование подсети Azure для поддержки виртуальной сети для Power Platform.
| Площадь | Службы Power Platform | Доступность поддержки виртуальной сети |
|---|---|---|
| Dataverse | Dataverse плагины | Общедоступная версия |
| Соединители | Общедоступная версия |
Включение поддержки виртуальной сети для среды Power Platform
При использовании поддержки виртуальной сети в Power Platform среде все поддерживаемые службы, такие как Dataverse плагины и коннекторы, выполняют запросы во время выполнения в вашей делегированной подсети и подчиняются вашим сетевым политикам. Обращения к общедоступным ресурсам начнут прерываться.
Важно
Прежде чем включить поддержку виртуальной среды для среды Power Platform, обязательно проверьте код подключаемых модулей и соединителей. URL-адреса и подключения необходимо обновить для работы с частным подключением.
Например, подключаемый модуль может попытаться подключиться к общедоступной службе, но ваша сетевая политика не разрешает доступ в общедоступный Интернет в вашей виртуальной сети. Вызов из подключаемого модуля блокируется в соответствии с политикой вашей сети. Чтобы избежать блокировки вызова, вы можете разместить общедоступную службу в своей виртуальной сети. Кроме того, если ваша служба размещена в Azure, вы можете использовать частную конечную точку для службы, прежде чем включать поддержку виртуальной сети в среде Power Platform.
Вопросы и ответы
В чем разница между шлюзом данных виртуальной сети и поддержкой виртуальной сети Azure для Power Platform?
Шлюз данных виртуальной сети — это управляемый шлюз, который позволяет вам получать доступ к службам Azure и Power Platform из вашей виртуальной сети без необходимости в настройке локального шлюза данных. Например, шлюз оптимизирован для рабочих нагрузок ETL (извлечение, преобразование, загрузка) в потоках данных Power BI и Power Platform.
Поддержка виртуальной сети Azure для Power Platform использует делегирование подсети Azure для вашей среды Power Platform. Подсети используются рабочими нагрузками в среде Power Platform. Поддержка виртуальной сети используется для рабочих нагрузок API-интерфейса Power Platform, поскольку запросы кратковременны и оптимизированы для большого количества запросов.
В каких сценариях мне следует использовать поддержку виртуальной сети для Power Platform и шлюза данных виртуальной сети?
Поддержка виртуальной сети для Power Platform является единственным поддерживаемым вариантом для всех сценариев исходящего подключения из Power Platform, кроме Power BI и потоков данных Power Platform.
Power BI и Power Platform потоки данных продолжают использовать шлюз данных виртуальной сети (vNet).
Как гарантировать, что подсеть виртуальной сети или шлюз данных одного клиента не будет использоваться другим клиентом в Power Platform?
Поддержка виртуальной сети для Power Platform использует делегирование подсети Azure.
Каждая среда Power Platform связана с одной подсетью виртуальной сети. Только вызовам из этой среды разрешен доступ к этой виртуальной сети.
Делегирование подсети позволяет вам назначить определенную подсеть для любой платформы как услуги Azure (PaaS), которую необходимо внедрить в вашу виртуальную сеть.
Поддерживает ли виртуальная сеть Power Platform аварийное переключение?
Да, во время установки вам необходимо делегировать основную и резервную виртуальную сеть и подсети.
Как среда Power Platform в одном регионе может подключаться к ресурсам, размещенным в другом регионе?
Виртуальная сеть, связанная со средой Power Platform, должна находиться в регионах среды Power Platform. Если виртуальная сеть находится в другом регионе, создайте виртуальную сеть в регионе среды Power Platform и используйте пиринг между виртуальными сетями, чтобы соединить два региона.
Могу ли я отслеживать исходящий трафик из делегированных подсетей?
Да. Вы можете использовать группу сетевой безопасности и/или брандмауэры для мониторинга исходящего трафика из делегированных подсетей.
Сколько IP-адресов в Power Platform необходимо делегировать в подсети?
В подсети требуется как минимум 24 бесклассовые междоменные маршрутизации (CIDR) или 255 IP-адресов. Чтобы делегировать одну и ту же подсеть нескольким средам, вам может потребоваться больше IP-адресов в этой подсети.
Можно ли совершать вызовы по Интернету через подключаемые модули или соединители после делегирования среды по подсети?
Да. Вы можете совершать вызовы через Интернет с помощью подключаемых модулей или соединителей, но в подсети необходимо настроить Шлюз Azure NAT.
Можно ли обновить диапазон IP-адресов подсети после его делегирования «Microsoft.PowerPlatform/enterprisePolicies»?
№ Вы не сможете изменить диапазон IP-адресов подсети после его делегирования «Microsoft.PowerPlatform/enterprisePolicies».
В моей виртуальной сети настроен собственный DNS. Использует ли Power Platform мой пользовательский DNS?
Да. Power Platform использует пользовательский DNS, настроенный в виртуальной сети, в которой находится делегированная подсеть, для разрешения всех конечных точек. После делегирования среды вы можете обновить подключаемые модули, чтобы использовать правильную конечную точку, чтобы ваш пользовательский DNS мог их разрешать.
В моей среде есть подключаемые модули, предоставленные независимыми поставщиками программного обеспечения. Будут ли эти подключаемые модули работать в делегированной подсети?
Да. Все подключаемые модули клиентов и независимых поставщиков ПО могут работать в вашей подсети. Если подключаемые модули независимых поставщиков программного обеспечения поддерживают исходящие подключения, эти URL-адреса, возможно, потребуется указать в брандмауэре.
Мои TLS-сертификаты локальной конечной точки не подписаны известными корневыми центрами сертификации (CA). Поддерживаете ли вы неизвестные сертификаты?
№ Мы должны убедиться, что конечная точка представляет сертификат TLS с полной цепочкой. Невозможно добавить пользовательский корневой центр сертификации в наш список известных центров сертификации.
Какова рекомендуемая настройка виртуальной сети в клиенте заказчика?
Мы не рекомендуем какую-либо конкретную топологию. Однако наши заказчики широко используют модель сети со звездообразной топологией.
Необходимо ли привязывать подписку Azure к моему клиенту Power Platform для активации виртуальной сети?
Да, чтобы включить поддержку виртуальной сети для сред Power Platform , необходимо иметь подписку Azure, связанную с клиентом Power Platform.
Как Power Platform использует делегирование подсети Azure?
Если среде Power Platform назначена делегированная подсеть Azure, она использует внедрение виртуальной сети Azure для внедрения контейнера во время выполнения в делегированную подсеть. Во время этого процесса карте сетевого интерфейса (NIC) контейнера назначается IP-адрес из делегированной подсети. Связь между узлом (Power Platform) и контейнером происходит через локальный порт контейнера, а трафик проходит через Azure Fabric.
Могу ли я использовать существующую виртуальную сеть для Power Platform?
Да, вы можете использовать существующую виртуальную сеть для Power Platform, при условии, что одна новая подсеть в виртуальной сети делегирована конкретно Power Platform. Важно отметить, что в этой делегированной подсети не должно размещаться никаких других служб.
Могу ли я использовать US East 2 в качестве аварийного переключения, если моя среда Power Platform находится в Канаде?
Для обеспечения правильного переключения при сбое основная и резервная подсети должны быть подготовлены в canadacentral и canadaeast, соответственно. Для эффективного переключения при сбое создайте основную и резервную подсети в регионах canadacentral и canadaeast, соответственно. Кроме того, если вы хотите поддерживать связь с ресурсами в регионе useast2 , установите пиринг виртуальных сетей между основной и резервной виртуальными сетями, включая виртуальную сеть в регионе useast2 .
Что такое подключаемый модуль Dataverse?
Подключаемый модуль Dataverse — это фрагмент пользовательского кода, который можно развернуть в среде Power Platform. Этот подключаемый модуль можно настроить для запуска во время событий (например, изменения данных) или запускать как пользовательский API. Дополнительные сведения: Подключаемый модуль Dataverse
Как выполняется подключаемый модуль Dataverse?
Подключаемый модуль Dataverse работает внутри контейнера. Когда среде Power Platform назначается делегированная подсеть, IP-адрес из адресного пространства этой подсети выделяется карте сетевого интерфейса (NIC) контейнера. Связь между узлом (Power Platform) и контейнером происходит через локальный порт контейнера, а трафик проходит через Azure Fabric.
Могут ли несколько подключаемых модулей работать в одном контейнере?
Да. В определенной среде Power Platform или Dataverse несколько подключаемых модулей могут работать в одном контейнере. Каждый контейнер использует один IP-адрес из адресного пространства подсети, и каждый контейнер может выполнять несколько запросов.
Как инфраструктура справляется с увеличением количества одновременных запусков подключаемых модулей?
По мере увеличения количества одновременных запусков подключаемых модулей инфраструктура масштабируется (уменьшается или увеличивается), чтобы приспособиться к нагрузке. Подсеть, делегированная среде Power Platform, должна иметь достаточное адресное пространство для обработки пикового объема выполнения рабочих нагрузок в этой среде Power Platform.
Кто контролирует виртуальную сеть и связанные с ней сетевые политики?
Как клиент, вы имеете право собственности и контроля над виртуальной сетью и связанными с ней сетевыми политиками. С другой стороны, Power Platform использует выделенные IP-адреса из делегированной подсети внутри этой виртуальной сети.
Поддерживают ли подключаемые модули с поддержкой Azure виртуальную сеть?
Нет, подключаемые модули с поддержкой Azure не поддерживают виртуальную сеть.