Prehľad podpory virtuálnej siete
Vďaka podpore Azure Virtual Network pre Power Platform sa môžete integrovať Power Platform so zdrojmi vo vašej virtuálnej sieti bez toho, aby ste ich zverejňovali internet. Podpora virtuálnej siete využíva delegovanie podsiete Azure na správu odchádzajúcej návštevnosti z Power Platform za behu. Použitím delegovania podsiete Azure sa vyhnete potrebe, aby boli chránené zdroje dostupné cez internet na integráciu s Power Platform. Vďaka podpore virtuálnej siete Power Platform môžu komponenty volať prostriedky vlastnené vaším podnikom vo vašej sieti, či už sú hosťované v Azure alebo lokálny, a používať doplnky a konektory na uskutočňovanie odchádzajúcich hovorov.
Power Platform zvyčajne sa integruje s podnikovými zdrojmi cez verejné siete. Pri verejných sieťach musia byť podnikové zdroje dostupné zo zoznamu rozsahov IP Azure alebo značiek služieb, ktoré popisujú verejné adresy IP. Podpora virtuálnej siete Azure pre Power Platform vám však umožňuje používať súkromnú sieť a stále sa integrovať s cloudovými službami alebo službami, ktoré sú hosťované vo vašej podnikovej sieti. .
Služby Azure sú vo virtuálnej sieti chránené súkromnými koncovými bodmi. Môžete použiť Expresnú cestu na prenesenie svojich zdrojov lokálny do virtuálnej siete.
Power Platform používa virtuálnu sieť a podsiete, ktoré delegujete, na uskutočňovanie odchádzajúcich volaní do podnikových prostriedkov cez podnikovú súkromnú sieť. Použitie súkromnej siete eliminuje potrebu smerovať prevádzku cez verejný internet, čo by mohlo vystaviť podnikové zdroje.
Vo virtuálnej sieti máte plnú kontrolu nad odchádzajúcou prevádzkou z Power Platform. Prevádzka podlieha sieťovým pravidlám uplatňovaným správcom siete. Nasledujúci diagram ukazuje, ako zdroje vo vašej sieti interagujú s virtuálnou sieťou.
Výhody podpory virtuálnej siete
Vďaka podpore virtuálnej siete získajú vaše komponenty Power Platform a Dataverse všetky výhody , ktoré poskytuje delegovanie podsiete Azure, ako napríklad:
Ochrana údajov: Virtuálna sieť umožňuje Power Platform službám pripojiť sa k vašim súkromným a chráneným zdrojom bez toho, aby boli vystavené internetu.
Žiadny neoprávnený prístup: Virtuálna sieť sa pripája k vašim zdrojom bez toho, aby ste pri pripojení potrebovali Power Platform rozsahy IP alebo servisné značky.
Podporované scenáre
Power Platform umožňuje podporu virtuálnej siete pre Dataverse doplnky a konektory. S touto podporou môžete vytvoriť zabezpečené, súkromné, odchádzajúce pripojenie z Power Platform k zdrojom vo vašej virtuálnej sieti. Dataverse doplnky a konektory zvyšujú bezpečnosť integrácie údajov pripojením k externým zdrojom údajov z aplikácií Power Apps, Power Automate a Dynamics 365. Môžete napríklad:
- Použite Dataverse doplnky na pripojenie k vašim cloudovým zdrojom údajov, ako sú Azure SQL, Azure Storage, úložisko blob alebo Azure Key Vault. Môžete chrániť svoje údaje pred únikom údajov a inými incidentmi.
- Použite Dataverse doplnky na bezpečné pripojenie k súkromným, koncovým bodom chráneným zdrojom v Azure, ako je Web API, alebo akýmkoľvek zdrojom v rámci vašej súkromnej siete, ako je SQL a Web API. Svoje údaje môžete chrániť pred narušením ochrany údajov a inými vonkajšími hrozbami.
- Pomocou konektorov podporovaných virtuálnou sieťou, ako je napríklad SQL Server , sa môžete bezpečne pripojiť k zdrojom údajov hosťovaným v cloude, ako je napríklad Azure SQL alebo SQL Server, bez toho, aby ste ich vystavili internetu. Podobne môžete použiť konektor frontu Azure na vytvorenie zabezpečených pripojení k súkromným frontom Azure s podporou koncových bodov.
- Použite konektor Azure Key Vault na bezpečné pripojenie k súkromnému Azure Key Vault chránenému koncovým bodom.
- Pomocou vlastných konektorov sa môžete bezpečne pripojiť k službám, ktoré sú chránené súkromnými koncovými bodmi v Azure alebo službami, ktoré sú hosťované vo vašej súkromnej sieti.
- Použite Azure File Storage na bezpečné pripojenie k súkromnému úložisku súborov Azure s podporou koncových bodov.
- Použite protokol HTTP s Microsoft Entra ID (predbežne autorizovaný) na bezpečné načítanie prostriedkov cez virtuálne siete z rôznych webových služieb, overených ID Microsoft Entra alebo z lokálnej webovej služby.
Obmedzenia
- Dataverse Nízkokódové doplnky , ktoré používajú konektory, nie sú podporované, kým sa tieto typy konektorov neaktualizujú tak, aby používali delegovanie podsiete.
- Operácie životného cyklu prostredia sa používajú v prostrediach podporovaných Power Platform virtuálnou sieťou. Operáciu obnovenia je možné vykonať v rámci rovnakej virtuálnej siete, ako aj v rôznych prostrediach za predpokladu, že sú pripojené k rovnakej virtuálnej sieti. Okrem toho je operácia obnovenia povolená z prostredí, ktoré nepodporujú virtuálne siete, až po prostredia, ktoré ich podporujú.
Podporované oblasti
Skontrolujte, či sú vaše Power Platform prostredie a podniková politika v podporovaných Power Platform oblastiach a oblastiach Azure. Ak je napríklad vaše Power Platform prostredie v Spojených štátoch, vaša virtuálna sieť a podsiete musia byť v oblastiach eastus a westus Azure.
| Región Power Platform | Oblasť Azure |
|---|---|
| Spojené štáty americké | Eastus, westus |
| Južná Afrika | Eouthafricasever, južná afrikazápad |
| Spojené kráľovstvo | UKSOUTH, UKWEST |
| Japonsko | Japonskovýchod, Japonskozápad |
| India | Stredná India, Južná India |
| Francúzsko | FranceCentral, FrancúzskoJuh |
| Európa | Západná Európa, Severná Európa |
| Nemecko | Nemeckosever, Nemeckozápadostred |
| Švajčiarsko | Švajčiarskosever, Švajčiarskozápad |
| Kanada | CanadaCentral, KanadaVýchod |
| Brazília | BrazíliaJuh, Južná Centrálna |
| Austrália | Austráliajuhovýchod, Austráliavýchod |
| Ázia | Východná Ázia, Juhovýchodná Ázia |
| UAE | Spojené arabské emiráty, Spojené arabské emiráty |
| Kórejská republika | KóreaJuh, KoreaStred |
| Nórsko | Nórskozápad, Nórskovýchod |
| Singapur | Juhovýchodná Ázia |
| Švédsko | Švédskocentrálne |
Podporované služby
V nasledujúcej tabuľke sú uvedené služby, ktoré podporujú delegovanie podsiete Azure na podporu Power Platform virtuálnej siete.
| Plocha | Power Platform služby | Dostupnosť podpory virtuálnej siete |
|---|---|---|
| Dataverse | Dataverse Doplnky | Všeobecne dostupné |
| Konektory | Všeobecne dostupné |
Dôležité informácie o povolení podpory virtuálnej siete pre Power Platform prostredie
Keď používate podporu virtuálnej siete v prostredí, Power Platform všetky podporované služby, ako sú Dataverse doplnky a konektory, spúšťajú požiadavky za behu vo vašej delegovanej podsieti a podliehajú vašim sieťovým politikám. Výzvy na verejne dostupné zdroje by sa začali prerušovať.
Dôležité
Pred povolením podpory virtuálneho prostredia pre Power Platform prostredie sa uistite, že ste skontrolovali kód doplnkov a konektorov. Adresy URL a pripojenia je potrebné aktualizovať, aby fungovali so súkromným pripojením.
Doplnok sa môže napríklad pokúsiť pripojiť k verejne dostupnej službe, ale vaša sieťová politika nepovoľuje verejný prístup na internet vo vašej virtuálnej sieti. Hovor z doplnku je blokovaný v súlade s vašou sieťovou politikou. Aby ste sa vyhli zablokovanému hovoru, môžete hostiť verejne dostupnú službu vo vašej virtuálnej sieti. Prípadne, ak je vaša služba hosťovaná v Azure, môžete použiť súkromný koncový bod služby predtým, ako zapnete podporu virtuálnej siete v Power Platform prostredí.
Najčastejšie otázky
Aký je rozdiel medzi bránou údajov virtuálnej siete a podporou virtuálnej siete Azure Power Platform?
A virtuálna sieťová dátová brána je spravovaná brána, ktorá vám umožňuje pristupovať k Azure a Power Platform službám z vašej virtuálnej siete bez toho, aby ste museli nastavovať # dátová brána lokálny. Napríklad brána je optimalizovaná pre ETL (extrah, transform, load) pracovné zaťaženie v Power BI a Power Platform dátových tokoch.
Podpora virtuálnej siete Azure pre Power Platform používa delegovanie podsiete Azure pre vaše Power Platform prostredie. Podsiete sú využívané pracovnými záťažami v Power Platform prostredí. Power Platform Pracovné zaťaženia API využívajú podporu virtuálnej siete, pretože požiadavky sú krátkodobé a sú optimalizované pre veľký počet požiadaviek.
Aké sú scenáre, v ktorých by som mal použiť podporu virtuálnej siete pre Power Platform a dátovú bránu virtuálnej siete?
Podpora virtuálnej siete pre Power Platform je jedinou podporovanou možnosťou pre všetky scenáre pre odchádzajúce pripojenie z Power Platform okrem Power BI a Power Platform dátových tokov.
Power BI a Power Platform toky údajov naďalej používajú bránu údajov virtuálnej siete (vNet).
Ako zabezpečíte, aby podsieť virtuálnej siete alebo dátovú bránu od jedného zákazníka nepoužíval iný zákazník v Power Platform?
Podpora virtuálnej siete pre Power Platform používa delegovanie podsiete Azure.
Každé Power Platform prostredie je prepojené s jednou podsieťou virtuálnej siete. Do tejto virtuálnej siete majú povolený prístup iba volania z tohto prostredia.
Delegovanie vám umožňuje určiť konkrétnu podsieť pre akúkoľvek platformu Azure ako službu (PaaS), ktorú je potrebné vložiť do vašej virtuálnej siete.
Podporuje virtuálna sieť pre Power Platform prepnutie pri zlyhaní?
Áno, počas inštalácie musíte delegovať primárnu a núdzovú virtuálnu sieť a podsiete.
Ako sa môže Power Platform prostredie v jednom regióne pripojiť k zdrojom hosteným v inom regióne?
Virtuálna sieť prepojená s Power Platform prostredím sa musí nachádzať v Power Platform regióne prostredia. Ak je virtuálna sieť v inom regióne, vytvorte virtuálnu sieť v regióne Power Platform prostredia a použite peering virtuálnej siete na premostenie týchto dvoch regiónov.
Môžem monitorovať odchádzajúce prenosy z delegovaných podsietí?
Áno. Skupinu zabezpečenia siete a brány firewall môžete použiť na monitorovanie odchádzajúcej prevádzky z delegovaných podsietí.
Koľko IP adries je Power Platform treba delegovať v podsieti?
V podsieti musíte delegovať aspoň 24 beztriednych medzidoménových smerovaní (CIDR) alebo 255 adries IP. Ak chcete tú istú podsieť delegovať do viacerých prostredí, možno budete potrebovať viac adries IP v tejto podsieti.
Môžem uskutočňovať hovory viazané na internet z doplnkov alebo konektorov po delegovaní podsiete v mojom prostredí?
Áno. Internetové hovory môžete uskutočňovať z doplnkov alebo konektorov, ale podsieť musí byť nakonfigurovaná s bránou Azure NAT .
Môžem aktualizovať rozsah adries IP podsiete po jeho delegovaní na „Microsoft.PowerPlatform/enterprisePolicies“?
Nie. Po delegovaní na "Microsoft.PowerPlatform/enterprisePolicies" nie je možné zmeniť rozsah adries IP podsiete.
Moja virtuálna sieť má nakonfigurovaný vlastný DNS. Power Platform Používa môj vlastný DNS?
Áno. Power Platform používa vlastný DNS nakonfigurovaný vo virtuálnej sieti, ktorý obsahuje delegovanú podsieť na riešenie všetkých koncových bodov. Po delegovaní prostredia môžete aktualizovať doplnky, aby používali správny koncový bod, aby ich mohol vyriešiť váš vlastný DNS.
Moje prostredie má zásuvné moduly poskytované ISV. Spustili by sa tieto doplnky v delegovanej podsieti?
Áno. Všetky zákaznícke doplnky a doplnky ISV môžu byť spustené pomocou vašej podsiete. Ak majú doplnky ISV odchádzajúce pripojenie, tieto adresy URL možno bude potrebné uviesť vo vašej bráne firewall.
Moje lokálny TLS certifikáty koncového bodu nie sú podpísané známymi koreňovými certifikačnými autoritami (CA). Podporujete neznáme certifikáty?
Nie. Musíme zabezpečiť, aby koncový bod predložil certifikát TLS s celým reťazcom. Nie je možné pridať vlastnú koreňovú CA do nášho zoznamu známych CA.
Aké je odporúčané nastavenie virtuálnej siete v rámci nájomníka zákazníka?
Neodporúčame žiadnu špecifickú topológiu. Naši zákazníci však široko využívajú sieťový model rozbočovača a lúčovej topológie.
Je na aktiváciu virtuálnej siete potrebné prepojenie predplatného Azure s mojím Power Platform nájomníkom?
Áno, na aktiváciu podpory virtuálnej siete pre Power Platform prostredia je nevyhnutné mať predplatné Azure spojené s Power Platform nájomníkom.
Ako sa Power Platform používa delegovanie podsiete Azure?
Keď má prostredie Power Platform priradenú delegovanú podsieť Azure, použije injekciu virtuálnej siete Azure na vloženie kontajnera za behu do delegovanej podsiete. Počas tohto procesu je sieťovému rozhraniu karta (NIC) kontajnera pridelená IP adresa z delegovanej podsiete. Komunikácia medzi hostiteľom (Power Platform) a kontajnerom prebieha cez lokálny port na kontajneri a prevádzka prúdi cez Azure Fabric.
Môžem použiť existujúcu virtuálnu sieť pre Power Platform?
Áno, existujúcu virtuálnu sieť môžete použiť pre Power Platform za predpokladu, že jedna nová podsieť v rámci virtuálnej siete je delegovaná konkrétne na Power Platform. Je dôležité poznamenať, že táto delegovaná podsieť by nemala hostiť žiadne iné služby.
Môžem použiť US East 2 ako núdzové prepnutie, ak sa moje Power Platform prostredie nachádza v Kanade?
Aby sa zabezpečilo správne prepnutie pri zlyhaní, primárna a zlyhaná podsieť musia byť poskytnuté v kanadskej centrálnej a kanadskej východnej. Pre efektívne zlyhanie vytvorte primárnu a failover podsieť v kanadskej centrálnej a kanadskej regióne. Okrem toho, ak chcete podporovať pripojenie so zdrojmi v regióne useeast2 , vytvorte partnerský vzťah virtuálnej siete medzi primárnou a núdzovou virtuálnou sieťou vrátane virtuálnej siete v useeast2 región.
Čo je to Dataverse doplnok?
Doplnok Dataverse je časť vlastného kódu, ktorý je možné nasadiť v Power Platform prostredí. Tento doplnok možno nakonfigurovať tak, aby sa spúšťal počas udalostí (ako je zmena údajov) alebo sa spúšťal ako vlastné rozhranie API. Ďalšie informácie: Dataverse Doplnky
Ako funguje doplnok Dataverse ?
Doplnok Dataverse funguje v kontajneri. Keď je k Power Platform prostrediu priradená delegovaná podsieť, IP adresa z adresného priestoru tejto podsiete sa pridelí sieťovému rozhraniu karta (NIC) kontajnera. Komunikácia medzi hostiteľom (Power Platform) a kontajnerom prebieha cez lokálny port na kontajneri a prevádzka prúdi cez Azure Fabric.
Je možné spustiť viacero doplnkov v rámci toho istého kontajnera?
Áno. V danom Power Platform alebo Dataverse prostredí môže v rámci jedného kontajnera fungovať viacero zásuvných modulov. Každý kontajner spotrebuje jednu IP adresu z priestoru adries podsiete a každý kontajner môže spúšťať viacero požiadaviek.
Ako infraštruktúra zvláda nárast počtu súbežných spustení doplnkov?
So zvyšujúcim sa počtom súbežných spustení zásuvných modulov sa infraštruktúra automaticky rozšíri alebo zväčší, aby sa prispôsobila záťaži. Podsieť delegovaná na Power Platform prostredie by mala mať dostatok adresných priestorov na zvládnutie maximálneho objemu vykonávania pracovných zaťažení v tomto Power Platform prostredí.
Kto riadi virtuálnu sieť a sieťové politiky s ňou spojené?
Ako zákazník máte vlastníctvo a kontrolu nad virtuálnou sieťou as ňou súvisiacimi sieťovými politikami. Na druhej strane Power Platform používa pridelené IP adresy z delegovanej podsiete v rámci danej virtuálnej siete.
Podporujú Azure-aware plug-iny virtuálnu sieť?
Nie, Doplnky podporujúce Azure nepodporujú virtuálnu sieť.