Hỗ trợ mạng ảo cho Power Platform tổng quan
Với Azure Virtual Network hỗ trợ Power Platform, bạn có thể tích hợp Power Platform với các tài nguyên bên trong mạng ảo của mình mà không để lộ chúng ra công khai Internet. Hỗ trợ Mạng ảo sử dụng Ủy quyền mạng con Azure để quản lý lưu lượng truy cập đi từ Power Platform trong thời gian chạy. Việc sử dụng ủy quyền Mạng con Azure sẽ tránh được nhu cầu phải có sẵn các tài nguyên được bảo vệ qua internet để tích hợp Power Platform. Với sự hỗ trợ của mạng ảo, Power Platform các thành phần có thể gọi các tài nguyên thuộc quyền sở hữu của doanh nghiệp trong mạng của bạn, cho dù chúng được lưu trữ trong Azure hay tại chỗ, đồng thời sử dụng các phần bổ trợ và trình kết nối (xem trước) để thực hiện cuộc gọi đi.
Power Platform thường tích hợp với tài nguyên doanh nghiệp qua mạng công cộng. Với mạng công cộng, tài nguyên doanh nghiệp phải có thể truy cập được từ danh sách dải IP Azure hoặc thẻ dịch vụ mô tả địa chỉ IP công cộng. Tuy nhiên, hỗ trợ của Azure Virtual Network Power Platform cho phép bạn sử dụng mạng riêng và vẫn tích hợp với các dịch vụ hoặc dịch vụ đám mây được lưu trữ bên trong mạng doanh nghiệp của bạn.
Các dịch vụ Azure được bảo vệ bên trong Mạng ảo bởi điểm cuối riêng tư. Bạn có thể sử dụng Tuyến tốc hành để đưa tài nguyên tại chỗ của mình vào trong Mạng ảo.
Power Platform sử dụng Mạng ảo và mạng con mà bạn ủy quyền để thực hiện cuộc gọi đi tới tài nguyên doanh nghiệp qua mạng riêng của doanh nghiệp. Việc sử dụng mạng riêng giúp loại bỏ nhu cầu định tuyến lưu lượng truy cập qua Internet công cộng, điều này có thể làm lộ tài nguyên doanh nghiệp.
Trong Mạng ảo, bạn có toàn quyền kiểm soát lưu lượng truy cập đi từ Power Platform. Lưu lượng truy cập phải tuân theo chính sách mạng do quản trị viên mạng của bạn áp dụng. Sơ đồ sau đây cho thấy cách các tài nguyên bên trong mạng của bạn tương tác với Mạng ảo.
Lợi ích của việc hỗ trợ Mạng Ảo
Với sự hỗ trợ của Mạng ảo, Power Platform và Dataverse các thành phần của bạn sẽ nhận được tất cả lợi ích mà ủy quyền mạng con Azure mang lại, chẳng hạn như:
Bảo vệ dữ liệu: Mạng ảo cho phép Power Platform các dịch vụ kết nối với tài nguyên riêng tư và được bảo vệ của bạn mà không để chúng tiếp xúc với internet.
Không truy cập trái phép: Mạng ảo kết nối với tài nguyên của bạn mà không cần Power Platform Dải IP hoặc thẻ dịch vụ trong kết nối.
Các kịch bản được hỗ trợ
Power Platform cho phép hỗ trợ Mạng ảo cho cả Dataverse plugin và trình kết nối (xem trước). Với sự hỗ trợ này, bạn có thể thiết lập kết nối ra ngoài, riêng tư, bảo mật từ Power Platform đến các tài nguyên trong Mạng ảo của mình. Dataverse plug-in và trình kết nối (xem trước) tăng cường bảo mật tích hợp dữ liệu bằng cách kết nối với các nguồn dữ liệu bên ngoài từ Power Apps, Power Automate và ứng dụng Dynamics 365. Ví dụ, bạn có thể:
- Sử dụng Dataverse plugin để kết nối với nguồn dữ liệu đám mây của bạn, chẳng hạn như Azure SQL, Azure Storage, blob storage hoặc Azure Key Vault. Bạn có thể bảo vệ dữ liệu của mình khỏi bị đánh cắp dữ liệu và các sự cố khác.
- Sử dụng Dataverse plugin để kết nối an toàn với các tài nguyên riêng tư, được bảo vệ điểm cuối trong Azure, chẳng hạn như API Web hoặc bất kỳ tài nguyên nào trong mạng riêng tư của bạn, chẳng hạn như SQL và API Web. Bạn có thể bảo vệ dữ liệu của mình khỏi vi phạm dữ liệu và các mối đe dọa bên ngoài khác.
- Sử dụng Các trình kết nối được hỗ trợ bởi Mạng ảo (xem trước), chẳng hạn như Máy chủ SQL (xem trước) để kết nối an toàn với đám mây của bạn -các nguồn dữ liệu được lưu trữ, chẳng hạn như Azure SQL hoặc SQL Server mà không đưa chúng ra internet. Tương tự, bạn có thể sử dụng Trình kết nối Azure Queue (xem trước) để thiết lập kết nối an toàn với Hàng đợi Azure riêng tư, hỗ trợ điểm cuối.
- Sử dụng trình kết nối Azure Key Vault (preview) để kết nối an toàn với Azure Key Vault riêng tư được bảo vệ điểm cuối.
- Sử dụng HTTP Với Microsoft Entra ID (xem trước) để kết nối an toàn với xác thực dịch vụ bằng Microsoft Entra ID.
- Sử dụng trình kết nối tùy chỉnh (xem trước) để kết nối an toàn với các dịch vụ được bảo vệ bởi điểm cuối riêng tư trong Azure hoặc các dịch vụ được lưu trữ trong mạng riêng của bạn.
Giới hạn
- Dataverse Phần bổ trợ mã nguồn ngắn sử dụng trình kết nối không được hỗ trợ cho đến khi các loại trình kết nối đó được cập nhật để sử dụng ủy quyền mạng con.
- Bạn sử dụng các hoạt động sao chép, sao lưu và khôi phục vòng đời môi trường trên các môi trường Power Platform được mạng ảo hỗ trợ. Hoạt động khôi phục có thể được thực hiện trong cùng một mạng ảo cũng như trên các môi trường khác nhau, miễn là chúng được kết nối với cùng một mạng ảo. Ngoài ra, hoạt động khôi phục được cho phép từ các môi trường không hỗ trợ mạng ảo cho đến những môi trường có hỗ trợ.
Các khu vực được hỗ trợ
Xác nhận rằng môi trường và chính sách doanh nghiệp của bạn Power Platform nằm trong các khu vực Azure và được hỗ trợ Power Platform . Ví dụ: nếu môi trường của bạn Power Platform ở Hoa Kỳ, thì Mạng ảo, mạng con và chính sách doanh nghiệp của bạn phải nằm trong eastus khu vực hoặc westus Azure.
| Power Platform vùng | Khu vực Azure |
|---|---|
| Hoa Kỳ | eastus, westus |
| Nam Phi | eouthafricanorth, southafricawest |
| Vương quốc Anh | uksouth, ukwest |
| Nhật Bản | japaneast, japanwest |
| Ấn Độ | centralindia, southindia |
| Pháp | francecentral, francesouth |
| Châu Âu | westeurope, northeurope |
| Đức | germanynorth, germanywestcentral |
| Thụy Sĩ | switzerlandnorth, switzerlandwest |
| Ca-na-đa | canadacentral, canadaeast |
| Bra-xin | brazilsouth, southcentralus |
| Úc | australiasoutheast, australiaeast |
| Châu Á | eastasia, southeastasia |
| UAE | uaecentral, uaenorth |
| Hàn Quốc | koreasouth, koreacentral |
| Na-uy | norwaywest, norwayeast |
| Singapore | southeastasia |
| Thụy Điển | swedencentral |
Dịch vụ được hỗ trợ
Bảng sau liệt kê các dịch vụ hỗ trợ ủy quyền mạng con Azure để hỗ trợ Power Platform mạng ảo.
| Diện tích | Power Platform dịch vụ | Tính khả dụng của hỗ trợ Mạng ảo |
|---|---|---|
| Dataverse | Dataverse Trình cắm | Có sẵn công khai |
| Trình kết nối | Bản xem trước |
Yêu cầu cấp phép
Hỗ trợ mạng ảo cho Power Platform chỉ được thực thi trên các môi trường được kích hoạt cho Môi trường được quản lý. Môi trường được quản lý được đưa vào dưới dạng quyền trong các giấy phép độc lập Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages và Dynamics 365 cung cấp quyền sử dụng cao cấp. Tìm hiểu thêm về Cấp phép Môi trường được quản lý với Tổng quan về cấp phép cho Microsoft Power Platform.
Ngoài ra, quyền truy cập vào việc sử dụng hỗ trợ Mạng ảo cho Power Platform yêu cầu người dùng trong môi trường bật Mạng ảo phải có một trong các đăng ký sau:
- Microsoft 365 hoặc Office 365 A5/E5/G5
- Microsoft 365 Tuân thủ A5/E5/F5/G5
- Microsoft 365 F5 Bảo mật & Sự tuân thủ
- Microsoft 365 A5/E5/F5/G5 Bảo vệ và quản trị thông tin
- Microsoft 365 A5/E5/F5/G5 Quản lý rủi ro nội bộ
Tìm hiểu thêm về các giấy phép này
Cân nhắc để kích hoạt hỗ trợ Mạng ảo cho Power Platform Môi trường
Khi bạn sử dụng hỗ trợ Mạng ảo trong môi trường Power Platform , tất cả các dịch vụ được hỗ trợ, như Dataverse plugin và trình kết nối (xem trước), sẽ thực thi các yêu cầu trong thời gian chạy trong mạng con được ủy quyền của bạn và tuân theo chính sách mạng của bạn. Các cuộc gọi đến các nguồn lực có sẵn công khai sẽ bắt đầu bị phá vỡ.
Quan trọng
Trước khi bạn bật hỗ trợ môi trường ảo cho môi trường Power Platform , hãy đảm bảo rằng bạn đã kiểm tra mã của các trình cắm và trình kết nối (xem trước). Các URL và kết nối cần được cập nhật để hoạt động với kết nối riêng tư.
Ví dụ: một trình cắm có thể cố gắng kết nối với một dịch vụ có sẵn công khai, nhưng chính sách mạng của bạn không cho phép truy cập internet công cộng trong Mạng ảo của bạn. Cuộc gọi từ trình cắm bị chặn theo chính sách mạng của bạn. Để tránh cuộc gọi bị chặn, bạn có thể lưu trữ dịch vụ có sẵn công khai trong Mạng ảo của mình. Ngoài ra, nếu dịch vụ của bạn được lưu trữ trong Azure, bạn có thể sử dụng điểm cuối riêng trên dịch vụ trước khi bật hỗ trợ Mạng ảo trong Power Platform môi trường.
Câu hỏi thường gặp
Sự khác biệt giữa cổng dữ liệu mạng ảo và hỗ trợ Mạng ảo Azure để làm gì Power Platform?
Cổng dữ liệu mạng ảo là một cổng được quản lý cho phép bạn truy cập Azure và Power Platform các dịch vụ từ bên trong mạng ảo của mình mà không cần phải thiết lập cổng dữ liệu tại chỗ. Ví dụ: cổng được tối ưu hóa cho khối lượng công việc ETL (trích xuất, chuyển đổi, tải) trong Power BI và Power Platform luồng dữ liệu.
Hỗ trợ Mạng Ảo Azure cho Power Platform việc sử dụng ủy quyền mạng con Azure cho môi trường của bạn Power Platform . Mạng con được sử dụng bởi khối lượng công việc trong Power Platform môi trường. Power Platform Khối lượng công việc API sử dụng hỗ trợ Mạng ảo vì các yêu cầu tồn tại trong thời gian ngắn và được tối ưu hóa cho một số lượng lớn yêu cầu.
Các tình huống mà tôi nên sử dụng hỗ trợ Mạng ảo và cổng dữ liệu mạng ảo là Power Platform gì?
Hỗ trợ mạng ảo là Power Platform tùy chọn được hỗ trợ duy nhất cho tất cả các kịch bản cho kết nối ra ngoài từ Power Platform ngoại trừ Power BI và Power Platform luồng dữ liệu.
Power BI và Power Platform luồng dữ liệu tiếp tục sử dụng cổng dữ liệu mạng ảo (vNet).
Làm thế nào để bạn đảm bảo rằng mạng con mạng ảo hoặc cổng dữ liệu từ một khách hàng không được sử dụng bởi Power Platform một khách hàng khác?
Hỗ trợ mạng ảo để Power Platform sử dụng ủy quyền mạng con Azure.
Mỗi Power Platform môi trường được liên kết với một mạng con mạng ảo. Chỉ các cuộc gọi từ môi trường đó mới được phép truy cập mạng ảo đó.
Ủy quyền cho phép bạn chỉ định một mạng con cụ thể cho bất kỳ nền tảng Azure nào dưới dạng dịch vụ (PaaS) cần được đưa vào mạng ảo của bạn.
Mạng ảo có hỗ trợ Power Platform chuyển đổi dự phòng không?
Có, bạn cần ủy quyền mạng ảo chính và mạng ảo chuyển đổi dự phòng cũng như các mạng con trong quá trình thiết lập.
Làm thế nào một Power Platform môi trường trong một khu vực có thể kết nối với các tài nguyên được lưu trữ ở một khu vực khác?
Một mạng ảo được liên kết với một Power Platform môi trường phải nằm trong Power Platform khu vực của môi trường. Nếu Mạng ảo nằm trong một khu vực khác, hãy tạo Mạng ảo trong Power Platform khu vực của môi trường và sử dụng Mạng ảo ngang hàng để kết nối hai khu vực.
Tôi có thể giám sát lưu lượng truy cập đi từ các mạng con được ủy quyền không?
Có. Bạn có thể sử dụng Network Security Group và tường lửa để giám sát lưu lượng truy cập đi từ các mạng con được ủy quyền.
Có bao nhiêu địa chỉ Power Platform IP cần được ủy quyền trong mạng con?
Bạn cần ủy quyền ít nhất 24 Định tuyến liên miền không phân loại (CIDR) hoặc 255 địa chỉ IP, trong mạng con. Nếu bạn muốn ủy quyền cùng một mạng con cho nhiều môi trường, bạn có thể cần nhiều địa chỉ IP hơn trong mạng con đó.
Tôi có thể thực hiện cuộc gọi qua internet từ plug-in sau khi môi trường của tôi được ủy quyền mạng con không?
Có. Bạn có thể thực hiện cuộc gọi qua Internet từ các plugin, nhưng mạng con phải được định cấu hình bằng cổng Azure NAT .
Tôi có thể cập nhật dải địa chỉ IP mạng con sau khi được ủy quyền cho "Microsoft.PowerPlatform/enterprisePolicies" không?
Không. Bạn không thể thay đổi dải địa chỉ IP của mạng con sau khi nó được ủy quyền cho "Microsoft.PowerPlatform/enterprisePolicies."
Mạng ảo của tôi có cấu hình DNS tùy chỉnh. Power Platform có sử dụng DNS tùy chỉnh của tôi không?
Có. Power Platform sử dụng DNS tùy chỉnh được định cấu hình trong Mạng ảo chứa mạng con được ủy quyền để giải quyết tất cả các điểm cuối. Sau khi môi trường được ủy quyền, bạn có thể cập nhật các phần bổ trợ để sử dụng điểm cuối chính xác để DNS tùy chỉnh của bạn có thể giải quyết chúng.
Môi trường của tôi có các phần bổ trợ do ISV cung cấp. Những phần bổ trợ này có chạy trong mạng con được ủy quyền không?
Có. Tất cả các plug-in của khách hàng và plug-in ISV đều có thể chạy bằng cách sử dụng mạng con của bạn. Nếu plug-in ISV có kết nối ra bên ngoài thì các URL đó có thể cần được liệt kê trong tường lửa của bạn.
Chứng chỉ TLS điểm cuối tại chỗ của tôi không được ký bởi các cơ quan chứng nhận gốc nổi tiếng (CA). Bạn có hỗ trợ các chứng chỉ không xác định?
Không. Chúng tôi phải đảm bảo điểm cuối xuất trình chứng chỉ TLS với chuỗi hoàn chỉnh. Không thể thêm CA gốc tùy chỉnh của bạn vào danh sách các CA nổi tiếng của chúng tôi.
Thiết lập được đề xuất của Mạng ảo trong đối tượng thuê của khách hàng là gì?
Chúng tôi không đề xuất bất kỳ cấu trúc liên kết cụ thể nào. Tuy nhiên, khách hàng của chúng tôi sử dụng rộng rãi mô hình mạng cấu trúc liên kết hub và nan hoa.
Việc liên kết đăng ký Azure với Power Platform đối tượng thuê của tôi có cần thiết để kích hoạt Mạng ảo không?
Có, để bật hỗ trợ Mạng ảo cho Power Platform môi trường, điều cần thiết là phải liên kết đăng ký Azure với đối tượng thuê Power Platform .
Power Platform sử dụng ủy quyền mạng con Azure như thế nào?
Khi một môi trường Power Platform được chỉ định mạng con Azure được ủy quyền, môi trường đó sẽ sử dụng tính năng chèn Mạng ảo Azure để đưa vùng chứa vào mạng con được ủy quyền trong thời gian chạy. Trong quá trình này, thẻ giao diện mạng (NIC) của vùng chứa được cấp một địa chỉ IP từ mạng con được ủy quyền. Giao tiếp giữa máy chủ (Power Platform) và vùng chứa diễn ra thông qua một cổng cục bộ trên vùng chứa và lưu lượng truy cập đi qua Azure Fabric.
Tôi có thể sử dụng Mạng ảo hiện có cho Power Platform không?
Có, bạn có thể sử dụng Mạng ảo hiện có cho Power Platform, miễn là một mạng con mới, duy nhất trong Mạng ảo được ủy quyền cụ thể cho Power Platform. Điều quan trọng cần lưu ý là mạng con được ủy quyền này không được lưu trữ bất kỳ dịch vụ nào khác.
Tôi có thể sử dụng US East 2 làm phương pháp chuyển đổi dự phòng nếu môi trường Power Platform của tôi ở Canada không?
Để đảm bảo chuyển đổi dự phòng thích hợp, các mạng con chính và mạng con chuyển đổi dự phòng phải được cung cấp lần lượt ở canadacentral và canadaeast. Để chuyển đổi dự phòng hiệu quả, hãy tạo các mạng con chính và mạng con chuyển đổi dự phòng ở các khu vực canadacentral và canadaeast tương ứng. Ngoài ra, hãy thiết lập Mạng ảo ngang hàng giữa Mạng ảo chính và Mạng ảo chuyển đổi dự phòng, bao gồm Mạng ảo trong vùng useast2 để kết nối.
Trình cắm Dataverse là gì?
Plug-in Dataverse là một đoạn mã tùy chỉnh có thể được triển khai trong môi trường Power Platform . Plug-in này có thể được định cấu hình để chạy trong các sự kiện (chẳng hạn như thay đổi dữ liệu) hoặc được kích hoạt dưới dạng API tùy chỉnh. Tìm hiểu thêm: Dataverse Plugin
Trình cắm Dataverse chạy như thế nào?
Trình cắm Dataverse hoạt động bên trong một vùng chứa. Khi một Power Platform môi trường được chỉ định một mạng con được ủy quyền, địa chỉ IP từ không gian địa chỉ của mạng con đó sẽ được phân bổ cho thẻ giao diện mạng (NIC) của vùng chứa. Giao tiếp giữa máy chủ (Power Platform) và vùng chứa diễn ra thông qua một cổng cục bộ trên vùng chứa và lưu lượng truy cập đi qua Azure Fabric.
Nhiều plugin có thể chạy trong cùng một vùng chứa không?
Có. Trong một môi trường Power Platform hoặc Dataverse nhất định, nhiều plugin có thể hoạt động trong cùng một vùng chứa. Mỗi vùng chứa sử dụng một địa chỉ IP từ không gian địa chỉ mạng con và mỗi vùng chứa có thể chạy nhiều yêu cầu.
Cơ sở hạ tầng xử lý sự gia tăng trong việc thực thi plug-in đồng thời như thế nào?
Khi số lượng thực thi plug-in đồng thời tăng lên, cơ sở hạ tầng sẽ tự động mở rộng hoặc thu nhỏ để phù hợp với tải. Mạng con được ủy quyền cho một môi trường Power Platform phải có đủ không gian địa chỉ để xử lý khối lượng thực thi cao nhất cho khối lượng công việc trong môi trường Power Platform đó.
Ai kiểm soát Mạng ảo và các chính sách mạng được liên kết với nó?
Là khách hàng, bạn có quyền sở hữu và kiểm soát Mạng ảo và các chính sách mạng được liên kết của nó. Mặt khác, Power Platform sử dụng địa chỉ IP được phân bổ từ mạng con được ủy quyền trong Mạng ảo đó.
Làm cách nào để định cấu hình hỗ trợ Mạng ảo trong Power Platform môi trường Dev/Test mà không cần sử dụng hai Mạng ảo riêng biệt ở các khu vực Azure khác nhau?
Cần có một Mạng ảo và một mạng con chuyên dụng ở mỗi vùng Azure chính và phụ của bạn cho khối lượng công việc sản xuất để đảm bảo chuyển đổi dự phòng thích hợp. Tuy nhiên, đối với môi trường Dev/Test, chúng tôi khuyên dùng một Mạng ảo duy nhất cùng với hai mạng con chuyên dụng cho Power Platform.
Các bước tiếp theo
Phản hồi
Sắp ra mắt: Trong năm 2024, chúng tôi sẽ dần gỡ bỏ Sự cố với GitHub dưới dạng cơ chế phản hồi cho nội dung và thay thế bằng hệ thống phản hồi mới. Để biết thêm thông tin, hãy xem: https://aka.ms/ContentUserFeedback.
Gửi và xem ý kiến phản hồi dành cho