Power Platform 虛擬網路支援概觀
透過 Power Platform 的 Azure 虛擬網路支援,您可以將 Power Platform 與虛擬網路內的資源整合,而無需將它們暴露在公共公用網際網路上。 虛擬網路支援使用 Azure 子網路委派在執行階段管理來自 Power Platform 的出站流量。 使用 Azure 子網路委派可以避免透過 Internet 提供受保護資源來與 Power Platform 整合。 借助虛擬網路支援,Power Platform 元件可以呼叫網路內企業擁有的資源 (無論它們託管在 Azure 還是內部部署),並使用外掛程式和連接器 (預覽版) 進行出站呼叫。
Power Platform 通常透過公用網路與企業資源整合。 使用公用網路時,必須可從描述公共 IP 位址的 Azure IP 範圍或服務標記清單存取企業資源。 但是,Power Platform 的 Azure 虛擬網路支援可讓您使用專用網路,並且仍能與雲端服務或企業網路中託管的服務整合。
Azure 服務透過私人端點在虛擬網路內受到保護。 可以使用快速路由將內部部署資源引入虛擬網路。
Power Platform 使用您委派的虛擬網路和子網路透過企業私人網路對企業資源發出出站呼叫。 使用私人網路無需透過公共網路路由流量,否則可能會暴露企業資源。
在虛擬網路中,您可以完全控制來自 Power Platform 的出站流量。 流量受網路管理員套用的網路原則約束。 下圖顯示了網路內的資源如何與虛擬網路互動。
虛擬網路支援的優勢
透過虛擬網路支援,您的 Power Platform 和 Dataverse 元件可以獲得 Azure 子網路委派提供的所有優勢,例如:
資料保護:虛擬網路可讓 Power Platform 服務連接到您私人和受保護的資源,而無需將其暴露於網際網路。
禁止未經授權的存取:虛擬網路與您的資源連接,無需在連接中使用 Power Platform IP 範圍或服務標籤。
支援的情境
Power Platform 能啟用對 Dataverse 外掛程式和連接器 (預覽版) 的虛擬網路支援。 透過此支持,您可以建立從 Power Platform 到虛擬網路內的資源的安全、私有的出站連線。 Dataverse 外掛程式和連接器 (預覽版) 透過連接到來自 Power Apps、Power Automate 和 Dynamics 365 應用程式的外部資料來源來增強資料整合安全性。 例如,您可以:
- 使用 Dataverse 外掛程式連接到雲端資料來源,例如 Azure SQL、Azure 儲存體、blob 儲存體或 Azure Key Vault。 您可以保護您的資料免受資料外洩和其他事件的影響。
- 使用 Dataverse 外掛程式安全地連接到 Azure 中受端點保護的專用資源,例如 Web API 或專用網路中的任何資源,例如 SQL 和 Web API。 您可以保護您的資料免受資料外洩和其他外部威脅。
- 使用虛擬網路支援的連接器 (預覽版),例如 SQL Server (預覽版) 安全地連接到雲端託管資料來源 (例如 Azure SQL 或 SQL Server),而無需將它們暴露到 Internet。 同樣,可以使用 Azure Queue (預覽版) 連接器建立與啟用端點的專用 Azure Queue 的安全連線。
- 使用 Azure Key Vault (預覽版) 連接器安全地連接到受端點保護的專用 Azure Key Vault。
- 使用 HTTP 與 Microsoft Entra ID (預覽版) 透過 Microsoft Entra ID 安全地連接至服務驗證。
- 使用自訂連接器 (預覽版) 安全地連線至受 Azure 中的專用端點保護的服務或專用網路中所託管的服務。
- 使用 Azure 檔案儲存體 (預覽版) 安全地連線到啟用端點的專用 Azure 檔案儲存體。
限制
- 在這些連接器類型更新為使用子網路委派之前,不支援使用連接器的 Dataverse 低程式碼外掛程式。
- 您可以在虛擬網路支援的 Power Platform 環境中使用複製、備份和還原環境生命週期作業。 還原作業可以在同一虛擬網路內執行,也可以跨不同環境執行,前提是它們連接到相同虛擬網路。 此外,從不支援虛擬網路的環境到支援虛擬網路的環境都允許進行還原作業。
支援的區域
確認 Power Platform 環境和企業原則位於支援的 Power Platform 和 Azure 區域中。 例如,如果您的 Power Platform 環境位於美國,則您的虛擬網路、子網路和企業原則必須位於 eastus 或 westus Azure 區域。
| Power Platform 地區 | Azure 區域 |
|---|---|
| 美國 | eastus、westus |
| 南非 | eouthafricanorth、southafricawest |
| 英國 | uksouth、ukwest |
| 日本 | japaneast、japanwest |
| 印度 | centralindia、southindia |
| 法國 | francecentral、francesouth |
| 歐洲 | westeurope、northeurope |
| 德國 | germanynorth、germanywestcentral |
| 瑞士 | switzerlandnorth、switzerlandwest |
| 加拿大 | canadacentral、canadaeast |
| 巴西 | brazilsouth、southcentralus |
| 澳洲 | australiasoutheast、australiaeast |
| 亞洲 | eastasia、southeastasia |
| UAE | uaecentral、uaenorth |
| 南韓 | koreasouth、koreacentral |
| 挪威 | norwaywest、norwayeast |
| 新加坡 | southeastasia |
| 瑞典 | swedencentral |
支援的服務
下表列出了支援 Azure 子網路委派以實現 Power Platform 的虛擬網路支援的服務。
| 面積圖 | Power Platform 服務 | 虛擬網路支援可用性 |
|---|---|---|
| Dataverse | Dataverse 外掛程式 | 通用 |
| 接點 | 生產就緒預覽 |
重要
- 這是一款生產就緒型 預覽功能。
- 生產就緒預覽版受 補充使用條款的約束。
為 Power Platform 環境啟用虛擬網路支援的注意事項
當您在 Power Platform 環境中使用虛擬網路支援時,所有支援的服務 (例如 Dataverse 外掛程式、連接器 (預覽版)) 都會在執行階段在您的委派子網路中執行要求,並受您網路原則的約束。 對公共可用資源的呼叫將開始中斷。
重要
在為 Power Platform 環境啟用虛擬環境支援之前,請確保檢查外掛程式和連接器 (預覽版) 的程式碼。 需要更新 URL 和連線才能使用私人連線。
例如,外掛程式可能會嘗試連接到公共可用的服務,但您的網路原則不允許虛擬網路內的公共網際網路存取。 根據您的網路策略,來自外掛程式的呼叫將被阻止。 若要避免呼叫遭到封鎖,您可以在虛擬網路中託管公開可用的服務。 或者,如果您的服務託管在 Azure 中,您可以在 Power Platform 環境中開啟虛擬網路支援之前使用該服務上的私人端點。
常見問題
Power Platform 的虛擬網路資料閘道和 Azure 虛擬網路支援有什麼不同?
虛擬網路資料閘道是託管閘道,可讓您從虛擬網路內存取 Azure 和 Power Platform 服務,而無需設定內部部署資料閘道。 例如,閘道針對 Power BI 和 Power Platform 資料流程中的 ETL (提取、轉換、載入) 工作負載進行了最佳化。
Power Platform 的 Azure 虛擬網路支援使用 Power Platform 環境的 Azure 子網路委派。 子網路由 Power Platform 環境中的工作負載使用。 Power Platform API 工作負載使用虛擬網路支持,因為要求的生命週期很短,並且針對大量要求進行了最佳化。
在哪些情況下,我應該使用 Power Platform 的虛擬網路支援和虛擬網路資料閘道?
對於來自 Power Platform 的出站連線 (Power BI 和 Power Platform 資料流程除外) 的所有情境,Power Platform 的虛擬網路支援是唯一支援的選項。
Power BI 和 Power Platform 資料流程會持續使用虛擬網路 (vNet) 資料閘道。
如何確保一個客戶的虛擬網路子網路或資料閘道不會被 Power Platform 中的另一個客戶使用?
Power Platform 的虛擬網路支援使用 Azure 子網路委派。
每個 Power Platform 環境都連結到一個虛擬網路子網路。 僅可讓來自該環境的呼叫存取該虛擬網路。
委派可讓您為任何需要注入虛擬網路的 Azure 平台即服務 (PaaS) 指定特定的子網路。
Power Platform 的虛擬網路支援是否支援容錯移轉?
是的,您需要在設定過程中委派主虛擬網路和容錯移轉虛擬網路和子網路。
一個區域中的 Power Platform 環境如何連接到另一個區域中託管的資源?
連結至 Power Platform 環境的虛擬網路必須駐留在 Power Platform 環境的區域中。 如果虛擬網路位於不同區域,請在 Power Platform 環境的區域中建立虛擬網路,並使用虛擬網路對等互連來橋接兩個區域。
我可以監控來自委派子網路的出站流量嗎?
是。 您可以使用網路安全性群組和防火牆來監控來自委派子網路的出站流量。
Power Platform 需要在子網路中委派多少個 IP 位址?
您需要在子網路中委託至少 24 個無類別域間路由 (CIDR),或 255 個 IP 位址。 若您要將相同子網路委派給多個環境,您可能需要該子網路中的更多 IP 位址。
在我的環境進行子網路委派後,我可以透過插件或連接器進行網際網路綁定呼叫嗎?
是。 可以從外掛程式或連接器進行網際網路呼叫,但子網必須設定 Azure NAT 閘道。
將子網路 IP 位址範圍委派給「Microsoft.PowerPlatform/enterprisePolicies」後,我可以更新子網路 IP 位址範圍嗎?
否。 將子網路委派給「Microsoft.PowerPlatform/enterprisePolicies」後,就無法變更子網路的 IP 位址範圍。
我的虛擬網路配置了自訂 DNS。 Power Platform 是否使用我的自訂 DNS?
是。 Power Platform 會使用在保留委派子網路的虛擬網路中配置的自訂 DNS 來解析所有端點。 委派環境後,您可以更新外掛程式以使用正確的端點,以便您的自訂 DNS 能夠解析它們。
我的環境具有 ISV 提供的外掛程式。這些外掛程式是否會在委派子網路中執行?
是。 所有客戶外掛程式和 ISV 外掛程式都可以使用您的子網路執行。 如果 ISV 外掛程式具有出站連接,則可能需要在防火牆中列出這些 URL。
我的內部部署端點 TLS 憑證未由知名根憑證授權單位 (CA) 簽署。 是否支援未知憑證?
否。 我們必須確保端點提供具有完整鏈的 TLS 憑證。 無法將自訂根 CA 新增到我們的已知 CA 清單中。
客戶租用戶內虛擬網路的建議設定為何?
不建議使用任何特定的拓撲。 但是,我們的客戶廣泛使用中心輻射型拓撲網路模型。
啟動虛擬網路是否需要將 Azure 訂閱連結到我的 Power Platform 租用戶?
是的,要為 Power Platform 環境啟用虛擬網路支持,必須擁有與 Power Platform 租用戶關聯的 Azure 訂閱。
Power Platform 如何使用 Azure 子網路委派?
當 Power Platform 環境分配了委託的 Azure 子網路時,它會使用 Azure 虛擬網路注入在執行時將容器注入到委託子網路中。 在此程序中,容器的網路介面卡 (NIC) 會從委託子網路中指派 IP 位址。 主機 (Power Platform) 和容器之間的通訊透過容器上的本機連接埠進行,並且流量透過 Azure Fabric 流動。
我可以使用 Power Platform 的現有虛擬網路嗎?
是的,您可以將現有的虛擬網路用於 Power Platform,前提是虛擬網路中的單一新子網路專門委託給 Power Platform。 請務必注意,此委託子網路不應託管任何其他服務。
如果我的 Power Platform 環境位於加拿大,我可以使用美國東部 2 作為容錯移轉嗎?
若要確保正確的容錯移轉,必須分別在加拿大中部和加拿大東部佈建主要子網路和容錯移轉子網路。 為了實現有效的故障轉移,請分別在 canadacentral 和 canadaeast 區域中建立主要子網路和故障轉移子網路。 此外,在主虛擬網路和故障轉移虛擬網路之間建立虛擬網路對等互連,包括 useast2 區域中的虛擬網路以實現連接。
Dataverse 外掛程式是什麼?
Dataverse 外掛程式是一段可以部署到 Power Platform 環境中的自訂代碼。 此外掛程式可以設定為在事件 (例如資料變更) 期間執行或作為自訂 API 觸發。 了解更多:Dataverse 外掛程式
Dataverse 外掛程式如何執行?
Dataverse 外掛程式在容器內執行。 當為 Power Platform 環境指派委派子網路時,此子網路位址空間中的 IP 位址將會指派給容器的網路介面卡 (NIC)。 主機 (Power Platform) 和容器之間的通訊透過容器上的本機連接埠進行,並且流量透過 Azure Fabric 流動。
多個外掛程式可以在同一個容器中運作嗎?
是。 在特定 Power Platform 或 Dataverse 的環境中,多個插件可以在同一個容器中運作。 在給定的環境中,多個外掛程式確實可以在同一個容器中執行。
基礎架構如何處理併發外掛程式執行的增加?
隨著並發插件執行數量的增加,基礎設施會自動擴展 (向外或向內) 以適應負載。 委託給 Power Platform 環境的子網路應具有足夠的位址空間來處理該 Power Platform 環境中工作負載的尖峰執行量。
誰控制虛擬網路及其關聯的網路策略?
做為客戶,您擁有虛擬網路及其相關網路策略的所有權和控制權。 另一方面,Power Platform 使用該虛擬網路中委派子網中分配的 IP 位址。
如何在開發/測試環境中配置對 Power Platform 的虛擬網路支持,而無需在不同的 Azure 區域中使用兩個單獨的虛擬網路?
生產工作負載需要在每個主要和次要 Azure 區域中擁有一個虛擬網路和一個專用子網路,以確保正確的容錯移轉。 但是,對於開發/測試環境,建議為 Power Platform 使用單一虛擬網路和兩個專用子網路。
Azure 感知外掛程式 是否 支援虛擬網路?
否, Azure 感知外掛程式 不支援虛擬網路。