Přehled podpory Virtual Network
S podporou Azure Virtual Network pro Power Platform můžete integrovat Power Platform s prostředky ve vaší virtuální síti, aniž by došlo k jejich odhalení přes veřejný internet. Podpora Virtual Network používá Delegování podsítě Azure pro správu odchozího provozu z Power Platform za běhu. Pomocí delegování podsítě Azure se vyhnete nutnosti mít chráněné prostředky dostupné přes internet pro integraci s Power Platform. Díky podpoře virtuální sítě mohou komponenty Power Platform volat prostředky vlastněné vaším podnikem ve vaší síti, ať už jsou hostované v Azure nebo místní, a používat zásuvné moduly a konektory k odchozím voláním.
Power Platform se typicky integruje s podnikovými prostředky prostřednictvím veřejných sítí. U veřejných sítí musí být podnikové prostředky přístupné ze seznamu rozsahů Azure IP nebo značek služeb, které popisují veřejné IP adresy. Nicméně podpora Azure Virtual Network pro Power Platform vám umožňuje používat privátní síť a přesto integrovat s cloudovými službami nebo službami hostovanými v rámci vaší podnikové sítě.
Služby Azure jsou chráněny uvnitř Virtual Network pomocí privátních koncových bodů. Můžete použít expresní trasu k přenesení místních prostředků uvnitř Virtual Network.
Power Platform používá Virtual Network a podsítě, které delegujete, k provádění odchozích volání do podnikových prostředků prostřednictvím podnikové privátní sítě. Použití privátní sítě eliminuje potřebu směrovat provoz přes veřejný internet, což by mohlo odhalit podnikové prostředky.
Ve Virtual Network máte plnou kontrolu nad odchozím provozem z Power Platform. Provoz podléhá síťovým zásadám aplikovaným správcem sítě. Následující schéma ukazuje, jak prostředky uvnitř vaší sítě interagují s Virtual Network.
Výhody podpory Virtual Network
S podporou Virtual Network získají vaše komponenty Power Platform a Dataverse všechny výhody, které delegování podsítě Azure poskytuje, jako je:
Ochrana dat: Virtual Network umožňuje službám Power Platform připojit se k vašim soukromým a chráněným zdrojům, aniž by byly vystaveny internetu.
Žádný neautorizovaný přístup: Virtual Network se připojí k vašim zdrojům, aniž by při připojení potřebovala rozsahy IP nebo servisní značky Power Platform.
Podporované scénáře
Power Platform umožňuje podporu Virtual Network pro moduly plug-in a konektory Dataverse. S touto podporou můžete vytvořit zabezpečené, soukromé, odchozí připojení z Power Platform k prostředkům ve vaší Virtual Network. Moduly plug-in a konektory Dataverse zvyšují zabezpečení integrace dat připojením k externím zdrojům dat z aplikací Power Apps, Power Automate a Dynamics 365. Umožňují například následující:
- Pomocí modulů plug-in Dataverse se můžete připojit ke cloudovým zdrojům dat, jako je Azure SQL, Azure Storage, úložiště objektů blob nebo Azure Key Vault. Svá data můžete chránit před exfiltrací a dalšími incidenty.
- Pomocí modulů plug-in Dataverse se bezpečně připojíte k soukromým prostředkům chráněným koncovým bodem v Azure, jako je webové rozhraní API nebo jakékoli prostředky v rámci vaší privátní sítě, jako je SQL nebo webové rozhraní API. Svá data můžete chránit před proniknutím jejich ochranou a dalšími externími hrozbami.
- Pomocí konektorů podporovaných službou Virtual Network jako SQL Server se můžete bezpečně připojit ke zdrojům dat hostovaným v cloudu, jako je Azure SQL nebo SQL Server, aniž by byly vystaveny prostředí internetu. Podobně můžete použít konektor Azure Queue k navázání zabezpečených připojení k soukromým frontám Azure Queue s povoleným koncovým bodem.
- Pomocí konektoru Azure Key Vault se můžete bezpečně připojte k soukromému úložišti Azure Key Vault chráněnému koncovým bodem.
- Pomocí vlastních konektorů se můžete bezpečně připojit k vašim službám chráněným privátními koncovými body v Azure nebo službami hostovanými ve vaší privátní síti.
- Použijte Azure File Storage k bezpečnému připojení k soukromému úložišti souborů Azure s povoleným koncovým bodem.
- Pomocí protokolu HTTP s Microsoft Entra ID (předem autorizované) můžete bezpečně načítat prostředky přes Virtual Networks z různých webových služeb ověřených pomocí Microsoft Entra ID nebo z místní webové služby.
Omezení
- Moduly plug-in Dataverse s minimem kódu, které používají konektory, nejsou podporovány, dokud nebudou tyto typy konektorů aktualizovány tak, aby používaly delegování podsítě.
- Používáte operace kopírování, zálohování a obnovy životního cyklu prostředí v prostředí Power Platform s podporou virtuální sítě. Operaci obnovení lze provést v rámci stejné virtuální sítě a také v různých prostředích za předpokladu, že jsou připojeni ke stejné virtuální síti. Operace obnovy je navíc přípustná z prostředí, která nepodporují virtuální sítě, do těch, která je podporují.
Podporované oblasti
Ujistěte se, že prostředí Power Platform a podnikové zásady jsou v podporovaných oblastech Power Platform a Azure. Pokud je například vaše prostředí Power Platform ve Spojených státech, Virtual Network a podsítě musí být v oblasti Azure eastus a westus.
Oblast Power Platform | Oblast Azure |
---|---|
USA | eastus, westus |
Jihoafrická republika | eouthafricanorth, southafricawest |
Spojené království | uksouth, ukwest |
Japonsko | japaneast, japanwest |
Indie | centralindia, southindia |
Francie | francecentral, francesouth |
Evropě | westeurope, northeurope |
Německo | germanynorth, germanywestcentral |
Švýcarsko | switzerlandnorth, switzerlandwest |
Kanada | canadacentral, canadaeast |
Brazílie | brazilsouth, southcentralus |
Austrálie | australiasoutheast, australiaeast |
Asie | eastasia, southeastasia |
UAE | uaecentral, uaenorth |
Korea | koreasouth, koreacentral |
Nersko | norwaywest, norwayeast |
Singapur | southeastasia |
Švédsko | swedencentral |
Podporované služby
V následující tabulce jsou uvedeny služby, které podporují delegování podsítě Azure v rámci podpory Virtual Network pro Power Platform.
Plocha | Služby Power Platform | Dostupnost podpory Virtual Network |
---|---|---|
Dataverse | Dataverse Moduly plug-in | Obecně dostupné |
Spojnice | Obecně dostupné |
Důležité informace o povolení podpory Virtual Network v prostředí Power Platform
Když použijete podporu Virtual Network v prostředí Power Platform, všechny podporované služby, jako jsou moduly plug-in a konektory Dataverse, provádějí požadavky za běhu ve vaší delegované podsíti a podléhají zásadám vaší sítě. Volání po veřejně dostupných prostředcích by se začala rozpadat.
Důležité
Než povolíte podporu virtuálního prostředí Power Platform, nezapomeňte zkontrolovat kód modulů plug-in a konektorů. Adresy URL a připojení je třeba aktualizovat, aby fungovaly se soukromým připojením.
Modul plug-in se například může pokusit připojit k veřejně dostupné službě, ale vaše síťové zásady nepovolují veřejný přístup k internetu ve Virtual Network. Volání z modulu plug-in je blokováno v souladu s vašimi síťovými zásadami. Chcete-li se vyhnout blokovanému volání, ve Virtual Network můžete hostovat veřejně dostupnou službu. Alternativně, pokud je vaše služba hostována v Azure, můžete použít privátní koncový bod ve službě, než zapněte podporu Virtual Network v prostředí Power Platform.
Často kladené dotazy
Jaký je rozdíl mezi bránou dat virtuální sítě a podporou Azure Virtual Network pro Power Platform?
Brána dat virtuální sítě je spravovaná brána, která umožňuje přistupovat k službám Azure a Power Platform z vaší virtuální sítě bez nutnosti nastavovat místní bránu dat. Brána je například optimalizována pro úlohy ETL (extrakce, přenos, načtení) v tocích dat Power BI a Power Platform.
Podpora Azure Virtual Network pro Power Platform používá delegování podsítě Azure pro vaše prostředí Power Platform. Podsítě jsou využívány úlohami v prostředí Power Platform. Úlohy rozhraní API pro Power Platform používají podporu Virtual Network, protože požadavky jsou krátkodobé a jsou optimalizovány pro velký počet požadavků.
V jakých situacích bych měl používat podporu Virtual Network pro Power Platform a pro bránu dat virtuální sítě?
Podpora služby Virtual Network pro Power Platform je jedinou podporovanou možností ve všech situacích odchozího připojení z Power Platform kromě Power BI a datových toků Power Platform.
Datové toky Power BI a Power Platform nadále používají bránu dat virtuální sítě (vNet).
Jak můžete zajistit, aby podsíť virtuální sítě nebo brána dat jednoho zákazníka nebyla používána jiným zákazníkem v Power Platform?
Podpora Virtual Network pro Power Platform používá delegování podsítě Azure.
Každé prostředí Power Platform je propojeno s jednou podsítí virtuální sítě. K této virtuální síti mají povolen přístup pouze volání z tohoto prostředí.
Delegování umožňuje určit konkrétní podsíť pro libovolnou platformu jako službu (PaaS) Azure, kterou chcete vložit do virtuální sítě.
Podporuje Virtual Network pro Power Platform převzetí služeb při selhání?
Ano, během instalace musíte delegovat primární virtuální síť a virtuální síť pro převzetí služeb při selhání a podsítě.
Jak se může prostředí Power Platform v jedné oblasti připojit ke zdrojům hostovaným v jiné oblasti?
Služba Virtual Network propojená s prostředím Power Platform se musí nacházet v oblasti prostředí Power Platform. Pokud se Virtual Network nachází v jiné oblasti, vytvořte novou Virtual Network v oblasti prostředí Power Platform a použijte partnerský vztah Virtual Network k přemostění dvou oblastí.
Mohu monitorovat odchozí provoz z delegovaných podsítí?
Ano. K monitorování odchozího provozu z delegovaných podsítí můžete použít National Security Group a brány firewall.
Kolik IP adres vyžaduje Power Platform, aby mohla být delegována v podsíti?
V podsíti musíte delegovat alespoň 24 mezidoménových směrování bez tříd (CIDR) nebo 255 IP adres. Chcete-li delegovat stejnou podsíť do více prostředí, možná budete v této podsíti potřebovat více IP adres.
Mohu uskutečňovat hovory přes internet z modulů plug-in nebo konektorů poté, co je moje prostředí delegováno na podsíť?
Ano. Prostřednictvím modulů plug-in nebo konektorů můžete uskutečňovat hovory přes internet, ale podsíť musí být nakonfigurována s bránou Azure NAT bránou.
Mohu aktualizovat rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“?
Č. Nemůžete změnit rozsah IP adres podsítě poté, co je delegován na „Microsoft.PowerPlatform/enterprisePolicies“.
Moje Virtual Network má nakonfigurovánu vlastní DNS. Používá Power Platform můj vlastní DNS?
Ano. Power Platform používá vlastní DNS nakonfigurovanou ve Virtual Network, která obsahuje delegovanou podsíť, k rozpoznání všech koncových bodů. Jakmile je prostředí delegováno, můžete aktualizovat moduly plug-in, aby používaly správný koncový bod, aby je vaše vlastní DNS dokázala rozpoznat.
Moje prostředí má moduly plug-in poskytnuté nezávislým výrobcem softwaru. Běžely by tyto moduly plug-in v delegované podsíti?
Ano. Všechny zákaznické moduly plug-in a moduly ISV lze spustit pomocí vaší podsítě. Pokud mají moduly plug-in ISV odchozí připojení, může být nutné, aby tyto adresy URL byly uvedeny ve vaší bráně firewall.
Moje certifikáty TLS místního koncového bodu nejsou podepsány známými kořenovými certifikačními autoritami (CA). Podporujete neznámé certifikáty?
Č. Musíme zajistit, aby koncový bod předkládal certifikát TLS s celým řetězcem. Není možné přidat vlastní kořenovou CA do našeho seznamu známých CA.
Jaké je doporučené nastavení služby Virtual Network v rámci zákaznického klienta?
Nedoporučujeme žádnou konkrétní topologii. Naši zákazníci však široce využívají model sítě s topologií rozbočovačů a paprsků.
Je k aktivaci služby Virtual Network nutné propojení předplatného Azure s mým klientem Power Platform?
Ano, pro aktivaci podpory služby Virtual Network v prostředí Power Platform je nezbytné předplatné Azure propojené s klientem Power Platform.
Jak Power Platform využívá delegování podsítě Azure?
Když má prostředí Power Platform přiřazenu delegovanou podsíť Azure, používá injektáž Azure Virtual Network pro vložení kontejneru za běhu do delegované podsítě. Během tohoto procesu je kartě síťového rozhraní (NIC) kontejneru přidělena adresa IP z delegované podsítě. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Mohu využít existující Virtual Network pro Power Platform?
Ano, můžete využít existující Virtual Network pro Power Platform, pokud je jedna nová podsíť v rámci služby Virtual Network delegována konkrétně na Power Platform. Je důležité vědět, že tato delegovaná podsíť nesmí hostovat žádné další služby.
Mohu použít US East 2 jako převzetí služeb při selhání, pokud mám své prostředí Power Platform v Kanadě?
Aby bylo zajištěno správné převzetí služeb při selhání, musí být primární a záložní podsítě zřízeny v oblastech canadacentral a canadaeast. Aby bylo zajištěno efektivní převzetí služeb při selhání, vytvořte primární a záložní podsítě v oblastech canadacentral a canadaeast. Pokud navíc chcete podporovat připojení k prostředkům v oblasti useast2, vytvořte peering Virtual Network mezi primární Virtual Network a Virtual Network pro převzetí služeb při selhání, včetně Virtual Network v oblasti useast2 pro připojení.
Co je modul plug-in Dataverse?
Modul plug-in Dataverse je kousek vlastního kódu, který lze nasadit do prostředí Power Platform. Tento modul plug-in lze nakonfigurovat tak, aby se spouštěl během událostí (jako je změna dat) nebo jako vlastní rozhraní API. Další informace: Moduly plug-in Dataverse
Jak se spustí modul plug-in Dataverse?
Modul plug-in Dataverse funguje v kontejneru. Když je prostředí Power Platform přiřazena delegovaná podsíť, IP adresa z adresního prostoru této podsítě je přidělena kartě síťového rozhraní (NIC) kontejneru. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.
Může v jednom kontejneru běžet více modulů plug-in?
Ano. V daném prostředí Power Platform nebo Dataverse může v rámci stejného kontejneru skutečně fungovat více modulů plug-in. Každý kontejner spotřebovává jednu IP adresu z adresního prostoru podsítě a každý kontejner může provádět více požadavků.
Jak infrastruktura zvládá nárůst souběžných spouštění modulů plug-in?
Jak se zvyšuje počet souběžných spuštění modulů plug-in, infrastruktura se automaticky škáluje (ven nebo dovnitř), aby zvládala zatížení. Podsíť delegovaná na prostředí Power Platform by měla mít dostatečný adresní prostor, aby v tomto prostředí Power Platform zvládla maximální počet spuštění.
Kdo řídí službu Virtual Network a síťové zásady s ní spojené?
Jako zákazník máte vlastnictví a kontrolu nad službou Virtual Network a s ní souvisejícími síťovými zásadami. Oproti tomu Power Platform využívá přidělené IP adresy z delegované podsítě v rámci této Virtual Network.
Podporují moduly plug-in pro Azure Virtual Network?
Ne, moduly plug-in pro Azure nepodporují Virtual Network.