Información general del soporte de Virtual Network
Con el soporte de Azure Virtual Network para Power Platform, puede integrar Power Platform con recursos de su red virtual sin exponerlos a través del Internet público. La compatibilidad con Virtual Network utiliza la delegación de subred de Azure para administrar el tráfico saliente en tiempo de ejecución desde Power Platform. El uso de la delegación de subred de Azure evita la necesidad de que los recursos protegidos estén disponibles en Internet para integrarse con Power Platform. Con la compatibilidad con redes virtuales, Power Platform los componentes pueden llamar a recursos que pertenecen a la empresa dentro de la red, tanto si están hospedados en Azure como en un entorno local, y usar complementos y conectores para realizar llamadas salientes.
Power Platform normalmente se integra con recursos empresariales a través de redes públicas. Con las redes públicas, se debe poder acceder a los recursos empresariales desde una lista de rangos de IP de Azure o etiquetas de servicio, que describen direcciones IP públicas. Sin embargo, la compatibilidad con Azure Virtual Network para Power Platform le permite utilizar una red privada y todavía integrarse con servicios en la nube o servicios alojados dentro de su red empresarial.
Los servicios de Azure están protegidos dentro de una red virtual mediante puntos de conexión privados. Puede utilizar Express Route para llevar sus recursos locales dentro de la red virtual.
Power Platform utiliza la red virtual y subredes que delegue para realizar llamadas salientes a recursos empresariales a través de la red privada empresarial. El uso de una red privada elimina la necesidad de enrutar el tráfico a través de la Internet pública, lo que podría exponer los recursos empresariales.
En una red virtual, usted tiene control total sobre el tráfico de salida desde Power Platform. El tráfico está sujeto a las políticas de red aplicadas por su red Administrador. El siguiente diagrama muestra cómo los recursos dentro de su red interactúan con una red virtual.
Ventajas del soporte de Virtual Network
Con el soporte de Virtual Network, sus componentes de Power Platform y Dataverse obtienen todas las ventajas que proporciona la delegación de subred de Azure, como:
Protección de Datos: Virtual Network permite que los servicios de Power Platform se conecten a sus recursos privados y protegidos sin exponerlos a Internet.
Sin acceso no autorizado: Virtual Network se conecta con sus recursos sin necesidad de rangos de IP de Power Platform o etiquetas de servicio en la conexión.
Escenarios compatibles
Power Platform habilita la compatibilidad con redes virtuales tanto para los complementos como para los conectores de Dataverse. Con este soporte, puede establecer una conectividad saliente segura y privada desde Power Platform a los recursos en su red virtual. Los complementos y conectores de Dataverse mejoran la seguridad de la integración de datos al conectarse a orígenes de datos externos desde Power Apps, Power Automate y las aplicaciones de Dynamics 365. Por ejemplo, puede:
- Utilice complementos de Dataverse para conectarse a sus orígenes de datos en la nube, como Azure SQL, Azure Storage, almacenamiento de blobs o Azure Key Vault. Puede proteger sus datos contra la filtración de datos y otros incidentes.
- Utilice complementos de Dataverse para conectarse de forma segura a recursos privados protegidos por puntos de conexión en Azure, como API web o cualquier recurso dentro de su red privada, como SQL y API web. Puede proteger sus datos contra las infracciones de datos y otras amenazas externas.
- Utilice conectores compatibles con redes virtuales, como SQL Server, para conectarse de forma segura a sus orígenes de datos hospedados en la nube, como Azure SQL o SQL Server, sin exponerlos a Internet. Del mismo modo, puede utilizar el conector de Azure Queue para establecer conexiones seguras a Azure Queues privadas habilitadas para puntos de conexión.
- Usar Azure Key Vault para conectarse de forma segura a Azure Key Vault privado y protegido por puntos de conexión.
- Use conectores personalizados para conectarse de forma segura a sus servicios protegidos por puntos de conexión privados en Azure o servicios hospedados dentro de su red privada.
- Utilice Azure File Storage para conectarse de forma segura a un almacenamiento de archivos Azure privado y habilitado para puntos finales.
- Utilice HTTP con ID de Microsoft Entra (preautorizado) para obtener recursos de forma segura a través de Virtual Networks desde varios servicios web, autenticados por ID Microsoft Entra o desde un servicio web local.
Limitaciones
- Los complementos de código bajo de Dataverse que usan conectores no son compatibles hasta que esos tipos de conectores se actualicen para usar la delegación de subred.
- Utilice operaciones de copia, copia de seguridad y restauración del ciclo de vida del entorno en entornos Power Platform compatibles con redes virtuales. La operación de restauración se puede realizar dentro de la misma red virtual, así como en diferentes entornos, siempre que estén conectados a la misma red virtual. Además, la operación de restauración está permitida desde entornos que no admiten redes virtuales hasta aquellos que sí lo hacen.
Regiones compatibles
Confirme que su entorno de Power Platform y política empresarial se encuentren en las regiones admitidas de Power Platform y Azure. Por ejemplo, si el Power Platform entorno está en los Estados Unidos, la red virtual y las subredes deben estar en las regiones de Azure eastus y westus .
Power Platform región | Región de Azure |
---|---|
Estados Unidos | este de estados unidos, oeste de estados unidos |
Sudáfrica | eouthafricanorth, southafricawest |
Uk | sur de reino unido, oeste de reino unido |
Japón | japaneast, japanwest |
India | centralindia, southindia |
Francia | francecentral, francesouth |
Europa | oeste de europa, norte de europa |
Alemania | germanynorth, germanywestcentral |
Suiza | switzerlandnorth, switzerlandwest |
Canadá | canadá central, canadá este |
Brasil | brazilsouth, southcentralus |
Australia | sudeste de australia, este de Australia |
Asia | asia oriental, sudeste asiático |
EAU | uaecentral, uaenorth |
Corea del Sur | koreasouth, koreacentral |
Noruega | norwaywest, norwayeast |
Singapur | southeastasia |
Suecia | suecia central |
Servicios compatibles
En la siguiente tabla se enumeran los servicios que admiten la delegación de subred de Azure para la compatibilidad con la red virtual para Power Platform.
Región | Servicios de Power Platform | Disponibilidad del soporte de Virtual Network |
---|---|---|
Dataverse | Complementos de Dataverse | Disponible en general |
Conectores | Disponible en general |
Consideraciones para habilitar el soporte de red virtual en un entorno de Power Platform
Cuando usa la compatibilidad con redes virtuales en un entorno de Power Platform, todos los servicios compatibles, como los complementos, conectores, de Dataverse, ejecutan solicitudes en tiempo de ejecución en su subred delegada y están sujetos a las directivas de red. Las llamadas a recursos disponibles públicamente comenzarían a fallar.
Importante
Antes de habilitar el soporte del entorno virtual para el entorno de Power Platform, asegúrese de verificar el código de los complementos y los conectores. Las URL y las conexiones deben actualizarse para que funcionen con conectividad privada.
Por ejemplo, un complemento puede intentar conectarse a un servicio disponible públicamente, pero su política de red no permite el acceso público a Internet dentro de su red virtual. La llamada desde el complemento se bloquea de acuerdo con su directiva de red. Para evitar la llamada bloqueada, puede alojar el servicio disponible públicamente en su red virtual. Como alternativa, si su servicio está alojado en Azure, puede usar un punto de conexión privado en el servicio antes de activar el soporte de red virtual en el entorno de Power Platform.
Preguntas frecuentes
¿Cuál es la diferencia entre una puerta de enlace de datos de red virtual y la compatibilidad con Azure Virtual Network para Power Platform?
Una puerta de enlace de datos de la red virtual es una puerta de enlace administrada que le permite acceder a Azure y a los servicios de Power Platform desde su red virtual sin tener que configurar una puerta de enlace de datos local. Por ejemplo, la puerta de enlace está optimizada para cargas de trabajo ETL (extracción, transformación, carga) en flujos de datos Power BI y Power Platform.
La compatibilidad con Azure Virtual Network para Power Platform utiliza una delegación de subred de Azure para su entorno de Power Platform. Las cargas de trabajo en el entorno de Power Platform utilizan las subredes. Las cargas de trabajo de API de Power Platform utilizan el soporte de red virtual porque las solicitudes son de corta duración y están optimizadas para una gran cantidad de solicitudes.
¿Cuáles son los escenarios en los que debo utilizar el soporte de red virtual para Power Platform y la puerta de enlace de datos de la red virtual?
La compatibilidad con la red virtual para Power Platform es la única opción admitida para todos los escenarios de conectividad saliente desde Power Platform excepto Power BI y flujos de datos de Power Platform.
Power BI y los flujos de datos de Power Platform siguen usando la la puerta de enlace de datos de red virtual (vNet).
¿Cómo puede garantizar que una subred de red virtual o una puerta de enlace de datos de un cliente no sea utilizada por otro cliente en Power Platform?
La compatibilidad con Virtual Network en Power Platform usa la delegación de subred de Azure.
Cada entorno de Power Platform está vinculado a una subred de red virtual. Sólo las llamadas desde ese entorno pueden acceder a esa red virtual.
La delegación le permite designar una subred específica para cualquier platraforma como servicio de Azure (PaaS) de su elección que debe inyectarse en su red virtual.
¿La red virtual admite la conmutación por error de Power Platform?
Sí, necesita delegar una red virtual primaria y de conmutación por error y subredes durante la instalación.
¿Cómo puede un entorno de Power Platform de una región conectarse con recursos alojados en otra región?
Una red virtual vinculada a un entorno de Power Platform debe residir en la región del entorno de Power Platform. Si la red virtual se encuentra en otra región, cree una red virtual en la región del entorno de Power Platform y utilice un emparejamiento de red virtual para unir las dos regiones.
¿Puedo monitorear el tráfico de salida de subredes delegadas?
Sí. Puede utilizar el Grupo de seguridad de red y/o firewalls para monitorear el tráfico de salida desde subredes delegadas.
¿Cuántas direcciones IP requiere Power Platform que se deleguen en la subred?
Necesita delegar al menos 24 direcciones de enrutamiento entre dominios sin clase (CIDR), o 255 IP, en la subred. Si desea delegar la misma subred a varios entornos, es posible que necesite aprovisionar más direcciones IP en esa subred.
¿Puedo realizar llamadas vinculadas a Internet desde complementos o conectores después de que mi entorno esté delegado en subred?
Sí. Puede realizar llamadas vinculadas a Internet desde complementos o conectores, pero la subred debe configurarse con una puerta de enlace Azure NAT .
¿Puedo actualizar el rango de direcciones IP de la subred después de haberlo delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
No. No puede cambiar el rango de direcciones IP de la subred despúes de que se delegue a "Microsoft.PowerPlatform/enterprisePolicies".
Mi red virtual tiene configurado un DNS personalizado. ¿Power Platform usa mi DNS personalizado?
Sí. Power Platform utiliza el DNS personalizado configurado en la red virtual que contiene la subred delegada para resolver todos los puntos de conexión. Después de que se ha delegado el entorno, puede actualizar los complementos para utilizar el punto de conexión correcto para que su DNS personalizado pueda resolverlos.
Mi entorno tiene complementos proporcionados por ISV. ¿Se ejecutarían estos complementos en la subred delegada?
Sí. Todos los complementos de clientes y complementos ISV se pueden ejecutar utilizando su subred. Si los complementos ISV tienen conectividad saliente, es posible que esas URL deban aparecer en su firewall.
Mis certificados TLS local punto de conexión no están firmados por autoridades de certificación raíz (CA) conocidas. ¿Admite certificados desconocidos?
No. Debemos asegurarnos de que punto de conexión presente un certificado TLS con la cadena completa. No es posible agregar su CA raíz personalizada a nuestra lista de CA conocidas.
¿Cuál es la configuración recomendada de una red virtual dentro de un inquilino de cliente?
No recomendamos ninguna topología específica. Sin embargo, nuestros clientes utilizan ampliamente el modelo de red de topología radial y hub.
¿Es necesario vincular una suscripción de Azure a mi inquilino de Power Platform para activar la red virtual?
Sí, para habilitar la compatibilidad con redes virtuales para entornos de Power Platform, es esencial tener una suscripción de Azure asociada con el inquilino de Power Platform.
¿Cómo Power Platform utiliza la delegación de subred de Azure?
Cuando un entorno de Power Platform tiene asignada una subred de Azure delegada, utiliza la inyección de Azure Virtual Network para inyectar el contenedor en tiempo de ejecución en una subred delegada. En este proceso, a una tarjeta de interfaz de red (NIC) del contenedor se le asigna una dirección IP de la subred delegada. La comunicación entre el host (Power Platform) y el contenedor se produce a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Puedo utilizar una red virtual existente para Power Platform?
Sí, puede utilizar una red virtual existente para Power Platform, siempre y cuando se delegue específicamente a Power Platform una única subred nueva dentro de la red virtual. Es importante tener en cuenta que esta subred delegada no debe hospedar ningún otro servicio.
¿Puedo utilizar Este de EE. UU. 2 como conmutación por error si tengo mi entorno de Power Platform en Canadá?
Para garantizar una conmutación por error adecuada, las subredes primaria y de conmutación por error se deben aprovisionar en canadacentral y canadaeast, respectivamente. Para disponer de una conmutación por error adecuada, cree las subredes primaria y de conmutación por error en las regiones canadacentral y canadaeast, respectivamente. Además, si desea dar soporte a la conectividad con recursos en la región useast2, establezca peering de Red Virtual entre las Redes Virtuales primaria y de conmutación por error, incluyendo la Red Virtual en la región useast2.
¿Qué es un complemento de Dataverse?
Un complemento de Dataverse es un fragmento de código personalizado que se puede implementar en un entorno de Power Platform. Este complemento se puede configurar para ejecutarse durante eventos (como un cambio en los datos) o activarse como una API personalizada. Más información: Complementos de Dataverse
¿Cómo se ejecuta un complemento de Dataverse?
Un complemento de Dataverse dentro de un contenedor. Cuando a un entorno de Power Platform se le asigna una subred delegada, se asigna una dirección IP del espacio de direcciones de esa subred a la tarjeta de interfaz de red (NIC) del contenedor. La comunicación entre el host (Power Platform) y el contenedor se produce a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Se pueden ejecutar varios complementos dentro del mismo contenedor?
Sí. En un entorno de Power Platform o Dataverse determinado, varios complementos pueden funcionar dentro del mismo contenedor. Cada contenedor consume una dirección IP del espacio de direcciones de subred y cada contenedor puede ejecutar múltiples solicitudes.
¿Cómo maneja la infraestructura un aumento en las ejecuciones simultáneas de complementos?
A medida que aumenta el número de ejecuciones simultáneas de complementos, la infraestructura se escala automáticamente (horizontal o verticalmente) para adaptarse a la carga. La subred delegada a un entorno de Power Platform debe tener suficientes espacios de direcciones para gestionar el volumen máximo de ejecuciones para las cargas de trabajo en ese entorno de Power Platform.
¿Quién controla la red virtual y las directivas de red asociadas a ella?
Como cliente, usted tiene la propiedad y el control sobre la red virtual y sus políticas de red asociadas. Power Platform, por otro lado, utiliza las direcciones IP asignadas de la subred delegada dentro de esa red virtual.
¿Los complementos conscientes de Azure admiten Virtual Network?
No, los complementos conscientes de Azure no admiten Virtual Network.