Udostępnij za pośrednictwem


Pomoc techniczna usługi Virtual Network — omówienie

Dzięki pomocy technicznej Azure Virtual Network dla Power Platform można integrować Power Platform z zasobami w sieci wirtualnej bez konieczności dostępu do nich za pośrednictwem publicznego Internetu. Obsługa sieci wirtualnej używa delegowania podsieci Azure w celu zarządzania ruchu wychodzącego z Power Platform w czasie wykonywania. Korzystanie z delegowania podsieci Azure pozwala uniknąć konieczności korzystania z chronionej zasobów za pośrednictwem Internetu w celu integracji z Power Platform. Dzięki obsłudze sieci wirtualnej składniki Power Platform mogą wywołać zasoby posiadane przez przedsiębiorstwo w sieci, niezależnie od tego, czy są hostowane na platformie Azure czy w lokalnie, a także używać dodatków plug-in i łączników w celu wywołania wychodzącego.

Power Platform przeważnie integruje się z zasobami przedsiębiorstwa za pośrednictwem sieci publicznych. W przypadku sieci publicznych zasoby przedsiębiorstwa muszą być dostępne z listy zakresów IP Azure lub tagów usług opisujących publiczne adresy IP. Jednak pomoc techniczna Azure Virtual Network dla Power Platform umożliwia korzystanie z sieci prywatnej i ciągłe integrowanie jej z usługami w chmurze lub usługami hostowanymi wewnątrz sieci przedsiębiorstwa.

Usługi Azure są chronione wewnątrz sieci wirtualnej przez prywatne punkty końcowe. Express Route umożliwia przenoszenie zasobów lokalnych do sieci wirtualnej.

Power Platform używa delegowanej sieci wirtualnej i podsieci do wywołań wychodzących do zasobów przedsiębiorstwa za pośrednictwem prywatnej sieci przedsiębiorstwa. Korzystanie z sieci prywatnej eliminuje konieczność kierowania ruchu przez publiczny Internet, co może uwidocznić zasoby przedsiębiorstwa.

W sieci wirtualnej użytkownik ma pełną kontrolę nad ruchem wychodzącym z platformy Power Platform. Ruch podlega zasadom sieciowym zastosowanym przez administratora sieci. Poniższy diagram przedstawia sposób interakcji zasobów w sieci z siecią wirtualną.

Zrzut ekranu przedstawiający sposób interakcji zasobów w sieci przedsiębiorstwa z siecią wirtualną.

Korzyści z pomocy technicznej usługi Virtual Network

Dzięki pomocy technicznej usługi Virtual Network składniki Power Platform i Dataverse uzyskują wszystkie korzyści, jakie zapewnia delegowanie podsieci Azure, takie jak:

  • Ochrona danych: sieć wirtualna umożliwia Power Platform nawiązywanie połączeń z zasobami prywatnymi i chronionymi bez wyeksymowania ich do Internetu.

  • Brak nieautoryzowanych dostępu: sieć wirtualna łączy się z zasobami bez konieczności ujednolicania zakresów IP Power Platform ani tagów usług w połączeniu.

Obsługiwane scenariusze

Power Platform włącza obsługę sieci wirtualnej zarówno dla dodatku plug-in Dataverse, jak i łączników. Dzięki tej pomocy można ustanowić zabezpieczone, prywatne połączenia wychodzące z Power Platform do zasobów w ramach sieci wirtualnej. Dodatki plug-in Dataverse i łączniki zwiększają bezpieczeństwo integracji danych, łącząc się z zewnętrznymi źródłami danych z Power Apps, Power Automate i aplikacjami usługi Dynamics 365. Można na przykład:

  • Używanie dodatków plug-in do Dataverse łączenia się ze źródłami danych w chmurze, takimi jak Azure SQL, Magazyn Azure Storage, Magazyn obiektów blob lub Magazyn Azure Key Vault. Można chronić dane przed eksfiltracją danych i innymi zdarzeniami.
  • Używanie dodatków plug-in Dataverse do bezpiecznego łączenia się z prywatnymi, chronionymi punktami końcowymi zasobami na platformie Azure, takimi jak interfejs API sieci Web lub dowolne zasoby w sieci prywatnej, takie jak SQL i interfejs API sieci Web. Można chronić dane przed naruszeniami danych i innymi zewnętrznymi zagrożeniami.
  • Używaj łączników obsługujących sieć wirtualną, jak serwer SQL Server, w celu bezpiecznego łączenia się z hostowanych w chmurze źródłami danych, takimi jak Azure SQL lub SQL Server, bez konieczności narażania ich na Internet. Podobnie za pomocą łącznika kolejki Azure można ustanowić bezpieczne połączenia z prywatnymi, obsługowymi punktami końcowymi kolejek Azure.
  • Użyj łącznika Azure Key Vault, aby nawiązać bezpieczne połączenie z prywatnym, chronionym punktem końcowym Azure Key Vault.
  • Użyj łączników niestandardowych, aby nawiązać bezpieczne połączenie z usługami chronionymi przez punkty końcowe prywatne na platformie Azure lub w usługach hostowanych w sieci prywatnej.
  • Użyj Magazynu plików Azure, aby bezpiecznie połączyć się z prywatnym magazynem plików Azure z włączoną obsługą punktów końcowych.
  • Użyj HTTP z Microsoft Entra ID (wstępna autoryzacja) do bezpiecznego pobierania zasobów przez sieci wirtualne z różnych usług internetowych, uwierzytelnionych przez Microsoft Entra ID lub z lokalnej usługi internetowej.

Ograniczenia

  • Niskokodowe dodatki plug-in Dataverse, które korzystają z łączników, nie są obsługiwane, dopóki te typy łączników nie zostaną zaktualizowane w celu użycia delegowania podsieci.
  • Operacje kopii, kopii zapasowych i przywracania cyklu życia środowiska są używane w środowiskach Power Platform obsługiwanych w sieci wirtualnej. Operacja przywracania może być wykonywana w tej samej sieci wirtualnej, a także w różnych środowiskach, o ile jest połączona z tę samą siecią wirtualną. Ponadto operacja przywracania jest dozwolona ze środowisk, które nie obsługują takich sieci wirtualnych.

Obsługiwane regiony

Potwierdź, że środowisko Power Platform i zasady przedsiębiorstwa są obsługiwane w regionach Power Platform i Azure. Na przykład, jeśli środowisko Power Platform znajduje się w Stanach Zjednoczonych, sieć wirtualna i podsieci muszą znajdować się w regionach eastus i westus platformy Azure.

Region Power Platform Region platformy Azure
Stany Zjednoczone eastus, westus
Republika Południowej Afryki eouthafricanorth, southafricawest
Uk uksouth, ukwest
Japonia japaneast, japanwest
Indie centralindia, southindia
Francja francecentral, francesouth
Europa westeurope, northeurope
Niemcy germanynorth, germanywestcentral
Szwajcaria switzerlandnorth, switzerlandwest
Kanada canadacentral, canadaeast
Brazylia brazilsouth, southcentralus
Australia australiasoutheast, australiaeast
Azja eastasia, southeastasia
Zjednoczone Emiraty Arabskie uaecentral, uaenorth
Korea Południowa koreasouth, koreacentral
Norwegia norwaywest, norwayeast
Singapur southeastasia
Szwecja swedencentral

Obsługiwane usługi

W poniższej tabeli przedstawiono usługi obsługujące delegowanie podsieci Azure dla obsługi sieci wirtualnej (Virtual Network) dla Power Platform.

Obszar Usługi platformy Power Platform Pomoc techniczna usługi Virtual Network — dostępność
Dataverse Pluginy Dataverse Ogólna dostępność
Łączniki Ogólna dostępność

Zagadnienia dotyczące włączania obsługi sieci wirtualnej w środowisku Power Platform

Po włączeniu obsługi sieci wirtualnej w środowisku Power Platform wszystkie obsługiwane usługi, takie jak dodatki plug-in i łączniki Dataverse, wykonują żądania w czasie wykonywania w delegowanej podsieci i podlegają zasadom dotyczącym sieci. Rozmowy z publicznie dostępnymi zasobami zaczynały się dzielić.

Ważne

Przed włączeniem obsługi środowiska wirtualnego Power Platform należy sprawdzić kod dodatków plug-in i łączników. Adresy URL i połączenia należy zaktualizować, aby działały w połączeniach prywatnych.

Na przykład dodatek plug-in może spróbować połączyć się z usługą publicznie dostępną, ale zasady sieciowe nie zezwalają na publiczny dostęp do Internetu w sieci wirtualnej. Połączenie z dodatku plug-in jest blokowane zgodnie z zasadami sieci użytkownika. Aby uniknąć zablokowanego połączenia, można hostować publicznie dostępną usługę w sieci wirtualnej. Jeśli usługa jest hostowana na platformie Azure, możesz użyć prywatnego punktu końcowego w usłudze przed włączeniem obsługi sieci wirtualnej w środowisku Power Platform.

Często zadawane pytania

Jaka jest różnica między bramą danych sieci wirtualnej a obsługą usługi Azure Virtual Network dla Power Platform?

Brama danych sieci wirtualnej to brama zarządzana, która umożliwia dostęp do platformy Azure i Power Platform z poziomu sieci wirtualnej bez konieczności ustawiania lokalnej bramy danych. Na przykład brama jest zoptymalizowana pod kątem obciążenia ETL (wyodrębnianie, przekształcanie, ładowanie) w przepływach danych Power BI i Power Platform.

Obsługa Azure Virtual Network dla Power Platform używa delegowania podsieci Azure dla środowiska Power Platform. Podsieci są używane przez obciążenia w środowisku Power Platform. Obciążenia interfejsu API używają obsługi sieci wirtualnej Power Platform, ponieważ żądania są krótkie i zoptymalizowane pod kątem dużej liczby żądań.

W jakich scenariuszach należy użyć obsługi sieci wirtualnej dla Power Platform i portalu danych sieci wirtualnej?

Obsługa sieci wirtualnej dla Power Platform jest jedyną obsługiwaną opcją w przypadku wszystkich scenariuszy połączeń wychodzących z Power Platform z wyjątkiem Power BI i Przepływów danych Power Platform.

Power BI i przepływy danych Power Platform nadal korzystają z portalu danych sieci wirtualnej (vNet).

Jak zagwarantować, że podsieć sieci wirtualnej lub brama danych od jednego klienta nie jest używana przez innego klienta w Power Platform?

  • Obsługa sieci wirtualnej dla Power Platform używa Delegowania podsieci Azure.

  • Każde środowisko Power Platform jest połączone z jedną podsiecią sieci wirtualnej. Dostęp do tej sieci wirtualnej mogą mieć tylko wywołania tego środowiska.

  • Delegowanie pozwala na wyznaczanie konkretnej podsieci dla wszystkich platform Azure jako usługi (PaaS), które trzeba przechować do sieci wirtualnej.

Czy sieć wirtualna obsługuje tryb failover dla Power Platform?

Tak, należy delegować podstawową sieć wirtualną i pracy awaryjnej failover i podsieci podczas konfiguracji.

Jak środowisko Power Platform w jednym regionie może się połączyć z zasobami hostowanymi w innym regionie?

Sieć wirtualna połączona ze środowiskiem Power Platform musi znajdować się w regionie środowiska Power Platform. Jeśli sieć wirtualna znajduje się w innym regionie, należy utworzyć sieć wirtualną w regionie środowiska Power Platform i użyć komunikacji równorzędnej sieci wirtualnych w celu połączenia obu regionów.

Czy można monitorować ruch wychodzący z delegowanych podsieci?

Tak. Do monitorowania ruchu wychodzącego z delegowanych podsieci można użyć sieciowej grupy zabezpieczeń lub zapory.

Ile adresów IP potrzebuje platforma Power Platform do delegowania w podsieci?

Musisz delegować przynajmniej 24 bezklasowe wyznaczanie klas miedzy domenami (CIDR) lub 255 adresów IP w podsieci. Aby delegować tę samą podsieć do wielu środowisk, może okazać się konieczne użycie więcej adresów IP w ramach tej podsieci.

Czy po delegowaniu środowiska z dodatki plug-in lub łączników można korzystać z połączeń powiązanych z Internetem?

Tak. Połączenia związane z Internetem można konfigurować za pomocą dodatek plug-in lub łączników, ale podsieć musi być skonfigurowana za pomocą portalu Azure NAT .

Czy można zaktualizować zakres adresów IP podsieci po delegowaniu go do „Microsoft.PowerPlatform/enterprisePolicies”?

Nie Nie można zmienić zakresu adresów IP podsieci po delegowaniu go do „Microsoft.PowerPlatform/enterprisePolicies”.

Moja sieć wirtualna ma skonfigurowaną niestandardową konfigurację DNS. Czy Power Platform używa mojego niestandardowego DNS?

Tak. Power Platform używa niestandardowego serwera DNS skonfigurowanego w sieci wirtualnej, która zawiera delegowaną podsieć w celu rozwiązania wszystkich punktów końcowych. Po delegowaniu środowiska można zaktualizować dodatek plug-in, tak aby używać poprawnego pola punkt końcowy, aby niestandardowy system DNS mógł je rozwiązać.

Moje środowisko ma dodatki plug-in dostarczone przez ISV. Czy te dodatki plug-in są uruchamiane w podsieci delegowanej?

Tak. Mogą być uruchamiane wszystkie dodatki plug-in i ISV dla klientów używające podsieci. Jeśli dodatki plug-in ISV mają łączność wychodzącą, te adresy URL mogą być konieczne w zaporze.

Moje certyfikaty lokalnych punktów końcowych TLS nie są podpisane przez znane główne urzędy certyfikacji (CA). Czy są obsługujesz nieznane certyfikaty?

Nie Należy się upewnić, punkt końcowy przedstawia certyfikat TLS z kompletną całością. Nie można dodać niestandardowego głównego urzędu certyfikacji do listy znanych urządów certyfikacji.

Nie zaleca się korzystania z żadnej określonej topologii. Jednak nasi klienci często używają modelu topologii sieci „piasta i szprychy”.

Czy połączenie subskrypcji platformy Azure z dzierżawcą Power Platform jest konieczne do aktywowania sieci wirtualnej?

Tak, aby włączyć obsługę sieci wirtualnej dla środowisk Power Platform, istotne jest, aby subskrypcja Azure była skojarzona z dzierżawcą Power Platform.

Jak Power Platform korzysta z delegowania podsieci Azure?

Gdy środowisko jest delegowane Power Platform, przypisana podsieć Azure używa usługi Azure Virtual Network w celu połączenia kontenera w czasie wykonywania do delegowanej podsieci. Podczas tego procesu karta interfejsu sieciowego (NIC) konteneru jest przydzielania adresu IP z delegowanej podsieci. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.

Czy można korzystać z istniejącej sieci wirtualnej dla Power Platform?

Tak, można wykorzystać istniejącą sieć wirtualną dla Power Platform, o ile jest delegowana jedna, nowa podsieć w sieci wirtualnej Power Platform. Należy pamiętać, że w tej delegowanej podsieci nie powinny być hostowane żadne inne usługi.

Czy jeśli mam środowisko w Kanadzie, mogę użyć Wschodnie stany USA 2 jako pracy awaryjnej failover dla Power Platform?

Aby zapewnić poprawną pracę awaryjną, należy zaimprowizować podsieć canadacentral i canadaeast, a następnie pracy awaryjnej odpowiednio tych strefach. Aby zapewnić poprawny tryb failover, należy zaimprowizować podsieć canadacentral i canadaeast, a następnie pracy awaryjnej odpowiednio tych strefach. Dodatkowo, jeśli chcesz obsługiwać łączność z zasobami w regionie useast2, utwórz sieć wirtualną peering między podstawowymi i awaryjnymi sieciami wirtualnymi, w tym siecią wirtualną w regionie useast2.

Co to jest dodatek plug-in Dataverse?

Dodatek plug-in Dataverse to element kodu niestandardowego, który można wdrożyć w środowisku Power Platform. Ten dodatek plug-in można skonfigurować do uruchamiania podczas zdarzeń (na przykład zmiany danych) lub wyzwalany jako niestandardowy interfejs API. Dowiedz się więcej: Dodatki plug-in Dataverse

Jak działa dodatek plug-in Dataverse?

Dodatek plug-in Dataverse działa w kontenerze. Gdy do środowiska Power Platform jest przypisywana delegowana podsieć, adres IP z obszaru adresowego tej podsieci jest przypisywany na kartę interfejsu sieciowego (NIC) konteneru. Komunikacja między hostem (Power Platform) a kontenerem występuje za pośrednictwem portu lokalnego kontenera i przepływu ruchu nad siecią Azure Fabric.

Czy w tym samym kontenerze może być uruchamianych wiele dodatków plug-in?

Tak. W danym środowisku Power Platform lub Dataverse wiele dodatków plug-in może działać w tym samym kontenerze. Każdy kontener zużywa jeden adres IP z obszaru adresu podsieci, a każdy kontener może uruchomić wiele żądań.

Jak infrastruktura obsługuje zwiększenie liczby równoczesnych wykonań dodatku plug-in?

W wraz ze wzrostem liczby równoczesnych wykonań dodatku plug-in infrastruktura automatycznie skaluje na zewnątrz lub do wewnątrz w celu dostosowania obciążenia. Podsieć delegowana do środowiska Power Platform powinna mieć wystarczające przestrzenie adresowe do obsługi szczytowej liczby wykonań prac dla prac w tym środowisku Power Platform.

Kto steruje skojarzoną z nią siecią wirtualną i zasadami sieci?

Klient ma własność sieci wirtualnej oraz pełną kontrolę nad nią i jest skojarzoną z nią zasadami sieci. Z drugiej strony Power Platform korzysta z przydzielonego adresu IP z delegowanej podsieci w ramach tej sieci wirtualnej.

Czy dodatki Azure plug-in obsługują Virtual Network?

Nie, dodatki Azure plug-in nie obsługują Virtual Network.

Następne kroki

Konfigurowanie pomocy technicznej usługi Virtual Network