Compartilhar via


Visão geral do suporte à Rede Virtual

Com o suporte do Azure Virtual Network para Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte à Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no tempo de execução. O uso da delegação da Sub-rede do Azure evita a necessidade de que recursos protegidos estejam disponíveis na Internet para integração com o Power Platform. Com o suporte de rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro da rede, estejam eles hospedados no Azure ou no local, e usar plug-ins e conectores para fazer chamadas de saída.

O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou marcas de serviço, que descrevem endereços IP públicos. No entanto, o suporte à Rede Virtual do Azure para o Power Platform permite que você use uma rede privada e ainda integre-se a serviços de nuvem ou serviços hospedados na rede da sua empresa.

Os serviços do Azure são protegidos em uma Rede Virtual por meio de pontos de extremidade privados. Você pode usar o ExpressRoute para trazer seus recursos locais para dentro da Rede Virtual.

O Power Platform usa a Rede Virtual e as sub-redes que você delegar para fazer chamadas de saída para recursos da empresa pela rede privada da empresa. O uso de uma rede privada elimina a necessidade de rotear o tráfego pela Internet pública, o que poderia expor os recursos da empresa.

Em uma Rede Virtual, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro de sua rede interagem com uma Rede Virtual.

Captura de tela que mostra como os recursos dentro de uma rede empresarial interagem com uma Rede Virtual.

Benefícios do suporte à Rede Virtual

Com o suporte à Rede Virtual, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure fornece, como:

  • Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se conectem aos seus recursos privados e protegidos sem expô-los à internet.

  • Sem acesso não autorizado: a Rede Virtual se conecta com seus recursos sem precisar de intervalos de IP ou marcas de serviço do Power Platform na conexão.

Cenários com suporte

O Power Platform habilita o suporte à Rede Virtual para plug-ins do Dataverse e conectores. Com esse suporte, você pode estabelecer conectividade de saída segura, privada do Power Platform para recursos de dentro de sua Rede Virtual. Os plug-ins e conectores do Dataverse aprimoram a segurança da integração de dados conectando-se a fontes de dados externas e a aplicativos do Power Apps Power Automate e do Dynamics 365. Por exemplo, você pode:

  • Use plug-ins do Dataverse para se conectar às suas fontes de dados na nuvem, como Azure SQL, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Você pode proteger seus dados contra exfiltração dos dados e outros incidentes.
  • Use plug-ins do Dataverse para se conectar com segurança a recursos privados protegidos por ponto de extremidade no Azure, como a API Web ou quaisquer recursos em sua rede privada, como SQL e API Web. Você pode proteger seus dados contra violações dados e outras ameaças externas.
  • Use Conectores com suporte de Rede Virtual, como SQL Server, para se conectar com segurança às fontes de dados hospedadas na nuvem, como Azure SQL ou SQL Server, sem expô-las à Internet. Da mesma forma, você pode usar o conector da Fila do Azure para estabelecer conexões seguras com Filas do Azure privadas habilitadas para ponto de extremidade.
  • Use o conector Azure Key Vault para se conectar com segurança ao Azure Key Vault privado protegido por ponto de extremidade.
  • Use conectores personalizados para se conectar com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
  • Use o Armazenamento de Arquivos do Azure para conectar-se com segurança ao armazenamento de arquivos do Azure privado habilitado para ponto de extremidade.
  • Use HTTP com Microsoft Entra ID (pré-autorizado) para buscar recursos com segurança em redes virtuais de vários serviços Web, autenticados por ID do Microsoft Entra ou de um serviço Web local.

Limitações

  • Plug-ins low-code do Dataverse que usam conectores não terão suporte até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
  • Você usa as operações do ciclo de vida do ambiente copiar, fazer backup e restaurar em ambientes compatíveis da rede virtual do Power Platform. A operação de restauração pode ser executada na mesma rede virtual, bem como em diferentes ambientes, desde que estejam conectados à mesma rede virtual. Além disso, a operação de restauração é permitida de ambientes que não oferecem suporte a redes virtuais para aqueles que o fazem.

Regiões com suporte

Confirme se o ambiente e a política corporativa do Power Platform estão em regiões compatíveis do Power Platform e do Azure. Por exemplo, se o ambiente do Power Platform estiver nos Estados Unidos, a Rede Virtual e as sub-redes deverão estar nas regiões do Azure eastus e westus.

Região do Power Platform Região do Azure
Estados Unidos eastus, westus
África do Sul eouthafricanorth, southafricawest
Reino Unido uksouth, ukwest
Japão japaneast, japanwest
Índia centralindia, southindia
França francecentral, francesouth
Europa westeurope, northeurope
Alemanha germanynorth, germanywestcentral
Suíça switzerlandnorth, switzerlandwest
Canadá canadacentral, canadaeast
Brasil brazilsouth, southcentralus
Austrália australiasoutheast, australiaeast
Ásia eastasia, southeastasia
EAU uaecentral, uaenorth
Coreia do Sul koreasouth, koreacentral
Noruega norwaywest, norwayeast
Cidade de Singapura southeastasia
Suécia swedencentral

Serviços com suporte

A tabela a seguir lista os serviços compatíveis com a delegação de sub-rede do Azure para suporte à Rede Virtual para Power Platform.

Area Serviços do Power Platform Disponibilidade de suporte à Rede Virtual
Dataverse Plug-ins do Dataverse Disponível para o público geral
Conectores Disponível para o público geral

Considerações para habilitar o suporte de Rede Virtual para o Ambiente do Power Platform

Quando você usa o suporte de Rede Virtual em um ambiente do Power Platform, todos os serviços com suporte como conectores e plug-ins do Dataverse, executam solicitações em tempo de execução em sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas para recursos disponíveis publicamente começariam a falhar.

Importante

Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores. As URLs e conexões precisam ser atualizadas para funcionar com conectividade privada.

Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet dentro de sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com sua diretiva de rede. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em sua Rede Virtual. Como alternativa, se o serviço estiver hospedado no Azure, você poderá habilitar um ponto de extremidade privado no serviço antes de habilitar o suporte à Rede Virtual em um ambiente do Power Platform.

Perguntas frequentes

Qual é a diferença entre um gateway de dados de rede virtual e o suporte à Rede Virtual do Azure no Power Platform?

Um gateway de dados da rede virtual é um gateway gerenciado que permite acessar serviços do Azure e do Power Platform de sua rede virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) e fluxos de dados do Power BI e Power Platform.

O suporte à Rede Virtual do Azure no Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, pois as solicitações são de curta duração e otimizadas para um grande número de solicitações.

Quais são os cenários para os quais devo usar o suporte de Rede Virtual para o Power Platform e o gateway de dados de rede virtual?

O suporte de Rede Virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e fluxos de dados do Power Platform.

Power BI e Fluxos de dados do Power Platform continuam usando gateway de dados de rede virtual (vNet).

Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?

  • O suporte à Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.

  • Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.

  • A delegação permite designar uma sub-rede específica para qualquer serviço plataforma como serviço (PaaS) do Azure que precise ser injetado na rede virtual.

A Rede Virtual é compatível com o failover de suporte do Power Platform?

Sim, você precisa delegar uma rede virtual primária e de failover e sub-redes durante a instalação.

Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?

Uma Rede Virtual vinculada a um ambiente do Power Platform deve residir nas regiões do ambiente do Power Platform. Se a Rede Virtual estiver em uma região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use emparelhamento de Rede Virtual para fazer a ponte entre as duas regiões.

Posso monitorar o tráfego de saída das sub-redes delegadas?

Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas.

Quantos endereços IP o Power Platform precisa para ser delegado na sub-rede?

Você precisa delegar pelo menos 24 Roteamento entre Domínios sem Classificação (CIDR), ou 255 endereços IPs, na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, talvez seja necessário mais endereços IPs nessa sub-rede.

Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois que meu ambiente for delegado por sub-rede?

Sim. É possível fazer chamadas para a Internet a partir de plug-ins ou conectores, mas a sub-rede deve ser configurada com um gateway do Azure NAT.

Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?

Não. Você pode alterar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?

Minha Rede Virtual tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?

Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos de extremidade. Depois que o ambiente for delegado, você poderá atualizar os plug-ins para usar o ponto de extremidade correto para que o DNS personalizado possa resolvê-los.

Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?

Sim. Todos os plug-ins de cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.

Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?

Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.

Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.

Vincular uma assinatura do Azure ao meu locatário do Power Platform é necessário para ativar a Rede Virtual?

Sim, para habilitar o suporte de Rede Virtual para ambientes do Power Platform, é essencial ter uma assinatura do Azure associada ao locatário do Power Platform.

Como o Power Platform usa a delegação de sub-rede do Azure?

Quando um ambiente do Power Platform tem uma sub-rede delegada do Azure atribuída, ele usa a injeção de Rede Virtual do Azure para injetar o contêiner em tempo de execução em uma sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contêiner é alocada a um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.

Posso usar uma Rede Virtual existente para o Power Platform?

Sim, você pode usar uma Rede Virtual existente para o Power Platform, desde que uma única e nova sub-rede dentro da Rede Virtual seja delegada especificamente para o Power Platform. É importante observar que essa sub-rede delegada não deve hospedar outros serviços.

Posso usar o Leste dos EUA 2 como failover se tiver meu ambiente do Power Platform no Canadá?

Para garantir o failover adequado, as sub-redes primária e failover devem ser provisionadas no canadacentral and canadaeast respectively. Para garantir failover efetivo, crie as sub-redes principais e de failover nas regiões canadacentral e canadaeast, respectivamente. Além disso, se você quiser dar suporte à conectividade com recursos na região useast2, estabeleça o emparelhamento de rede virtual entre as redes virtuais primária e de failover, incluindo a Rede Virtual na região useast2.

O que é um plug-in do Dataverse?

Um plug-in do Dataverse é um trecho de código personalizado que pode ser implantado em um ambiente do Power Platform. Esse plug-in pode ser configurado para ser executado durante eventos (como uma alteração nos dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse

Como um plug-in do Dataverse é executado?

Um plug-in do Dataverse opera dentro de um contêiner. Quando um ambiente do Power Platform recebe uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a Placa de Interface de Rede (NIC) do contêiner. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.

Vários plug-ins podem ser executados no mesmo contêiner?

Sim. Em um determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem, de fato, operar no mesmo contêiner. Cada contêiner consome um endereço IP do espaço de endereço da sub-rede e cada contêiner pode executar várias solicitações.

Como a infraestrutura lida com um aumento nas execuções simultâneas de plug-in?

À medida que o número de execuções simultâneas de plug-in aumenta, a infraestrutura é dimensionada automaticamente (para fora ou para dentro) para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para lidar com o volume de pico de execuções para as cargas de trabalho nesse ambiente do Power Platform.

Quem controla a Rede Virtual e as diretivas de rede associadas a ela?

Como cliente, você tem propriedade e controle sobre a Rede Virtual e suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.

Os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual?

Não, os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual.

Próximas etapas

Configurar suporte à Rede Virtual