Descrição geral do suporte de Rede Virtual
Com o suporte de Rede Virtual do Azure para Power Platform, pode integrar o Power Platform com recursos na sua rede virtual sem os expor através da internet pública. O suporte de Rede Virtual utiliza delegação da sub-rede do Azure para gerir o tráfego de saída em runtime do Power Platform. A utilização da delegação da Sub-rede do Azure evita a necessidade de os recursos protegidos estarem disponíveis através da Internet para integração com o Power Platform. Com o suporte de rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro da sua rede, quer estejam alojados no Azure ou no local, e utilizar plug-ins e conectores para fazer chamadas de saída.
Normalmente, o Power Platform integra-se com recursos empresariais através de redes públicas. Nas redes públicas, os recursos da empresa têm de estar acessíveis a partir de uma lista de intervalos de IP do Azure ou etiquetas de serviço, que descrevem endereços IP públicos. No entanto, o suporte de Rede Virtual do Azure para Power Platform permite-lhe usar uma rede privada e ainda integrar com serviços de cloud ou serviços alojados na sua rede corporativa.
Os serviços do Azure são protegidos Rede Virtual por pontos finais privados. Pode utilizar o Express Route para trazer os seus recursos no local para dentro da Rede Virtual.
O Power Platform utiliza a Rede Virtual e sub-redes que delega para fazer chamadas de saída para recursos da empresa através da rede privada da empresa. A utilização de uma rede privada elimina a necessidade de encaminhar o tráfego através da Internet pública, o que poderia expor os recursos da empresa.
Numa Rede Virtual, tem controlo total sobre o tráfego de saída do Power Platform. O tráfego está sujeito a políticas de rede aplicadas pelo seu administrador de rede. O diagrama seguinte mostra como os recursos dentro da rede interagem com uma Rede Virtual.
Benefícios do suporte de Rede Virtual
Com o suporte de Rede Virtual, os seus componentes do Power Platform e do Dataverse obtém todos os benefícios que a delegação da sub-rede do Azure oferece, como:
Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se liguem aos seus recursos privados e protegidos sem os expor à internet.
Sem acesso não autorizado: a Rede Virtual liga-se aos seus recursos sem necessitar de intervalos de IP ou etiquetas de serviço do Power Platform na ligação.
Cenários suportados
O Power Platform permite o suporte de Rede Virtual tanto para plug-ins do Dataverse como conectores. Com este suporte, pode estabelecer uma conetividade segura, privada e de saída a partir do Power Platform para os recursos na sua Rede Virtual. Os plug-ins e conectores do Dataverse melhoram a segurança da integração de dados ao ligarem-se a origens de dados externas de aplicações do Power Apps, Power Automate e Dynamics 365. Por exemplo, pode:
- Utilize plug-ins do Dataverse para ligar às suas origens de dados na cloud, como o SQL do Azure, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Pode proteger os seus dados contra a transferência de dados não autorizada e outros incidentes.
- Utilize plug-ins do Dataverse para ligar-se em segurança a recursos privados protegidos por pontos finais no Azure, como a API Web ou quaisquer recursos dentro da sua rede privada, como SQL e API Web. Pode proteger os seus dados contra falhas de segurança de dados e outras ameaças externas.
- Utilize conectores suportados pela Rede Virtual como o SQL Server para ligar de forma segura às suas origens de dados alojadas na cloud, como o SQL do Azure ou o SQL Server, sem as expor à Internet. Da mesma forma, pode utilizar o conector Azure Queue para estabelecer ligações seguras a Filas do Azure privadas e ativadas para pontos finais.
- Utilize o conector Azure Key Vault para se ligar de forma segura ao Azure Key Vault privado e protegido por pontos finais.
- Utilize conectores personalizados para ligar de forma segura aos seus serviços que estão protegidos por pontos finais privados no Azure ou serviços que estão alojados na sua rede privada.
- Utilize Azure File Storage para ligar em segurança ao armazenamento de ficheiros do Azure privado e ativado para pontos finais.
- Utilize HTTP com Microsoft Entra ID (pré-autorizado) para obter recursos em segurança em redes virtuais de vários serviços Web, autenticados pelo Microsoft Entra ID ou a partir de um serviço Web no local.
Limitações
- Os plug-ins low-code do Dataverse que utilizam conectores só são suportados depois de esses tipos de conectores serem atualizados para utilizarem a delegação de sub-rede.
- Utilize operações do ciclo de vida do ambiente de cópia, cópia de segurança e restauro em ambientes do Power Platform suportados pela rede virtual. A operação de restauro pode ser efetuada dentro da mesma rede virtual, bem como em diferentes ambientes, desde que estejam ligados à mesma rede virtual. Além disso, a operação de restauro é permissível a partir de ambientes que não suportam redes virtuais para aqueles que suportam.
Regiões suportadas
Confirme se o seu ambiente e política empresarial do Power Platform se encontram em regiões suportadas do Power Platform e do Azure. Por exemplo, se o seu ambiente Power Platform estiver nos Estados Unidos, a sua rede virtual e sub-redes deverão estar nas regiões eastus e westus do Azure.
Região do Power Platform | Região do Azure |
---|---|
Estados Unidos da América | este dos eua, oeste dos eua |
África do Sul | eouthafricanorth, southafricawest |
Reino Unido | sul do reino unido, oeste do reino unido |
Japão | Leste do Japão, Oeste do Japão |
Índia | centralindia, southindia |
França | França Central, Sul de França |
Europa | europa ocidental, europa do norte |
Alemanha | Norte da Alemanha, Centro-Oeste da Alemanha |
Suíça | switzerlandnorth, switzerlandwest |
Canadá | canadá central, leste do canadá |
Brasil | brazilsouth, southcentralus |
Austrália | sudeste da austrália, leste da austrália |
Ásia | ásia oriental, sudeste asiático |
UAE | Centro dos EAU, Norte dos EAU |
Coreia do Sul | koreasouth, koreacentral |
Noruega | norwaywest, norwayeast |
Singapura | southeastasia |
Suécia | suécia central |
Serviços suportados
A tabela seguinte lista os serviços que suportam a delegação de sub-redes do Azure para suporte de Rede Virtual para o Power Platform.
Area | Serviços do Power Platform | Disponibilidade do suporte de Rede Virtual |
---|---|---|
Dataverse | Plug-ins do Dataverse | Disponibilidade geral |
Conectores | Disponibilidade geral |
Considerações para ativar o suporte de Rede Virtual para o Ambiente do Power Platform
Quando utiliza o suporte de Rede Virtual num Power Platform ambiente, todos os serviços suportados, como Dataverse plug-ins e conectores, executam pedidos em tempo de execução na sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas a recursos publicamente disponíveis começariam a quebrar.
Importante
Antes de ativar o suporte do ambiente virtual para o ambiente do Power Platform, certifique-se de que verifica o código dos plug-ins e dos conectores. Os URL e ligações precisam de ser atualizados para funcionarem com conectividade privada.
Por exemplo, um Plug-in pode tentar ligar-se a um serviço disponível publicamente, mas a sua política de rede não permite o acesso público à Internet na sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com a política de rede. Para evitar a chamada bloqueada, pode alojar o serviço publicamente disponível na sua Rede Virtual. Em alternativa, se o seu serviço estiver alojado no Azure, pode usar um ponto final privado no serviço antes de ativar o suporte de Rede Virtual no ambiente do Power Platform.
FAQ
Qual é a diferença entre um gateway de dados de rede virtual e o suporte de Rede Virtual do Azure para o Power Platform?
Um gateway de dados da rede virtual é um gateway gerido que lhe permite aceder a serviços do Azure e do Power Platform a partir da sua rede virtual sem ter de configurar um gateway de dados no local. Por exemplo, o gateway está otimizado para cargas de trabalho ETL (extrair, transformar, carregar) em fluxos de dados do Power BI e do Power Platform.
O suporte de Rede Virtual do Azure para Power Platform usa uma delegação de sub-rede do Azure para o seu ambiente do Power Platform. As sub-redes são utilizadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, uma vez que os pedidos são de curta duração e otimizados para um grande número de pedidos.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para Power Platform é a única opção suportada para todos os cenários de conectividade de saída a partir do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
O Power BI e os fluxos de dados do Power Platform continuam a utilizar o gateway de dados de rede virtual (vNet).
Como pode garantir que uma rede virtual, sub-rede ou gateway de dados de um cliente não é utilizado por outro cliente no Power Platform?
O suporte de Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está ligado a uma sub-rede de rede virtual. Só é permitido às chamadas desse ambiente aceder a essa rede virtual.
A delegação permite-lhe designar uma sub-rede específica para qualquer plataforma como serviço (PaaS) do Azure que precisa de ser injetado na sua rede virtual.
O suporte de Rede Virtual para o Power Platform é compatível com ativação pós-falha?
Sim, precisa de delegar uma rede virtual primária e de ativação pós-falha e sub-redes durante a instalação.
Como pode um ambiente do Power Platform numa região ligar-se a recursos alojados noutra região?
Uma Rede Virtual ligada a um ambiente do Power Platform deve residir na região do ambiente do Power Platform. Se a Rede Virtual estiver numa região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use o peering de Rede Virtual para fazer a ponte entre as duas regiões.
Posso monitorizar o tráfego de saída de sub-redes delegadas?
Sim. Pode utilizar o Grupo de Segurança de Rede e firewalls para monitorizar o tráfego de saída de sub-redes delegadas.
Quantos endereços IP do Power Platform são necessários na sub-rede para serem delegados?
Deve delegar, pelo menos, 24 Classless Inter-Domain Routing (CIDR) ou 255 endereços IP na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, poderá necessitar de mais endereços IP nessa sub-rede.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois de o meu ambiente ser delegado à sub-rede?
Sim. Pode fazer chamadas ligadas à Internet a partir de plug-ins ou conectores, mas a sub-rede tem de estar configurada com um gateway Azure NAT.
Posso atualizar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não Não pode alterar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies".
A minha Rede Virtual tem um DNS personalizado configurado. O Power Platform utiliza o meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos finais. Depois de o ambiente ser delegado, pode atualizar os plug-ins para utilizar os pontos finais corretos, para que o seu DNS personalizado os possa resolver.
O meu ambiente tem plug-ins fornecidos pelo ISV. Estes plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins de ISV podem ser executados utilizando a sua sub-rede. Se os plug-ins de ISV tiverem conectividade de saída, esses URL poderão ter de ser listados na firewall.
Os meus certificados TLS de ponto final no local não estão assinados por autoridades de certificação (AC) de raiz bem conhecidas. Suportam certificados desconhecidos?
Não Temos de garantir que o ponto final apresenta um certificado TLS com a cadeia completa. Não é possível adicionar sua AC de raiz personalizada à nossa lista de AC conhecidas.
Qual é a configuração recomendada de uma Rede Virtual num inquilino de cliente?
Não recomendamos nenhuma topologia específica. No entanto, os nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.
É necessário associar uma subscrição do Azure ao meu inquilino do Power Platform para ativar a Rede Virtual?
Sim, para ativar o suporte da Rede Virtual para ambientes do Power Platform, é essencial ter uma subscrição do Azure associada ao inquilino do Power Platform.
Como é que o Power Platform utiliza a delegação da sub-rede do Azure?
Quando um ambiente do Power Platform tem atribuída uma sub-rede do Azure delegada, usa a injeção da Rede Virtual do Azure para injetar o contentor em tempo de execução numa sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contentor recebe um endereço IP da sub-rede delegada. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Posso utilizar uma Rede Virtual existente para o Power Platform?
Sim, pode utilizar uma Rede Virtual existente para o Power Platform, desde que uma única e nova sub-rede dentro da Rede Virtual seja delegada especificamente para o Power Platform. É importante que note que esta sub-rede delegada não deve alojar outros serviços.
Posso usar EUA Leste 2 como ativação pós-falha se o meu ambiente do Power Platform estiver no Canadá?
Para garantir a ativação pós-falha adequada, as sub-redes primária e de ativação pós-falha devem ser aprovisionadas em canadacentral e canadaeast, respetivamente. Para a ativação pós-falha eficaz, crie as sub-redes primária e de ativação pós-falha nas regiões canadacentral e canadaeast respetivamente. Além disso, se quiser suportar a conectividade com recursos na região useast2, estabeleça o peering de Rede Virtual entre as Redes Virtuais primária e de ativação pós-falha, incluindo a Rede Virtual na região useast2 para conectividade.
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é uma porção de código personalizada que pode ser implementada num ambiente do Power Platform. Este plug-in pode ser configurado para ser executado durante eventos (tal como uma alteração de dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como é que um plug-in do Dataverse é executado?
Um plug-in do Dataverse funciona dentro de um contentor. Quando a um ambiente do Power Platform é atribuída uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a placa de interface de rede (NIC) do contentor. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Podem ser executados vários plug-ins no mesmo contentor?
Sim. Num determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem funcionar dentro do mesmo contentor. Cada contentor consome um endereço IP do espaço de endereços da sub-rede e cada contentor pode executar vários pedidos.
Como é que a infraestrutura lida com um aumento nas execuções de plug-ins em simultâneo?
À medida que o número de execuções simultâneas de plug-ins aumenta, a infraestrutura dimensiona automaticamente para fora ou para dentro para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para processar o volume máximo de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as políticas de rede a ela associadas?
Como cliente, tem propriedade e o controlo sobre a Rede Virtual e as suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins conscientes do Azure suportam a Rede Virtual?
Não, os plug-ins conscientes do Azure não suportam a Rede Virtual.