Обзор поддержки виртуальной сети
Поддержка виртуальной сети Azure для Power Platform помогает интегрировать Power Platform с ресурсами внутри вашей виртуальной сети, не показывая ваши ресурсы в общественном Интернете. Поддержка виртуальной сети использует делегирование подсети Azure для управления исходящим трафиком во время выполнения из Power Platform. Использование делегирования подсети Azure позволяет избежать необходимости доступа к защищенным ресурсам через Интернет для интеграции с Power Platform. Благодаря поддержке виртуальной сети компоненты Power Platform могут вызывать ресурсы, принадлежащие вашему предприятию, внутри вашей сети, независимо от того, размещены ли они в Azure или локально, а также использовать подключаемые модули и соединители для совершения исходящих вызовов.
Power Platform обычно интегрируется с ресурсами предприятия через общедоступные сети. В общедоступных сетях корпоративные ресурсы должны быть доступны из списка диапазонов IP-адресов Azure или тегов служб, которые описывают общедоступные IP-адреса. Однако поддержка виртуальной сети Azure для Power Platform позволяет использовать частную сеть и выполнять интеграцию с облачными службами или службами, размещенными внутри сети вашего предприятия.
Службы Azure защищены в виртуальной сети посредством частных конечных точек. Вы можете использовать Express Route, чтобы перенести локальные ресурсы в виртуальную сеть.
Power Platform использует виртуальную сеть и подсети, которые вы делегируете для совершения исходящих вызовов ресурсов предприятия через частную сеть предприятия. Использование частной сети устраняет необходимость направления трафика через общедоступный Интернет, что могло бы привести к раскрытию ресурсов предприятия.
В виртуальной сети вы имеете полный контроль над исходящим трафиком из Power Platform. На трафик распространяются сетевые политики, применяемые администратором вашей сети. На следующей схеме показано, как ресурсы внутри вашей сети взаимодействуют с виртуальной сетью.
Преимущества поддержки виртуальной сети
Благодаря поддержке виртуальной сети ваши компоненты Power Platform и Dataverse получают все преимущества, которые обеспечивает делегирование подсети Azure, такие как:
Защита данных: виртуальная сеть позволяет службам Power Platform подключаться к вашим личным и защищенным ресурсам, не подвергая их опасности доступа из Интернета.
Отсутствие несанкционированного доступа: виртуальная сеть подключается к вашим ресурсам без необходимости диапазонов IP-адресов или тегов служб Power Platform в подключении.
Поддерживаемые сценарии
Power Platform включает поддержку виртуальной сети как для подключаемых модулей Dataverse, так и для соединителей. Благодаря этой поддержке вы можете установить защищенное частное исходящее соединение из Power Platform с ресурсами в вашей виртуальной сети. Подключаемые модули и соединители Dataverse повышают безопасность интеграции данных за счет подключения к внешним источникам данных из приложений Power Apps, Power Automate и Dynamics 365. Например, доступны следующие возможности:
- Используйте подключаемые модули Dataverse для подключения к облачным источникам данных, таким как Azure SQL, хранилище Azure, хранилище BLOB-объектов или Azure Key Vault. Вы можете защитить свои данные от кражи данных и других инцидентов.
- Используйте подключаемые модули Dataverse для безопасного подключения к частным, защищенным конечными точками ресурсам в Azure, таким как веб-API, или любым ресурсам в вашей частной сети, таким как SQL и веб-API. Вы можете защитить свои данные от утечки данных и других внешних угроз.
- Используйте соединители, поддерживаемые виртуальной сетью, например SQL Server, для безопасного подключения к источникам данных, размещенным в облаке, например Azure SQL или SQL Server, не подвергая их доступу в Интернет. Аналогичным образом вы можете использовать соединитель Azure Queue для установки безопасных подключений к частным очередям Azure с поддержкой конечных точек.
- Используйте соединитель Azure Key Vault для безопасного подключения к частному, защищенному конечными точками Azure Key Vault.
- Используйте пользовательские соединители для безопасного подключения к вашим службам, защищенным частными конечными точками в Azure, или службам, размещенным в вашей частной сети.
- Используйте Файловое хранилище Azure для безопасного подключения к частному файловому хранилищу Azure с поддержкой конечных точек.
- Используйте протокол HTTP с Microsoft Entra ID (предварительно авторизованный) для безопасного извлечения ресурсов по виртуальным сетям из различных веб-служб, аутентифицированных по Microsoft Entra ID или из локальной веб-службы.
Ограничения
- Малокодовые подключаемые модули Dataverse, использующие соединители, не поддерживаются до тех пор, пока эти типы соединителей не будут обновлены для использования делегирования подсети.
- Вы используете операции копирования, резервного копирования и восстановления жизненного цикла среды в средах Power Platform, поддерживаемых виртуальной сетью. Операцию восстановления можно выполнить в той же виртуальной сети, а также в разных средах при условии, что они подключены к одной виртуальной сети. Кроме того, операция восстановления разрешена из сред, не поддерживающих виртуальные сети, в те, которые их поддерживают.
Поддерживаемые регионы
Убедитесь, что ваша среда Power Platform и корпоративная политика находятся в поддерживаемых регионах Power Platform и Azure. Например, если ваша среда Power Platform находится в США, ваша виртуальная сеть и подсети должны находиться в регионах Azure eastus или westus.
| Регион Power Platform | Регион Azure |
|---|---|
| США | eastus, westus |
| Южная Африка | eouthafricanorth, southafricawest |
| Соединенное Королевство | uksouth, ukwest |
| Япония | japaneast, japanwest |
| Индия | centralindia, southindia |
| Франция | francecentral, francesouth |
| Европа | westeurope, northeurope |
| Германия | germanynorth, germanywestcentral |
| Швейцария | switzerlandnorth, switzerlandwest |
| Канада | canadacentral, canadaeast |
| Бразилия | brazilsouth, southcentralus |
| Австралия | australiasoutheast, australiaeast |
| Азия | eastasia, southeastasia |
| UAE | uaecentral, uaenorth |
| Республика Корея | koreasouth, koreacentral |
| Норвегия | norwaywest, norwayeast |
| Сингапур | southeastasia |
| Швеция | swedencentral |
Поддерживаемые службы
В следующей таблице перечислены службы, которые поддерживают делегирование подсети Azure для поддержки виртуальной сети для Power Platform.
| Площадь | Службы Power Platform | Доступность поддержки виртуальной сети |
|---|---|---|
| Dataverse | Подключаемые модули Dataverse | Общедоступная версия |
| Соединители | Общедоступная версия |
Включение поддержки виртуальной сети для среды Power Platform
Когда вы используете поддержку виртуальной сети в среде Power Platform, все поддерживаемые службы, такие как подключаемые модули и соединители Dataverse, выполняют запросы во время выполнения в вашей делегированной подсети и на них распространяются ваши сетевые политики. Обращения к общедоступным ресурсам начнут прерываться.
Важно
Прежде чем включить поддержку виртуальной среды для среды Power Platform, обязательно проверьте код подключаемых модулей и соединителей. URL-адреса и подключения необходимо обновить для работы с частным подключением.
Например, подключаемый модуль может попытаться подключиться к общедоступной службе, но ваша сетевая политика не разрешает доступ в общедоступный Интернет в вашей виртуальной сети. Вызов из подключаемого модуля блокируется в соответствии с политикой вашей сети. Чтобы избежать блокировки вызова, вы можете разместить общедоступную службу в своей виртуальной сети. Кроме того, если ваша служба размещена в Azure, вы можете использовать частную конечную точку для службы, прежде чем включать поддержку виртуальной сети в среде Power Platform.
Вопросы и ответы
В чем разница между шлюзом данных виртуальной сети и поддержкой виртуальной сети Azure для Power Platform?
Шлюз данных виртуальной сети — это управляемый шлюз, который позволяет вам получать доступ к службам Azure и Power Platform из вашей виртуальной сети без необходимости в настройке локального шлюза данных. Например, шлюз оптимизирован для рабочих нагрузок ETL (извлечение, преобразование, загрузка) в потоках данных Power BI и Power Platform.
Поддержка виртуальной сети Azure для Power Platform использует делегирование подсети Azure для вашей среды Power Platform. Подсети используются рабочими нагрузками в среде Power Platform. Поддержка виртуальной сети используется для рабочих нагрузок API-интерфейса Power Platform, поскольку запросы кратковременны и оптимизированы для большого количества запросов.
В каких сценариях мне следует использовать поддержку виртуальной сети для Power Platform и шлюза данных виртуальной сети?
Поддержка виртуальной сети для Power Platform является единственным поддерживаемым вариантом для всех сценариев исходящего подключения из Power Platform, кроме Power BI и потоков данных Power Platform.
Power BI и потоки данных Power Platform продолжают использовать шлюз данных виртуальной сети (vNet).
Как гарантировать, что подсеть виртуальной сети или шлюз данных одного клиента не будет использоваться другим клиентом в Power Platform?
Поддержка виртуальной сети для Power Platform использует делегирование подсети Azure.
Каждая среда Power Platform связана с одной подсетью виртуальной сети. Только вызовам из этой среды разрешен доступ к этой виртуальной сети.
Делегирование подсети позволяет вам назначить определенную подсеть для любой платформы как услуги Azure (PaaS), которую необходимо внедрить в вашу виртуальную сеть.
Поддерживает ли виртуальная сеть Power Platform аварийное переключение?
Да, во время установки вам необходимо делегировать основную и резервную виртуальную сеть и подсети.
Как среда Power Platform в одном регионе может подключаться к ресурсам, размещенным в другом регионе?
Виртуальная сеть, связанная со средой Power Platform, должна находиться в регионах среды Power Platform. Если виртуальная сеть находится в другом регионе, создайте виртуальную сеть в регионе среды Power Platform и используйте пиринг между виртуальными сетями, чтобы соединить два региона.
Могу ли я отслеживать исходящий трафик из делегированных подсетей?
Да. Вы можете использовать группу сетевой безопасности и/или брандмауэры для мониторинга исходящего трафика из делегированных подсетей.
Сколько IP-адресов в Power Platform необходимо делегировать в подсети?
В подсети требуется как минимум 24 бесклассовые междоменные маршрутизации (CIDR) или 255 IP-адресов. Чтобы делегировать одну и ту же подсеть нескольким средам, вам может потребоваться больше IP-адресов в этой подсети.
Можно ли совершать вызовы по Интернету через подключаемые модули или соединители после делегирования среды по подсети?
Да. Вы можете совершать вызовы через Интернет с помощью подключаемых модулей или соединителей, но в подсети необходимо настроить Шлюз Azure NAT.
Могу ли я обновить диапазон IP-адресов подсети после ее делегирования в «Microsoft.PowerPlatform/enterprisePolicies»?
№ Вы не можете изменить диапазон IP-адресов подсети после ее делегирования в «Microsoft.PowerPlatform/enterprisePolicies».
В моей виртуальной сети настроен собственный DNS. Использует ли Power Platform мой пользовательский DNS?
Да. Power Platform использует пользовательский DNS, настроенный в виртуальной сети, в которой находится делегированная подсеть, для разрешения всех конечных точек. После делегирования среды вы можете обновить подключаемые модули, чтобы использовать правильную конечную точку, чтобы ваш пользовательский DNS мог их разрешать.
В моей среде есть подключаемые модули, предоставленные независимыми поставщиками программного обеспечения. Будут ли эти подключаемые модули работать в делегированной подсети?
Да. Все подключаемые модули клиентов и независимых поставщиков ПО могут работать в вашей подсети. Если подключаемые модули независимых поставщиков программного обеспечения поддерживают исходящие подключения, эти URL-адреса, возможно, потребуется указать в брандмауэре.
Мои TLS-сертификаты локальной конечной точки не подписаны известными корневыми центрами сертификации (CA). Поддерживаете ли вы неизвестные сертификаты?
№ Мы должны убедиться, что конечная точка представляет сертификат TLS с полной цепочкой. Невозможно добавить пользовательский корневой центр сертификации в наш список известных центров сертификации.
Какова рекомендуемая настройка виртуальной сети в клиенте заказчика?
Мы не рекомендуем какую-либо конкретную топологию. Однако наши заказчики широко используют модель сети со звездообразной топологией.
Необходимо ли привязывать подписку Azure к моему клиенту Power Platform для активации виртуальной сети?
Да, чтобы включить поддержку виртуальной сети для сред Power Platform , необходимо иметь подписку Azure, связанную с клиентом Power Platform.
Как Power Platform использует делегирование подсети Azure?
Если среде Power Platform назначена делегированная подсеть Azure, она использует внедрение виртуальной сети Azure для внедрения контейнера во время выполнения в делегированную подсеть. Во время этого процесса карте сетевого интерфейса (NIC) контейнера назначается IP-адрес из делегированной подсети. Связь между узлом (Power Platform) и контейнером происходит через локальный порт контейнера, а трафик проходит через Azure Fabric.
Могу ли я использовать существующую виртуальную сеть для Power Platform?
Да, вы можете использовать существующую виртуальную сеть для Power Platform, при условии, что одна новая подсеть в виртуальной сети делегирована конкретно Power Platform. Важно отметить, что в этой делегированной подсети не должно размещаться никаких других служб.
Могу ли я использовать US East 2 в качестве аварийного переключения, если моя среда Power Platform находится в Канаде?
Для обеспечения правильного переключения при сбое основная и резервная подсети должны быть подготовлены в canadacentral и canadaeast, соответственно. Для эффективного переключения при сбое создайте основную и резервную подсети в регионах canadacentral и canadaeast, соответственно. Кроме того, если вам нужно обеспечить поддержку подключения с ресурсами в регионе useast2, установите пиринг между виртуальными сетями между основной и резервной виртуальными сетями, включая виртуальную сеть в регионе useast2 для подключения.
Что такое подключаемый модуль Dataverse?
Подключаемый модуль Dataverse — это фрагмент пользовательского кода, который можно развернуть в среде Power Platform. Этот подключаемый модуль можно настроить для запуска во время событий (например, изменения данных) или запускать как пользовательский API. Дополнительные сведения: Подключаемый модуль Dataverse
Как выполняется подключаемый модуль Dataverse?
Подключаемый модуль Dataverse работает внутри контейнера. Когда среде Power Platform назначается делегированная подсеть, IP-адрес из адресного пространства этой подсети выделяется карте сетевого интерфейса (NIC) контейнера. Связь между узлом (Power Platform) и контейнером происходит через локальный порт контейнера, а трафик проходит через Azure Fabric.
Могут ли несколько подключаемых модулей работать в одном контейнере?
Да. В определенной среде Power Platform или Dataverse несколько подключаемых модулей могут работать в одном контейнере. Каждый контейнер использует один IP-адрес из адресного пространства подсети, и каждый контейнер может выполнять несколько запросов.
Как инфраструктура справляется с увеличением количества одновременных запусков подключаемых модулей?
По мере увеличения количества одновременных запусков подключаемых модулей инфраструктура масштабируется (уменьшается или увеличивается), чтобы приспособиться к нагрузке. Подсеть, делегированная среде Power Platform, должна иметь достаточное адресное пространство для обработки пикового объема выполнения рабочих нагрузок в этой среде Power Platform.
Кто контролирует виртуальную сеть и связанные с ней сетевые политики?
Как клиент, вы имеете право собственности и контроля над виртуальной сетью и связанными с ней сетевыми политиками. С другой стороны, Power Platform использует выделенные IP-адреса из делегированной подсети внутри этой виртуальной сети.
Поддерживают ли подключаемые модули с поддержкой Azure виртуальную сеть?
Нет, подключаемые модули с поддержкой Azure не поддерживают виртуальную сеть.