虚拟网络支持概览

借助 Power Platform 的 Azure 虚拟网络支持,您可将 Power Platform 与虚拟网络中的资源集成,而无需在公共互联网上将其公开。 虚拟网络支持使用 Azure 子网委派在运行时管理来自 Power Platform 的出站流量。 使用 Azure 子网委派可避免需要通过互联网提供受保护的资源来与 Power Platform 集成。 Power Platform 通过虚拟网络支持,组件可以调用网络内部企业负责的资源(无论资源位于 Azure 中还是内部部署)以及使用插件和连接器进行出站调用。

Power Platform 通常通过公共网络与企业资源集成。 对于公共网络,企业资源必须可以从描述公共 IP 地址的 Azure IP 范围或服务标签列表中访问。 然而,Power Platform 的 Azure 虚拟网络支持允许您使用专用网络,仍然与云服务或企业网络内部托管的服务集成。

Azure 服务通过专用终结点在虚拟网络中受到保护。 您可以使用 Express Route 将您的内部资源引入虚拟网络。

Power Platform 使用您委派的虚拟网络和子网通过企业专用网络向企业资源进行出站调用。 使用专用网络消除了通过公共互联网路由流量的需要,这可能会暴露企业资源。

在虚拟网络中,您可以完全控制来自 Power Platform 的出站流量。 流量受制于网络管理员应用的网络策略。 下图显示了网络内部的资源如何与虚拟网络进行交互。

显示企业网络的内部资源如何与虚拟网络进行交互的屏幕截图。

虚拟网络支持的优势

借助虚拟网络支持,您的 Power Platform 和 Dataverse 组件可以获得 Azure 子网委派提供的所有优势,例如:

  • 数据保护:虚拟网络允许 Power Platform 服务连接到您的私有和受保护资源,而不会将其暴露在互联网上。

  • 禁止未经授权的访问:虚拟网络无需 Power Platform IP 范围或服务标签即可连接您的资源。

支持的应用场景

Power Platform 允许对 Dataverse 插件和连接器的虚拟网络支持。 通过此支持,您可以在虚拟网络中建议从 Power Platform 到资源的安全、专用、出站连接。 Dataverse 插件和连接器通过从 Power Apps、Power Automate 和 Dynamics 365 应用连接到外部数据源来增强数据集成安全性。 例如,您可以:

  • 使用 Dataverse 插件连接到您的云数据源,例如 Azure SQL、Azure 存储、Blob 存储或 Azure Key Vault。 您可以防止数据发生数据外泄和其他事件。
  • 使用 Dataverse 插件安全地连接到在 Azure 中受终结点保护的专用资源(例如 Web API)或专用网络内的任何资源(例如 SQL 和 Web API)。 您可以防止数据发生数据泄露和其他外部威胁。
  • 使用 支持虚拟网络的连接器 (如 SQL Server )安全地连接到云托管的数据源(例如 Azure SQL 或 SQL Server)而不向 Internet 公开它们。 同样,可以使用 Azure 队列连接器与启用了终结点的专用 Azure 队列建立安全连接。
  • 使用 Azure Key Vault 连接器安全地连接到受终结点保护的专用 Azure Key Vault。
  • 使用自定义连接器安全地连接到受 Azure 中的专用终结点保护的服务或专用网络内托管的服务。
  • 使用 Azure 文件存储 安全地连接到支持端点的专用 Azure 文件存储。
  • 使用使用 Microsoft Entra AD 的 HTTP(预授权)通过虚拟网络安全地从由 Microsoft Entra ID 进行身份验证的不同 Web 服务或从本地 Web 服务提取资源。

限制

  • 在使用连接器的 Dataverse 低代码插件更新为使用子网委派之前,这些插件不受支持。
  • 您可以在虚拟网络支持的 Power Platform 环境中使用复制、备份和恢复环境生命周期操作。 还原操作可以在同一个虚拟网络内执行,也可以跨不同的环境执行,前提是它们连接到同一个虚拟网络。 此外,从不支持虚拟网络的环境到支持虚拟网络的环境,还原操作都是允许的。

支持的区域

确认您的 Power Platform 环境和企业策略在受支持的 Power Platform 和 Azure 区域中。 例如,如果您的 Power Platform 环境位于美国,那么您的虚拟网络和子网必须位于 eastuswestus Azure 区域。

Power Platform 区域 Azure 区域
美国 美国东部、美国西部
南非 南非北部,南非西部
英国 英国南部、英国西部
日本 日本东部、日本西部
印度 印度中部,印度南部
法国 法国中部、法国南部
欧洲 西欧、北欧
德国 德国北部、德国中西部
瑞士 瑞士北部,瑞士西部
加拿大 加拿大中部、加拿大东部
巴西 巴西南部,中南部
澳大利亚 澳大利亚东南部、澳大利亚东部
亚洲 东亚、东南亚
UAE 阿拉伯联合酋长国中部、阿拉伯联合酋长国北部
韩国 韩国南部,韩国中部
挪威 挪威西部,挪威东部
新加坡 东南亚
瑞典 瑞典中部

支持的服务

下表列出了为 Power Platform 的虚拟网络支持而支持 Azure 子网委派的服务。

方面 Power Platform 服务 虚拟网络支持可用性
Dataverse Dataverse 插件 正式发布
连接符 正式发布

为 Power Platform 环境启用虚拟网络支持的注意事项

当您在 Power Platform 环境中使用虚拟网络支持时,所有受支持的服务(如 Dataverse 插件和连接器)都会在运行时在您的委派子网中执行请求,并受您的网络策略的约束。 对公共可用资源的调用将开始中断。

重要提示

在为 Power Platform 环境启用虚拟环境支持之前,请确保检查插件和连接器的代码。 需要更新 URL 和连接以使用专用连接。

例如,一个插件可能会尝试连接到公开可用的服务,但您的网络策略不允许在您的虚拟网络中进行公共 Internet 访问。 根据网络策略阻止来自插件的调用。 为了避免调用遭阻止,您可以在虚拟网络中托管公开可用的服务。 或者,如果您的服务托管在 Azure 中,您可以在 Power Platform 环境中打开虚拟网络支持之前在服务上使用专用终结点。

常见问题

虚拟网络数据网关和 Azure 虚拟网络对 Power Platform 的支持有什么区别?

虚拟网络数据网关是一个托管网关,允许您从虚拟网络内部访问 Azure 和 Power Platform 服务,而无需设置内部数据网关。 例如,网关针对 Power BI 和 Power Platform 数据流中的 ETL(提取、转换、加载)工作负载进行了优化。

对 Power Platform 的 Azure 虚拟网络支持为您的 Power Platform 环境使用 Azure 子网委派。 子网由 Power Platform 环境中的工作负载使用。 Power Platform API 工作负载使用虚拟网络支持,因为请求是短暂的,并且针对大量请求进行了优化。

在哪些应用场景中我应该对 Power Platform 和虚拟网络数据网关使用虚拟网络支持?

针对除 Power BIPower Platform 数据流之外 Power Platform 中出站连接的所有应用场景,对 Power Platform 的虚拟网络支持是唯一支持的选项。

Power BIPower Platform 数据流继续使用虚拟网络 (vNet) 数据网络

在 Power Platform 中,您如何确保一个客户的虚拟网络子网或数据网关不被另一个客户使用?

  • Power Platform 的虚拟网络支持使用 Azure 子网委派

  • 每个 Power Platform 环境都链接到一个虚拟网络子网。 只有来自该环境的调用才允许访问该虚拟网络。

  • 委派允许您为任何需要注入虚拟网络的 Azure 平台即服务 (PaaS) 指定特定子网。

Power Platform 的虚拟网络支持支持故障转移吗?

是,您需要在设置期间委派主虚拟网络和子网以及故障转移虚拟网络和子网。

一个地区的 Power Platform 环境如何连接到另一个地区托管的资源?

链接到 Power Platform 环境的虚拟网络必须位于 Power Platform 环境的区域中。 如果虚拟网络位于不同的区域,请在 Power Platform 环境所在的区域中创建一个虚拟网络,并使用虚拟网络对等互连来桥接这两个区域。

我可以监控委派子网的出站流量吗?

是的。 您可以使用网络安全组和防火墙来监控来自委派子网的出站流量。

Power Platform 需要在子网中委派多少个 IP 地址?

您需要在子网中委派至少 24 个无类别域间路由 (CIDR) 或 255 个 IP 地址。 如果要将同一个子网分配给多个环境,该子网中可能需要更多 IP 地址。

一旦我的环境获得子网委派,我可以从插件或连接器进行互联网绑定调用吗?

是的。 您可以从插件或连接器进行互联网绑定调用,但子网必须配置有 Azure NAT 网关

委派给“Microsoft.PowerPlatform/enterprisePolicies”后,我可以更新子网 IP 地址范围吗?

不包括。 一旦子网被委派给 “Microsoft.PowerPlatform/enterprisePolicies”,您就不能更改子网的IP地址范围。

我的虚拟网络配置了自定义 DNS。 Power Platform 使用我的自定义 DNS 吗?

是的。 Power Platform 使用在拥有委派子网的虚拟网络中配置的自定义 DNS 来解析所有终结点。 委派环境后,您可以更新插件以使用正确的端点,以便您的自定义 DNS 能够解析。

我的环境有 ISV 提供的插件。这些插件会在委派子网中运行吗?

是的。 所有客户插件和 ISV 插件都可以使用您的子网运行。 如果 ISV 插件具有出站连接,这些 URL 可能需要在您的防火墙中列出。

我的本地端点 TLS 证书不是由知名根证书颁发机构 (CA) 签署的。 您支持未知证书吗?

不包括。 我们必须确保端点提供具有完整链的 TLS 证书。 无法将您的自定义根 CA 添加到我们的知名 CA 列表中。

我们不推荐任何特定的拓扑结构。 但是我们的客户广泛使用轴辐式拓扑网络模型。

是否必须将 Azure 订阅链接到我的 Power Platform 租户才能激活虚拟网络?

是,若要启用对 Power Platform 环境的虚拟网络支持,必须将 Azure 订阅与 Power Platform 租户相关联。

Power Platform 如何利用 Azure 子网委派?

当环境 Power Platform 分派了委派的 Azure 子网时,它使用 Azure 虚拟网络注入在运行时将容器注入委派子网中。 在此流程中,容器的网络接口卡 (NIC) 从委派的子网分配一个 IP 地址。 主机 (Power Platform) 和容器之间的通信通过容器上的本地端口实现,而流量流经 Azure Fabric。

我能否利用 Power Platform 的现有虚拟网络?

是,只要专门将虚拟网络内的单个新子网委派到 Power Platform,就可以利用 Power Platform 的现有虚拟网络。 请务必注意,此委派子网不应托管任何其他服务。

如果我的 Power Platform 环境位于加拿大,是否可以使用美国东部 2 作为故障转移?

为了确保进行适当的故障转移,必须分别在加拿大中部加拿大东部预配主要子网和故障转移子网。 为了有效地进行故障转移,必须分别在加拿大中部加拿大东部区域中创建主要子网和故障转移子网。 此外,如果您想要支持与 useast2 区域中资源的连接,还应在主要虚拟网络和故障转移虚拟网络(包括 useast2 区域中的虚拟网络)之间建立虚拟网络对等互连。

什么是 Dataverse 插件?

Dataverse 插件是可部署到 Power Platform 环境中的一段自定义代码。 此插件可以配置为在事件期间运行(例如数据中的更改),或作为自定义 API 触发。 了解详细信息:Dataverse 插件

Dataverse 插件如何运行?

Dataverse 插件在容器内运行。 当为 Power Platform 环境分配委派的子网时,该子网的地址空间中的 IP 地址会分配到容器的网络接口卡 (NIC)。 主机 (Power Platform) 和容器之间的通信通过容器上的本地端口实现,而流量流经 Azure Fabric。

多个插件是否可以在同一容器内运行?

是的。 在给定 Power Platform 或 Dataverse 环境中,多个插件确实可以在同一容器内运行。 每个容器占用子网地址空间中的一个 IP 地址,每个容器可以运行多个请求。

基础结构如何处理并行插件执行增加?

随着并行插件执行数量的增加,基础结构会自动进行缩放(横向缩减或横向扩展)以容纳负荷。 委派到 Power Platform 环境的子网应具有足够的地址空间,以便处理该 Power Platform 环境中工作负荷的峰值执行量。

谁控制虚拟网络及其关联的网络策略?

作为客户,您拥有对虚拟网络及其关联网络策略的所有权和控制权。 另一方面,Power Platform 利用该虚拟网络内从委派子网中分配的 IP 地址。

Azure 感知插件支持虚拟网络吗?

否, Azure 感知插件不支持虚拟网络。

后续步骤

设置虚拟网络支持