Přehled podpory Virtual Network

S podporou Azure Virtual Network pro Power Platform můžete integrovat Power Platform s prostředky ve vaší virtuální síti, aniž by došlo k jejich odhalení přes veřejný internet. Podpora Virtual Network používá Delegování podsítě Azure pro správu odchozího provozu z Power Platform za běhu. Pomocí delegování podsítě Azure se vyhnete nutnosti mít chráněné prostředky dostupné přes internet pro integraci s Power Platform. Díky podpoře virtuální sítě mohou komponenty Power Platform volat prostředky vlastněné vaším podnikem ve vaší síti, ať už jsou hostované v Azure nebo místní, a používat zásuvné moduly a konektory k odchozím voláním.

Power Platform se typicky integruje s podnikovými prostředky prostřednictvím veřejných sítí. U veřejných sítí musí být podnikové prostředky přístupné ze seznamu rozsahů Azure IP nebo značek služeb, které popisují veřejné IP adresy. Nicméně podpora Azure Virtual Network pro Power Platform vám umožňuje používat privátní síť a přesto integrovat s cloudovými službami nebo službami hostovanými v rámci vaší podnikové sítě.

Služby Azure jsou chráněny uvnitř Virtual Network pomocí privátních koncových bodů. Můžete použít expresní trasu k přenesení místních prostředků uvnitř Virtual Network.

Power Platform používá Virtual Network a podsítě, které delegujete, k provádění odchozích volání do podnikových prostředků prostřednictvím podnikové privátní sítě. Použití privátní sítě eliminuje potřebu směrovat provoz přes veřejný internet, což by mohlo odhalit podnikové prostředky.

Ve Virtual Network máte plnou kontrolu nad odchozím provozem z Power Platform. Provoz podléhá síťovým zásadám aplikovaným správcem sítě. Následující schéma ukazuje, jak prostředky uvnitř vaší sítě interagují s Virtual Network.

Screenshot znázorňující, jak prostředky uvnitř podnikové sítě interagují s Virtual Network.

Výhody podpory Virtual Network

S podporou Virtual Network získají vaše komponenty Power Platform a Dataverse všechny výhody, které delegování podsítě Azure poskytuje, jako je:

  • Ochrana dat: Virtuální síť umožňuje Power Platform službám připojit se k vašim soukromým a chráněným zdrojům, aniž by byly vystaveny internetu.

  • Žádný neautorizovaný přístup: Virtuální síť se připojí k vašim zdrojům, aniž by při připojení potřebovala Power Platform rozsahy IP nebo servisní značky.

Podporované scénáře

Power Platform umožňuje podporu Virtual Network pro moduly plug-in a konektory Dataverse. S touto podporou můžete vytvořit zabezpečené, soukromé, odchozí připojení z Power Platform k prostředkům ve vaší Virtual Network. Moduly plug-in a konektory Dataverse zvyšují zabezpečení integrace dat připojením k externím zdrojům dat z aplikací Power Apps, Power Automate a Dynamics 365. Umožňují například následující:

  • Pomocí modulů plug-in Dataverse se můžete připojit ke cloudovým zdrojům dat, jako je Azure SQL, Azure Storage, úložiště objektů blob nebo Azure Key Vault. Svá data můžete chránit před exfiltrací a dalšími incidenty.
  • Pomocí modulů plug-in Dataverse se bezpečně připojíte k soukromým prostředkům chráněným koncovým bodem v Azure, jako je webové rozhraní API nebo jakékoli prostředky v rámci vaší privátní sítě, jako je SQL nebo webové rozhraní API. Svá data můžete chránit před proniknutím jejich ochranou a dalšími externími hrozbami.
  • Použijte konektory podporované virtuální sítí jako je SQL Server pro bezpečné připojení ke zdrojům dat hostovaným v cloudu, např. jako Azure SQL nebo SQL Server, aniž by byly vystaveny internetu. Podobně můžete použít konektor Azure Queue k navázání zabezpečených připojení k soukromým frontám Azure Queue s povoleným koncovým bodem.
  • Pomocí konektoru Azure Key Vault se můžete bezpečně připojte k soukromému úložišti Azure Key Vault chráněnému koncovým bodem.
  • Použijte vlastní konektory k bezpečnému připojení k vašim službám, které jsou chráněny privátními koncovými body v Azure nebo službami, které jsou hostované ve vaší privátní síti.
  • Použijte Azure File Storage k bezpečnému připojení k soukromému úložišti souborů Azure s povoleným koncovým bodem.

Omezení

  • Dataverse s minimálním psaním kódu plug-iny které používají konektory nejsou podporovány, dokud nebudou tyto typy konektorů aktualizovány tak, aby používaly delegování podsítě.
  • Používáte operace kopírování, zálohování a obnovy životního cyklu prostředí v prostředí Power Platform s podporou virtuální sítě. Operaci obnovení lze provést v rámci stejné virtuální sítě a také v různých prostředích za předpokladu, že jsou připojeni ke stejné virtuální síti. Operace obnovy je navíc přípustná z prostředí, která nepodporují virtuální sítě, do těch, která je podporují.

Podporované oblasti

Ujistěte se, že prostředí Power Platform a podnikové zásady jsou v podporovaných oblastech Power Platform a Azure. Pokud je například vaše Power Platform prostředí ve Spojených státech, pak vaše virtuální síť a podsítě musí být v eastus a westus Azurové oblasti.

Oblast Power Platform Oblast Azure
USA eastus, westus
Jihoafrická republika eouthafricanorth, southafricawest
Spojené království uksouth, ukwest
Japonsko japaneast, japanwest
Indie centralindia, southindia
Francie francecentral, francesouth
Evropě westeurope, northeurope
Německo germanynorth, germanywestcentral
Švýcarsko switzerlandnorth, switzerlandwest
Kanada canadacentral, canadaeast
Brazílie brazilsouth, southcentralus
Austrálie australiasoutheast, australiaeast
Asie eastasia, southeastasia
UAE uaecentral, uaenorth
Korea koreasouth, koreacentral
Nersko norwaywest, norwayeast
Singapur southeastasia
Švédsko swedencentral

Podporované služby

V následující tabulce jsou uvedeny služby, které podporují delegování podsítě Azure v rámci podpory Virtual Network pro Power Platform.

Plocha Služby Power Platform Dostupnost podpory Virtual Network
Dataverse Dataverse zásuvné moduly Obecně dostupné
Spojnice Obecně dostupné

Důležité informace o povolení podpory Virtual Network v prostředí Power Platform

Když používáte podporu virtuální sítě v Power Platform prostředí, všechny podporované služby, jako jsou Dataverse zásuvné moduly a konektory, provádějí požadavky za běhu ve vaší delegované podsíti a podléhají vašim síťovým zásadám. Volání po veřejně dostupných prostředcích by se začala rozpadat.

Důležité

Než povolíte podporu virtuálního prostředí Power Platform, nezapomeňte zkontrolovat kód modulů plug-in a konektorů. Adresy URL a připojení je třeba aktualizovat, aby fungovaly se soukromým připojením.

Modul plug-in se například může pokusit připojit k veřejně dostupné službě, ale vaše síťové zásady nepovolují veřejný přístup k internetu ve Virtual Network. Volání z modulu plug-in je blokováno v souladu s vašimi síťovými zásadami. Chcete-li se vyhnout blokovanému volání, ve Virtual Network můžete hostovat veřejně dostupnou službu. Alternativně, pokud je vaše služba hostována v Azure, můžete použít privátní koncový bod ve službě, než zapněte podporu Virtual Network v prostředí Power Platform.

Často kladené dotazy

Jaký je rozdíl mezi bránou dat virtuální sítě a podporou Azure Virtual Network pro Power Platform?

Brána dat virtuální sítě je spravovaná brána, která umožňuje přistupovat k službám Azure a Power Platform z vaší virtuální sítě bez nutnosti nastavovat místní bránu dat. Brána je například optimalizována pro úlohy ETL (extrakce, přenos, načtení) v tocích dat Power BI a Power Platform.

Podpora Azure Virtual Network pro Power Platform používá delegování podsítě Azure pro vaše prostředí Power Platform. Podsítě jsou využívány úlohami v prostředí Power Platform. Úlohy rozhraní API pro Power Platform používají podporu Virtual Network, protože požadavky jsou krátkodobé a jsou optimalizovány pro velký počet požadavků.

V jakých situacích bych měl používat podporu Virtual Network pro Power Platform a pro bránu dat virtuální sítě?

Podpora služby Virtual Network pro Power Platform je jedinou podporovanou možností ve všech situacích odchozího připojení z Power Platform kromě Power BI a datových toků Power Platform.

Power BI a Power Platform toky dat budou nadále používat datovou bránu virtuální sítě (vNet).

Jak můžete zajistit, aby podsíť virtuální sítě nebo brána dat jednoho zákazníka nebyla používána jiným zákazníkem v Power Platform?

  • Podpora Virtual Network pro Power Platform používá delegování podsítě Azure.

  • Každé prostředí Power Platform je propojeno s jednou podsítí virtuální sítě. K této virtuální síti mají povolen přístup pouze volání z tohoto prostředí.

  • Delegování umožňuje určit konkrétní podsíť pro libovolnou platformu jako službu (PaaS) Azure, kterou chcete vložit do virtuální sítě.

Podporuje Virtual Network pro Power Platform převzetí služeb při selhání?

Ano, během instalace musíte delegovat primární virtuální síť a virtuální síť pro převzetí služeb při selhání a podsítě.

Jak se může prostředí Power Platform v jedné oblasti připojit ke zdrojům hostovaným v jiné oblasti?

Služba Virtual Network propojená s prostředím Power Platform se musí nacházet v oblasti prostředí Power Platform. Pokud se Virtual Network nachází v jiné oblasti, vytvořte novou Virtual Network v oblasti prostředí Power Platform a použijte partnerský vztah Virtual Network k přemostění dvou oblastí.

Mohu monitorovat odchozí provoz z delegovaných podsítí?

Ano. K monitorování odchozího provozu z delegovaných podsítí můžete použít National Security Group a brány firewall.

Kolik IP adres vyžaduje Power Platform, aby mohla být delegována v podsíti?

V podsíti musíte delegovat alespoň 24 mezidoménových směrování bez tříd (CIDR) nebo 255 IP adres. Chcete-li delegovat stejnou podsíť do více prostředí, možná budete v této podsíti potřebovat více IP adres.

Mohu uskutečňovat hovory přes internet z modulů plug-in nebo konektorů poté, co je moje prostředí delegováno na podsíť?

Ano. Prostřednictvím modulů plug-in nebo konektorů můžete uskutečňovat hovory přes internet, ale podsíť musí být nakonfigurována s bránou Azure NAT bránou.

Mohu aktualizovat rozsah IP adres podsítě poté, co je delegován na "Microsoft.PowerPlatform/enterprisePolicies"?

Č. Rozsah IP adres podsítě nelze změnit poté, co byla delegována na "Microsoft.PowerPlatform/enterprisePolicies."

Moje Virtual Network má nakonfigurovánu vlastní DNS. Používá Power Platform můj vlastní DNS?

Ano. Power Platform používá vlastní DNS nakonfigurovanou ve Virtual Network, která obsahuje delegovanou podsíť, k rozpoznání všech koncových bodů. Jakmile je prostředí delegováno, můžete aktualizovat moduly plug-in, aby používaly správný koncový bod, aby je vaše vlastní DNS dokázala rozpoznat.

Moje prostředí má moduly plug-in poskytnuté nezávislým výrobcem softwaru. Běžely by tyto moduly plug-in v delegované podsíti?

Ano. Všechny zákaznické moduly plug-in a moduly ISV lze spustit pomocí vaší podsítě. Pokud mají moduly plug-in ISV odchozí připojení, může být nutné, aby tyto adresy URL byly uvedeny ve vaší bráně firewall.

Moje certifikáty TLS místního koncového bodu nejsou podepsány známými kořenovými certifikačními autoritami (CA). Podporujete neznámé certifikáty?

Č. Musíme zajistit, aby koncový bod předkládal certifikát TLS s celým řetězcem. Není možné přidat vlastní kořenovou CA do našeho seznamu známých CA.

Nedoporučujeme žádnou konkrétní topologii. Naši zákazníci však široce využívají model sítě s topologií rozbočovačů a paprsků.

Je k aktivaci služby Virtual Network nutné propojení předplatného Azure s mým klientem Power Platform?

Ano, pro aktivaci podpory služby Virtual Network v prostředí Power Platform je nezbytné předplatné Azure propojené s klientem Power Platform.

Jak Power Platform využívá delegování podsítě Azure?

Když má prostředí Power Platform přiřazenu delegovanou podsíť Azure, používá injektáž Azure Virtual Network pro vložení kontejneru za běhu do delegované podsítě. Během tohoto procesu je kartě síťového rozhraní (NIC) kontejneru přidělena adresa IP z delegované podsítě. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.

Mohu využít existující Virtual Network pro Power Platform?

Ano, můžete využít existující Virtual Network pro Power Platform, pokud je jedna nová podsíť v rámci služby Virtual Network delegována konkrétně na Power Platform. Je důležité vědět, že tato delegovaná podsíť nesmí hostovat žádné další služby.

Mohu použít US East 2 jako převzetí služeb při selhání, pokud mám své prostředí Power Platform v Kanadě?

Aby bylo zajištěno správné převzetí služeb při selhání, musí být primární a záložní podsítě zřízeny v oblastech canadacentral a canadaeast. Aby bylo zajištěno efektivní převzetí služeb při selhání, vytvořte primární a záložní podsítě v oblastech canadacentral a canadaeast. Pokud navíc chcete podporovat konektivitu se zdroji v oblasti useeast2 , zřiďte partnerský vztah virtuální sítě mezi primární virtuální sítí a virtuální sítí s podporou převzetí služeb při selhání, včetně virtuální sítě v useeast2 region.

Co je modul plug-in Dataverse?

Modul plug-in Dataverse je kousek vlastního kódu, který lze nasadit do prostředí Power Platform. Tento modul plug-in lze nakonfigurovat tak, aby se spouštěl během událostí (jako je změna dat) nebo jako vlastní rozhraní API. Další informace: Moduly plug-in Dataverse

Jak se spustí modul plug-in Dataverse?

Modul plug-in Dataverse funguje v kontejneru. Když je prostředí Power Platform přiřazena delegovaná podsíť, IP adresa z adresního prostoru této podsítě je přidělena kartě síťového rozhraní (NIC) kontejneru. Komunikace mezi hostitelem (Power Platform) a kontejnerem probíhá přes místní port na kontejneru a provoz proudí přes Azure Fabric.

Může v jednom kontejneru běžet více modulů plug-in?

Ano. V daném prostředí Power Platform nebo Dataverse může v rámci stejného kontejneru skutečně fungovat více modulů plug-in. Každý kontejner spotřebovává jednu IP adresu z adresního prostoru podsítě a každý kontejner může provádět více požadavků.

Jak infrastruktura zvládá nárůst souběžných spouštění modulů plug-in?

Jak se zvyšuje počet souběžných spuštění modulů plug-in, infrastruktura se automaticky škáluje (ven nebo dovnitř), aby zvládala zatížení. Podsíť delegovaná na prostředí Power Platform by měla mít dostatečný adresní prostor, aby v tomto prostředí Power Platform zvládla maximální počet spuštění.

Kdo řídí službu Virtual Network a síťové zásady s ní spojené?

Jako zákazník máte vlastnictví a kontrolu nad službou Virtual Network a s ní souvisejícími síťovými zásadami. Oproti tomu Power Platform využívá přidělené IP adresy z delegované podsítě v rámci této Virtual Network.

Podporují moduly plug-in pro Azure Virtual Network?

Ne, moduly plug-in pro Azure nepodporují Virtual Network.

Další kroky

Nastavte podporu virtuální sítě