Panoramica del supporto di Rete virtuale
Il supporto per Rete virtuale di Azure per Power Platform ti consente di eseguire l'integrazione da Power Platform alle risorse all'interno della tua rete virtuale senza esporre le tue risorse su Internet pubblico. Il supporto di Rete virtuale utilizza la delega della subnet di Azure per gestire il traffico in uscita da Power Platform al runtime. L'uso della delega della subnet di Azure evita la necessità che le risorse protette siano disponibili su Internet per l'integrazione con Power Platform. Grazie al supporto della rete virtuale, i componenti possono chiamare risorse di proprietà della tua azienda all'interno della tua rete, indipendentemente dal fatto che siano ospitate in Azure o locale, e utilizzare plug-in e connettori per effettuare chiamate in uscita. Power Platform
Power Platform si integra generalmente con le risorse aziendali su reti pubbliche. Con le reti pubbliche, le risorse aziendali devono essere accessibili da un elenco di intervalli IP o tag del servizio di Azure, che descrivono gli indirizzi IP pubblici. Tuttavia, il supporto per Rete virtuale di Azure per Power Platform ti consente di utilizzare una rete privata e di integrarsi con servizi cloud o servizi ospitati nella rete aziendale.
I servizi di Azure sono protetti in una rete virtuale tramite endpoint privati. Puoi utilizzare Express Route per portare le tue risorse locali all'interno della rete virtuale.
Power Platform utilizza la rete virtuale e la subnet delegata per effettuare chiamate in uscita alle risorse aziendali sulla rete privata aziendale. L'utilizzo di una rete privata elimina la necessità di far uscire il traffico su Internet pubblico, che potrebbe esporre le risorse aziendali.
In una rete virtuale hai il controllo completo sul traffico in uscita da Power Platform. Il traffico è soggetto ai criteri di rete applicati dall'amministratore della rete. Il diagramma seguente mostra come le risorse all'interno della rete interagiscono con una rete virtuale.
Vantaggi del supporto di Rete virtuale
Con il supporto per Rete virtuale i componenti Power Platform e Dataverse ottengono tutti i vantaggi forniti dalla delega della subnet di Azure, ad esempio:
Protezione dei dati: Virtual Network consente ai servizi di Connetti di accedere alle tue risorse private e protette senza esporle a Internet. Power Platform
Nessun accesso non autorizzato: la rete virtuale si connette alle tue risorse senza bisogno di Power Platform intervalli IP o tag di servizio nella connessione.
Scenari supportati
Power Platform abilita il supporto della rete virtuale sia per i plug-in che per i connettori Dataverse. Con questo supporto, puoi stabilire una connettività in uscita sicura, privata da Power Platform alle risorse nella tua rete virtuale. I plug-in e i connettori Dataverse migliorano la sicurezza dell'integrazione dei dati connettendosi a origini dati esterne da Power Apps, Power Automate e app Dynamics 365. È ad esempio possibile:
- Utilizza i plug-in Dataverse per connetterti alle origini dati cloud, ad esempio SQL di Azure, Archiviazione di Azure, Archiviazione BLOB o Azure Key Vault. Puoi proteggere i tuoi dati dall'esfiltrazione di dati e da altri incidenti.
- Utilizza i plug-in Dataverse per connetterti in modo sicuro a risorse private protette da endpoint in Azure, come l'API Web o qualsiasi risorsa nella tua rete privata, come SQL e API Web. Puoi proteggere i tuoi dati da violazioni di dati e altre minacce esterne.
- Utilizza connettori supportati dalla rete virtuale come SQL Server per connetterti in modo sicuro alle tue origini dati ospitate nel cloud, come Azure SQL o SQL Server, senza esporle a Internet. Allo stesso modo, puoi usare il connettore Azure Queue per stabilire connessioni sicure a code di Azure private abilitate per endpoint.
- Utilizza il connettore Azure Key Vault per connetterti in modo sicuro ad Azure Key Vault privato e protetto da endpoint.
- Utilizza connettori personalizzati per Connetti in modo sicuro per i tuoi servizi protetti da endpoint privati in Azure o per i servizi ospitati nella tua rete privata.
- Utilizza Archiviazione file di Azure per Connetti in modo sicuro nell'archiviazione file di Azure privata e abilitata per endpoint.
Limiti
- Dataverse I plug-in con poco codice che utilizzano connettori non saranno supportati finché tali tipi di connettori non verranno aggiornati per utilizzare la delega di subnet.
- Utilizzi operazioni di copia, backup e ripristino del ciclo di vita dell'ambiente su ambienti Power Platform supportati dalla rete virtuale. L'operazione di ripristino può essere eseguita all'interno della stessa rete virtuale, nonché in ambienti diversi, purché siano connessi alla stessa rete virtuale. Inoltre, l'operazione di ripristino è consentita dagli ambienti che non supportano le reti virtuali a quelli che le supportano.
Aree geografiche supportate
Conferma che il tuo ambiente Power Platform e i criteri aziendali si trovino rispettivamente nelle aree geografiche Power Platform e Azure supportate. Ad esempio, se il tuo Power Platform Connetti si trova negli Stati Uniti, la tua rete virtuale e le subnet devono trovarsi nelle regioni di Azure eastus e westus .
| Aree di Power Platform | Area di Azure |
|---|---|
| Stati Uniti | Stati Uniti orientali, Stati Uniti occidentali |
| Sudafrica | eouthafricanorth, southafricawest |
| Regno Unito | Regno Unito meridionale, Regno Unito occidentale |
| Giappone | japaneast, japanwest |
| India | centralindia, southindia |
| Francia | francecentral, francesouth |
| Europa | Europa occidentale, Europa settentrionale |
| Germania | germanynorth, germanywestcentral |
| Svizzera | switzerlandnorth, switzerlandwest |
| Canada | Canada centrale, Canada orientale |
| Brasile | brazilsouth, southcentralus |
| Australia | Australia sud-orientale, Australia orientale |
| Asia | Asia orientale, Asia sud-orientale |
| UAE | uaecentral, uaenorth |
| Corea del Sud | koreasouth, koreacentral |
| Norvegia | norwaywest, norwayeast |
| Singapore | southeastasia |
| Svezia | Svezia centrale |
Servizi supportati
La tabella seguente elenca i servizi che supportano la delega della subnet di Azure per il supporto della rete virtuale per Power Platform.
| Area | Servizi di Power Platform | Disponibilità del supporto di Rete virtuale |
|---|---|---|
| Dataverse | Dataverse plug-in | Generalmente disponibile |
| Connettori | Generalmente disponibile |
Considerazioni su come abilitare il supporto per la rete virtuale per l'ambiente Power Platform
Quando si utilizza il supporto della rete virtuale in a Power Platform ambiente, tutti i servizi supportati, come Dataverse plug-in e connettori, eseguono le richieste in fase di esecuzione nella subnet delegata e sono soggetti ai criteri di rete. Le richieste di risorse disponibili al pubblico inizierebbero a fallire.
Importante
Prima di abilitare il supporto dell'ambiente virtuale per l'ambiente Power Platform, assicurati di controllare il codice dei plug-in e dei connettori. Gli URL e le connessioni devono essere aggiornati per funzionare con la connettività privata.
Ad esempio, un plug-in potrebbe tentare di connettersi a un servizio disponibile pubblicamente, ma i criteri di rete non consentono l'accesso pubblico a Internet all'interno della rete virtuale. La chiamata dal plug-in viene bloccata in base ai criteri di rete. Per evitare la chiamata bloccata, puoi ospitare il servizio disponibile pubblicamente nella tua rete virtuale. In alternativa, se il servizio è ospitato in Azure, puoi usare un endpoint privato nel servizio prima di abilitare il supporto della rete virtuale nell'ambiente Power Platform.
Domande frequenti
Qual è la differenza tra un gateway dati di rete virtuale e il supporto della rete virtuale di Azure per Power Platform?
Il gateway dati di rete virtuale è un gateway gestito che consente di accedere ad Azure e ai servizi Power Platform dall'interno della rete virtuale senza dover configurare un gateway dati locale. Ad esempio, il gateway è ottimizzato per carichi di lavoro ETL (estrazione, trasformazione, caricamento) in Power BI e nei flussi di dati Power Platform.
Il supporto della rete virtuale per Power Platform usa una delega della subnet di Azure per il tuo ambiente Power Platform. Le subnet vengono utilizzate dai carichi di lavoro all'interno dell'ambiente Power Platform. I carichi di lavoro API di Power Platform usano il supporto per la rete virtuale poiché le richieste hanno vita breve e sono ottimizzate per un numero elevato di richieste.
Quali sono gli scenari in cui dovrei utilizzare il supporto della rete virtuale per Power Platform e il gateway dati della rete virtuale?
Il supporto della rete virtuale per Power Platform è l'unica opzione supportata per tutti gli scenari di connettività in uscita da Power Platform eccetto Power BI e Flussi di dati Power Platform.
Power BI e Power Platform i flussi di dati continuano a utilizzare il gateway dati della rete virtuale (vNet).
Come è possibile garantire che una subnet di rete virtuale o un gateway dati di un cliente non venga utilizzato da un altro cliente in Power Platform?
Il supporto della rete virtuale per Power Platform utilizza la delega della subnet di Azure.
Ogni ambiente Power Platform è collegato a una subnet della rete virtuale. Solo le chiamate provenienti da tale ambiente possono accedere alla rete virtuale.
La delega consente di designare una subnet specifica per un servizio PaaS di Azure di tua scelta che deve essere inserito nella tua rete virtuale.
La rete virtuale supporta il failover per Power Platform?
Sì, è necessario delegare una rete virtuale primaria e di failover e subnet durante la configurazione.
Come può un ambiente Power Platform in un'area geografica connettersi alle risorse ospitate in un'altra area geografica?
Una rete virtuale collegata a un ambiente Power Platform deve risiedere nell'area geografica dell'ambiente Power Platform. Se la rete virtuale si trova in un'altra area geografica, crea una nuova rete virtuale nell'area geografica dell'ambiente Power Platform e utilizza peering di rete virtuale per collegare le due aree geografiche.
Posso monitorare il traffico in uscita dalle subnet delegate?
Sì. È possibile utilizzare il gruppo di sicurezza di rete e i firewall per monitorare il traffico in uscita dalle subnet delegate.
Quanti indirizzi IP da delegare richiede Power Platform nella subnet?
Sono necessari almeno 24 Classless Inter-Domain Routing (CIDR) o 255 indirizzi IP nella subnet. Se desideri delegare la stessa subnet a più ambienti, potrebbe essere necessario eseguire più indirizzi IP in quella subnet.
Posso effettuare chiamate via Internet da plug-in o connettori dopo che il mio ambiente è delegato alla subnet?
Sì. È possibile effettuare chiamate legate a Internet da plug-in o connettori, ma la subnet deve essere configurata con un gateway Azure NAT.
Posso aggiornare l'intervallo di indirizzi IP della subnet dopo averlo delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
Nr. Non è possibile modificare l'intervallo di indirizzi IP della subnet dopo averlo delegato a "Microsoft.PowerPlatform/enterprisePolicies".
La mia rete virtuale ha un DNS personalizzato configurato. Power Platform usa il mio DNS personalizzato?
Sì. Power Platform usa il DNS personalizzato configurato all'interno della rete virtuale che contiene la subnet delegata per risolvere tutti gli endpoint. Una volta delegato l'ambiente, puoi aggiornare il plug-in per utilizzare l'endpoint corretto in modo che il tuo DNS personalizzato sia in grado di risolverli.
Il mio ambiente dispone di plug-in forniti dall'ISV. Questi plug-in verranno eseguiti nella subnet delegata?
Sì. Tutti i plug-in del cliente e i plug-in ISV possono essere eseguiti utilizzando la subnet. Se i plug-in ISV dispongono di connettività in uscita, potrebbe essere necessario elencare tali URL nel firewall.
I miei certificati TLS dell'endpoint locale non sono firmati da autorità di certificazione root (CA) note. Sono supportati i certificati sconosciuti?
Nr. Dobbiamo garantire che l'endpoint presenti un certificato TLS con la catena completa. Non è possibile aggiungere la tua CA radice personalizzata al nostro elenco di CA note.
Qual è la configurazione consigliata di una rete virtuale all'interno di un tenant del cliente?
Non consigliamo alcuna topologia specifica. Tuttavia, i nostri clienti utilizzano ampiamente il modello di rete con topologia hub and speak.
È necessario collegare una sottoscrizione di Azure al mio tenant Power Platform per attivare la rete virtuale?
Sì, per abilitare il supporto della rete virtuale per gli ambienti Power Platform, è essenziale avere una sottoscrizione di Azure associata al tenant Power Platform.
In che modo Power Platform utilizza la delega della subnet di Azure?
Quando a un ambiente Power Platform è assegnata una subnet delegata di Azure, usa l'inserimento della rete virtuale di Azure per inserire il contenitore al runtime in una subnet delegata. In questo processo, a una scheda di interfaccia di rete (NIC) del contenitore viene assegnata un indirizzo IP dalla subnet delegata. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico scorre su Azure Fabric.
Posso utilizzare una rete virtuale esistente per Power Platform?
Sì, puoi utilizzare una rete virtuale esistente per Power Platform, purché un'unica nuova subnet nella rete virtuale sia delegata specificamente a Power Platform. È importante notare che questa subnet delegata non deve ospitare altri servizi.
Posso utilizzare Stati Uniti orientali 2 come failover se ho il mio ambiente Power Platform in Canada?
Per garantire un failover corretto, è necessario effettuare il provisioning delle subnet primaria e della subnet di failover rispettivamente in canadacentral e canadaeast. Per un failover efficace, crea la subnet primaria e quella di failover rispettivamente nelle aree canadacentral e canadaeast. Inoltre, se si desidera supportare la connettività con le risorse nella regione useast2 , stabilire il peering della rete virtuale tra la rete virtuale primaria e quella di failover, inclusa la rete virtuale nella regione useast2 .
Cos'è un plug-in Dataverse?
Un plug-in Dataverse è una porzione di codice personalizzato che può essere distribuito in un ambiente Power Platform. Questo plug-in può essere configurato per essere eseguito durante eventi (come una modifica nei dati) o attivato come API personalizzata. Ulteriori informazioni: Plug-in Dataverse
Come viene eseguito un plug-in Dataverse?
Un plug-in Dataverse viene eseguito in un contenitore. Quando a un ambiente Power Platform viene assegnata una subnet delegata, un indirizzo IP dallo spazio degli indirizzi di quella subnet viene allocato alla scheda di interfaccia di rete (NIC) del contenitore. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico scorre su Azure Fabric.
È possibile eseguire più plug-in nello stesso contenitore?
Sì. In un dato ambiente Power Platform o Dataverse, più plug-in possono effettivamente operare all'interno dello stesso contenitore. Ogni contenitore utilizza un indirizzo IP dello spazio degli indirizzi della subnet e ogni contenitore può eseguire più richieste.
In che modo l'infrastruttura gestisce un aumento delle esecuzioni simultanee di plug-in?
All'aumentare del numero di esecuzioni simultanee di plug-in, l'infrastruttura si ridimensiona automaticamente (in entrata o in uscita) in base al carico. La subnet delegata a un ambiente Power Platform deve disporre di spazi di indirizzi sufficienti per gestire il volume di picco delle esecuzioni per i carichi di lavoro in quell'ambiente Power Platform.
Chi controlla la rete virtuale e i criteri di rete ad essa associati?
In qualità di cliente, hai la proprietà e il controllo sulla rete virtuale e sui criteri di rete associati. Power Platform, d'altro canto, utilizza gli indirizzi IP allocati dalla subnet delegata all'interno di quella rete virtuale.
I plug-in compatibili con Azure supportano Rete virtuale?
No, i plug-in compatibili con Azure non supportano Rete virtuale.