Visão geral do suporte à Rede Virtual
Com o suporte do Azure Virtual Network para Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte à Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no tempo de execução. O uso da delegação da Sub-rede do Azure evita a necessidade de que recursos protegidos estejam disponíveis na Internet para integração com o Power Platform. Com suporte à rede virtual, Power Platform os componentes podem chamar recursos de propriedade da sua empresa dentro da sua rede, estejam eles hospedados no Azure ou local, e usar plug-ins e conectores para fazer chamadas de saída.
O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou marcas de serviço, que descrevem endereços IP públicos. No entanto, o suporte à Rede Virtual do Azure para o Power Platform permite que você use uma rede privada e ainda integre-se a serviços de nuvem ou serviços hospedados na rede da sua empresa.
Os serviços do Azure são protegidos em uma Rede Virtual por meio de pontos de extremidade privados. Você pode usar o ExpressRoute para trazer seus recursos locais para dentro da Rede Virtual.
O Power Platform usa a Rede Virtual e as sub-redes que você delegar para fazer chamadas de saída para recursos da empresa pela rede privada da empresa. O uso de uma rede privada elimina a necessidade de rotear o tráfego pela Internet pública, o que poderia expor os recursos da empresa.
Em uma Rede Virtual, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro de sua rede interagem com uma Rede Virtual.
Benefícios do suporte à Rede Virtual
Com o suporte à Rede Virtual, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure fornece, como:
Proteção de dados: A Rede Virtual permite Power Platform que os serviços se conectem aos seus recursos privados e protegidos sem expô-los à Internet.
Sem acesso não autorizado: a Rede Virtual se conecta aos seus recursos sem precisar de Power Platform intervalos de IP ou tags de serviço na conexão.
Cenários com suporte
O Power Platform habilita o suporte à Rede Virtual para plug-ins do Dataverse e conectores. Com esse suporte, você pode estabelecer conectividade de saída segura, privada do Power Platform para recursos de dentro de sua Rede Virtual. Os plug-ins e conectores do Dataverse aprimoram a segurança da integração de dados conectando-se a fontes de dados externas e a aplicativos do Power Apps Power Automate e do Dynamics 365. Por exemplo, você pode:
- Use plug-ins do Dataverse para se conectar às suas fontes de dados na nuvem, como Azure SQL, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Você pode proteger seus dados contra exfiltração dos dados e outros incidentes.
- Use plug-ins do Dataverse para se conectar com segurança a recursos privados protegidos por ponto de extremidade no Azure, como a API Web ou quaisquer recursos em sua rede privada, como SQL e API Web. Você pode proteger seus dados contra violações dados e outras ameaças externas.
- Use conectores compatíveis com rede virtual como o SQL Server para conectar-se com segurança às suas fontes de dados hospedadas na nuvem, como o Azure SQL ou o SQL Server, sem expô-las à Internet. Da mesma forma, você pode usar o conector da Fila do Azure para estabelecer conexões seguras com Filas do Azure privadas habilitadas para ponto de extremidade.
- Use o conector Azure Key Vault para se conectar com segurança ao Azure Key Vault privado protegido por ponto de extremidade.
- Use conectores personalizados para conectar-se com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
- Use o Armazenamento de Arquivos do Azure para conectar-se com segurança ao armazenamento de arquivos do Azure privado habilitado para endpoint.
Limitações
- Dataverse Os plug-ins low-code que usam conectores não são suportados até que esses tipos de conectores sejam atualizados para usar delegação de sub-rede.
- Você usa as operações do ciclo de vida do ambiente copiar, fazer backup e restaurar em ambientes compatíveis da rede virtual do Power Platform. A operação de restauração pode ser executada na mesma rede virtual, bem como em diferentes ambientes, desde que estejam conectados à mesma rede virtual. Além disso, a operação de restauração é permitida de ambientes que não oferecem suporte a redes virtuais para aqueles que o fazem.
Regiões com suporte
Confirme se o ambiente e a política corporativa do Power Platform estão em regiões compatíveis do Power Platform e do Azure. Por exemplo, se seu Power Platform ambiente estiver nos Estados Unidos, sua Rede Virtual e sub-redes deverão estar nas regiões eastus e westus do Azure.
| Região do Power Platform | Região do Azure |
|---|---|
| Estados Unidos | eastus, westus |
| África do Sul | eouthafricanorth, southafricawest |
| Reino Unido | uksouth, ukwest |
| Japão | japaneast, japanwest |
| Índia | centralindia, southindia |
| França | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Alemanha | germanynorth, germanywestcentral |
| Suíça | switzerlandnorth, switzerlandwest |
| Canadá | canadacentral, canadaeast |
| Brasil | brazilsouth, southcentralus |
| Austrália | australiasoutheast, australiaeast |
| Ásia | eastasia, southeastasia |
| EAU | uaecentral, uaenorth |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | norwaywest, norwayeast |
| Cidade de Singapura | southeastasia |
| Suécia | swedencentral |
Serviços com suporte
A tabela a seguir lista os serviços compatíveis com a delegação de sub-rede do Azure para suporte à Rede Virtual para Power Platform.
| Area | Serviços do Power Platform | Disponibilidade de suporte à Rede Virtual |
|---|---|---|
| Dataverse | Dataverse plug-ins | Disponível para o público geral |
| Conectores | Disponível para o público geral |
Considerações para habilitar o suporte de Rede Virtual para o Ambiente do Power Platform
Quando você usa o suporte de rede virtual em um Power Platform ambiente, todos os serviços suportados, como Dataverse plug-ins e conectores, executam solicitações em tempo de execução na sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas para recursos disponíveis publicamente começariam a falhar.
Importante
Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores. As URLs e conexões precisam ser atualizadas para funcionar com conectividade privada.
Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet dentro de sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com sua diretiva de rede. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em sua Rede Virtual. Como alternativa, se o serviço estiver hospedado no Azure, você poderá habilitar um ponto de extremidade privado no serviço antes de habilitar o suporte à Rede Virtual em um ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados de rede virtual e o suporte à Rede Virtual do Azure no Power Platform?
Um gateway de dados da rede virtual é um gateway gerenciado que permite acessar serviços do Azure e do Power Platform de sua rede virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) e fluxos de dados do Power BI e Power Platform.
O suporte à Rede Virtual do Azure no Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, pois as solicitações são de curta duração e otimizadas para um grande número de solicitações.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para o Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
Power BI e Power Platform os fluxos de dados continuam a usar o gateway de dados de rede virtual (vNet).
Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?
O suporte à Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.
A delegação permite designar uma sub-rede específica para qualquer serviço plataforma como serviço (PaaS) do Azure que precise ser injetado na rede virtual.
A Rede Virtual é compatível com o failover de suporte do Power Platform?
Sim, você precisa delegar uma rede virtual primária e de failover e sub-redes durante a instalação.
Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?
Uma Rede Virtual vinculada a um ambiente do Power Platform deve residir nas regiões do ambiente do Power Platform. Se a Rede Virtual estiver em uma região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use emparelhamento de Rede Virtual para fazer a ponte entre as duas regiões.
Posso monitorar o tráfego de saída das sub-redes delegadas?
Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas.
Quantos endereços IP o Power Platform precisa para ser delegado na sub-rede?
Você precisa delegar pelo menos 24 Roteamento entre Domínios sem Classificação (CIDR), ou 255 endereços IPs, na sub-rede. Se quiser delegar a mesma sub-rede a vários ambientes, talvez seja necessário mais endereços IPs nessa sub-rede.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois que meu ambiente for delegado por sub-rede?
Sim. É possível fazer chamadas para a Internet a partir de plug-ins ou conectores, mas a sub-rede deve ser configurada com um gateway do Azure NAT.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não. Não é possível alterar o intervalo de endereços IP da sub-rede depois que ela for delegada para "Microsoft.PowerPlatform/enterprisePolicies".
Minha Rede Virtual tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos de extremidade. Depois que o ambiente for delegado, você poderá atualizar os plug-ins para usar o ponto de extremidade correto para que o DNS personalizado possa resolvê-los.
Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.
Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?
Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.
Qual é a configuração recomendada de uma Rede Virtual em um locatário do cliente?
Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente o modelo de rede de topologia hub e spoke.
Vincular uma assinatura do Azure ao meu locatário do Power Platform é necessário para ativar a Rede Virtual?
Sim, para habilitar o suporte de Rede Virtual para ambientes do Power Platform, é essencial ter uma assinatura do Azure associada ao locatário do Power Platform.
Como o Power Platform usa a delegação de sub-rede do Azure?
Quando um ambiente do Power Platform tem uma sub-rede delegada do Azure atribuída, ele usa a injeção de Rede Virtual do Azure para injetar o contêiner em tempo de execução em uma sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contêiner é alocada a um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Posso usar uma Rede Virtual existente para o Power Platform?
Sim, você pode usar uma Rede Virtual existente para o Power Platform, desde que uma única e nova sub-rede dentro da Rede Virtual seja delegada especificamente para o Power Platform. É importante observar que essa sub-rede delegada não deve hospedar outros serviços.
Posso usar o Leste dos EUA 2 como failover se tiver meu ambiente do Power Platform no Canadá?
Para garantir o failover adequado, as sub-redes primária e failover devem ser provisionadas no canadacentral and canadaeast respectively. Para garantir failover efetivo, crie as sub-redes principais e de failover nas regiões canadacentral e canadaeast, respectivamente. Além disso, se você quiser oferecer suporte à conectividade com recursos na região useast2 , estabeleça o peering de rede virtual entre as redes virtuais primária e de failover, incluindo a rede virtual na região useast2 .
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é um trecho de código personalizado que pode ser implantado em um ambiente do Power Platform. Esse plug-in pode ser configurado para ser executado durante eventos (como uma alteração nos dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como um plug-in do Dataverse é executado?
Um plug-in do Dataverse opera dentro de um contêiner. Quando um ambiente do Power Platform recebe uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a Placa de Interface de Rede (NIC) do contêiner. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Vários plug-ins podem ser executados no mesmo contêiner?
Sim. Em um determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem, de fato, operar no mesmo contêiner. Cada contêiner consome um endereço IP do espaço de endereço da sub-rede e cada contêiner pode executar várias solicitações.
Como a infraestrutura lida com um aumento nas execuções simultâneas de plug-in?
À medida que o número de execuções simultâneas de plug-in aumenta, a infraestrutura é dimensionada automaticamente (para fora ou para dentro) para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para lidar com o volume de pico de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as diretivas de rede associadas a ela?
Como cliente, você tem propriedade e controle sobre a Rede Virtual e suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual?
Não, os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual.