Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota
La comunidad de Power Platform Virtual Network está disponible en Microsoft Viva Engage. Puede publicar cualquier pregunta o comentario que tenga sobre esta funcionalidad. Puede unirse rellenando una solicitud mediante el siguiente formulario: Solicitar el acceso a la Comunidad Viva Engage de Finanzas y Operaciones.
Al usar el soporte de Azure Virtual Network para Power Platform, puede integrar Power Platform con recursos dentro de su red virtual sin exponerlos a través de la red pública de Internet. Virtual Network soporte usa Azure delegación de subred para administrar el tráfico saliente de Power Platform en tiempo de ejecución. Al usar Azure delegación de subred, no es necesario que los recursos protegidos estén disponibles a través de Internet para integrarse con Power Platform. Mediante el uso de la compatibilidad con redes virtuales, los componentes de Power Platform pueden llamar a recursos propiedad de su empresa dentro de la red, tanto si se hospedan en Azure como en el entorno local, y usar complementos y conectores para realizar llamadas salientes.
Power Platform normalmente se integra con recursos empresariales a través de redes públicas. Con las redes públicas, los recursos empresariales deben ser accesibles desde una lista de Azure intervalos IP o etiquetas de servicio, que describen las direcciones IP públicas. Sin embargo, el soporte de Azure Virtual Network para Power Platform permite usar una red privada y aún integrar servicios en la nube o servicios hospedados dentro de la red empresarial.
Los servicios de Azure están protegidos dentro de una Red Virtual mediante puntos de conexión privados. Puede usar Express Route para traer los recursos locales dentro del Virtual Network.
Power Platform usa la Virtual Network y las subredes que delega para realizar llamadas salientes a recursos empresariales a través de la red privada empresarial. Mediante el uso de una red privada, no es necesario enrutar el tráfico a través de la red pública de Internet, lo que podría exponer los recursos empresariales.
En una red virtual, tiene control total sobre el tráfico saliente de Power Platform. El tráfico está sujeto a las políticas de red aplicadas por su red Administrador. En el diagrama siguiente se muestra cómo interactúan los recursos dentro de la red con un Virtual Network.
Ventajas del soporte técnico de Virtual Network
Con la compatibilidad con Virtual Network, los componentes de Power Platform y Dataverse obtienen todos los beneficios que proporciona la delegación de subred de Azure, como:
Data protection: Virtual Network permite que los servicios de Power Platform se conecten a los recursos privados y protegidos sin exponerlos a Internet.
No acceso no autorizado: Virtual Network se conecta con tus recursos sin necesidad de rangos IP de Power Platform ni de etiquetas de servicio en la conexión.
Estimación del tamaño de subred para entornos de Power Platform
Los datos de telemetría y las observaciones del año pasado indican que los entornos de producción normalmente requieren de 25 a 30 direcciones IP, con la mayoría de los casos de uso que se encuentran dentro de este intervalo. En función de esta información, asigne de 25 a 30 direcciones IP para entornos de producción y de 6 a 10 direcciones IP para entornos que no sean de producción, como entornos de espacio aislado o de desarrollador. Los contenedores conectados a la Virtual Network usan principalmente direcciones IP dentro de la subred. Cuando se inicia el uso del entorno, crea un mínimo de cuatro contenedores, que se escalan dinámicamente en función del volumen de llamadas, aunque normalmente permanecen dentro del intervalo de 10 a 30 contenedores. Estos contenedores ejecutan todas las solicitudes de sus respectivos entornos y controlan eficazmente las solicitudes de conexión paralelas.
Planear para varios entornos
Si usa la misma subred delegada para varios entornos de Power Platform, es posible que necesite un bloque mayor de direcciones IP de enrutamiento entre dominios (CIDR) sin clases. Tenga en cuenta el número recomendado de direcciones IP para entornos de producción y no producción al vincular entornos a una sola directiva. Cada subred reserva cinco direcciones IP, por lo que incluye estas direcciones reservadas en la estimación.
Nota
Para mejorar la visibilidad del uso de recursos, el equipo de producto está trabajando para exponer el consumo de direcciones IP de subred delegada para las directivas y subredes empresariales.
Asignación de IP de ejemplo
Considere un inquilino con dos directivas empresariales. La primera directiva es para entornos de producción y la segunda es para entornos que no son de producción.
Política de empresas de producción
Si tiene cuatro entornos de producción asociados a su política empresarial y cada entorno requiere 30 direcciones IP, la asignación total de direcciones IP es:
(Cuatro entornos x 30 DIRECCIONES IP) + 5 direcciones IP reservadas = 125 DIRECCIONES IP
Este escenario requiere un bloque CIDR de /25, que tiene capacidad para 128 IP.
Directiva empresarial de no producción
Para una política empresarial no destinada a producción con 20 entornos de desarrollo y sandbox, y cada entorno requiere 10 direcciones IP, la asignación total de IP es:
(Veinte entornos x 10 DIRECCIONES IP) + 5 direcciones IP reservadas = 205 DIRECCIONES IP
Este escenario requiere un bloque CIDR de /24, que tiene capacidad para 256 direcciones IP y tiene suficiente espacio para agregar más entornos a la directiva empresarial.
Escenarios compatibles
Power Platform admite Virtual Network para complementos de Dataverse y conectores. Con esta compatibilidad, puede crear conectividad segura, privada y saliente desde Power Platform a los recursos de la Virtual Network. Los complementos y conectores de Dataverse mejoran la seguridad de la integración de datos mediante la conexión a orígenes de datos externos desde Power Apps, Power Automate y aplicaciones de Dynamics 365. Por ejemplo, puede:
- Use complementos Dataverse para conectarse a los orígenes de datos en la nube, como Azure SQL, Azure Storage, blob Storage o Azure Key Vault. Puede proteger sus datos contra la filtración de datos y otros incidentes.
- Use complementos Dataverse para conectarse de forma segura a recursos privados protegidos por puntos de conexión en Azure, como api web o cualquier recurso de la red privada, como SQL y WEB API. Puede proteger sus datos contra las infracciones de datos y otras amenazas externas.
- Use conectores compatibles con Virtual Network como SQL Server para conectarse de forma segura a los orígenes de datos hospedados en la nube, como Azure SQL o SQL Server, sin exponerlos a Internet. Del mismo modo, puede usar el conector Azure Queue para establecer conexiones seguras a colas privadas de Azure con habilitación de punto de conexión.
- Utilice el Azure Key Vault connector para conectarse de forma segura a un Azure Key Vault protegido por puntos de conexión.
- Use conectores custom para conectarse de forma segura a los servicios protegidos por puntos de conexión privados en Azure o servicios hospedados en la red privada.
- Use Azure File Storage para conectarse de forma segura al almacenamiento de archivos privado de Azure habilitado con puntos de conexión.
- Use HTTP con Microsoft Entra ID (autenticado previamente) para capturar recursos de forma segura a través de redes virtuales de varios servicios web, autenticados por Microsoft Entra ID o desde un servicio web local.
Limitaciones
- No se admiten los complementos con poco código de Dataverse que usan conectores hasta que esos tipos de conectores se actualizan para usar la delegación de subred.
- Utilice operaciones de copia, copia de seguridad y restauración del ciclo de vida del entorno en entornos de Power Platform compatibles con red virtual. Puede realizar la operación de restauración dentro de la misma red virtual y en distintos entornos, siempre que estén conectados a la misma red virtual. Además, la operación de restauración está permitida desde entornos que no admiten redes virtuales hasta aquellos que sí lo hacen.
Regiones compatibles
Antes de crear su Red Virtual y la directiva empresarial, valide la región del entorno de Power Platform para asegurarse de que se encuentra en una región admitida. Puede usar el cmdlet del módulo de diagnóstico de subred de PowerShell para recuperar la información de región del entorno.
Después de confirmar la región del entorno, asegúrese de que la directiva empresarial y los recursos de Azure estén configurados en las regiones de Azure admitidas correspondientes. Por ejemplo, si el entorno de Power Platform está en el Reino Unido, los Virtual Network y las subredes deben estar en las regiones uksouth y ukwest Azure. En caso de que una región de Power Platform tenga más de dos pares de regiones disponibles, debe usar el par de regiones específico que coincida con la región del entorno. Por ejemplo, si Get-EnvironmentRegion devuelve westus para su entorno, los Virtual Network y las subredes deben estar en eastus y westus.
| Región de Power Platform | región de Azure |
|---|---|
| Estados Unidos | este de estados unidos, oeste de estados unidos |
| Sudáfrica | sudáfricanorte, sudáfricaoeste |
| Reino Unido | sur de reino unido, oeste de reino unido |
| Japón | japaneast (Japón Este), japanwest (Japón Oeste) |
| India | India central, India del sur |
| Francia | francecentral, francesouth |
| Europa | oeste de europa, norte de europa |
| Alemania | Alemania Norte, Alemania Centro-Oeste |
| Suiza | suizanorte, suizaoeste |
| Canadá | canadá central, canadá este |
| Brasil | brazilsouth |
| Australia | sudeste de australia, este de Australia |
| Asia | asia oriental, sudeste asiático |
| EAU | uaenorth |
| Corea del Sur | koreasouth, koreacentral |
| Noruega | Noruega oeste, Noruega este |
| Singapur | southeastasia |
| Suecia | suecia central |
| Italia | italynorth |
| Gobierno de Estados Unidos | usgovtexas, usgovvirginia |
Nota
Actualmente, el soporte en la Comunidad Cloud del Gobierno de los Estados Unidos (GCC) solo está disponible para entornos desplegados en GCC High. El soporte para entornos del Departamento de Defensa (DoD) y GCC no está disponible.
Servicios compatibles
En la tabla siguiente se enumeran los servicios que admiten la delegación de subred de Azure para compatibilidad con Virtual Network de Power Platform.
| Región | Servicios de Power Platform | Disponibilidad de soporte técnico de la Red Virtual |
|---|---|---|
| Dataverse | Complementos de Dataverse | Disponible en general |
| Conectores | Disponible en general | |
| Conectores |
|
Disponible en general |
Entornos admitidos
La compatibilidad de Red Virtual con Power Platform no está disponible para todos los entornos de Power Platform. En la tabla siguiente se enumeran los tipos de entorno que admiten Virtual Network.
| Tipo de entorno | Compatible |
|---|---|
| Producción | Sí |
| Predeterminado | Sí |
| Espacio aislado | Sí |
| Developer | Sí |
| Prueba | No |
| Microsoft Dataverse para Teams | No |
Consideraciones para habilitar la compatibilidad de Virtual Network con Power Platform Environment
Cuando se usa la compatibilidad con Virtual Network en un entorno de Power Platform, todos los servicios admitidos, como los complementos y conectores de Dataverse, ejecutan solicitudes en tiempo de ejecución en la subred delegada y están sujetas a las directivas de red. Las llamadas a recursos disponibles públicamente empiezan a fallar.
Importante
Antes de habilitar el soporte del entorno virtual para el entorno de Power Platform, asegúrese de comprobar el código de los complementos y los conectores. Debe actualizar las direcciones URL y las conexiones para trabajar con conectividad privada.
Por ejemplo, un complemento podría intentar conectarse a un servicio disponible públicamente, pero la directiva de red no permite el acceso público a Internet dentro del Virtual Network. La directiva de red bloquea la llamada desde el complemento. Para evitar la llamada bloqueada, puede alojar el servicio disponible públicamente en la red virtual. Como alternativa, si el servicio se hospeda en Azure, puede usar un punto de conexión privado en el servicio antes de activar la compatibilidad con Virtual Network en el entorno de Power Platform.
Preguntas más frecuentes
¿Cuál es la diferencia entre un gateway de datos de Virtual Network y la compatibilidad de Azure Virtual Network con Power Platform?
Una puerta de enlace de datos Virtual Network es una puerta de enlace administrada que se usa para acceder a los servicios de Azure y Power Platform desde su Virtual Network sin tener que configurar una puerta de enlace de datos local. Por ejemplo, la pasarela está optimizada para cargas de trabajo de ETL (extracción, transformación, carga) en Power BI y en los flujos de datos de Power Platform.
La compatibilidad de Azure Virtual Network con Power Platform utiliza una delegación de subred de Azure para el entorno de Power Platform. Las cargas de trabajo en el entorno de Power Platform utilizan subredes. Las cargas de trabajo de la API de Power Platform utilizan la compatibilidad con redes virtuales porque las solicitudes son breves y están optimizadas para manejar un gran volumen de solicitudes.
¿Cuáles son los escenarios en los que debo usar la compatibilidad de Red Virtual con Power Platform y la puerta de enlace de datos de la red virtual?
Virtual Network es compatible con Power Platform y es la única opción admitida para la conectividad saliente en todos los escenarios de Power Platform, excepto Power BI y Flujos de datos de Power Platform.
Power BI y Power Platform dataflows siguen usando puerta de enlace de datos de red virtual (vNet).
¿Cómo puede garantizar que una subred de red virtual o una puerta de enlace de datos de un cliente no la utiliza otro cliente en Power Platform?
La compatibilidad de Red Virtual con Power Platform utiliza la delegación de subred de Azure.
Cada entorno de Power Platform está vinculado a una subred de red virtual. Sólo las llamadas desde ese entorno pueden acceder a esa red virtual.
La delegación permite designar una subred específica para cualquier plataforma como servicio (PaaS) de Azure que se deba insertar en la red virtual.
¿La Red Virtual admite la conmutación por error de Power Platform?
Sí, debe delegar las Redes Virtuales en ambas regiones de Azure asociadas con su región de Power Platform. Por ejemplo, si su entorno de Power Platform está en Canadá, debe crear, delegar y configurar Virtual Networks en CanadaCentral y CanadaEast.
¿Cómo puede un entorno de Power Platform de una región conectarse con recursos hospedados en otra región?
Un Virtual Network vinculado a un entorno de Power Platform debe residir en la región del entorno de Power Platform. Si el Virtual Network se encuentra en otra región, cree un Virtual Network en la región del entorno de Power Platform y use Virtual Network peering en ambas redes virtuales delegadas en la región de Azure para enlazar con el Virtual Network en la región independiente.
¿Puedo monitorear el tráfico de salida de subredes delegadas?
Sí. Puede utilizar el Grupo de seguridad de red y/o firewalls para monitorear el tráfico de salida desde subredes delegadas. Para obtener más información, consulte Monitor Azure Virtual Network.
¿Puedo realizar llamadas vinculadas a Internet desde complementos o conectores después de que mi entorno esté delegado en subred?
Sí. El acceso enlazado a Internet está disponible de forma predeterminada desde complementos y conectores en un entorno delegado de subred. Se recomienda adjuntar una puerta de enlace NAT Azure a la subred delegada para que la organización pueda controlar y proteger el acceso saliente. Para más información, consulte Procedimientos recomendados para proteger las conexiones salientes de los servicios de Power Platform.
¿Puedo actualizar el rango de direcciones IP de la subred después de haberlo delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
No, mientras se utilice la característica en su entorno. No se puede cambiar el rango de direcciones IP de la subred después de delegarla a "Microsoft.PowerPlatform/enterprisePolicies". Si lo hace, la configuración de delegación se romperá y el entorno dejará de funcionar. Para cambiar el intervalo de direcciones IP, quite la característica de delegación de su entorno, realice los cambios necesarios y, a continuación, active la característica para su entorno.
¿Puedo actualizar la dirección DNS de mi Virtual Network después de delegarla en "Microsoft.PowerPlatform/enterprisePolicies"?
No, mientras se utilice la característica en su entorno. No se puede cambiar la dirección DNS del Virtual Network después de delegarla en "Microsoft.PowerPlatform/enterprisePolicies". Si lo hace, el cambio no se recoge en la configuración y es posible que el entorno deje de funcionar. Para cambiar la dirección DNS, quite la característica de delegación de su entorno, realice los cambios necesarios y, a continuación, active la característica para su entorno.
¿Puedo utilizar la misma directiva empresarial para varios entornos de Power Platform?
Sí. Puede utilizar la misma directiva empresarial para varios entornos de Power Platform. Sin embargo, existe una limitación: los entornos de ciclo de lanzamiento anticipado no se pueden utilizar con la misma directiva empresarial que otros entornos.
Mi Virtual Network tiene configurado un DNS personalizado. ¿Power Platform usa mi DNS personalizado?
Sí. Power Platform usa el DNS personalizado configurado en el Virtual Network que contiene la subred delegada para resolver todos los puntos de conexión. Después de delegar el entorno, puede actualizar complementos para usar el punto de conexión correcto para que el DNS personalizado pueda resolverlos.
Mi entorno tiene complementos proporcionados por ISV. ¿Se ejecutarían estos complementos en la subred delegada?
Sí. Todos los complementos de cliente y los complementos de ISV se pueden ejecutar mediante la subred. Si los complementos ISV tienen conectividad saliente, es posible que esas URL deban aparecer en su firewall.
Mis certificados TLS local punto de conexión no están firmados por autoridades de certificación raíz (CA) conocidas. ¿Admite certificados desconocidos?
No. Debemos asegurarnos de que punto de conexión presente un certificado TLS con la cadena completa. No es posible agregar su CA raíz personalizada a nuestra lista de CA conocidas.
¿Cuál es la configuración recomendada de una Red Virtual dentro de la entidad de un cliente?
No recomendamos ninguna topología específica. Sin embargo, nuestros clientes usan ampliamente la topología de red Hub-spoke en Azure.
¿Es necesario vincular una suscripción de Azure a mi inquilino de Power Platform para activar Virtual Network?
Sí, para habilitar la compatibilidad de Red Virtual con entornos de Power Platform, es esencial tener una suscripción de Azure asociada con el inquilino de Power Platform.
¿Cómo utiliza Power Platform la delegación de subred en Azure?
Cuando un entorno de Power Platform tiene asignada una subred Azure delegada, utiliza la inyección de Azure Virtual Network para inyectar el contenedor en tiempo de ejecución dentro de una subred delegada. En este proceso, a una tarjeta de interfaz de red (NIC) del contenedor se le asigna una dirección IP de la subred delegada. La comunicación entre el host (Power Platform) y el contenedor se produce a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Puedo usar una Virtual Network existente para Power Platform?
Sí, puede usar una Red Virtual existente para Power Platform, si una sola subred nueva dentro de la Red Virtual se delega específicamente a Power Platform. Debe dedicar la subred delegada para la delegación de subred y no puede usarla para otros fines.
¿Puedo reutilizar la misma subred delegada en varias directivas empresariales?
No. No se puede reutilizar la misma subred en varias directivas empresariales. Cada directiva empresarial de Power Platform debe tener su propia subred única para la delegación.
¿Qué es un complemento de Dataverse?
Un complemento de Dataverse es un fragmento de código personalizado que puede implementar en un entorno de Power Platform. Puede configurar este complemento para que se ejecute durante eventos (como un cambio en los datos) o desencadenarlo como UNA API personalizada. Para obtener más información, consulte Complementos de Dataverse.
¿Cómo se ejecuta un complemento de Dataverse?
Un complemento de Dataverse se ejecuta dentro de un contenedor. Al asignar una subred delegada a un entorno de Power Platform, la tarjeta de interfaz de red (NIC) del contenedor obtiene una dirección IP del espacio de direcciones de esa subred. El host (Power Platform) y el contenedor se comunican a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Se pueden ejecutar varios complementos dentro del mismo contenedor?
Sí. En un entorno determinado de Power Platform o Dataverse, varios complementos se pueden ejecutar dentro del mismo contenedor. Cada contenedor usa una dirección IP del espacio de direcciones de subred y cada contenedor puede ejecutar varias solicitudes.
¿Cómo maneja la infraestructura un aumento en las ejecuciones simultáneas de complementos?
A medida que aumenta el número de ejecuciones simultáneas de complementos, la infraestructura se escala automáticamente (horizontal o verticalmente) para adaptarse a la carga. La subred delegada a un entorno de Power Platform debe tener suficientes espacios de direcciones para gestionar el volumen máximo de ejecuciones para las cargas de trabajo en ese entorno de Power Platform.
¿Quién controla la Red Virtual y las directivas de red asociadas?
Tiene la propiedad y el control sobre la Virtual Network y sus directivas de red asociadas. Por otro lado, Power Platform usa las direcciones IP asignadas de la subred delegada dentro de ese Virtual Network.
¿Son compatibles los complementos compatibles con Azure con Virtual Network?
No, Azure complementos compatibles no admiten Virtual Network.
Pasos siguientes
Configurar compatibilidad con Virtual Network