Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
È disponibile Power Platform Virtual Network community su Microsoft Viva Engage. È possibile pubblicare qualsiasi domanda o feedback su questa funzionalità. È possibile partecipare compilando una richiesta tramite il modulo seguente: Request access to Finance and Operations Viva Engage Community.
Usando Azure Virtual Network il supporto per Power Platform, è possibile integrare Power Platform con risorse all'interno della rete virtuale senza esporle tramite la rete Internet pubblica. Il supporto per la rete virtuale utilizza la delegazione di subnet di Azure per gestire il traffico in uscita da Power Platform durante l'esecuzione. Usando Azure delega subnet, le risorse protette non devono essere disponibili tramite Internet per l'integrazione con Power Platform. Usando il supporto della rete virtuale, i componenti di Power Platform possono chiamare le risorse di proprietà dell'azienda all'interno della rete, indipendentemente dal fatto che siano ospitate in Azure o in locale e usare plug-in e connettori per effettuare chiamate in uscita.
Power Platform si integra generalmente con le risorse aziendali su reti pubbliche. Con le reti pubbliche, le risorse aziendali devono essere accessibili da un elenco di intervalli IP o tag di servizio Azure, che descrivono gli indirizzi IP pubblici. Il supporto di Azure Virtual Network per Power Platform consente di utilizzare una rete privata e integrare comunque con servizi cloud o servizi ospitati all'interno della rete aziendale.
I servizi Azure sono protetti all'interno di una rete virtuale da endpoint privati. È possibile usare Express Route per trasferire le risorse locali all'interno del Virtual Network.
Power Platform usa le Virtual Network e le subnet delegate per effettuare chiamate in uscita alle risorse aziendali tramite la rete privata aziendale. Usando una rete privata, non è necessario instradare il traffico su Internet pubblico, che potrebbe esporre le risorse aziendali.
In un Virtual Network si ha il controllo completo sul traffico in uscita da Power Platform. Il traffico è soggetto ai criteri di rete applicati dall'amministratore della rete. Il diagramma seguente illustra come le risorse all'interno della rete interagiscono con un Virtual Network.
Vantaggi del supporto Virtual Network
Usando il supporto di Virtual Network, i componenti Power Platform e Dataverse ottengono tutti i vantaggi che la delegazione delle subnet di Azure fornisce, ad esempio:
Protezione dati: Virtual Network consente ai servizi Power Platform di connettersi alle risorse private e protette senza esporle a Internet.
No accesso non autorizzato: Virtual Network si connette alle risorse senza bisogno di intervalli IP o tag di servizio di Power Platform nella connessione.
Stima delle dimensioni della subnet per gli ambienti Power Platform
I dati di telemetria e le osservazioni dell'anno precedente indicano che gli ambienti di produzione richiedono in genere da 25 a 30 indirizzi IP, con la maggior parte dei casi d'uso che rientrano in questo intervallo. In base a queste informazioni, allocare da 25 a 30 indirizzi IP per gli ambienti di produzione e da 6 a 10 indirizzi IP per ambienti non di produzione, ad esempio ambienti sandbox o di sviluppo. I contenitori connessi al Virtual Network usano principalmente gli indirizzi IP all'interno della subnet. Quando l'ambiente inizia a essere usato, crea almeno quattro contenitori, che vengono ridimensionati in modo dinamico in base al volume delle chiamate, anche se in genere rimangono entro l'intervallo da 10 a 30 contenitori. Questi contenitori eseguono tutte le richieste per i rispettivi ambienti ed gestiscono in modo efficiente le richieste di connessione parallele.
Pianificazione per più ambienti
Se si usa la stessa subnet delegata per più ambienti Power Platform, potrebbe essere necessario un blocco più ampio di indirizzi IP CIDR (Classless Inter-Domain Routing). Prendere in considerazione il numero consigliato di indirizzi IP per gli ambienti di produzione e non di produzione quando si collegano gli ambienti a un singolo criterio. Ogni subnet riserva cinque indirizzi IP, quindi includere questi indirizzi riservati nella stima.
Nota
Per migliorare la visibilità sull'utilizzo delle risorse, il team di prodotto sta lavorando per rendere visibile il consumo di IP delle subnet delegate per le politiche aziendali e delle subnet.
Esempio di allocazione IP
Consideriamo un tenant con due criteri aziendali. Il primo criterio è per gli ambienti di produzione e il secondo criterio è per gli ambienti non di produzione.
Criteri aziendali di produzione
Se si dispone di quattro ambienti di produzione associati ai criteri aziendali e ogni ambiente richiede 30 indirizzi IP, l'allocazione ip totale è:
(Quattro ambienti x 30 INDIRIZZI IP) + 5 indirizzi IP riservati = 125 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /25, con capacità per 128 IP.
Politica aziendale di non produzione
Per i criteri aziendali non di produzione con 20 ambienti di sviluppo e sandbox e ogni ambiente richiede 10 indirizzi IP, l'allocazione IP totale è:
(Venti ambienti x 10 INDIRIZZI IP) + 5 indirizzi IP riservati = 205 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /24, che ha capacità per 256 INDIRIZZI IP e ha spazio sufficiente per aggiungere altri ambienti ai criteri aziendali.
Scenari supportati
Power Platform supporta Virtual Network sia per i plug-in di Dataverse sia per i connettori. Usando questo supporto, è possibile creare connettività protetta, privata e in uscita da Power Platform alle risorse all'interno dell'Virtual Network. I plug-in e i connettori dataverse migliorano la sicurezza dell'integrazione dei dati connettendosi a origini dati esterne da Power Apps, Power Automate e app Dynamics 365. È ad esempio possibile:
- Usare i plug-in Dataverse per connettersi alle origini dati cloud, ad esempio Azure SQL, Azure Storage, archiviazione BLOB o Azure Key Vault. Puoi proteggere i tuoi dati dall'esfiltrazione di dati e da altri incidenti.
- Usare i plug-in Dataverse per connettersi in modo sicuro a risorse private protette da endpoint in Azure, ad esempio l'API Web o qualsiasi risorsa all'interno della rete privata, ad esempio SQL e API Web. Puoi proteggere i tuoi dati da violazioni di dati e altre minacce esterne.
- Usare i connettori supportati da Virtual Network come SQL Server per connettersi in modo sicuro alle origini dati ospitate nel cloud, ad esempio Azure SQL o SQL Server, senza esponerle a Internet. Analogamente, è possibile usare il connettore Azure Queue per stabilire connessioni sicure alle code Azure private con endpoint abilitati.
- Usare il connettore Azure Key Vault per connettersi in modo sicuro a un Azure Key Vault privato protetto da endpoint.
- Usare connettori personalizzati per connettersi in modo sicuro ai servizi protetti da endpoint privati in Azure o servizi ospitati all'interno della rete privata.
- Usare Azure File Storage per connettersi in modo sicuro all'archiviazione file privata di Azure con endpoint abilitati.
- Usare HTTP con Microsoft Entra ID (pre-autorizzato) per recuperare in modo sicuro le risorse su reti virtuali da vari servizi Web, autenticati da Microsoft Entra ID o da un servizio Web locale.
Limiti
- I plug-in Dataverse con poco codice che utilizzano connettori non sono supportati finché tali tipi di connettori non vengono aggiornati per utilizzare la delega della subnet.
- Utilizzi operazioni di copia, backup e ripristino del ciclo di vita dell'ambiente su ambienti Power Platform supportati dalla rete virtuale. È possibile eseguire l'operazione di ripristino all'interno della stessa rete virtuale e in ambienti diversi, purché siano connessi alla stessa rete virtuale. Inoltre, l'operazione di ripristino è consentita dagli ambienti che non supportano le reti virtuali a quelli che le supportano.
Aree geografiche supportate
Prima di creare una Virtual Network e i criteri aziendali, verificare la regione dell'ambiente Power Platform per accertarsi che sia una regione supportata. È possibile usare il Get-EnvironmentRegion cmdlet del modulo PowerShell di diagnostica della subnet per recuperare le informazioni sull'area dell'ambiente.
Dopo aver confermato l'area dell'ambiente, verificare che i criteri aziendali e le risorse Azure siano configurati nelle aree Azure supportate corrispondenti. Ad esempio, se l'ambiente Power Platform si trova nel Regno Unito, i Virtual Network e le subnet devono trovarsi nelle aree uksouth e ukwest Azure. Nel caso in cui un'area di Power Platform abbia più di due coppie di aree disponibili, è necessario usare la coppia di aree specifica che corrisponde all'area dell'ambiente. Ad esempio, se Get-EnvironmentRegion restituisce westus per l'ambiente, i Virtual Network e le subnet devono trovarsi in eastus e westus.
| Area geografica di Power Platform | area di Azure |
|---|---|
| United States | Stati Uniti orientali, Stati Uniti occidentali |
| Sudafrica | sudafricanord, sudafricasud |
| Regno Unito | Regno Unito meridionale, Regno Unito occidentale |
| Giappone | Giappone Est, Giappone Ovest |
| India | India centrale, India del sud |
| Francia | francecentral, francesouth |
| Europa | Europa occidentale, Europa settentrionale |
| Germania | Germania Nord, Germania Ovest-Centrale |
| Svizzera | svizzera nord, svizzera ovest |
| Canada | Canada centrale, Canada orientale |
| Brasile | brazilsouth |
| Australia | Australia sud-orientale, Australia orientale |
| Asia | Asia orientale, Asia sud-orientale |
| UAE | uaenorth |
| Corea del Sud | koreasouth, koreacentral |
| Norvegia | norvegiawest, norvegiaeast |
| Singapore | southeastasia |
| Svezia | Svezia centrale |
| Italia | italynorth |
| Governo degli Stati Uniti | usgovtexas, usgovvirginia |
Nota
Il supporto in US Government Community Cloud (GCC) è attualmente disponibile solo per gli ambienti distribuiti in GCC High. Il supporto per gli ambienti DoD (Department of Defense) e GCC non è disponibile.
Servizi supportati
Nella tabella seguente sono elencati i servizi che supportano la delega delle subnet di Azure per il supporto della rete virtuale per Power Platform.
| Area | Servizi di Power Platform | Supporto della disponibilità della rete virtuale |
|---|---|---|
| Dataverse | Plug-in Dataverse | Generalmente disponibile |
| Connettori | Generalmente disponibile | |
| Connettori | Generalmente disponibile |
Ambienti supportati
Il supporto di Virtual Network per Power Platform, non è disponibile per tutti gli ambienti di Power Platform. Nella tabella seguente sono elencati i tipi di ambiente che supportano Virtual Network.
| Tipo di ambiente | Sostenuto |
|---|---|
| Produzione | Yes |
| Default | Yes |
| Sandbox | Yes |
| Developer | Yes |
| Trial | NO |
| Microsoft Dataverse per Teams | NO |
Considerazioni sull'abilitazione del supporto di Virtual Network per l'ambiente Power Platform
Quando si usa Virtual Network supporto in un ambiente Power Platform, tutti i servizi supportati, ad esempio plug-in e connettori Dataverse, eseguono richieste in fase di esecuzione nella subnet delegata e sono soggetti ai criteri di rete. Le richieste di risorse disponibili al pubblico inizierebbero a fallire.
Importante
Prima di abilitare il supporto dell'ambiente virtuale per l'ambiente Power Platform, assicurati di controllare il codice dei plug-in e dei connettori. È necessario aggiornare gli URL e le connessioni per lavorare con la connettività privata.
Ad esempio, un plug-in potrebbe provare a connettersi a un servizio disponibile pubblicamente, ma i criteri di rete non consentono l'accesso a Internet pubblico all'interno del Virtual Network. I criteri di rete bloccano la chiamata dal plug-in. Per evitare la chiamata bloccata, è possibile ospitare il servizio disponibile pubblicamente nella Virtual Network. In alternativa, se il servizio è ospitato in Azure, è possibile usare un endpoint privato nel servizio prima di attivare Virtual Network supporto nell'ambiente Power Platform.
Domande frequenti
Qual è la differenza tra un gateway dati Virtual Network e il supporto Azure Virtual Network per Power Platform?
Un gateway dati Virtual Network è un gateway gestito usato per accedere ai servizi Azure e Power Platform dall'interno del Virtual Network senza dover configurare un gateway dati locale. Ad esempio, il gateway è ottimizzato per carichi di lavoro ETL (estrazione, trasformazione, caricamento) in flussi di dati di Power BI e Power Platform.
Il supporto di Azure Virtual Network per Power Platform utilizza una sottorete delegata di Azure nell'ambiente di Power Platform. Le subnet vengono utilizzate dai carichi di lavoro all'interno dell'ambiente Power Platform. I carichi di lavoro dell'API Power Platform usano Virtual Network supporto perché le richieste sono di breve durata e ottimizzate per un numero elevato di richieste.
Quali sono gli scenari in cui è consigliabile usare il supporto per la rete virtuale per Power Platform e il gateway dati della rete virtuale?
Il supporto di Virtual Network per Power Platform è l'unica opzione supportata per tutti gli scenari per la connettività in uscita da Power Platform ad eccezione di Power BI e dataflows di Power Platform.
Power BI e Power Platform dataflows continuano a usare gateway dati di rete virtuale.
Come è possibile garantire che una subnet di rete virtuale o un gateway dati di un cliente non venga utilizzato da un altro cliente in Power Platform?
Il supporto per Virtual Network per Power Platform utilizza la delega di subnet di Azure.
Ogni ambiente Power Platform è collegato a una subnet della rete virtuale. Solo le chiamate provenienti da tale ambiente possono accedere alla rete virtuale.
La delega consente di designare una subnet specifica per qualsiasi piattaforma distribuita come servizio (PaaS) di Azure che deve essere inserita nella rete virtuale.
Virtual Network supporta il failover di Power Platform?
Sì, è necessario delegare le reti virtuali per entrambe le aree Azure associate all'area di Power Platform. Ad esempio, se l'ambiente Power Platform è in Canada, è necessario creare, delegare e configurare le reti virtuali in CanadaCentral e CanadaEast.
Come può un ambiente Power Platform in un'area geografica connettersi alle risorse ospitate in un'altra area geografica?
Un Virtual Network collegato a un ambiente Power Platform deve trovarsi nell'area dell'ambiente Power Platform. Se la rete virtuale si trova in una regione diversa, creare una rete virtuale nella regione dell'ambiente Power Platform e usare Virtual Network peering in entrambe le reti virtuali delegate della regione Azure per colmare il divario con la rete virtuale nella regione separata.
Posso monitorare il traffico in uscita dalle subnet delegate?
Sì. È possibile utilizzare il gruppo di sicurezza di rete e i firewall per monitorare il traffico in uscita dalle subnet delegate. Per altre informazioni, vedere Monitor Azure Virtual Network.
Posso effettuare chiamate via Internet da plug-in o connettori dopo che il mio ambiente è delegato alla subnet?
Sì. L'accesso destinato a Internet è disponibile per impostazione predefinita da plug-in e connettori in un ambiente con delega di subnet. È consigliabile collegare un gateway NAT Azure alla subnet delegata in modo che l'organizzazione possa controllare e proteggere l'accesso in uscita. Per altre informazioni, vedere Procedure consigliate per la protezione delle connessioni in uscita dai servizi Power Platform.
Posso aggiornare l'intervallo di indirizzi IP della subnet dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non puoi possibile modificare l'intervallo di indirizzi IP della subnet dopo averla delegata a "Microsoft.PowerPlatform/enterprisePolicies". In tal caso, la configurazione della delega non verrà più eseguita e l'ambiente smetterà di funzionare. Per modificare l'intervallo di indirizzi IP, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
È possibile aggiornare l'indirizzo DNS del Virtual Network dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non è possibile modificare l'indirizzo DNS del Virtual Network dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies". In questo caso, la modifica non viene selezionata nella configurazione e l'ambiente potrebbe smettere di funzionare. Per modificare l'indirizzo DNS, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform?
Sì. Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform. Tuttavia, esiste una limitazione per cui gli ambienti con ciclo di rilascio anticipato non possono essere utilizzati con gli stessi criteri aziendali degli altri ambienti.
Il Virtual Network dispone di un DNS personalizzato configurato. Power Platform usa il mio DNS personalizzato?
Sì. Power Platform usa il DNS personalizzato configurato nel Virtual Network che contiene la subnet delegata per risolvere tutti gli endpoint. Dopo aver delegato l'ambiente, è possibile aggiornare i plug-in per usare l'endpoint corretto in modo che il DNS personalizzato possa risolverli.
Il mio ambiente dispone di plug-in forniti dall'ISV. Questi plug-in verranno eseguiti nella subnet delegata?
Sì. Tutti i plug-in dei clienti e i plug-in ISV possono essere eseguiti usando la subnet. Se i plug-in ISV dispongono di connettività in uscita, potrebbe essere necessario elencare tali URL nel firewall.
I miei certificati TLS dell'endpoint locale non sono firmati da autorità di certificazione root (CA) note. Sono supportati i certificati sconosciuti?
Nr. Dobbiamo garantire che l'endpoint presenti un certificato TLS con la catena completa. Non è possibile aggiungere la tua CA radice personalizzata al nostro elenco di CA note.
Qual è la configurazione consigliata di un Virtual Network all'interno di un tenant del cliente?
Non consigliamo alcuna topologia specifica. Tuttavia, i clienti usano ampiamente la topologia di rete Hub-spoke in Azure.
Il collegamento di una sottoscrizione Azure al tenant di Power Platform è necessario per attivare Virtual Network?
Sì, per abilitare Virtual Network supporto per gli ambienti Power Platform, è essenziale avere una sottoscrizione Azure associata al tenant di Power Platform.
In che modo Power Platform usa la delega di subnet Azure?
Quando a un ambiente Power Platform è assegnata una subnet Azure delegata, usa Azure Virtual Network injection per inserire il contenitore in fase di esecuzione in una subnet delegata. In questo processo, a una scheda di interfaccia di rete (NIC) del contenitore viene assegnata un indirizzo IP dalla subnet delegata. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico passa attraverso Azure Fabric.
È possibile usare un Virtual Network esistente per Power Platform?
Sì, è possibile usare un Virtual Network esistente per Power Platform, se una singola subnet all'interno del Virtual Network viene delegata in modo specifico a Power Platform. Devi dedicare la subnet delegata alla delega della subnet e non puoi utilizzarla per altri scopi.
Posso riutilizzare la stessa subnet delegata in più criteri aziendali?
Nr. Non è possibile riutilizzare la stessa subnet in più criteri aziendali. I criteri aziendali Power Platform devono avere una propria subnet univoca per la delega.
Cos'è un plug-in Dataverse?
Un plug-in Dataverse è un frammento di codice personalizzato che è possibile distribuire in un ambiente Power Platform. È possibile configurare questo plug-in per l'esecuzione durante gli eventi (ad esempio una modifica dei dati) o attivarli come API personalizzata. Per altre informazioni, vedere Plug-in Dataverse.
Come viene eseguito un plug-in Dataverse?
Un plugin Dataverse viene eseguito all'interno di un contenitore. Quando si assegna una subnet delegata a un ambiente Power Platform, la scheda di interfaccia di rete del contenitore ottiene un indirizzo IP dallo spazio indirizzi della subnet. L'host (Power Platform) e il contenitore comunicano tramite una porta locale nel contenitore e il traffico passa attraverso Azure Fabric.
È possibile eseguire più plug-in nello stesso contenitore?
Sì. In un determinato ambiente Power Platform o Dataverse, più plug-in possono essere eseguiti all'interno dello stesso contenitore. Ogni contenitore usa un indirizzo IP dallo spazio indirizzi della subnet e ogni contenitore può eseguire più richieste.
In che modo l'infrastruttura gestisce un aumento delle esecuzioni simultanee di plug-in?
All'aumentare del numero di esecuzioni simultanee di plug-in, l'infrastruttura si ridimensiona automaticamente (in entrata o in uscita) in base al carico. La subnet delegata a un ambiente Power Platform deve disporre di spazi di indirizzi sufficienti per gestire il volume di picco delle esecuzioni per i carichi di lavoro in quell'ambiente Power Platform.
Chi controlla il Virtual Network e le politiche di rete ad esso associate?
Si ha la proprietà e il controllo sui Virtual Network e sui criteri di rete associati. D'altra parte, Power Platform usa gli indirizzi IP allocati dalla subnet delegata all'interno di tale Virtual Network.
I plug-in Azure-aware supportano il Virtual Network?
No, i plug-in compatibili con Azure non supportano Virtual Network.
Passaggi successivi
Configura il supporto per la rete virtuale