Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Obs!
Power Platform Virtual Network-fellesskapet på Microsoft Viva Engage er tilgjengelig. Du kan legge inn eventuelle spørsmål eller tilbakemeldinger du har om denne funksjonaliteten. Du kan bli med ved å fylle ut en forespørsel via følgende skjema: Request-tilgang til Finance and Operations Viva Engage Community.
Ved å bruke Azure Virtual Network støtte for Power Platform, kan du integrere Power Platform med ressurser i det virtuelle nettverket uten å eksponere dem via offentlig Internett. Virtual Network bruker Azure delnettdelegering til å administrere utgående trafikk fra Power Platform under kjøring. Ved hjelp av Azure delnettdelegering trenger ikke beskyttede ressurser å være tilgjengelige via Internett for å integrere med Power Platform. Ved hjelp av virtuell nettverksstøtte kan Power Platform-komponenter ringe ressurser som eies av bedriften i nettverket, enten de driftes i Azure eller lokalt, og bruke plugin-moduler og koblinger til å foreta utgående anrop.
Power Platform integreres vanligvis med bedriftsressurser over offentlige nettverk. Med offentlige nettverk må virksomhetsressurser være tilgjengelige fra en liste over Azure IP-områder eller tjenestekoder, som beskriver offentlige IP-adresser. Azure Virtual Network støtte for Power Platform lar deg imidlertid bruke et privat nettverk og still integrere med skytjenester eller tjenester som driftes i bedriftsnettverket.
Azure tjenester er beskyttet i en Virtual Network av private endepunkter. Du kan bruke Express Route til å hente lokale ressurser inn i Virtual Network.
Power Platform bruker Virtual Network og delnett som du delegerer til å foreta utgående anrop til virksomhetsressurser over det private nettverket for virksomheten. Ved å bruke et privat nettverk trenger du ikke å rute trafikken over det offentlige Internett, noe som kan avsløre virksomhetsressurser.
I en Virtual Network har du full kontroll over utgående trafikk fra Power Platform. Trafikken styres av nettverkspolicyer som nettverksadministratoren bruker på den. Diagrammet nedenfor viser hvordan ressurser i nettverket samhandler med en Virtual Network.
Fordeler med Virtual Network støtte
Ved hjelp av Virtual Network kundestøtte får Power Platform- og Dataverse-komponentene alle benefits som Azure delnettdelegering gir, for eksempel:
Data-beskyttelse: Virtual Network gjør det mulig for Power Platform-tjenester å koble til private og beskyttede ressurser uten å utsette dem for Internett.
No unauthorized access: Virtual Network kobler til ressursene dine uten å trenge IP-områder eller tjenestekoder for Power Platform i tilkoblingen.
Estimering av delnettstørrelse for Power Platform-miljøer
Telemetridata og observasjoner fra det siste året indikerer at produksjonsmiljøer vanligvis krever 25 til 30 IP-adresser, og de fleste brukstilfeller faller innenfor dette området. Basert på denne informasjonen kan du tildele 25 til 30 IP-er for produksjonsmiljøer og 6 til 10 IP-er for miljøer som ikke er i produksjon, for eksempel sandkasse- eller utviklermiljøer. Beholdere som er koblet til Virtual Network bruker primært IP-adresser i delnettet. Når miljøet begynner å bli brukt, oppretter det minst fire beholdere, som dynamisk skaleres basert på anropsvolum, selv om de vanligvis forblir innenfor beholderområdet 10 til 30. Disse beholderne utfører alle forespørsler for sine respektive miljøer og håndterer effektivt parallelle tilkoblingsforespørsler.
Planlegging for flere miljøer
Hvis du bruker det samme delegerte delnettet for flere Power Platform-miljøer, trenger du kanskje en større blokk med klasseløse IP-adresser for interdomeneruting (CIDR). Vurder det anbefalte antallet IP-adresser for produksjons- og ikke-produksjonsmiljøer når du kobler miljøer til én enkelt policy. Hvert delnett reserverer fem IP-adresser, så inkluder disse reserverte adressene i beregningen.
Obs!
Hvis du vil forbedre synligheten i ressursutnyttelsen, arbeider produktteamet med å eksponere delegert IP-forbruk for delnett for virksomhetspolicyer og delnett.
Eksempel på IP-tildeling
Tenk deg en leietaker med to bedriftspolicyer. Den første policyen er for produksjonsmiljøer, og den andre policyen er for miljøer som ikke er i produksjon.
Produksjonsbedriftens politikk
Hvis du har fire produksjonsmiljøer som er knyttet til virksomhetspolicyen, og hvert miljø krever 30 IP-adresser, er den totale IP-tildelingen:
(Fire miljøer x 30 IP-er) + 5 reserverte IP-er = 125 IP-er
Dette scenariet krever en CIDR-blokk på /25, som har kapasitet til 128 IP-adresser.
Ikke-produksjonsvirksomhetspolicy
For en virksomhetspolicy for ikke-utvikling med 20 utvikler- og sandkassemiljøer, og hvert miljø krever 10 IP-adresser, er den totale IP-tildelingen:
(Tjue miljøer x 10 IP-er) + 5 reserverte IP-er = 205 IP-er
Dette scenarioet krever en CIDR-blokk på /24, som har kapasitet for 256 IP-er og har nok plass til å legge til flere miljøer i virksomhetspolicyen.
Scenarioer som støttes
Power Platform støtter Virtual Network for både dataverse plugin-moduler og connectors. Ved hjelp av denne støtten kan du opprette sikret, privat, utgående tilkobling fra Power Platform til ressurser i Virtual Network. Dataverse plugin-moduler og koblinger forbedrer sikkerheten for dataintegrering ved å koble til eksterne datakilder fra Power Apps, Power Automate og Dynamics 365 apper. Du kan for eksempel gjøre følgende:
- Bruk Dataverse plugin-moduler til å koble til skydatakildene, for eksempel Azure SQL, Azure Storage, bloblagring eller Azure Key Vault. Du kan beskytte dataene mot dataeksfiltrasjon og andre hendelser.
- Bruk Dataverse plugin-moduler til å koble til private, endepunktbeskyttede ressurser på en sikker måte i Azure, for eksempel web-API eller ressurser i det private nettverket, for eksempel SQL og Web API. Du kan beskytte dataene mot databrudd og andre eksterne trusler.
- Bruk Virtual Network-støttede koblinger for eksempel SQL Server til å koble til de skybaserte datakildene, for eksempel Azure SQL eller SQL Server, uten å utsette dem for Internett. På samme måte kan du bruke Azure Kø kobling til å etablere sikre tilkoblinger til private, endepunktaktiverte Azure køer.
- Bruk Azure Key Vault kobling til å koble til privat, endepunktbeskyttet Azure Key Vault på en sikker måte.
- Bruk kutomkoblinger til å koble til tjenestene som er beskyttet av private endepunkter i Azure eller tjenester som driftes i det private nettverket.
- Bruk Azure Fillagring til å koble til privat, endepunktaktivert Azure fillagring på en sikker måte.
- Bruk HTTP med Microsoft Entra ID (forhåndsautorisert) til å hente ressurser over virtuelle nettverk på en sikker måte fra ulike nettjenester, godkjent av Microsoft Entra ID eller fra en lokal nettjeneste.
Begrensninger
- Dataverse lavkode-plugin-moduler som bruker koblinger støttes ikke før disse koblingstypene oppdateres til å bruke delnettdelegering.
- Du bruker kopiering, sikkerhetskopiering og gjenoppretting miljø livssyklusoperasjoner på virtuelle nettverksstøttede Power Platform-miljøer. Du kan utføre gjenopprettingsoperasjonen i samme virtuelle nettverk, og på tvers av ulike miljøer, forutsatt at de er koblet til det samme virtuelle nettverket. Gjenopprettingsoperasjonen kan i tillegg utføres fra miljøer som ikke støtter virtuelle nettverk til de som gjør det.
Støttede områder
Før du oppretter Virtual Network- og virksomhetspolicyen, må du validere Power Platform-miljøets område for å sikre at det er i et støttet område. Du kan bruke cmdleten Get-EnvironmentRegion fra PowerShell-modulen for delnettdiagnose til å hente områdeinformasjonen for miljøet.
Når du har bekreftet miljøets område, må du kontrollere at virksomhetspolicyen og Azure ressursene er konfigurert i tilsvarende støttede Azure områder. Hvis power platform-miljøet for eksempel er i Storbritannia, må Virtual Network og delnett være i uksouth og ukwest Azure områder. Hvis et Power Platform-område har mer enn to tilgjengelige områdepar, må du bruke det bestemte områdeparet som samsvarer med miljøets område. Hvis for eksempel Get-EnvironmentRegion returnerer westus for miljøet, må Virtual Network og delnett være i eastus og westus.
| Power Platform-region | Azure område |
|---|---|
| United States | øst-usa, vest-usa |
| Sør-Afrika | sør-afrikanord, sør-afrikavest |
| Storbritannia | sør-storbritannia, vest-storbritannia |
| Japan | japanøst, japanvest |
| India | sentralindia, sørindia |
| Frankrike | francecentral, francesouth |
| Europa | vest-europa, nord-europa |
| Tyskland | Tysklandnord, Tysklandvestsentral |
| Sveits | SveitsNord, SveitsVest |
| Canada | sentral-canada, øst-canada |
| Brasil | brazilsouth |
| Australia | sørøst-australia, øst-australia |
| Asia | øst-asia, sørøst-asia |
| UAE | uaenorth |
| Sør-Korea | koreasouth, koreacentral |
| Norge | norgevest, norgeøst |
| Singapore | southeastasia |
| Sverige | sentra-Sverige |
| Italia | italynorth |
| USAs offentlige sektor | usgovtexas, usgovvirginia |
Obs!
Støtte i US Government Community Cloud (GCC) er for øyeblikket bare tilgjengelig for miljøer distribuert i GCC High. Støtte for Forsvarsdepartementet (DoD) og GCC-miljøer er ikke tilgjengelig.
Støttede tjenester
Tabellen nedenfor viser tjenestene som støtter Azure delnettdelegering for Virtual Network støtte for Power Platform.
| Areal | Power Platform-tjenester | Virtual Network støttetilgjengelighet |
|---|---|---|
| Dataverse | Dataverse-plugin-moduler | Tilgjengelig |
| Koblinger | Tilgjengelig | |
| Koblinger | Tilgjengelig |
Støttede miljøer
Virtual Network støtte for Power Platform er ikke tilgjengelig for alle Power Platform-miljøer. Tabellen nedenfor viser hvilke miljøtyper som støtter Virtual Network.
| Miljøtype | Støttes |
|---|---|
| Produksjon | Ja |
| Default | Ja |
| Sandkasse | Ja |
| Developer | Ja |
| Prøveabonnement | Nei |
| Microsoft Dataverse for Teams | Nei |
Vurderinger for å aktivere Virtual Network støtte for Power Platform Environment
Når du bruker Virtual Network støtte i et Power Platform-miljø, utfører alle støttede tjenester, for eksempel dataverse plugin-moduler og koblinger, forespørsler under kjøring i det delegerte delnettet og er underlagt nettverkspolicyene dine. Anropene til offentlig tilgjengelige ressurser begynner å bryte sammen.
Viktig
Før du aktiverer støtte for det virtuelle miljøet for Power Platform-miljøet, må du kontrollere koden til plugin-modulene og koblingene. Du må oppdatere nettadressene og tilkoblingene for å fungere med privat tilkobling.
En plugin-modul kan for eksempel prøve å koble til en offentlig tilgjengelig tjeneste, men nettverkspolicyen tillater ikke offentlig Internett-tilgang i Virtual Network. Nettverkspolicyen blokkerer anropet fra plugin-modulen. Hvis du vil unngå det blokkerte anropet, kan du være vert for den offentlig tilgjengelige tjenesten i Virtual Network. Hvis tjenesten driftes i Azure, kan du også bruke et privat endepunkt på tjenesten før du slår på Virtual Network støtte i Power Platform-miljøet.
Vanlige spørsmål
Hva er forskjellen mellom en Virtual Network datagateway og Azure Virtual Network støtte for Power Platform?
En Virtual Network datagateway er en administrert gateway som du bruker til å få tilgang til Azure- og Power Platform-tjenester fra Virtual Network uten å måtte konfigurere en lokal datagateway. Gatewayen er for eksempel optimalisert for ETL-arbeidsbelastninger (trekk ut, transformer, last inn) i Power BI- og Power Platform-dataflyter.
Azure Virtual Network støtte for Power Platform bruker en Azure delnettdelegering for Power Platform-miljøet. Delnett brukes av arbeidsbelastninger i Power Platform-miljøet. API-arbeidsbelastninger for Power Platform bruker Virtual Network støtte fordi forespørslene er kortvarige og optimaliserte for et stort antall forespørsler.
Hva er scenarioene der jeg bør bruke Virtual Network støtte for Power Platform og virtual network datagateway?
Virtual Network støtte for Power Platform er det eneste støttede alternativet for alle scenarier for utgående tilkobling fra Power Platform, bortsett fra Power BI og Power Platform-dataflyter.
Power BI og Power Platform-dataflyter fortsetter å bruke virtual network (vNet)-datagateway.
Hvordan sikrer du at et virtuelt nettverksdelnett eller en datagateway fra én kunde ikke brukes av en annen kunde i Power Platform?
Støtte for Virtual Network for Power Platform bruker delegasjon av Azure-underett.
Hvert Power Platform-miljø er koblet til ett virtuelt nettverksdelnett. Bare oppkall fra dette miljøet har tilgang til dette virtuelle nettverket.
Med delegering kan du angi et bestemt delnett for alle Azure plattformer som en tjeneste (PaaS) som må settes inn i det virtuelle nettverket.
Støtter Virtual Network failover i Power Platform?
Ja, du må delegere virtuelle nettverk for begge Azure områder som er knyttet til Power Platform-området. Hvis for eksempel Power Platform-miljøet ditt er i Canada, må du opprette, delegere og konfigurere virtuelle nettverk i CanadaCentral og CanadaEast.
Hvordan kan et Power Platform-miljø i én region koble til ressurser som er lagret i en annen region?
En Virtual Network som er koblet til et Power Platform-miljø, må ligge i Power Platform-miljøets område. Hvis Virtual Network er i et annet område, oppretter du en Virtual Network i Power Platform-miljøets område og bruker Virtual Network node på begge Azure regionens delnettdelegerte virtuelle nettverk for å bygge bro over gapet med Virtual Network i det separate området.
Kan jeg overvåke utgående trafikk fra delegerte delnett?
Ja. Du kan bruke Network Security Group og brannmurer til å overvåke utgående trafikk fra delegerte delnett. Hvis du vil ha mer informasjon, kan du se Monitor Azure Virtual Network.
Kan jeg foreta Internett-bundne oppkall fra programtillegg eller koblinger etter at miljøet er delegert fra et delnett?
Ja. Internett-bundet tilgang er tilgjengelig som standard fra plugin-moduler og koblinger i et delnettdelegert miljø. Vi anbefaler at du legger ved en Azure NAT-gateway til det delegerte delnettet, slik at organisasjonen kan kontrollere og sikre utgående tilgang. Hvis du vil ha mer informasjon, kan du se Anbefalte fremgangsmåter for å sikre utgående tilkoblinger fra Power Platform-tjenester.
Kan jeg oppdatere IP-adresseområdet for delnett etter at det er delegert til Microsoft.PowerPlatform/enterprisePolicies?
Nei, ikke mens funksjonen brukes i miljøet ditt. Du kan ikke endre IP-adresseområdet til delnettet etter at det er delegert til «Microsoft.PowerPlatform/enterprisePolicies». Hvis du gjør dette, blir delegeringskonfigurasjonen ødelagt, og miljøet slutter å fungere. Hvis du vil endre IP-adresseområdet, fjerner du delegeringsfunksjonen fra miljøet, gjør de nødvendige endringene og aktiverer deretter funksjonen for miljøet.
Kan jeg oppdatere DNS-adressen til Virtual Network etter at den er delegert til «Microsoft.PowerPlatform/enterprisePolicies»?
Nei, ikke mens funksjonen brukes i miljøet ditt. Du kan ikke endre DNS-adressen til Virtual Network etter at den er delegert til «Microsoft.PowerPlatform/enterprisePolicies». Hvis du gjør dette, blir ikke endringen plukket opp i konfigurasjonen, og miljøet kan slutte å fungere. Hvis du vil endre DNS-adressen, fjerner du delegeringsfunksjonen fra miljøet, gjør de nødvendige endringene og aktiverer deretter funksjonen for miljøet.
Kan jeg bruke den samme bedriftspolicyen for flere Power Platform-miljøer?
Ja. Du kan bruke den samme bedriftspolicyen for flere Power Platform-miljøer. Det er imidlertid en begrensning at miljøer med tidlig utgivelsessyklus ikke kan brukes med samme bedriftspolicy som andre miljøer.
Min Virtual Network har en egendefinert DNS-konfigurert. Bruker Power Platform min tilpassede DNS?
Ja. Power Platform bruker den egendefinerte DNS-koden som er konfigurert i Virtual Network som inneholder det delegerte delnettet for å løse alle endepunkter. Når du har delegert miljøet, kan du oppdatere plugin-moduler for å bruke riktig endepunkt, slik at egendefinert DNS kan løse dem.
Miljøet har programtillegg fra ISV-er. Kjører disse programtilleggene i det delegerte delnettet?
Ja. Alle plugin-moduler for kunder og ISV-plugin-moduler kan kjøre ved hjelp av delnettet. Hvis ISV-programtilleggene har utgående tilkobling, kan det hende at disse nettadressene må vises i brannmuren.
Mine TLS-sertifikater for lokale endepunkt er ikke signert av den velkjente rotsertifiseringsinstansen. Støtter dere ukjente sertifikater?
Nei. Vi må sørge for at endepunktet fremviser et TLS-sertifikat med hele kjeden. Det går ikke an å legge til den egendefinerte rotsertifiseringsinstansen i listen over velkjente sertifiseringsinstanser.
Hva er det anbefalte oppsettet av et virtuelt nettverk i en leierkonto?
Vi anbefaler ingen spesifikk topologi. Kundene våre bruker imidlertid den Hub-talte nettverkstopologien i Azure.
Er det nødvendig å koble et Azure abonnement til Power Platform-leieren for å aktivere Virtual Network?
Ja, hvis du vil aktivere Virtual Network støtte for Power Platform-miljøer, er det viktig å ha et Azure abonnement som er knyttet til Power Platform-leieren.
Hvordan bruker Power Platform Azure delnettdelegering?
Når et Power Platform-miljø har tilordnet et delegert Azure delnett, bruker det Azure Virtual Network injeksjon til å sette inn beholderen ved kjøring i et delegert delnett. I denne prosessen får et nettverkskort (NIC) for beholderen tildelt en IP-adresse fra det delegerte delnettet. Kommunikasjonen mellom verten (Power Platform) og beholderen skjer gjennom en lokal port på beholderen, og trafikken flyter over Azure Fabric.
Kan jeg bruke en eksisterende Virtual Network for Power Platform?
Ja, du kan bruke en eksisterende Virtual Network for Power Platform, hvis et enkelt, nytt delnett i Virtual Network delegert spesielt til Power Platform. Du må dedikere det delegerte delnettet for delnettdelegering og kan ikke bruke det til andre formål.
Kan jeg bruke det samme delegerte delnettet om igjen i flere bedriftspolicyer?
Nei. Du kan ikke bruke det samme delnettet på nytt i flere virksomhetspolicyer. Hver Power Platform-bedriftspolicy må ha sitt eget unike delnett for delegering.
Hva er en Dataverse-plugin?
Et dataverst programtillegg er en egendefinert kode som du kan distribuere i et Power Platform-miljø. Du kan konfigurere denne plugin-modulen til å kjøre under hendelser (for eksempel en endring i data) eller utløse den som en egendefinert API. Hvis du vil ha mer informasjon, kan du se Dataverse Plugin-moduler.
Hvordan kjører en Dataverse-plugin?
Et Dataverse-programtillegg kjører innenfor en beholder. Når du tilordner et delegert delnett til et Power Platform-miljø, får nettverksgrensesnittkortet (NIC) for beholderen en IP-adresse fra adresseområdet for delnettet. Verten (Power Platform) og beholderen kommuniserer gjennom en lokal port på beholderen, og trafikken flyter over Azure Fabric.
Kan flere programtilleggsmoduler kjøres i samme beholder?
Ja. I et gitt Power Platform- eller Dataverse-miljø kan flere plugin-moduler kjøre i samme beholder. Hver beholder bruker én IP-adresse fra adresseområdet for delnett, og hver beholder kan kjøre flere forespørsler.
Hvordan håndterer infrastrukturen en økning i kjøring av samtidige programmtillegg?
Etter hvert som antall samtidige kjøringer av programtillegg økes, skaleres infrastrukturen automatisk (ut eller inn) for å få plass til belastningen. Delnettet som er delegert til et Power Platform-miljø, bør ha nok adresseområder til å håndtere toppvolumet av utførelser for arbeidsbelastningene i det Power Platform-miljøet.
Hvem kontrollerer Virtual Network og nettverkspolicyer som er knyttet til den?
Du har eierskap og kontroll over Virtual Network og tilhørende nettverkspolicyer. På den annen side bruker Power Platform de tildelte IP-adressene fra det delegerte delnettet i den Virtual Network.
Støtter Azure-oppmerksomme plugin-moduler Virtual Network?
Nei, Azure-klar plug-ins støtter ikke Virtuelt nettverk.
Neste trinn
Sett opp Virtual Network kundestøtte