Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Nota
A comunidade Power Platform Virtual Network no Microsoft Viva Engage está disponível. Você pode postar quaisquer perguntas ou comentários que você tenha sobre essa funcionalidade. Você pode ingressar preenchendo uma solicitação por meio do seguinte formulário: Requestar o acesso ao Finance and Operations Viva Engage Community.
Usando Azure Virtual Network suporte para o Power Platform, você pode integrar o Power Platform a recursos dentro de sua rede virtual sem expô-los pela Internet pública. O suporte de Virtual Network usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform em tempo de execução. Usando a delegação de sub-rede do Azure, os recursos protegidos não precisam estar disponíveis pela internet para se integrarem com o Power Platform. Usando o suporte à rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro de sua rede, sejam eles hospedados em Azure ou no local, e usar plug-ins e conectores para fazer chamadas de saída.
O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos corporativos devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou tags de serviço, que descrevem endereços IP públicos. No entanto, o suporte da Azure Virtual Network para o Power Platform permite que você use uma rede privada e ainda assim se integre a serviços de nuvem ou serviços hospedados em sua rede corporativa.
Os serviços do Azure são protegidos dentro de uma Rede Virtual pelos pontos de extremidade privados. Você pode usar Express Route para colocar seus recursos locais dentro do Virtual Network.
O Power Platform usa o Virtual Network e as sub-redes que você delega para fazer chamadas de saída para recursos corporativos pela rede privada corporativa. Usando uma rede privada, você não precisa rotear o tráfego pela Internet pública, o que pode expor recursos corporativos.
Em um Virtual Network, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro da rede interagem com um Virtual Network.
Benefícios do suporte Virtual Network
Usando o suporte de Virtual Network, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação de sub-rede do Azure fornece, como:
Data protection: Virtual Network permite que os serviços do Power Platform se conectem aos seus recursos privados e protegidos sem expô-los à Internet.
Proibido o acesso não autorizado: A Virtual Network se conecta com seus recursos sem precisar de intervalos de IP do Power Platform ou tags de serviço na conexão.
Estimando o tamanho da sub-rede para ambientes do Power Platform
Dados de telemetria e observações do ano passado indicam que os ambientes de produção normalmente exigem de 25 a 30 endereços IP, com a maioria dos casos de uso caindo dentro desse intervalo. Com base nessas informações, aloque de 25 a 30 IPs para ambientes de produção e de 6 a 10 IPs para ambientes de não produção, como área restrita ou ambientes de desenvolvedor. Os contêineres conectados à Virtual Network usam principalmente endereços IP na sub-rede. Quando o ambiente começa a ser usado, ele cria um mínimo de quatro contêineres, que são dimensionados dinamicamente com base no volume de chamadas, embora normalmente permaneçam dentro do intervalo de 10 a 30 contêineres. Esses contêineres executam todas as solicitações para seus respectivos ambientes e lidam com eficiência com solicitações de conexão paralelas.
Planejamento para vários ambientes
Se você usar a mesma sub-rede delegada para vários ambientes do Power Platform, talvez seja necessário um bloco maior de endereços IP CIDR (roteamento entre domínios sem classe). Considere o número recomendado de endereços IP para ambientes de produção e não produção quando você vincula ambientes a uma única política. Cada sub-rede reserva cinco endereços IP, portanto, inclua esses endereços reservados em sua estimativa.
Nota
Para melhorar a visibilidade da utilização de recursos, a equipe do produto está trabalhando na exposição do consumo de IP de sub-rede delegada para políticas e sub-redes corporativas.
Exemplo de alocação de IP
Considere um locatário com duas políticas corporativas. A primeira política é para ambientes de produção e a segunda é para ambientes de não produção.
Política empresarial de produção
Se você tiver quatro ambientes de produção associados à política corporativa e cada ambiente exigir 30 endereços IP, a alocação total de IP será:
(Quatro ambientes x 30 IPs) + 5 IPs reservados = 125 IPs
Este cenário requer um bloco CIDR de /25, que tem capacidade para 128 IPs.
Política empresarial de não produção
Para uma política de empresa não produtiva com 20 ambientes de desenvolvedores e sandbox, e cada ambiente requer 10 endereços IP, a alocação total de IPs é:
(Vinte ambientes x 10 IPs) + 5 IPs reservados = 205 IPs
Esse cenário requer um bloco CIDR de /24, que tem capacidade para 256 IPs e tem espaço suficiente para adicionar mais ambientes à política corporativa.
Cenários com suporte
O Power Platform dá suporte a Virtual Network para plug-ins do Dataverse e conectores. Usando esse suporte, você pode criar uma conectividade de saída segura e privada do Power Platform para recursos em sua Rede Virtual. Plug-ins e conectores do Dataverse melhoram a segurança de integração de dados conectando-se a fontes de dados externas de aplicativos Power Apps, Power Automate e Dynamics 365. Por exemplo, você pode:
- Use os plug-ins Dataverse para se conectar às fontes de dados de nuvem, como Azure SQL, Azure Storage, armazenamento de blobs ou Azure Key Vault. Você pode proteger seus dados contra exfiltração dos dados e outros incidentes.
- Use os plug-ins Dataverse para se conectar com segurança a recursos privados protegidos por ponto de extremidade em Azure, como a API Web ou quaisquer recursos em sua rede privada, como SQL e API Web. Você pode proteger seus dados contra violações dados e outras ameaças externas.
- Use conectores Virtual Network com suporte como SQL Server para se conectar com segurança às fontes de dados hospedadas na nuvem, como Azure SQL ou SQL Server, sem expô-las à Internet. Da mesma forma, você pode usar o conector Azure Queue para estabelecer conexões seguras com Azure Queues privadas habilitadas para endpoints.
- Use o conector Azure Key Vault para se conectar com segurança ao Azure Key Vault protegido por ponto de extremidade e privado.
- Use conectores personalizados para se conectar com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
- Use Armazenamento de Arquivos do Azure para se conectar com segurança ao armazenamento de arquivos do Azure privado habilitado para ponto de extremidade.
- Use HTTP com Microsoft Entra ID (pré-autenticado) para buscar recursos com segurança por meio de redes virtuais de vários serviços Web, autenticados por Microsoft Entra ID ou de um serviço Web local.
Limitações
- Plug-ins low-code do Dataverse que usam conectores não terão suporte até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
- Você usa as operações do ciclo de vida do ambiente copiar, fazer backup e restaurar em ambientes compatíveis da rede virtual do Power Platform. Você pode executar a operação de restauração na mesma rede virtual e em ambientes diferentes, desde que estejam conectados à mesma rede virtual. Além disso, a operação de restauração é permitida de ambientes que não oferecem suporte a redes virtuais para aqueles que o fazem.
Regiões com suporte
Antes de criar sua política Virtual Network e empresarial, valide a região do ambiente do Power Platform para garantir que ela esteja em uma região com suporte. Você pode usar o Get-EnvironmentRegion cmdlet do módulo do PowerShell para diagnóstico de sub-rede para recuperar as informações da região do seu ambiente.
Depois de confirmar a região do ambiente, verifique se sua política corporativa e Azure recursos estão configurados nas regiões de Azure com suporte correspondentes. Por exemplo, se o ambiente do Power Platform estiver no Reino Unido, seus Virtual Network e sub-redes deverão estar nas regiões uksouth e ukwest Azure. No caso de uma região do Power Platform ter mais de dois pares de região disponíveis, você deve usar o par de região específico que corresponde à região do seu ambiente. Por exemplo, se Get-EnvironmentRegion retornar westus para seu ambiente, suas Virtual Network e sub-redes deverão estar em eastus e westus.
| Região do Power Platform | região do Azure |
|---|---|
| United States | eastus, westus |
| África do Sul | sulafricanorte, sulafricaoeste |
| Reino Unido | uksouth, ukwest |
| Japão | Japão Leste, Japão Oeste |
| Índia | Índia Central, Índia do Sul |
| França | francecentral, francesouth |
| Europa | oeste da Europa, norte da Europa |
| Alemanha | Alemanha Norte, Alemanha Oeste Central |
| Suíça | suíça Norte, suíça Oeste |
| Canadá | canadá central, canadá oriental |
| Brasil | brazilsouth |
| Austrália | sudeste da Austrália, leste da Austrália |
| Ásia | eastasia, sudeste da Ásia |
| UAE | uaenorth |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | noruega oeste, noruega leste |
| Cidade de Singapura | southeastasia |
| Suécia | swedencentral |
| Itália | italynorth |
| Governo dos EUA | usgovtexas, usgovvirginia |
Nota
Atualmente, o suporte na GCC (Nuvem da Comunidade do Governo dos EUA) só está disponível para ambientes implantados no GCC High. O suporte para ambientes do Departamento de Defesa (DoD) e GCC não está disponível.
Serviços com suporte
A tabela a seguir lista os serviços que dão suporte à delegação de sub-rede do Azure para o suporte da Rede Virtual no Power Platform.
| Região | Serviços do Power Platform | disponibilidade de suporte a Rede Virtual |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Disponível para o público geral |
| Conectores | Disponível para o público geral | |
| Conectores | Disponível para o público geral |
Ambientes compatíveis
O suporte de Virtual Network para o Power Platform não está disponível para todos os ambientes Power Platform. A tabela a seguir lista quais tipos de ambiente dão suporte Virtual Network.
| Tipo de ambiente | Suportado |
|---|---|
| Produção | Yes |
| Padrão | Yes |
| Caixa de areia | Yes |
| Desenvolvedor | Yes |
| Avaliação | Não |
| Microsoft Dataverse para Teams | Não |
Considerações para habilitar suporte à Rede Virtual no Ambiente do Power Platform
Ao usar o suporte a Virtual Network em um ambiente do Power Platform, todos os serviços com suporte, como plug-ins e conectores do Dataverse, executam solicitações no tempo de execução na sua sub-rede delegada e estão sujeitos às políticas de rede. As chamadas para recursos disponíveis publicamente começam a falhar.
Importante
Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores. Você precisa atualizar as URLs e as conexões para trabalhar com conectividade privada.
Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet em seu Virtual Network. A política de rede bloqueia a chamada do plug-in. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em seu Virtual Network. Como alternativa, se o seu serviço estiver hospedado no Azure, você pode usar um ponto de extremidade privado no serviço antes de ativar o suporte a Virtual Network no ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados Virtual Network e o suporte da Azure Virtual Network para o Power Platform?
Um gateway de dados Virtual Network é um gateway gerenciado que você usa para acessar Azure e serviços do Power Platform de dentro de sua Virtual Network sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) em fluxos de dados do Power BI e do Power Platform.
O suporte da Azure Virtual Network para o Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho da API do Power Platform usam suporte de rede virtual porque as solicitações têm curta duração e são otimizadas para um grande número de solicitações.
Quais são os cenários em que devo usar o suporte de Rede Virtual para o Power Platform e o gateway de dados de rede virtual?
Suporte de Rede Virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade externa a partir do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
Os fluxos de dados Power BI e Power Platform continuam a usar o gateway de dados virtual network (vNet).
Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?
O suporte de rede virtual para o Power Platform usa delegação de sub-rede do Azure.
Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.
A delegação permite que você designe uma sub-rede específica para qualquer PaaS da Azure que precise ser injetado em sua rede virtual.
O Virtual Network dá suporte ao failover do Power Platform?
Sim, você precisa delegar as Redes Virtuais para ambas as regiões Azure associadas à sua região do Power Platform. Por exemplo, se o seu ambiente do Power Platform estiver no Canadá, você precisará criar, delegar e configurar Redes Virtuais no CanadaCentral e CanadaEast.
Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?
Um Virtual Network vinculado a um ambiente do Power Platform deve residir na região do ambiente Power Platform. Se a Rede Virtual estiver em uma região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use emparelhamento de Rede Virtual em ambas as redes virtuais delegadas da sub-rede da região do Azure para estabelecer a conexão com a Rede Virtual na região separada.
Posso monitorar o tráfego de saída das sub-redes delegadas?
Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas. Para obter mais informações, consulte Monitor Azure Virtual Network.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois que meu ambiente for delegado por sub-rede?
Sim. O acesso associado à Internet é disponibilizado por padrão com plug-ins e conectores em um ambiente delegado por sub-rede. Recomendamos anexar um gateway nat Azure à sub-rede delegada para que sua organização possa controlar e proteger o acesso de saída. Para obter mais informações, consulte As práticas recomendadas para proteger conexões de saída dos serviços do Power Platform.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto o recurso é usado em seu ambiente. Não é possível alterar o intervalo de endereços IP da sub-rede após ela ser delegada a "Microsoft.PowerPlatform/enterprisePolicies". Se você fizer isso, a configuração de delegação será interrompida e o ambiente deixará de funcionar. Para alterar o intervalo de endereços IP, remova o recurso de delegação do seu ambiente, faça as alterações necessárias e ative o recurso para seu ambiente.
Posso atualizar o endereço DNS do meu Virtual Network depois que ele for delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto o recurso é usado em seu ambiente. Não é possível alterar o endereço DNS do Virtual Network depois que ele for delegado a "Microsoft.PowerPlatform/enterprisePolicies". Se você fizer isso, a alteração não será detectada na configuração e seu ambiente poderá parar de funcionar. Para alterar o endereço DNS, remova o recurso de delegação do seu ambiente, faça as alterações necessárias e ative o recurso para seu ambiente.
Posso usar a mesma política empresarial para vários ambientes do Power Platform?
Sim. Você pode usar a mesma política empresarial para vários ambientes do Power Platform. No entanto, há uma limitação de que ambientes de ciclo de lançamento antecipado não podem ser usados com a mesma política corporativa de outros ambientes.
Meu Virtual Network tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na rede virtual que contém a sub-rede delegada para a resolução de todos os endpoints. Depois de delegar o ambiente, você pode atualizar os plug-ins para que usem o endpoint correto, permitindo que o DNS personalizado os resolva.
Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins do cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.
Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?
Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.
Qual é a configuração recomendada de um Virtual Network em um locatário do cliente?
Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente a topologia de rede Hub-spoke em Azure.
É necessário vincular uma assinatura do Azure ao locatário do Power Platform para ativar a Rede Virtual?
Sim, para habilitar o suporte a Rede Virtual para ambientes do Power Platform, é essencial ter uma assinatura do Azure associada ao locatário do Power Platform.
Como o Power Platform usa a delegação de sub-rede do Azure?
Quando um ambiente do Power Platform tem uma sub-rede Azure delegada atribuída, ele usa injeção de Rede Virtual do Azure para injetar o contêiner em tempo de execução em uma sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contêiner é alocada a um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner e o tráfego flui por Azure Fabric.
Posso usar um Virtual Network existente para o Power Platform?
Sim, você pode usar uma Rede Virtual existente para o Power Platform, se uma sub-rede nova e única dentro da Rede Virtual for delegada especificamente ao Power Platform. Você deve dedicar a sub-rede delegada para delegação de sub-rede e não pode usá-la para outros propósitos.
Posso reutilizar a mesma sub-rede delegada em várias políticas corporativas?
Não. Você não pode reutilizar a mesma sub-rede em várias políticas empresariais. Cada política empresarial do Power Platform deve ter sua própria sub-rede exclusiva para delegação.
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é uma parte do código personalizado que você pode implantar em um ambiente do Power Platform. Você pode configurar esse plug-in para ser executado durante eventos (como uma alteração nos dados) ou acioná-lo como uma API Personalizada. Para obter mais informações, consulte Plug-ins do Dataverse.
Como um plug-in do Dataverse é executado?
Um plug-in do Dataverse é executado em um contêiner. Quando você atribui uma sub-rede delegada a um ambiente do Power Platform, a NIC (placa de interface de rede) do contêiner obtém um endereço IP do espaço de endereço dessa sub-rede. O host (Power Platform) e o contêiner se comunicam por meio de uma porta local no contêiner e o tráfego flui por Azure Fabric.
Vários plug-ins podem ser executados no mesmo contêiner?
Sim. Em um determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem ser executados no mesmo contêiner. Cada contêiner usa um endereço IP do espaço de endereço da sub-rede e cada contêiner pode executar várias solicitações.
Como a infraestrutura lida com um aumento nas execuções simultâneas de plug-in?
À medida que o número de execuções simultâneas de plug-in aumenta, a infraestrutura é dimensionada automaticamente (para fora ou para dentro) para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para lidar com o volume de pico de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla o Virtual Network e as políticas de rede associadas a ele?
Você tem propriedade e controle sobre o Virtual Network e suas políticas de rede associadas. Por outro lado, o Power Platform usa os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins compatíveis com Azure dão suporte de Virtual Network?
Não, plug-ins compatíveis com Azure não dão suporte a Virtual Network.
Próximas etapas
Configurar suporte para Rede Virtual