Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nota
A comunidade Power Platform Virtual Network no Microsoft Viva Engage está disponível. Pode publicar quaisquer perguntas ou comentários que tenha sobre esta funcionalidade. Pode inscrever-se preenchendo um pedido através do seguinte formulário: Solicite acesso à Comunidade de Finanças e Operações Viva Engage.
Ao usar suporte Azure Virtual Network para o Power Platform, pode integrar o Power Platform com recursos dentro da sua rede virtual sem os expor pela internet pública. O suporte da Virtual Network utiliza a delegação de subredes do Azure para gerir o tráfego de saída do Power Platform em tempo de execução. Ao utilizar a delegação de subredes do Azure, os recursos protegidos não precisam de estar disponíveis na internet para se integrarem com o Power Platform. Ao utilizar suporte de rede virtual, os componentes do Power Platform podem ligar a recursos pertencentes à sua empresa dentro da sua rede, quer estejam alojados no Azure ou on-premises, e usar plug-ins e conectores para fazer chamadas de saída.
Normalmente, o Power Platform integra-se com recursos empresariais através de redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP ou etiquetas de serviço do Azure, que descrevem endereços IP públicos. No entanto, o suporte do Azure Virtual Network ao Power Platform permitir-lhe-á usar uma rede privada e ainda integrar-se com serviços ou plataformas alojados na rede da sua empresa.
Os serviços do Azure são protegidos dentro de uma Rede Virtual por endpoints privados. Pode usar Express Route para trazer os seus recursos locais para dentro do Virtual Network.
A Power Platform utiliza a Rede Virtual e as sub-redes que você delega para fazer chamadas de saída para recursos empresariais através da rede empresarial privada. Ao usar uma rede privada, não precisa de encaminhar o tráfego pela internet pública, o que pode expor recursos empresariais.
Numa Virtual Network, tem controlo total sobre o tráfego de saída da Power Platform. O tráfego está sujeito a políticas de rede aplicadas pelo seu administrador de rede. O diagrama seguinte mostra como os recursos dentro da sua rede interagem com uma Virtual Network.
Benefícios do suporte à Virtual Network
Ao utilizar suporte de Rede Virtual, os seus componentes Power Platform e Dataverse obtêm todos os benefícios que a delegação de sub-rede Azure oferece, tais como:
Proteção de dados: Virtual Network permite que os serviços Power Platform se liguem aos seus recursos privados e protegidos sem os expor à internet.
Sem acesso não autorizado: Virtual Network liga-se aos seus recursos sem precisar de intervalos IP ou etiquetas de serviço da Power Platform na ligação.
Estimativa do tamanho da sub-rede para ambientes Power Platform
Os dados de telemetria e as observações do último ano indicam que os ambientes de produção normalmente requerem entre 25 a 30 endereços IP, com a maioria dos casos de uso a enquadrar-se neste intervalo. Com base nesta informação, aloque 25 a 30 IPs para ambientes de produção e 6 a 10 IPs para ambientes não produtivos, como sandbox ou ambientes de programadores. Os contentores ligados à Virtual Network utilizam principalmente endereços IP dentro da subrede. Quando o ambiente começa a ser utilizado, cria-se um mínimo de quatro contentores, que escalam dinamicamente com base no volume de chamadas, embora normalmente permaneçam dentro da gama de 10 a 30 contentores. Estes contentores executam todos os pedidos para os respetivos ambientes e lidam eficientemente com pedidos de ligação paralelos.
Planeamento para vários ambientes
Se usar a mesma sub-rede delegada para vários ambientes do Power Platform, poderá precisar de um bloco maior de endereços IP de roteamento entre domínios sem classes (CIDR). Considere o número recomendado de endereços IP para ambientes de produção e não produção quando liga ambientes a uma única política. Cada sub-rede reserva cinco endereços IP, por isso inclua esses endereços reservados na sua estimativa.
Nota
Para melhorar a visibilidade da utilização de recursos, a equipa de produtos está a trabalhar na exposição do consumo de IP de sub-redes delegadas para políticas e sub-redes empresariais.
Exemplo de alocação de IP
Considere um inquilino com duas políticas empresariais. A primeira política é para ambientes de produção, e a segunda política é para ambientes não produtivos.
Política empresarial de produção
Se tiver quatro ambientes de produção associados à sua política empresarial, e cada ambiente exigir 30 endereços IP, a alocação total de IP é:
(Quatro ambientes x 30 IPs) + 5 IPs reservados = 125 IPs
Este cenário requer um bloco CIDR de /25, que tem capacidade para 128 IPs.
Política empresarial não produtiva
Para uma política empresarial não produtiva com 20 ambientes de programador e sandbox, e cada ambiente requer 10 endereços IP, a alocação total de IP é:
(Vinte ambientes x 10 IPs) + 5 IPs reservados = 205 IPs
Este cenário requer um bloco CIDR de /24, que tem capacidade para 256 IPs e espaço suficiente para adicionar mais ambientes à política empresarial.
Cenários suportados
O Power Platform suporta a Rede Virtual tanto para plug-ins do Dataverse como para conectores. Ao utilizar este suporte, pode criar conectividade privada e segura de saída a partir da Power Platform para recursos dentro da sua Virtual Network. Os plug-ins e conectores do Dataverse melhoram a segurança da integração de dados ao ligar-se a fontes externas de dados das aplicações Power Apps, Power Automate e Dynamics 365. Por exemplo, pode:
- Use plug-ins Dataverse para se ligar às suas fontes de dados na cloud, como Azure SQL, Azure Storage, armazenamento de blob ou Azure Key Vault. Pode proteger os seus dados contra a transferência de dados não autorizada e outros incidentes.
- Use os plug-ins do Dataverse para conectar-se de forma segura a recursos privados protegidos por endpoints no Azure, como Web API, ou a quaisquer recursos dentro da sua rede privada, como SQL e Web API. Pode proteger os seus dados contra falhas de segurança de dados e outras ameaças externas.
- Use conectores suportados por Virtual Network como SQL Server para se ligar de forma segura às suas fontes de dados alojadas na cloud, como Azure SQL ou SQL Server, sem as expor à internet. De forma semelhante, pode usar o conector Azure Queue para estabelecer ligações seguras a filas de Azure privadas e habilitadas para endpoints.
- Use o conector Azure Key Vault para conectar-se de forma segura a um Azure Key Vault privado protegido por endpoints.
- Use conectores personalizados para se ligar de forma segura aos seus serviços protegidos por endpoints privados em Azure ou serviços alojados na sua rede privada.
- Use Azure File Storage para se ligar de forma segura ao armazenamento privado de Azure com endpoint.
- Use HTTP com Microsoft Entra ID (pré-autorizado) para obter recursos de forma segura através de Redes Virtuais a partir de vários serviços web, autenticados por Microsoft Entra ID ou a partir de um serviço web local.
Limitações
- Os plug-ins low-code do Dataverse que utilizam conectores só são suportados depois de esses tipos de conectores serem atualizados para utilizarem a delegação de sub-rede.
- Utilize operações do ciclo de vida do ambiente de cópia, cópia de segurança e restauro em ambientes do Power Platform suportados pela rede virtual. Pode realizar a operação de restauro dentro da mesma rede virtual, e em ambientes diferentes, desde que estejam ligados à mesma rede virtual. Além disso, a operação de restauro é permissível a partir de ambientes que não suportam redes virtuais para aqueles que suportam.
Regiões suportadas
Antes de criar a sua Virtual Network e política empresarial, valide a região do seu ambiente Power Platform para garantir que está numa região suportada. Podes usar o Get-EnvironmentRegion cmdlet do módulo PowerShell de diagnósticos de sub-rede para recuperar a informação da região do teu ambiente.
Depois de confirmar a região do seu ambiente, certifique-se de que a sua política empresarial e os recursos do Azure estão configurados nas regiões Azure suportadas correspondentes. Por exemplo, se o seu ambiente Power Platform estiver no Reino Unido, então o seu Virtual Network e sub-redes devem estar nas regiões uksouth e ukwest Azure. No caso de uma região do Power Platform ter mais de dois pares de regiões disponíveis, deve utilizar o par específico que corresponde à região do seu ambiente. Por exemplo, se Get-EnvironmentRegion devolver westus para o seu ambiente, então a sua rede virtual e sub-redes devem estar em eastus e westus.
| Região do Power Platform | Região Azure |
|---|---|
| United States | este dos eua, oeste dos eua |
| África do Sul | África do Sul-Norte, África do Sul-Oeste |
| Reino Unido | sul do reino unido, oeste do reino unido |
| Japão | Leste do Japão, Oeste do Japão |
| Índia | Centralíndia, Sul da Índia |
| França | França Central, Sul de França |
| Europa | europa ocidental, europa do norte |
| Alemanha | Norte da Alemanha, Centro-Oeste da Alemanha |
| Suíça | SuíçaNorte, SuíçaOeste |
| Canadá | canadá central, leste do canadá |
| Brasil | Sul do Brasil |
| Austrália | sudeste da austrália, leste da austrália |
| Ásia | ásia oriental, sudeste asiático |
| UAE | uaenorth |
| Coreia do Sul | CoreiaSul, CoreiaCentral |
| Noruega | Noruega Oeste, Noruega Este |
| Singapura | southeastasia |
| Suécia | suécia central |
| Itália | italynorth |
| Administração Pública dos EUA | usgovtexas, usgovvirgínia |
Nota
O suporte na Community Cloud (GCC) do Governo dos EUA está atualmente disponível apenas para ambientes implementados no GCC High. O suporte para ambientes do Departamento de Defesa (DoD) e do GCC não está disponível.
Serviços suportados
A tabela seguinte lista os serviços que suportam a delegação de subredes do Azure para suporte ao Virtual Network para o Power Platform.
| Área | Serviços do Power Platform | Disponibilidade de suporte para Virtual Network |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Disponibilidade geral |
| Conectores | Disponibilidade geral | |
| Conectores | Disponibilidade geral |
Ambientes suportados
O suporte de Virtual Network para o Power Platform não está disponível para todos os ambientes de Power Platform. A tabela seguinte lista quais os tipos de ambiente que suportam a Virtual Network.
| Tipo de ambiente | Suportado |
|---|---|
| Produção | Yes |
| Default | Yes |
| Caixa de areia | Yes |
| Desenvolvedor | Yes |
| Ensaio | Não |
| Microsoft Dataverse para Teams | Não |
Considerações para ativar o suporte de Rede Virtual para o Ambiente Power Platform
Quando utiliza suporte para Virtual Network num ambiente Power Platform, todos os serviços suportados, como plug-ins e conectores Dataverse, executam pedidos em tempo de execução na sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas a recursos publicamente disponíveis começam a quebrar.
Importante
Antes de ativar o suporte do ambiente virtual para o ambiente do Power Platform, certifique-se de que verifica o código dos plug-ins e dos conectores. Precisas de atualizar os URLs e as ligações para funcionarem com a conectividade privada.
Por exemplo, um plug-in pode tentar ligar-se a um serviço público, mas a sua política de rede não permite acesso público à internet dentro da sua Virtual Network. A política de rede bloqueia a chamada do plug-in. Para evitar a chamada bloqueada, pode alojar o serviço público disponível na sua Virtual Network. Alternativamente, se o seu serviço estiver alojado no Azure, pode usar um endpoint privado no serviço antes de ativar o suporte ao Virtual Network no ambiente Power Platform.
Perguntas frequentes
Qual é a diferença entre um Virtual Network data gateway e o suporte do Azure Virtual Network para Power Platform?
Um gateway de dados Virtual Network é um gateway gerido que utiliza para aceder a serviços da Azure e da Power Platform a partir da sua Virtual Network, sem precisar de configurar um gateway de dados local. Por exemplo, o gateway está otimizado para cargas de trabalho de ETL (extrair, transformar e carregar) nos fluxos de dados do Power BI e do Power Platform.
O suporte do Azure Virtual Network para Power Platform utiliza uma delegação de subredes Azure para o seu ambiente Power Platform. As sub-redes são utilizadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho da API Power Platform utilizam suporte à Virtual Network porque os pedidos são de curta duração e otimizados para um grande número de pedidos.
Quais são os cenários em que devo usar suporte ao Virtual Network para o Power Platform e o virtual network data gateway?
Suporte de Virtual Network para o Power Platform é a única opção suportada para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e Power Platform dataflows.
Power BI e fluxos de dados Power Platform continuam a usar o gateway de dados de rede virtual (vNet).
Como pode garantir que uma rede virtual, sub-rede ou gateway de dados de um cliente não é utilizado por outro cliente no Power Platform?
Suporte de Rede Virtual para Power Platform utiliza delegação de subredes do Azure.
Cada ambiente do Power Platform está ligado a uma sub-rede de rede virtual. Só é permitido às chamadas desse ambiente aceder a essa rede virtual.
A delegação permite-lhe designar uma sub-rede específica para qualquer plataforma Azure como um serviço (PaaS) que precisa de ser injetada na sua rede virtual.
A rede virtual suporta o failover do Power Platform?
Sim, precisas de delegar as Redes Virtuais para ambas as regiões do Azure associadas à tua região Power Platform. Por exemplo, se o seu ambiente do Power Platform estiver no Canadá, terá de criar, delegar e configurar Redes Virtuais em CanadaCentral e CanadaEast.
Como pode um ambiente do Power Platform numa região ligar-se a recursos alojados noutra região?
Um Virtual Network ligado a um ambiente Power Platform deve residir na região do ambiente Power Platform. Se a Rede Virtual estiver numa região diferente, crie uma Rede Virtual na região do ambiente Power Platform e utilize conexão emparelhada de Rede Virtual nas Redes Virtuais delegadas no sub-rede de ambas as regiões Azure para conectar com a Rede Virtual na região separada.
Posso monitorizar o tráfego de saída de sub-redes delegadas?
Sim. Pode utilizar o Grupo de Segurança de Rede e firewalls para monitorizar o tráfego de saída de sub-redes delegadas. Para mais informações, consulte Monitor Azure Virtual Network.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois de o meu ambiente ser delegado à sub-rede?
Sim. O acesso ligado à Internet está disponível por predefinição a partir de plug-ins e conectores num ambiente delegado da sub-rede. Recomendamos ligar um gateway Azure NAT à sub-rede delegada para que a sua organização possa controlar e proteger o acesso de saída. Para mais informações, consulte Melhores práticas para proteger conexões de saída dos serviços do Power Platform.
Posso atualizar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto a funcionalidade é usada no seu ambiente. Não é possível alterar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies". Se fizer isso, a configuração de delegação será interrompida e o ambiente parará de funcionar. Para alterar o intervalo de endereços IP, remova a funcionalidade de delegação do seu ambiente, faça as alterações necessárias e depois ative a funcionalidade para o seu ambiente.
Posso atualizar o endereço DNS da minha Virtual Network depois de ser delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto a funcionalidade é usada no seu ambiente. Não pode alterar o endereço DNS da Virtual Network depois de este ser delegado a "Microsoft.PowerPlatform/enterprisePolicies." Se fizer isto, a alteração não é detetada na configuração e o seu ambiente pode deixar de funcionar. Para alterar o endereço DNS, remove a funcionalidade de delegação do teu ambiente, faz as alterações necessárias e depois ativa a funcionalidade para o teu ambiente.
Posso usar a mesma política empresarial para vários ambientes do Power Platform?
Sim. Posso usar a mesma política empresarial para vários ambientes do Power Platform. No entanto, há uma limitação de que os ambientes de ciclo de lançamento antecipado não podem ser usados com a mesma política empresarial que outros ambientes.
A minha Virtual Network tem um DNS personalizado configurado. O Power Platform utiliza o meu DNS personalizado?
Sim. O Power Platform utiliza o DNS personalizado configurado na Virtual Network que contém a sub-rede delegada para resolver todos os endpoints. Depois de delegares o ambiente, podes atualizar os plug-ins para usarem o endpoint correto, para que o teu DNS personalizado os resolva.
O meu ambiente tem plug-ins fornecidos pelo ISV. Estes plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins para clientes e ISV podem funcionar usando a sua sub-rede. Se os plug-ins de ISV tiverem conectividade de saída, esses URL poderão ter de ser listados na firewall.
Os meus certificados TLS de ponto final no local não estão assinados por autoridades de certificação (AC) de raiz bem conhecidas. Suportam certificados desconhecidos?
Não Temos de garantir que o ponto final apresenta um certificado TLS com a cadeia completa. Não é possível adicionar sua AC de raiz personalizada à nossa lista de AC conhecidas.
Qual é a configuração recomendada de uma Virtual Network dentro de um tenant de cliente?
Não recomendamos nenhuma topologia específica. No entanto, os nossos clientes utilizam amplamente a topologia de rede Hub-spoke na Azure.
É necessário ligar uma subscrição do Azure ao meu tenant Power Platform para ativar a Virtual Network?
Sim, para permitir o suporte da Virtual Network para ambientes Power Platform, é essencial ter uma subscrição do Azure associada ao inquilino do Power Platform.
Como é que o Power Platform utiliza a delegação de subredes do Azure?
Quando um ambiente Power Platform tem uma subrede Azure delegada atribuída, utiliza a injeção do Azure Virtual Network para injetar o contentor em tempo de execução numa sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contentor recebe um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Posso usar uma Virtual Network existente para a Power Platform?
Sim, pode usar uma Rede Virtual já existente para o Power Platform, se uma nova sub-rede dentro da Rede Virtual for delegada especificamente ao Power Platform. Tem de dedicar a sub-rede delegada à delegação de sub-rede e não a pode utilizar para outros fins.
Posso reutilizar a mesma sub-rede delegada em várias políticas empresariais?
Não Não podes reutilizar a mesma sub-rede em várias políticas empresariais. Cada política empresarial do Power Platform tem de ter a sua própria sub-rede exclusiva para delegação.
O que é um plug-in do Dataverse?
Um plug-in Dataverse é um pedaço de código personalizado que pode implementar num ambiente Power Platform. Pode configurar este plug-in para correr durante eventos (como uma alteração de dados) ou acioná-lo como uma API Personalizada. Para mais informações, consulte Plug-ins do Dataverse.
Como é que um plug-in do Dataverse é executado?
Um plug-in do Dataverse é executado dentro de um contentor. Quando atribui uma sub-rede delegada a um ambiente Power Platform, a placa de interface de rede (NIC) do contentor recebe um endereço IP do espaço de endereçamento dessa subrede. O host (Power Platform) e o contentor comunicam através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Podem ser executados vários plug-ins no mesmo contentor?
Sim. Num dado ambiente Power Platform ou Dataverse, múltiplos plug-ins podem funcionar dentro do mesmo contentor. Cada contentor utiliza um endereço IP do espaço de endereçamento da sub-rede, e cada contentor pode executar múltiplos pedidos.
Como é que a infraestrutura lida com um aumento nas execuções de plug-ins em simultâneo?
À medida que o número de execuções simultâneas de plug-ins aumenta, a infraestrutura dimensiona automaticamente para fora ou para dentro para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para processar o volume máximo de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Virtual Network e as políticas de rede associadas a ela?
Tem propriedade e controlo sobre a Virtual Network e as suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP atribuídos da sub-rede delegada dentro dessa Virtual Network.
Os plug-ins compatíveis com o Azure suportam rede virtual?
Não, os plug-ins compatíveis com Azure não suportam "Virtual Network".
Próximos passos
Configurar suporte de Rede Virtual