【Power Platform】Power

语言 Chinese, Simplified

SEO Title

Virtual Network support for Power Platform overview

虚拟网络支持的好处

借助虚拟网络支持，您的Power Platform和BLOB组件可以获得Azure子网委派提供的所有好处，例如：

数据保护：虚拟网络允许Power Platform服务连接到您的私有和受保护的资源，而不会将其暴露在互联网上。
无未经授权的访问：虚拟网络与您的资源连接，无需连接中的Power Platform IP范围或服务标签。

支持的场景

Power Platform支持虚拟网络，同时支持Dataverse plug-ins 和连接器（预览版）。借助此支持，您可以建立从Power Platform到虚拟网络中资源的安全、私有、出站连接。通过从Power Apps、Power Automation和Dynamics 365应用程序连接到外部数据源，可以增强数据集成安全性。例如，您可以：

使用Dataverse plug-ins 连接到您的云数据源，如Azure SQL、Azure存储、blob存储或Azure密钥库。您可以保护您的数据免受数据泄露和其他事件的影响。
使用Dataverse插件安全地连接到Azure中受端点保护的私有资源，如Web API，或私有网络中的任何资源，如SQL和Web API。您可以保护您的数据免受数据泄露和其他外部威胁。
使用Virtual Network–supported connectors （预览版），如SQL Server（预览），安全地连接到云托管的数据源，如Azure SQL或SQL Server，而不会将其暴露在互联网上。同样，您可以使用Azure队列（预览）连接器建立与启用端点的私有Azure队列的安全连接。
使用Azure密钥库（预览）连接器安全连接到受端点保护的私有Azure密钥库。
使用带有Microsoft Entra ID的HTTP（预览版）通过Microsoft Entra标识安全地连接到服务身份验证。
使用自定义连接器（预览版）安全地连接到受Azure中的专用终结点保护的服务或托管在专用网络中的服务。
使用Azure文件存储（预览版）安全连接到启用端点的私有Azure文件存储。

局限性

在将这些连接器类型更新为使用子网委派之前，不支持使用连接器的Dataverse low-code plug-ins。
您可以在虚拟网络支持的Power Platform环境中使用复制、备份和还原环境生命周期操作。还原操作可以在同一个虚拟网络内执行，也可以在不同的环境中执行，只要它们连接到同一虚拟网络。此外，从不支持虚拟网络的环境到支持虚拟网络环境，都允许执行还原操作。

支持的地区

确认您的Power Platform环境和企业策略位于受支持的Power Platform和Azure区域中。例如，如果您的Power Platform环境位于美国，则您的虚拟网络、子网和企业策略必须位于东或西Azure区域。

Power Platform region	Azure region
United States	eastus, westus
South Africa	eouthafricanorth, southafricawest
Uk	uksouth, ukwest
Japan	japaneast, japanwest
India	centralindia, southindia
France	francecentral, francesouth
Europe	westeurope, northeurope
Germany	germanynorth, germanywestcentral
Switzerland	switzerlandnorth, switzerlandwest
Canada	canadacentral, canadaeast
Brazil	brazilsouth, southcentralus
Australia	australiasoutheast, australiaeast
Asia	eastasia, southeastasia
UAE	uaecentral, uaenorth
Korea	koreasouth, koreacentral
Norway	norwaywest, norwayeast
Singapore	southeastasia
Sweden	swedencentral

支持的服务

下表列出了支持Azure子网委派以支持Power Platform虚拟网络的服务。

Area	Power Platform services	Virtual Network support availability
Dataverse	Dataverse plug-ins	Generally available
Connectors	SQL Server Azure SQL Data Warehouse Azure Queues Custom connectors Azure Key Vault HTTP With Microsoft Entra ID Azure File Storage Azure Blob Storage	Production ready previews

重要事项

这是一个生产就绪的预览功能。
生产就绪预览受补充使用条款的约束。

为Power Platform环境启用虚拟网络支持的注意事项

当您在Power Platform环境中使用虚拟网络支持时，所有受支持的服务，如Webex插件和连接器（预览版），都会在您的委托子网中运行时执行请求，并受您的网络策略的约束。对公共资源的调用将开始中断。

重要事项

在为Power Platform环境启用虚拟环境支持之前，请确保检查插件和连接器的代码（预览）。需要更新URL和连接以使用私有连接。

例如，插件可能会尝试连接到公共可用的服务，但您的网络策略不允许在虚拟网络中访问公共互联网。根据您的网络政策，来自插件的调用被阻止。为了避免呼叫被阻止，您可以在虚拟网络中托管公开可用的服务。或者，如果您的服务托管在Azure中，则可以在Power Platform环境中打开虚拟网络支持之前，在服务上使用专用终结点。

常见问题解答

Power Platform的虚拟网络数据网关和Azure虚拟网络支持之间有什么区别？

虚拟网络数据网关是一种托管网关，允许您从虚拟网络中访问Azure和Power Platform服务，而无需设置本地数据网关。例如，网关针对Power BI和Power Platform数据流中的ETL（提取、转换、加载）工作负载进行了优化。

Power Platform的Azure虚拟网络支持为您的Power Platform环境使用Azure子网委派。子网由Power Platform环境中的工作负载使用。Power Platform API工作负载使用虚拟网络支持，因为请求很短，并且针对大量请求进行了优化。

在哪些情况下，我应该为Power Platform和虚拟网络数据网关使用虚拟网络支持？

Power Platform的虚拟网络支持是除Power BI和Power Platform数据流之外，所有从Power Platform出站连接场景的唯一支持选项。

Power BI和Power Platform数据流继续使用虚拟网络（vNet）数据网关。

Power BI and Power Platform dataflows continue to use virtual network (vNet) data gateway.

您如何确保Power Platform中的一个客户的虚拟网络子网或数据网关不会被另一个客户使用？

Power Platform的虚拟网络支持使用Azure子网委派【Azure subnet delegation.】。
每个Power Platform环境都链接到一个虚拟网络子网。只有来自该环境的呼叫才允许访问该虚拟网络。
委派允许您为任何需要注入虚拟网络的Azure平台即服务（PaaS）指定特定的子网。

Power Platform的虚拟网络支持故障切换吗？

是的，您需要在设置过程中委派主虚拟网络和故障转移虚拟网络和子网。

一个地区的Power Platform环境如何连接到另一个地区托管的资源？

与Power Platform环境链接的虚拟网络必须位于Power Platform环境的区域中。如果虚拟网络位于不同的区域，请在Power Platform环境的区域中创建一个虚拟网络，并使用虚拟网络对等连接来桥接这两个区域。

我可以监视来自委派子网的出站流量吗？

对。您可以使用网络安全组和防火墙来监视来自委派子网的出站流量。

Power Platform需要在子网中委派多少个IP地址？

您需要在子网中委派至少24个无类域间路由（CIDR）或255个IP地址。如果要将同一子网委派给多个环境，则该子网中可能需要更多的IP地址。

在我的环境被子网委派后，我可以从插件或连接器进行互联网绑定呼叫吗？

对。您可以从插件或连接器进行互联网绑定呼叫，但子网必须配置Azure NAT网关。

在将子网IP地址范围委托给“Microsoft.PowerPlatform/enterprisePolicies”后，我可以更新它吗？

不可以。将子网委派给“Microsoft.PowerPlatform/enterprisePolicies”后，您无法更改子网的IP地址范围

我的虚拟网络已配置自定义DNS。Power Platform是否使用我的自定义DNS？

对。Power Platform使用在包含委派子网的虚拟网络中配置的自定义DNS来解析所有端点。委派环境后，您可以更新插件以使用正确的端点，以便您的自定义DNS可以解析它们。

我的环境有ISV提供的插件。这些插件会在委派的子网中运行吗？

对。所有客户插件和ISV插件都可以使用您的子网运行。如果ISV插件具有出站连接，则可能需要在防火墙中列出这些URL。

我的本地端点TLS证书不是由知名的根证书颁发机构（CA）签名的。您支持未知证书吗？

不可以。我们必须确保端点提供具有完整链的TLS证书。无法将您的自定义根CA添加到我们的知名CA列表中。

建议在客户租户内设置什么样的虚拟网络？

我们不建议使用任何特定的拓扑结构。然而，我们的客户广泛使用轮辐式拓扑网络模型。

激活虚拟网络是否需要将Azure订阅链接到我的Power Platform租户？

是的，要为Power Platform环境启用虚拟网络支持，必须拥有与Power Platform租户关联的Azure订阅。

Power Platform如何使用Azure子网委派？

当Power Platform环境分配了委派的Azure子网时，它会使用Azure虚拟网络注入在运行时将容器注入委派的子网。在此过程中，容器的网络接口卡（NIC）将从委托子网中分配一个IP地址。主机（Power Platform）和容器之间的通信通过容器上的本地端口进行，流量通过Azure Fabric流动。

我可以将现有的虚拟网络用于Power Platform吗？

是的，您可以将现有的虚拟网络用于Power Platform，前提是虚拟网络中的单个新子网专门委托给Power Platform。值得注意的是，此委托子网不应承载任何其他服务。

如果我的Power Platform环境在加拿大，我可以使用US East 2作为故障转移吗？

为确保正确的故障转移，必须分别在加拿大中央和加拿大东部配置主子网和故障转移子网。为了实现有效的故障转移，请分别在加拿大中部和加拿大东部地区创建主子网和故障转移子网。此外，在主虚拟网络和故障转移虚拟网络之间建立虚拟网络对等，包括useast2区域中的虚拟网络用于连接。

什么是一个插件？

Dataverse plug-in是一段可以在Power Platform环境中部署的自定义代码。此插件可以配置为在事件（如数据更改）期间运行，也可以作为自定义API触发。了解更多：Webex插件

如何运行一个插件？

Dataverse plug-in在容器内运行。当为Power Platform环境分配委派子网时，该子网地址空间中的IP地址将分配给容器的网络接口卡（NIC）。主机（Power Platform）和容器之间的通信通过容器上的本地端口进行，流量通过Azure Fabric流动。

多个插件可以在同一个容器中运行吗？

对。在给定的Power Platform或LOX环境中，多个插件可以在同一个容器中运行。每个容器从子网地址空间中消耗一个IP地址，每个容器可以运行多个请求。

基础架构如何处理并发插件执行的增加？

随着并发插件执行数量的增加，基础设施会自动向外或向内扩展以适应负载。委派给Power Platform环境的子网应具有足够的地址空间来处理该Power Platform环境中工作负载的峰值执行量。

谁控制虚拟网络和与之关联的网络策略？

作为客户，您拥有虚拟网络及其相关网络策略的所有权和控制权。另一方面，Power Platform使用该虚拟网络内委托子网中分配的IP地址。

如何在开发/测试环境中配置Power Platform的虚拟网络支持，而不在不同Azure区域中使用两个单独的虚拟网络？
生产工作负载需要每个主Azure区域和辅助Azure区域中的一个虚拟网络和一个专用子网，以确保正确的故障转移。但是，对于开发/测试环境，我们建议为Power Platform使用单个虚拟网络和两个专用子网。

支持Azure的插件是否支持虚拟网络？

不，支持Azure的插件不支持虚拟网络。

下一步

设置虚拟网络支持

Set up Virtual Network support

本文地址

https://architect.pub

登录发表评论
11 次浏览

发布日期

星期五, 八月 2, 2024 - 23:04

最后修改