Panoramica del supporto di Rete virtuale
Il supporto per Rete virtuale di Azure per Power Platform ti consente di eseguire l'integrazione da Power Platform alle risorse all'interno della tua rete virtuale senza esporre le tue risorse su Internet pubblico. Il supporto di Rete virtuale utilizza la delega della subnet di Azure per gestire il traffico in uscita da Power Platform al runtime. L'uso della delega della subnet di Azure evita la necessità che le risorse protette siano disponibili su Internet per l'integrazione con Power Platform. Con il supporto per la rete virtuale, i componenti di Power Platform possono chiamare le risorse di proprietà dell'azienda all'interno della rete, indipendentemente dal fatto che siano ospitate in Azure o locali e utilizzare plug-in e connettori per effettuare chiamate in uscita.
Power Platform si integra generalmente con le risorse aziendali su reti pubbliche. Con le reti pubbliche, le risorse aziendali devono essere accessibili da un elenco di intervalli IP o tag del servizio di Azure, che descrivono gli indirizzi IP pubblici. Tuttavia, il supporto per Rete virtuale di Azure per Power Platform ti consente di utilizzare una rete privata e di integrarsi con servizi cloud o servizi ospitati nella rete aziendale.
I servizi di Azure sono protetti in una rete virtuale tramite endpoint privati. Puoi utilizzare Express Route per portare le tue risorse locali all'interno della rete virtuale.
Power Platform utilizza la rete virtuale e la subnet delegata per effettuare chiamate in uscita alle risorse aziendali sulla rete privata aziendale. L'utilizzo di una rete privata elimina la necessità di far uscire il traffico su Internet pubblico, che potrebbe esporre le risorse aziendali.
In una rete virtuale hai il controllo completo sul traffico in uscita da Power Platform. Il traffico è soggetto ai criteri di rete applicati dall'amministratore della rete. Il diagramma seguente mostra come le risorse all'interno della rete interagiscono con una rete virtuale.
Vantaggi del supporto di Rete virtuale
Con il supporto per Rete virtuale i componenti Power Platform e Dataverse ottengono tutti i vantaggi forniti dalla delega della subnet di Azure, ad esempio:
Protezione dei dati: Rete virtuale consente ai servizi Power Platform di connettersi alle tue risorse private e protette senza esporle a Internet.
Nessun accesso non autorizzato: Rete virtuale si connette alle tue risorse senza bisogno di intervalli IP di Power Platform o tag di servizio nella connessione.
Scenari supportati
Power Platform abilita il supporto della rete virtuale sia per i plug-in che per i connettori Dataverse. Con questo supporto, puoi stabilire una connettività in uscita sicura, privata da Power Platform alle risorse nella tua rete virtuale. I plug-in e i connettori Dataverse migliorano la sicurezza dell'integrazione dei dati connettendosi a origini dati esterne da Power Apps, Power Automate e app Dynamics 365. È ad esempio possibile:
- Utilizza i plug-in Dataverse per connetterti alle origini dati cloud, ad esempio SQL di Azure, Archiviazione di Azure, Archiviazione BLOB o Azure Key Vault. Puoi proteggere i tuoi dati dall'esfiltrazione di dati e da altri incidenti.
- Utilizza i plug-in Dataverse per connetterti in modo sicuro a risorse private protette da endpoint in Azure, come l'API Web o qualsiasi risorsa nella tua rete privata, come SQL e API Web. Puoi proteggere i tuoi dati da violazioni di dati e altre minacce esterne.
- Utilizza connettori supportati da Rete virtuale come SQL Server per connetterti in modo sicuro alle tue origini dati ospitate nel cloud, come Azure SQL o SQL Server, senza esporli a Internet. Allo stesso modo, puoi usare il connettore Azure Queue per stabilire connessioni sicure a code di Azure private abilitate per endpoint.
- Utilizza il connettore Azure Key Vault per connetterti in modo sicuro ad Azure Key Vault privato e protetto da endpoint.
- Utilizza connettori personalizzati per connetterti in modo sicuro ai tuoi servizi protetti da endpoint privati in Azure o ai servizi ospitati nella tua rete privata.
- Utilizza Archiviazione file di Azure per connetterti all'archiviazione file di Azure privata e abilitata per endpoint.
- Usa HTTP con Microsoft Entra ID (preautorizzato) per recuperare in modo sicuro le risorse in Rete virtuale da vari servizi Web autenticati mediante Microsoft Entra ID o da un servizio Web locale.
Limiti
- I plug-in Dataverse con poco codice che utilizzano connettori non sono supportati finché tali tipi di connettori non vengono aggiornati per utilizzare la delega della subnet.
- Utilizzi operazioni di copia, backup e ripristino del ciclo di vita dell'ambiente su ambienti Power Platform supportati dalla rete virtuale. L'operazione di ripristino può essere eseguita all'interno della stessa rete virtuale, nonché in ambienti diversi, purché siano connessi alla stessa rete virtuale. Inoltre, l'operazione di ripristino è consentita dagli ambienti che non supportano le reti virtuali a quelli che le supportano.
Aree geografiche supportate
Conferma che il tuo ambiente Power Platform e i criteri aziendali si trovino rispettivamente nelle aree geografiche Power Platform e Azure supportate. Ad esempio, se il tuo ambiente Power Platform si trova negli Stati Uniti, la rete virtuale e le subnet devono trovarsi nell'area geografica eastus e westus di Azure.
Aree di Power Platform | Area di Azure |
---|---|
Stati Uniti | Stati Uniti orientali, Stati Uniti occidentali |
Sudafrica | eouthafricanorth, southafricawest |
Regno Unito | Regno Unito meridionale, Regno Unito occidentale |
Giappone | japaneast, japanwest |
India | centralindia, southindia |
Francia | francecentral, francesouth |
Europa | Europa occidentale, Europa settentrionale |
Germania | germanynorth, germanywestcentral |
Svizzera | switzerlandnorth, switzerlandwest |
Canada | Canada centrale, Canada orientale |
Brasile | brazilsouth, southcentralus |
Australia | Australia sud-orientale, Australia orientale |
Asia | Asia orientale, Asia sud-orientale |
UAE | uaecentral, uaenorth |
Corea del Sud | koreasouth, koreacentral |
Norvegia | norwaywest, norwayeast |
Singapore | southeastasia |
Svezia | Svezia centrale |
Servizi supportati
La tabella seguente elenca i servizi che supportano la delega della subnet di Azure per il supporto della rete virtuale per Power Platform.
Area | Servizi di Power Platform | Disponibilità del supporto di Rete virtuale |
---|---|---|
Dataverse | Plug-in di Dataverse | Generalmente disponibile |
Connettori | Generalmente disponibile |
Considerazioni su come abilitare il supporto per la rete virtuale per l'ambiente Power Platform
Quando usi il supporto Rete virtuale in un ambiente Power Platform, tutti i servizi supportati, come i connettori e i plug-in Dataverse eseguono le richieste in fase di runtime nella subnet delegata e sono soggetti a criteri di rete. Le richieste di risorse disponibili al pubblico inizierebbero a fallire.
Importante
Prima di abilitare il supporto dell'ambiente virtuale per l'ambiente Power Platform, assicurati di controllare il codice dei plug-in e dei connettori. Gli URL e le connessioni devono essere aggiornati per funzionare con la connettività privata.
Ad esempio, un plug-in potrebbe tentare di connettersi a un servizio disponibile pubblicamente, ma i criteri di rete non consentono l'accesso pubblico a Internet all'interno della rete virtuale. La chiamata dal plug-in viene bloccata in base ai criteri di rete. Per evitare la chiamata bloccata, puoi ospitare il servizio disponibile pubblicamente nella tua rete virtuale. In alternativa, se il servizio è ospitato in Azure, puoi usare un endpoint privato nel servizio prima di abilitare il supporto della rete virtuale nell'ambiente Power Platform.
Domande frequenti
Qual è la differenza tra un gateway dati di rete virtuale e il supporto della rete virtuale di Azure per Power Platform?
Il gateway dati di rete virtuale è un gateway gestito che consente di accedere ad Azure e ai servizi Power Platform dall'interno della rete virtuale senza dover configurare un gateway dati locale. Ad esempio, il gateway è ottimizzato per carichi di lavoro ETL (estrazione, trasformazione, caricamento) in Power BI e nei flussi di dati Power Platform.
Il supporto della rete virtuale per Power Platform usa una delega della subnet di Azure per il tuo ambiente Power Platform. Le subnet vengono utilizzate dai carichi di lavoro all'interno dell'ambiente Power Platform. I carichi di lavoro API di Power Platform usano il supporto per la rete virtuale poiché le richieste hanno vita breve e sono ottimizzate per un numero elevato di richieste.
Quali sono gli scenari in cui dovrei utilizzare il supporto della rete virtuale per Power Platform e il gateway dati della rete virtuale?
Il supporto della rete virtuale per Power Platform è l'unica opzione supportata per tutti gli scenari di connettività in uscita da Power Platform eccetto Power BI e Flussi di dati Power Platform.
Power BI e i flussi di dati Power Platform continuano a utilizzare un gateway dati di rete virtuale.
Come è possibile garantire che una subnet di rete virtuale o un gateway dati di un cliente non venga utilizzato da un altro cliente in Power Platform?
Il supporto della rete virtuale per Power Platform utilizza la delega della subnet di Azure.
Ogni ambiente Power Platform è collegato a una subnet della rete virtuale. Solo le chiamate provenienti da tale ambiente possono accedere alla rete virtuale.
La delega consente di designare una subnet specifica per un servizio PaaS di Azure di tua scelta che deve essere inserito nella tua rete virtuale.
La rete virtuale supporta il failover per Power Platform?
Sì, è necessario delegare una rete virtuale primaria e di failover e subnet durante la configurazione.
Come può un ambiente Power Platform in un'area geografica connettersi alle risorse ospitate in un'altra area geografica?
Una rete virtuale collegata a un ambiente Power Platform deve risiedere nell'area geografica dell'ambiente Power Platform. Se la rete virtuale si trova in un'altra area geografica, crea una nuova rete virtuale nell'area geografica dell'ambiente Power Platform e utilizza peering di rete virtuale per collegare le due aree geografiche.
Posso monitorare il traffico in uscita dalle subnet delegate?
Sì. È possibile utilizzare il gruppo di sicurezza di rete e i firewall per monitorare il traffico in uscita dalle subnet delegate.
Quanti indirizzi IP da delegare richiede Power Platform nella subnet?
Sono necessari almeno 24 Classless Inter-Domain Routing (CIDR) o 255 indirizzi IP nella subnet. Se desideri delegare la stessa subnet a più ambienti, potrebbe essere necessario eseguire più indirizzi IP in quella subnet.
Posso effettuare chiamate via Internet da plug-in o connettori dopo che il mio ambiente è delegato alla subnet?
Sì. È possibile effettuare chiamate legate a Internet da plug-in o connettori, ma la subnet deve essere configurata con un gateway Azure NAT.
Posso aggiornare l'intervallo di indirizzi IP della subnet dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
Nr. Non puoi modificare l'intervallo di indirizzi IP della subnet dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"
La mia rete virtuale ha un DNS personalizzato configurato. Power Platform usa il mio DNS personalizzato?
Sì. Power Platform usa il DNS personalizzato configurato all'interno della rete virtuale che contiene la subnet delegata per risolvere tutti gli endpoint. Una volta delegato l'ambiente, puoi aggiornare il plug-in per utilizzare l'endpoint corretto in modo che il tuo DNS personalizzato sia in grado di risolverli.
Il mio ambiente dispone di plug-in forniti dall'ISV. Questi plug-in verranno eseguiti nella subnet delegata?
Sì. Tutti i plug-in del cliente e i plug-in ISV possono essere eseguiti utilizzando la subnet. Se i plug-in ISV dispongono di connettività in uscita, potrebbe essere necessario elencare tali URL nel firewall.
I miei certificati TLS dell'endpoint locale non sono firmati da autorità di certificazione root (CA) note. Sono supportati i certificati sconosciuti?
Nr. Dobbiamo garantire che l'endpoint presenti un certificato TLS con la catena completa. Non è possibile aggiungere la tua CA radice personalizzata al nostro elenco di CA note.
Qual è la configurazione consigliata di una rete virtuale all'interno di un tenant del cliente?
Non consigliamo alcuna topologia specifica. Tuttavia, i nostri clienti utilizzano ampiamente il modello di rete con topologia hub and speak.
È necessario collegare una sottoscrizione di Azure al mio tenant Power Platform per attivare la rete virtuale?
Sì, per abilitare il supporto della rete virtuale per gli ambienti Power Platform, è essenziale avere una sottoscrizione di Azure associata al tenant Power Platform.
In che modo Power Platform utilizza la delega della subnet di Azure?
Quando a un ambiente Power Platform è assegnata una subnet delegata di Azure, usa l'inserimento della rete virtuale di Azure per inserire il contenitore al runtime in una subnet delegata. In questo processo, a una scheda di interfaccia di rete (NIC) del contenitore viene assegnata un indirizzo IP dalla subnet delegata. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico scorre su Azure Fabric.
Posso utilizzare una rete virtuale esistente per Power Platform?
Sì, puoi utilizzare una rete virtuale esistente per Power Platform, purché un'unica nuova subnet nella rete virtuale sia delegata specificamente a Power Platform. È importante notare che questa subnet delegata non deve ospitare altri servizi.
Posso utilizzare Stati Uniti orientali 2 come failover se ho il mio ambiente Power Platform in Canada?
Per garantire un failover corretto, è necessario effettuare il provisioning delle subnet primaria e della subnet di failover rispettivamente in canadacentral e canadaeast. Per un failover efficace, crea la subnet primaria e quella di failover rispettivamente nelle aree canadacentral e canadaeast. Inoltre, se si desidera supportare la connettività con le risorse nella regione useast2 , stabilire il peering della rete virtuale tra la rete virtuale primaria e quella di failover, inclusa la rete virtuale nella regione useast2 .
Cos'è un plug-in Dataverse?
Un plug-in Dataverse è una porzione di codice personalizzato che può essere distribuito in un ambiente Power Platform. Questo plug-in può essere configurato per essere eseguito durante eventi (come una modifica nei dati) o attivato come API personalizzata. Ulteriori informazioni: Plug-in Dataverse
Come viene eseguito un plug-in Dataverse?
Un plug-in Dataverse viene eseguito in un contenitore. Quando a un ambiente Power Platform viene assegnata una subnet delegata, un indirizzo IP dallo spazio degli indirizzi di quella subnet viene allocato alla scheda di interfaccia di rete (NIC) del contenitore. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico scorre su Azure Fabric.
È possibile eseguire più plug-in nello stesso contenitore?
Sì. In un dato ambiente Power Platform o Dataverse, più plug-in possono effettivamente operare all'interno dello stesso contenitore. Ogni contenitore utilizza un indirizzo IP dello spazio degli indirizzi della subnet e ogni contenitore può eseguire più richieste.
In che modo l'infrastruttura gestisce un aumento delle esecuzioni simultanee di plug-in?
All'aumentare del numero di esecuzioni simultanee di plug-in, l'infrastruttura si ridimensiona automaticamente (in entrata o in uscita) in base al carico. La subnet delegata a un ambiente Power Platform deve disporre di spazi di indirizzi sufficienti per gestire il volume di picco delle esecuzioni per i carichi di lavoro in quell'ambiente Power Platform.
Chi controlla la rete virtuale e i criteri di rete ad essa associati?
In qualità di cliente, hai la proprietà e il controllo sulla rete virtuale e sui criteri di rete associati. Power Platform, d'altro canto, utilizza gli indirizzi IP allocati dalla subnet delegata all'interno di quella rete virtuale.
I plug-in compatibili con Azure supportano Rete virtuale?
No, i plug-in compatibili con Azure non supportano Rete virtuale.