Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con el soporte de Azure Virtual Network para Power Platform, puede integrar Power Platform con recursos de su red virtual sin exponerlos a través del Internet público. La compatibilidad con Virtual Network utiliza la delegación de subred de Azure para administrar el tráfico saliente desde Power Platform en tiempo de ejecución. El uso de la delegación de subred de Azure evita la necesidad de que los recursos protegidos estén disponibles en Internet para integrarse con Power Platform. Con el soporte de red virtual, los componentes de Power Platform pueden llamar a recursos que pertenecen a su empresa dentro de la red, ya sea que estén hospedados en Azure o locales, y usar complementos y conectores para realizar llamadas salientes.
Power Platform normalmente se integra con recursos empresariales a través de redes públicas. Con las redes públicas, se debe poder acceder a los recursos empresariales desde una lista de rangos de IP de Azure o etiquetas de servicio, que describen direcciones IP públicas. Sin embargo, la compatibilidad con Azure Virtual Network para Power Platform le permite utilizar una red privada y todavía integrarse con servicios en la nube o servicios hospedados dentro de su red empresarial.
Los servicios de Azure están protegidos dentro de una red virtual mediante puntos de conexión privados. Puede utilizar Express Route para llevar sus recursos locales dentro de la red virtual.
Power Platform utiliza la red virtual y subredes que delegue para realizar llamadas salientes a recursos empresariales a través de la red privada empresarial. El uso de una red privada elimina la necesidad de enrutar el tráfico a través de la Internet pública, lo que podría exponer los recursos empresariales.
En una red virtual, usted tiene control total sobre el tráfico de salida desde Power Platform. El tráfico está sujeto a las políticas de red aplicadas por su red Administrador. El siguiente diagrama muestra cómo los recursos dentro de su red interactúan con una red virtual.
Ventajas del soporte de Virtual Network
Con el soporte de Virtual Network, sus componentes de Power Platform y Dataverse obtienen todas las ventajas que proporciona la delegación de subred de Azure, como las siguientes:
Protección de Datos: Virtual Network permite que los servicios de Power Platform se conecten a sus recursos privados y protegidos sin exponerlos a Internet.
Sin acceso no autorizado: Virtual Network se conecta con sus recursos sin necesidad de rangos de IP de Power Platform o etiquetas de servicio en la conexión.
Estimación del tamaño de subred para entornos de Power Platform
Durante el año pasado, los datos de telemetría y las observaciones indican que los entornos de producción normalmente requieren entre 25 y 30 direcciones IP, y la mayoría de los casos de uso se encuentran dentro de este rango. En función de esta información, se recomienda asignar de 25 a 30 direcciones IP para entornos de producción y de 6 a 10 DIRECCIONES IP para entornos que no sean de producción, como entornos de espacio aislado o de desarrollador. Las direcciones IP dentro de la subred son utilizadas principalmente por contenedores conectados a la red virtual. Una vez que se empieza a utilizar el entorno, se crearán un mínimo de cuatro contenedores, que escalan dinámicamente según el volumen de llamadas, aunque normalmente permanecen dentro del rango de 10 a 30 contenedores. Estos contenedores son responsables de ejecutar todas las solicitudes de sus respectivos entornos y de gestionar de manera eficiente las solicitudes de conexión paralela.
Planear para varios entornos
Si utiliza la misma subred delegada para varios entornos de Power Platform, es posible que necesite un bloque mayor de direcciones IP de enrutamiento entre dominios sin clases (CIDR). Considere la cantidad recomendada de direcciones IP para entornos de producción y no producción al vincular entornos a una sola directiva. Tenga en cuenta que cada subred reserva cinco direcciones IP, que deben tenerse en cuenta en su estimación.
Nota
Para mejorar la visibilidad del uso de recursos, estamos trabajando para exponer el consumo de direcciones IP de subred delegada para las directivas y subredes empresariales.
Asignación de IP de ejemplo
Considere un inquilino con dos directivas empresariales. La primera directiva es para entornos de producción, mientras que la segunda directiva es para entornos que no son de producción.
Política de empresas de producción
Si tiene cuatro entornos de producción asociados a su directiva empresarial, cada uno de los cuales requiere 30 IP. La asignación total de IP sería la siguiente:
(Cuatro entornos x 30 DIRECCIONES IP) + 5 direcciones IP reservadas = 125 DIRECCIONES IP
Este escenario requiere un bloque CIDR de /25, que tiene capacidad para 128 IP.
Directiva empresarial de no producción
Para una política empresarial no productiva con 20 entornos de desarrollador y de pruebas, cada uno requiriendo 10 direcciones IP, la asignación total de IP sería:
(Veinte entornos x 10 DIRECCIONES IP) + 5 direcciones IP reservadas = 205 DIRECCIONES IP
Este escenario requeriría un bloque CIDR de /24, que tiene capacidad para 256 IP y tiene suficiente espacio para agregar más entornos a la directiva empresarial.
Escenarios compatibles
Power Platform habilita la compatibilidad con redes virtuales tanto para los complementos como para los conectores de Dataverse. Con este soporte, puede establecer una conectividad saliente segura y privada desde Power Platform a los recursos en su Virtual Network. Los complementos y conectores de Dataverse mejoran la seguridad de la integración de datos al conectarse a orígenes de datos externos desde Power Apps, Power Automate y las aplicaciones de Dynamics 365. Por ejemplo, puede:
- Utilice complementos de Dataverse para conectarse a sus orígenes de datos en la nube, como Azure SQL, Azure Storage, almacenamiento de blobs o Azure Key Vault. Puede proteger sus datos contra la filtración de datos y otros incidentes.
- Utilice complementos de Dataverse para conectarse de manera segura a recursos privados protegidos por puntos de conexión en Azure, como API web o cualquier recurso dentro de su red privada, como SQL y API web. Puede proteger sus datos contra las infracciones de datos y otras amenazas externas.
- Utilice conectores compatibles con redes virtuales, como SQL Server, para conectarse de forma segura a sus orígenes de datos hospedados en la nube, como Azure SQL o SQL Server, sin exponerlos a Internet. Del mismo modo, puede utilizar el conector de Azure Queue para establecer conexiones seguras a Azure Queues privadas habilitadas para puntos de conexión.
- Usar Azure Key Vault para conectarse de forma segura a Azure Key Vault privado y protegido por puntos de conexión.
- Use conectores personalizados para conectarse de forma segura a sus servicios protegidos por puntos de conexión privados en Azure o servicios hospedados dentro de su red privada.
- Utilice Azure File Storage para conectarse de forma segura a un almacenamiento de archivos Azure privado y habilitado para puntos finales.
- Utilice HTTP con Microsoft Entra ID (preautorizado) para capturar recursos de forma segura a través de Virtual Networks desde varios servicios web, autenticados por Microsoft Entra ID o desde un servicio web local.
Limitaciones
- No se admiten los complementos con poco código de Dataverse que usan conectores hasta que esos tipos de conectores se actualizan para usar la delegación de subred.
- Utilice operaciones de copia, copia de seguridad y restauración del ciclo de vida del entorno en entornos de Power Platform compatibles con red virtual. La operación de restauración se puede realizar dentro de la misma red virtual y en diferentes entornos, siempre que estén conectados a la misma red virtual. Además, la operación de restauración está permitida desde entornos que no admiten redes virtuales hasta aquellos que sí lo hacen.
Regiones compatibles
Confirme que su entorno de Power Platform y directiva empresarial se encuentren en las regiones admitidas de Power Platform y Azure. Por ejemplo, si el entorno de Power Platform está en el Reino Unido, la red virtual y las subredes deben estar en las regiones de Azure uksouth y ukwest . En caso de que una región de Power Platform tenga más de dos regiones, debe asegurarse de elegir uno de los pares de regiones disponibles. Por ejemplo, si el entorno está en Estados Unidos, la red virtual y las subredes deben estar en eastus y westus o en centralus y eastus2.
| Región de Power Platform | Región de Azure |
|---|---|
| Estados Unidos |
|
| Sudáfrica | sudáfricanorte, sudáfricaoeste |
| Reino Unido | sur de reino unido, oeste de reino unido |
| Japón | japaneast, japanwest |
| India | India central, India del sur |
| Francia | francecentral, francesouth |
| Europa | oeste de europa, norte de europa |
| Alemania | Alemania Norte, Alemania Centro-Oeste |
| Suiza | switzerlandnorth, switzerlandwest |
| Canadá | canadá central, canadá este |
| Brasil | brazilsouth |
| Australia | sudeste de australia, este de Australia |
| Asia | asia oriental, sudeste asiático |
| EAU | uaenorth |
| Corea del Sur | koreasouth, koreacentral |
| Noruega | Noruega oeste, Noruega este |
| Singapur | southeastasia |
| Suecia | suecia central |
| Italia | italynorth |
| Gobierno de Estados Unidos | usgovtexas, usgovvirginia |
Nota
Actualmente, el soporte en la Comunidad Cloud del Gobierno de los Estados Unidos (GCC) solo está disponible para entornos desplegados en GCC High. El soporte para entornos del Departamento de Defensa (DoD) y GCC no está disponible.
Servicios compatibles
En la siguiente tabla se enumeran los servicios que admiten la delegación de subred de Azure para la compatibilidad con la red virtual para Power Platform.
| Región | Servicios de Power Platform | Disponibilidad del soporte de Virtual Network |
|---|---|---|
| Dataverse | Complementos de Dataverse | Disponible en general |
| Conectores | Disponible en general | |
| Conectores | Disponible en general |
Entornos admitidos
La compatibilidad de Red virtual con Power Platform no está disponible para todos los entornos de Power Platform. En la tabla siguiente se enumeran los tipos de entorno que admiten Virtual Network.
| Tipo de entorno | Compatible |
|---|---|
| Producción | Sí |
| Predeterminado | Sí |
| Espacio aislado | Sí |
| Developer | Sí |
| Prueba | No |
| Microsoft Dataverse for Teams | No |
Consideraciones para habilitar la compatibilidad de Virtual Network con el entorno de Power Platform
Cuando usa la compatibilidad con Virtual Network en un entorno de Power Platform, todos los servicios admitidos, como los complementos, conectores, de Dataverse, ejecutan solicitudes en tiempo de ejecución en su subred delegada y están sujetos a las directivas de red. Las llamadas a recursos disponibles públicamente comenzarían a fallar.
Importante
Antes de habilitar el soporte del entorno virtual para el entorno de Power Platform, asegúrese de comprobar el código de los complementos y los conectores. Las URL y las conexiones deben actualizarse para que funcionen con conectividad privada.
Por ejemplo, un complemento puede intentar conectarse a un servicio disponible públicamente, pero su política de red no permite el acceso público a Internet dentro de su red virtual. La llamada desde el complemento se bloquea de acuerdo con su directiva de red. Para evitar la llamada bloqueada, puede alojar el servicio disponible públicamente en su red virtual. Como alternativa, si su servicio está hospedado en Azure, puede usar un punto de conexión privado en el servicio antes de activar el soporte de Virtual Network en el entorno de Power Platform.
Preguntas más frecuentes
¿Cuál es la diferencia entre una puerta de enlace de datos de Virtual Network y la compatibilidad de Azure Virtual Network con Power Platform?
Una puerta de enlace de datos de Virtual Network es una puerta de enlace administrada que permite acceder a los servicios de Azure y Power Platform desde dentro de la red virtual sin tener que configurar una puerta de enlace de datos local. Por ejemplo, la puerta de enlace está optimizada para cargas de trabajo ETL (extracción, transformación, carga) en flujos de datos de Power BI y Power Platform.
La compatibilidad con Azure Virtual Network para Power Platform utiliza una delegación de subred de Azure para su entorno de Power Platform. Las cargas de trabajo en el entorno de Power Platform utilizan subredes. Las cargas de trabajo de API de Power Platform utilizan el soporte de Virtual Network porque las solicitudes son de corta duración y están optimizadas para una gran cantidad de solicitudes.
¿Cuáles son los escenarios en los que debo utilizar el soporte de Virtual Network para Power Platform y la puerta de enlace de datos de la red virtual?
La compatibilidad con Virtual Network para Power Platform es la única opción admitida para todos los escenarios de conectividad saliente desde Power Platform, excepto Power BI y flujos de datos de Power Platform.
Power BI y los flujos de datos de Power Platform siguen usando la la puerta de enlace de datos de red virtual (vNet).
¿Cómo puede garantizar que una subred de red virtual o una puerta de enlace de datos de un cliente no la utiliza otro cliente en Power Platform?
La compatibilidad con Virtual Network en Power Platform usa la delegación de subred de Azure.
Cada entorno de Power Platform está vinculado a una subred de red virtual. Sólo las llamadas desde ese entorno pueden acceder a esa red virtual.
La delegación le permite designar una subred específica para cualquier plataforma como servicio de Azure (PaaS) de su elección que debe inyectarse en su red virtual.
¿Admite Virtual Network la conmutación por error de Power Platform?
Sí, debe delegar las redes virtuales para ambas regiones de Azure asociadas a su región de Power Platform. Por ejemplo, si su entorno de Power Platform está en Canadá, debe crear, delegar y configurar Virtual Networks en CanadaCentral y CanadaEast.
¿Cómo puede un entorno de Power Platform de una región conectarse con recursos hospedados en otra región?
Una red virtual vinculada a un entorno de Power Platform debe encontrarse en la región del entorno de Power Platform. Si Virtual Network se encuentra en una región diferente, cree una red virtual en la región del entorno de Power Platform y use el emparejamiento de red virtual en las redes virtuales delegadas de la subred de la región de Azure para salvar la brecha con la red virtual en la región independiente.
¿Puedo monitorear el tráfico de salida de subredes delegadas?
Sí. Puede utilizar el Grupo de seguridad de red y/o firewalls para monitorear el tráfico de salida desde subredes delegadas. Más información en Monitorizar la red virtual de Azure.
¿Puedo realizar llamadas vinculadas a Internet desde complementos o conectores después de que mi entorno esté delegado en subred?
Sí. Puede realizar llamadas a través de Internet desde complementos o conectores, pero la subred delegada debe estar configurada con una puerta de enlace de Azure. NAT.
¿Puedo actualizar el rango de direcciones IP de la subred después de haberlo delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
No, mientras se utilice la característica en su entorno. No se puede cambiar el rango de direcciones IP de la subred después de delegarla a "Microsoft.PowerPlatform/enterprisePolicies". Si lo hace, la configuración de delegación se romperá y el entorno dejará de funcionar. Para cambiar el intervalo de direcciones IP, debe quitar la característica de delegación de su entorno, realizar los cambios necesarios y, a continuación, activar la característica para su entorno.
¿Puedo actualizar la dirección DNS de mi Virtual Network después de delegarla a "Microsoft.PowerPlatform/enterprisePolicies"?
No, mientras se utilice la característica en su entorno. No se puede cambiar la dirección DNS de la Virtual Network después de delegarla en "Microsoft.PowerPlatform/enterprisePolicies". Si lo hace, el cambio no se reflejará en nuestra configuración y su entorno podría dejar de funcionar. Para cambiar el intervalo de direcciones DNS, debe quitar la característica de delegación de su entorno, realizar los cambios necesarios y, a continuación, activar la característica para su entorno.
¿Puedo utilizar la misma directiva empresarial para varios entornos de Power Platform?
Sí. Puede utilizar la misma directiva empresarial para varios entornos de Power Platform. Sin embargo, existe una limitación: los entornos de ciclo de lanzamiento anticipado no se pueden utilizar con la misma directiva empresarial que otros entornos.
Mi red virtual tiene configurado un DNS personalizado. ¿Power Platform usa mi DNS personalizado?
Sí. Power Platform utiliza el DNS personalizado configurado en la Virtual Network que contiene la subred delegada para resolver todos los puntos de conexión. Después de que se ha delegado el entorno, puede actualizar los complementos para utilizar el punto de conexión correcto para que su DNS personalizado pueda resolverlos.
Mi entorno tiene complementos proporcionados por ISV. ¿Se ejecutarían estos complementos en la subred delegada?
Sí. Todos los complementos de clientes y complementos ISV se pueden ejecutar utilizando su subred. Si los complementos ISV tienen conectividad saliente, es posible que esas URL deban aparecer en su firewall.
Mis certificados TLS local punto de conexión no están firmados por autoridades de certificación raíz (CA) conocidas. ¿Admite certificados desconocidos?
No. Debemos asegurarnos de que punto de conexión presente un certificado TLS con la cadena completa. No es posible agregar su CA raíz personalizada a nuestra lista de CA conocidas.
¿Cuál es la configuración recomendada de una red virtual dentro de un inquilino de cliente?
No recomendamos ninguna topología específica. Sin embargo, nuestros clientes utilizan ampliamente la topología de red en estrella tipo hub-and-spoke en Azure.
¿Es necesario vincular una suscripción de Azure a mi inquilino de Power Platform para activar la red virtual?
Sí, para habilitar la compatibilidad con Virtual Network para entornos de Power Platform, es esencial tener una suscripción de Azure asociada con el inquilino de Power Platform.
¿Cómo utiliza Power Platform la delegación de subred de Azure?
Cuando un entorno de Power Platform tiene asignada una subred de Azure delegada, utiliza la inyección de Azure Virtual Network para insertar el contenedor en tiempo de ejecución en una subred delegada. En este proceso, a una tarjeta de interfaz de red (NIC) del contenedor se le asigna una dirección IP de la subred delegada. La comunicación entre el host (Power Platform) y el contenedor se produce a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Puedo utilizar una Virtual Network existente para Power Platform?
Sí, puede utilizar una Virtual Network existente para Power Platform, si una única subred nueva dentro de la red virtual se delega específicamente a Power Platform. La subred delegada debe estar dedicada a la delegación de subred y no puede usarse para otros fines.
¿Puedo reutilizar la misma subred delegada en varias directivas empresariales?
No. No se admite la reutilización de la misma subred en varias directivas empresariales. Cada directiva empresarial de Power Platform debe tener su propia subred única para la delegación.
¿Qué es un complemento de Dataverse?
Un complemento de Dataverse es un fragmento de código personalizado que se puede implementar en un entorno de Power Platform. Este complemento se puede configurar para ejecutarse durante eventos (como un cambio en los datos) o activarse como una API personalizada. Más información: Complementos de Dataverse
¿Cómo se ejecuta un complemento de Dataverse?
Un complemento de Dataverse funciona dentro de un contenedor. Cuando a un entorno de Power Platform se le asigna una subred delegada, se asigna una dirección IP del espacio de direcciones de esa subred a la tarjeta de interfaz de red (NIC) del contenedor. La comunicación entre el host (Power Platform) y el contenedor se produce a través de un puerto local en el contenedor y el tráfico fluye a través de Azure Fabric.
¿Se pueden ejecutar varios complementos dentro del mismo contenedor?
Sí. En un entorno de Power Platform o Dataverse determinado, varios complementos pueden funcionar dentro del mismo contenedor. Cada contenedor consume una dirección IP del espacio de direcciones de subred y cada contenedor puede ejecutar múltiples solicitudes.
¿Cómo maneja la infraestructura un aumento en las ejecuciones simultáneas de complementos?
A medida que aumenta el número de ejecuciones simultáneas de complementos, la infraestructura se escala automáticamente (horizontal o verticalmente) para adaptarse a la carga. La subred delegada a un entorno de Power Platform debe tener suficientes espacios de direcciones para gestionar el volumen máximo de ejecuciones para las cargas de trabajo en ese entorno de Power Platform.
¿Quién controla la red virtual y las directivas de red asociadas a ella?
Como cliente, usted tiene la propiedad y el control sobre la red virtual y sus políticas de red asociadas. Power Platform, por otro lado, utiliza las direcciones IP asignadas de la subred delegada dentro de esa Virtual Network.
¿Los complementos conscientes de Azure admiten Virtual Network?
No, los complementos conscientes de Azure no admiten Virtual Network.
Pasos siguientes
Configurar soporte de Virtual Network