Udostępnij przez

Pomoc techniczna usługi Virtual Network — oficjalny dokument

Twoja organizacja może korzystać z usługi Azure Virtual Network, aby mieć pewność, że jej usługi Power Platform działają w bezpiecznym i kontrolowanym środowisku sieciowym, zmniejszając ryzyko naruszenia bezpieczeństwa danych i nieautoryzowanego dostępu. W tym oficjalnym dokumencie zawarto szczegółową analizę obsługi sieci wirtualnej platformy Azure w platformie Power Platform. Podkreśla kluczowe korzyści, opisuje proces wdrażania i architekturę techniczną, omawia przypadki użycia w świecie rzeczywistym i oferuje praktyczne spostrzeżenia z udanego studium przypadku, co czyni go cennym źródłem informacji dla specjalistów IT i decydentów, którzy chcą zwiększyć bezpieczeństwo sieci i efektywność operacyjną.

Główne korzyści

  • Zwiększone bezpieczeństwo: hostuj Power Platform usługi w bezpiecznej sieci, chroniąc poufne dane przed nieautoryzowanym dostępem i potencjalnymi naruszeniami.

  • Ulepszona łączność: ustanawiaj bezpieczne i niezawodne połączenia między usługami Power Platform i innymi zasobami Azure, zwiększając ogólną łączność.

  • Usprawnione zarządzanie siecią: Uprość zarządzanie siecią dzięki scentralizowanemu i spójnemu podejściu do konfigurowania i zarządzania ustawieniami sieciowymi dla Power Platform usług.

  • Skalowalność: Efektywne skalowanie Power Platform usług, zapewniające, że zasoby sieciowe mogą rosnąć zgodnie z potrzebami biznesowymi.

  • Zgodność: spełnij wymagania prawne i dotyczące zgodności w zakresie bezpieczeństwa sieci i ochrony danych.

Tło

Microsoft Power Platform to wiodąca platforma low-code/no-code, która umożliwia ludziom tworzenie aplikacji, automatyzowanie przepływów pracy i analizowanie danych — nawet jeśli nie są profesjonalnymi programistami — w celu tworzenia niestandardowych rozwiązań dostosowanych do konkretnych potrzeb biznesowych, wspierając innowacje i zwiększając produktywność. Power Platform obejmuje następujące usługi firmy Microsoft:

  • Dataverse służy jako podstawowa platforma danych, zapewniając bezpieczne i skalowalne środowisko do przechowywania danych i zarządzania nimi.
  • Power Apps Oferuje przyjazny dla użytkownika interfejs do tworzenia niestandardowych aplikacji.
  • Power Automate Oferuje interfejs typu "przeciągnij i upuść" do automatyzacji powtarzalnych zadań i przepływów pracy.
  • Power BI oferuje solidne możliwości wizualizacji i analizy danych.
  • Power Pages Oferuje przyjazny dla użytkownika interfejs do tworzenia profesjonalnych stron internetowych.
  • Copilot Studio ułatwia tworzenie inteligentnych botów i agentów bez dogłębnej wiedzy z zakresu inżynierii sztucznej inteligencji.

Integracja tych komponentów z zasobami platformy Azure przy użyciu sieci wirtualnych zwiększa ogólną funkcjonalność i bezpieczeństwo Power Platform. Sieci wirtualne zapewniają bezpieczne i izolowane środowisko sieciowe, w którym mogą działać usługi Power Platform, umożliwiając organizacji kontrolowanie i zarządzanie ruchem sieciowym, zapewniając jednocześnie ochronę danych zgodnie z wymogami regulacyjnymi.

Zabezpieczenia sieci i integracja z siecią wirtualną

Bezpieczeństwo sieci jest krytycznym aspektem każdej infrastruktury cyfrowej. Ochrona ruchu wychodzącego z usług Power Platform jest niezbędna, aby zapobiec nieautoryzowanemu dostępowi, naruszeniom bezpieczeństwa danych i innym zagrożeniom bezpieczeństwa. Integracja sieci wirtualnej odgrywa kluczową rolę. Zapewniając bezpieczną ścieżkę transmisji danych, zapewniając, że cały ruch z usług Power Platform jest kierowany przez kontrolowane i monitorowane środowisko sieciowe, zmniejsza ryzyko narażenia na potencjalne zagrożenia.

Wdrażając obsługę sieci wirtualnej, Twoja organizacja może egzekwować rygorystyczne zasady bezpieczeństwa, monitorować ruch sieciowy i wykrywać wszelkie anomalie w czasie rzeczywistym. Ten poziom kontroli ma kluczowe znaczenie dla zachowania integralności i poufności danych wrażliwych. Jednocześnie integracja z siecią wirtualną upraszcza ogólną architekturę sieci i zwiększa niezawodność, umożliwiając usługom Power Platform bezproblemowe łączenie się z innymi zasobami platformy Azure.

Omówienie obsługi sieci wirtualnej Virtual Network w platformie Power Platform

Obsługa Virtual Network to znaczące ulepszenie, które zapewnia niezawodne zabezpieczenia i lepszą łączność z Power Platform. Sieci wirtualne to podstawowy składnik możliwości sieciowych platformy Azure, umożliwiający Twojej organizacji łączenie usług Power Platform z zasobami w prywatnych sieciach przedsiębiorstwa. Ustanawiają bezpieczną komunikację między usługami Power Platform, innymi zasobami platformy Azure i sieciami, takimi jak usługi lokalne, bazy danych, konta magazynu i magazyn kluczy.

Kierując cały ruch wychodzący z usług Power Platform przez sieć wirtualną, Twoja organizacja może zapewnić bezpieczną transmisję danych i ochronę przed nieautoryzowanym dostępem. Sieć wirtualna poprawia także łączność, zapewniając niezawodne i spójne środowisko sieciowe. Nawiązanie bezpiecznych połączeń pomiędzy usługami Power Platform i innymi zasobami Azure zapewnia płynny przepływ danych i bardziej efektywne wykorzystanie zasobów sieciowych.

Za kulisami

Infrastruktura Power Platform składa się z bezserwerowej warstwy orkiestracji kontenerów, która wykonuje obciążenia ze ścisłymi granicami bezpieczeństwa i gwarantuje indywidualną dostępność i skalowalność na poziomie obciążenia. Warstwa aranżacji kontenerów jest używana dla wszystkich obciążeń wymagających izolacji, w tym wewnętrznych łączników przypominających obciążenia firmy Microsoft i obciążeń klientów, takich jak wtyczki.

Kontenerowe obciążenie umożliwia platformie Power Platform obsługę izolacji na poziomie sieci przy użyciu kombinacji delegowania podsieci platformy Azure i funkcji wstrzykiwania sieci wirtualnej. Dzięki wstrzykiwaniu sieci wirtualnej kontener można wstrzykiwać do sieci wirtualnej, podłączając kartę interfejsu sieciowego. Wszelkie obciążenia uruchomione w tym kontenerze są wykonywane w sieci klienta i mogą korzystać z prywatnych adresów IP w sieci. Obciążenia wtyczek mogą uzyskiwać dostęp do usług użytkownika, zasobów lub zasobów platformy Azure za pomocą prywatnego łącza udostępnionego w tej samej sieci wirtualnej. Podobnie obciążenie łącznika może uzyskać dostęp do zasobu docelowego lub punktu końcowego w tej samej sieci wirtualnej.

Azure delegowanie podsieci

Obsługa sieci wirtualnej dla Power Platform używa Delegowania podsieci Azure. Przedsiębiorstwa delegują podsieć do użytku przez usługi Power Platform, takie jak wtyczki i łączniki Dataverse, w celu przetwarzania żądań w czasie wykonywania. Kontenery używają adresu IP z delegowanej podsieci do obsługi tych żądań.

Ponieważ kontener działa w granicach delegowanej podsieci i korzysta z jego adresu IP, wszelkie wywołania wychodzące z kontenera pozostają w granicach sieci przedsiębiorstwa — oznacza to, że wywołanie pozostaje w sieci wirtualnej będącej częścią tej podsieci. Ta konfiguracja umożliwia Twojej organizacji pełną kontrolę nad zasadami, regułami i pakietami sieciowymi dla kontenerów. Do delegowanej podsieci możesz zastosować te same elementy sterujące, które stosujesz do własnej sieci.

Power Platform nie zarządza konfiguracją delegowanej podsieci. Jedynym wymaganiem jest to, że delegowanej podsieci nie można używać do żadnych innych zasobów ani delegować do innych usług. Po delegowaniu podsieci adresy IP w tej podsieci są zarezerwowane dla usługi Power Platform.

Dostęp do Internetu z kontenerów jest domyślnie wyłączony. Jeśli kod uruchomiony w kontenerach wymaga dostępu do Internetu, należy skonfigurować usługę Azure NAT Gateway w delegowanej podsieci, aby umożliwić kontenerom łączenie się z zasobami w Internecie.

W poniższej tabeli podsumowano własność delegowanej podsieci oraz elementy sterujące dostępne dla klientów i firmy Microsoft.

Kontrolki Opis Prawo własności
NAT Gateway Gdy brama NAT jest dołączona do podsieci, staje się następnym przeskokiem dla całego ruchu przeznaczonego do Internetu z tej podsieci. Cały ruch z podsieci do Internetu jest kierowany przez bramę NAT. Wszystkie wystąpienia w podsieci pozostają prywatne z bezpieczną i skalowalną łącznością wychodzącą. Customer
Sieciowe grupy zabezpieczeń (NSG) Klienci mogą kojarzyć sieciowe grupy zabezpieczeń z delegowaną podsiecią. Zdefiniuj i egzekwuj reguły zabezpieczeń, aby kontrolować ruch przychodzący i wychodzący do i z podsieci. Customer
Tabele routingu Klienci mogą kojarzyć tabele tras z delegowaną podsiecią. Zdefiniuj niestandardowe zasady routingu, aby kontrolować przepływ ruchu w sieci wirtualnej i do sieci zewnętrznych. Customer
Monitorowanie sieci Monitorowanie sieci pomaga zachować zgodność z zasadami bezpieczeństwa, wymuszając przepływ ruchu przez wirtualną sieć prywatną przedsiębiorstwa. Customer
Zarządzanie adresami IP Klienci mogą dyktować przestrzeń adresową IP dla delegowanej podsieci, upewniając się, że używa ona prywatnych zakresów adresów IP, takich jak 10.0.0.0/8, 192.168.0.0/16 lub 172.16.0.0/12. Customer
Konfiguracja wskaźnika DNS Klienci mogą konfigurować niestandardowe ustawienia DNS dla delegowanej podsieci, w tym wpisy Azure DNS. Customer
Container Kontenery wykonują żądania z usług obsługiwanych przez sieć wirtualną i uzyskują adresy IP z delegowanej podsieci. Microsoft

Architektura techniczna

Poniższy diagram architektury technicznej rozwiązania Power Platform pokazuje, w jaki sposób komponenty, takie jak źródła danych, łączniki, usługi i aplikacje, współdziałają i integrują się w ramach rozwiązania. Diagram przedstawia wykorzystanie sieci wirtualnych do zwiększania bezpieczeństwa i łączności, umożliwiając usługom Power Platform łączenie się z prywatnymi i chronionymi zasobami bez narażania ich na dostęp do Internetu. Architektura pokazuje, w jaki sposób żądania wykonania są kierowane do kontenerów w sieci wirtualnej przy jednoczesnym zachowaniu granic izolacji kontenerów.

Diagram ilustrujący architekturę techniczną rozwiązania Power Platform, przedstawiający wykorzystanie sieci wirtualnych do bezpiecznej łączności i kierowania żądań wykonania do kontenerów w sieci wirtualnej.

W konfiguracji sieci wirtualnej kontener, w którym działa wtyczka lub łącznik, jest częścią sieci wirtualnej organizacji. Komunikacja z punktami końcowymi w sieci wirtualnej pozostaje wewnątrz granicy sieci wirtualnej. Granicę można rozszerzyć na inne sieci wirtualne lub lokalne, korzystając z komunikacji równorzędnej sieci wirtualnej i usługi ExpressRoute lub VPN Gateway.

Komponenty Power Platform w konteneryzowanym obciążeniu sieci wirtualnej muszą mieć możliwość komunikowania się z innymi komponentami w obciążeniu. Na przykład Power Platform może wymagać wyzwolenia wtyczki lub wywołania łącznika w obciążeniu.

Ponieważ kontener nie jest bezpośrednio podłączony do głównej infrastruktury sieciowej, między kontenerem a warstwą aranżacji ustanawiana jest specjalna ścieżka lub kanał komunikacyjny. Kanał używa specjalnego lokalnego adresu IP, zwanego adresem APIPA, do wysyłania określonych instrukcji lub sygnałów do obciążenia działającego w kontenerze. Tylko niektóre typy wiadomości mogą dotrzeć do obciążenia, co gwarantuje, że kontener i jego obciążenie pozostaną bezpieczne i odizolowane.

Poniższy diagram ilustruje, jak kontenery są izolowane od siebie i od systemu hosta przy użyciu sieci wirtualnych, które kierują żądania wykonania do kontenerów przy zachowaniu granic izolacji.

Diagram przedstawiający granice izolacji kontenerów w rozwiązaniu Power Platform, przedstawiający bezpieczne i izolowane operacje kontenerów przy użyciu dwóch sieci wirtualnych.

Włącz obsługę sieci wirtualnej dla platformy Power Platform

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie obsługi Virtual Network dla Power Platform.

Typowe przypadki użycia i przykłady ze świata rzeczywistego

W tej sekcji poznasz typowe przypadki użycia sieci wirtualnych z rozwiązaniami Power Platform. Poznasz także rzeczywiste przykłady korzyści, jakie różne branże odniosły dzięki ich zastosowaniu.

Przypadki użycia

Bezpieczna integracja danych: Twoja organizacja może korzystać z obsługi Virtual Network, aby bezpiecznie łączyć Power Platform usługi z prywatnymi źródłami danych, takimi jak Azure SQL Database, Azure Storage i zasoby lokalne. Sieć wirtualna gwarantuje, że dane pozostaną w granicach sieci organizacji i nie będą widoczne w publicznym Internecie.

Prywatne punkty końcowe dla łączników: Power Platform łączniki mogą korzystać z obsługi sieci wirtualnej w celu ustanowienia prywatnych punktów końcowych na potrzeby bezpiecznej komunikacji. Sieć prywatna eliminuje potrzebę posiadania publicznych adresów IP i zmniejsza ryzyko naruszenia danych.

Bezpieczne Copilot Studio integracje: możesz użyć obsługi Virtual Network złącznikami Power Platform , aby ustanowić bezpieczną łączność ze źródłami Copilot Studio danych. Sieć prywatna eliminuje ryzyko związane z udostępnieniem źródeł danych publicznemu internetowi i ogranicza ryzyko eksfiltracji danych.

Przykłady ze świata rzeczywistego

Organizacje z różnych branż mogą korzystać z obsługi sieci wirtualnej dla platformy Power Platform. Bezpiecznie łącząc usługi Power Platform z prywatnymi źródłami danych, organizacje mogą poprawić swój stan zabezpieczeń, poprawić łączność i zapewnić zgodność z wymogami prawnymi.

Instytucje finansowe: Duży bank może używać sieci wirtualnej do bezpiecznego łączenia Power Platform rozwiązań i aplikacji Dynamics 365 z chronionymi bazami danych i usługami. Taka konfiguracja umożliwia bankowi tworzenie bezpiecznych przepływów pracy i automatyzację procesów bez udostępniania poufnych informacji w publicznym Internecie, zapewniając ochronę danych klientów i zgodność z wymogami regulacyjnymi.

Dostawcy opieki zdrowotnej: Organizacja opieki zdrowotnej może używać sieci wirtualnej do łączenia Power Platform rozwiązań i aplikacji Dynamics 365 ze swoimi systemami elektronicznej dokumentacji medycznej. Sieć prywatna może być wykorzystywana do bezpiecznego dostępu do danych pacjentów oraz do tworzenia bezpiecznych kanałów komunikacji pomiędzy oddziałami oraz pomiędzy dostawcą a partnerami zewnętrznymi.

Firmy handlu detalicznego: Firma handlu detalicznego może używać sieci wirtualnej do bezpiecznego łączenia Power Platform rozwiązań i aplikacji Dynamics 365 ze swoimi systemami zarządzania zapasami i bazami danych klientów. Prywatne połączenia pozwalają firmie optymalizować operacje, poprawić śledzenie zapasów i ulepszyć jakość obsługi klienta, zapewniając jednocześnie ochronę danych poufnych.

Agencje rządowe: Agencje rządowe mogą używać sieci wirtualnej do bezpiecznego łączenia Power Platform rozwiązań i aplikacji Dynamics 365 ze swoimi wewnętrznymi systemami i bazami danych. Połączenia prywatne pozwalają agencjom automatyzować procesy, usprawniać udostępnianie danych i usprawniać współpracę przy jednoczesnym zachowaniu rygorystycznych standardów bezpieczeństwa i zgodności.

Wzorce integracji

Typy obciążeń, które chcesz uruchamiać w środowisku, określają wzorzec integracji dla Power Platform. Możesz użyć obsługi sieci wirtualnej dla Power Platform jako wzorca integracji w swoim środowisku z pewnymi wyjątkami.

Obciążenia interfejsu API: jeśli planujesz uruchamiać obciążenia interfejsu API, takie jak wtyczki, łączniki lub punkty końcowe usługi, sieć wirtualna jest jedynym obsługiwanym sposobem ich bezpiecznej integracji ze źródłami danych w sieci. Sieci wirtualne nie obsługują podzbioru łączników, które mają wymagania dotyczące sterowników innych niż Microsoft lub korzystają z uwierzytelniania systemu Windows. Te łączniki nie są powszechnie używane i muszą używać lokalnej bramy danych zamiast sieci wirtualnej. Następujące wtyczki i łączniki są ogólnie dostępne do użytku w sieci wirtualnej:

  • Wtyczki Dataverse
  • Łączniki niestandardowe
  • Azure Blob Storage
  • Azure File Storage
  • Azure Key Vault
  • Kolejki Azure
  • Azure SQL Data Warehouse
  • HTTP z Tożsamość Microsoft Entra (wcześniejsza autoryzacja)
  • SQL Server

Obciążenia ETL: wyodrębnianie, przekształcanie, ładowanie (ETL) obciążeń, a Power BIPower Platform przepływy danych korzystają z bram danych sieci wirtualnej.

Poniższy diagram ilustruje wzorce integracji obciążeń API i ETL.

Diagram przedstawiający złącza i wtyczki Power Platform, które są ogólnie dostępne lub dostępne w wersji zapoznawczej do użytku w sieci wirtualnej.

Zagadnienia dotyczące konfiguracji

Podczas konfigurowania obsługi sieci wirtualnej dla platformy Power Platform należy pamiętać o następujących kwestiach.

Regiony i lokalizacje

Delegowane podsieci w regionach świadczenia usługi Azure muszą być zgodne z lokalizacją środowiska Power Platform. Na przykład, jeśli środowisko Power Platform znajduje się w Stanach Zjednoczonych, każda z dwóch sieci wirtualnych i podsieci musi znajdować się w eastus i westus regionach Azure. Zapoznaj się z listą obsługiwanych regionów i mapowań lokalizacji, aby uzyskać najnowsze informacje o regionach i lokalizacjach świadczenia usługi Azure.

Jeśli Twoje zasoby platformy Azure znajdują się w różnych regionach świadczenia usługi Azure, nadal musisz wdrożyć sieci wirtualne dla środowisk Power Platform w odpowiedniej lokalizacji platformy Azure dla każdego środowiska. Użyj komunikacji równorzędnej sieci wirtualnych lub podobnej opcji łączności z dużą szybkością i niskim opóźnieniem, aby połączyć zasoby z sieciami wirtualnymi. Sieć globalna firmy Microsoft oferuje wiele opcji nawiązywania łączności między Power Platform siecią wirtualną a siecią wirtualną przedsiębiorstwa.

Rozmiar podsieci

Rozmiar delegowanej podsieci w sieci wirtualnej powinien uwzględniać przyszły wzrost użycia i dodanie nowych usług. Odpowiednie dobranie rozmiaru podsieci gwarantuje, że żądania nie zostaną ograniczone. Aby uzyskać więcej informacji na temat określania rozmiaru podsieci, przejdź do tematu Szacowanie rozmiaru podsieci dla Power Platform środowisk.

Brama platformy Azure NAT

Brama Azure NAT korzysta z translacji adresów sieciowych (NAT), aby umożliwić kontenerom w delegowanej podsieci bezpieczne łączenie się z zasobami internetowymi poprzez tłumaczenie prywatnych adresów IP wystąpień kontenerów na statyczny, publiczny adres IP. Statyczne adresy IP umożliwiają spójne i bezpieczne połączenia wychodzące.

Jeśli Twoja organizacja implementuje obsługę Virtual Network w środowisku bez migrowania wszystkich źródeł danych do sieci prywatnej, musisz skonfigurować usługę Azure NAT Gateway. Jest to wymagane, aby zapobiec zakłóceniom w istniejących integracjach wymagających dostępu do zasobów internetowych, umożliwiając przeniesienie integracji do sieci wirtualnej bez wpływu na bieżące obciążenia.

Monitorowanie sieci

Monitoring sieci śledzi i analizuje przepływ ruchu w delegowanej podsieci, co jest niezbędne do identyfikowania i rozwiązywania potencjalnych problemów. Zapewniając wgląd w wydajność i stan składników sieci, monitorowanie pomaga upewnić się, że sieć działa wydajnie i bezpiecznie. Narzędzia monitorujące mogą wykrywać anomalie, takie jak nietypowe wzorce ruchu lub próby nieautoryzowanego dostępu, co pozwala na szybką interwencję i łagodzenie skutków.

Sieciowe grupy zabezpieczeń

Sieciowe grupy zabezpieczeń (sieciowych grup zabezpieczeń) umożliwiają definiowanie reguł zabezpieczeń kontrolujących ruch do i z zasobów platformy Azure. Delegując podsieć, możesz skonfigurować sieciowe grupy zabezpieczeń, aby mieć pewność, że dozwolony będzie tylko ruch autoryzowany, co pomoże Ci zachować bezpieczeństwo i integralność sieci. Sieciowe grupy zabezpieczeń można stosować zarówno do podsieci, jak i poszczególnych interfejsów sieciowych, zapewniając elastyczność w zarządzaniu ruchem na różnych poziomach.

Najlepsze praktyki dotyczące zabezpieczania połączeń wychodzących z usług Power Platform

Poniższe najlepsze praktyki ułatwiają zabezpieczanie połączeń wychodzących z usług Power Platform, co ma kluczowe znaczenie dla ograniczenia ryzyka wycieku danych i zapewnienia zgodności z zasadami bezpieczeństwa.

  • Ogranicz ruch wychodzący: ogranicz ruch wychodzący z zasobów Power Platform do określonych punktów końcowych. Użyj sieciowych grup zabezpieczeń i zapory platformy Azure Firewall, aby egzekwować reguły ruchu i kontrolować dostęp.

  • Użyj prywatnych punktów końcowych: użyj prywatnych punktów końcowych do bezpiecznej komunikacji między Power Platform usługami i zasobami platformy Azure. Prywatne punkty końcowe zapewniają, że ruch pozostaje w sieci platformy Azure i nie przechodzi przez publiczny Internet.

  • Monitorowanie i inspekcja ruchu: Użyj Azure Network Watcher i Microsoft Sentinel , aby monitorować i kontrolować ruch wychodzący z Power Platform usług, aby ułatwić identyfikowanie potencjalnych zagrożeń bezpieczeństwa i reagowanie na nie w czasie rzeczywistym.

  • Zastosuj zasady zabezpieczeń: Egzekwuj zasady zabezpieczeń przy użyciu Azure Policy i Azure Firewall, aby upewnić się, że wszystkie połączenia wychodzące są zgodne z wymaganiami organizacji dotyczącymi zabezpieczeń. Aby kontrolować przepływ danych, zastosuj zasady zapobiegania utracie danych i filtrowanie punktów końcowych w łącznikach.

Przykładowe konfiguracje sieci wirtualnej

W tej sekcji przedstawiono przykładowe konfiguracje obsługi sieci wirtualnej w platformie Power Platform. Te konfiguracje ilustrują sposób konfigurowania sieci wirtualnych i podsieci dla różnych scenariuszy, zapewniając bezpieczną łączność między usługami Power Platform i zasobami platformy Azure.

Gdy zasoby platformy Azure znajdują się w sparowanym regionie świadczenia usługi Azure, a środowisko Power Platform znajduje się w Stanach Zjednoczonych

W tym scenariuszu przyjmujemy następujące założenia:

  • Twoje środowisko Power Platform znajduje się w Stanach Zjednoczonych.
  • Region platformy Azure dla sieci wirtualnej jest ustawiony na Zachodnie stany USA i Wschodnie stany USA.
  • Zasoby przedsiębiorstwa znajdują się w sieci wirtualnej VNET1 w regionie zachodnie stany USA.

Do skonfigurowania obsługi sieci wirtualnej w tym scenariuszu wymagana jest następująca minimalna konfiguracja:

  1. Utwórz sieć wirtualną VNet1 w zachodnich stanach USA i skonfiguruj podsieci na potrzeby delegowania.
  2. Utwórz drugą sieć wirtualną VNet2 we wschodnich stanach USA i skonfiguruj podsieci na potrzeby delegowania.
  3. Ustanów połączenie równorzędne między sieciami VNet1 i VNet2.
  4. Skonfiguruj integrację sieci wirtualnej Power Platform dla żądanych środowisk, korzystając z podsieci utworzonych w krokach 1 i 2.

Diagram przedstawiający konfigurację obsługi sieci wirtualnej, gdy zasoby platformy Azure znajdują się w jednym ze sparowanych regionów platformy Azure, a środowisko Power Platform znajduje się w Stanach Zjednoczonych.

Gdy zasoby platformy Azure znajdują się w regionie platformy Azure w środkowych stanach USA, a środowisko Power Platform znajduje się w Stanach Zjednoczonych

W tym scenariuszu przyjmujemy następujące założenia:

  • Twoje środowisko Power Platform znajduje się w Stanach Zjednoczonych.
  • Podstawowy region platformy Azure i tryb pracy awaryjnej dla sieci wirtualnej są ustawione odpowiednio na Zachodnie stany USA i Wschodnie stany USA.
  • Zasoby przedsiębiorstwa znajdują się w sieci wirtualnej VNet1 w regionie środkowych Stanów Zjednoczonych.

Do skonfigurowania obsługi sieci wirtualnej w tym scenariuszu wymagana jest następująca minimalna konfiguracja:

  1. Utwórz sieć wirtualną VNet2 w zachodnich stanach USA i skonfiguruj podsieci na potrzeby delegowania.
  2. Utwórz kolejną sieć wirtualną VNet3 we wschodnich stanach USA i skonfiguruj podsieci na potrzeby delegowania.
  3. Ustanów połączenie równorzędne między sieciami VNet1 i VNet2.
  4. Ustanów połączenie równorzędne między sieciami VNet1 i VNet3.
  5. Skonfiguruj integrację sieci wirtualnej Power Platform dla żądanych środowisk, korzystając z podsieci utworzonych w krokach 1 i 2.

Diagram przedstawiający konfigurację obsługi sieci wirtualnej, gdy zasoby platformy Azure znajdują się w regionie platformy Azure w środkowych stanach USA, a środowisko Power Platform znajduje się w Stanach Zjednoczonych.

Analiza przypadku

Poniższa analiza przypadku ilustruje, w jaki sposób klient firmy Microsoft pomyślnie wdrożył obsługę sieci wirtualnej w celu Power Platform zwiększenia bezpieczeństwa i łączności przy jednoczesnym zapewnieniu zgodności z wymaganiami prawnymi.

Firma zwiększa swoją elastyczność biznesową dzięki generatywnej sztucznej inteligencji i bezpiecznej integracji przy użyciu usługi Azure Virtual Network

Aby poznać praktyczne przypadki biznesowego wykorzystania generatywnej sztucznej inteligencji, nasz klient przeprowadził hackaton. Wydarzenie zgromadziło wielu programistów-obywateli, którzy w ciągu zaledwie jednego miesiąca zbudowali udany prototyp, korzystając z Power Platform i Azure AI Services. Hackathon nie tylko pokazał potencjał generatywnej sztucznej inteligencji, ale także dostarczył uczestnikom cennego praktycznego doświadczenia, wspierając innowacje i współpracę w organizacji.

Wyzwania klientów: Przejście od prototypu do produkcji wiązało się z poważnymi wyzwaniami. Główną przeszkodą było ustanowienie bezpiecznej architektury sieci prywatnej na platformach Power Platform i Azure, która była zgodna z rygorystycznymi zasadami bezpieczeństwa wewnętrznego firmy. Zapewnienie prywatności i bezpieczeństwa danych, przy jednoczesnym zachowaniu elastyczności i skalowalności, było kluczowe dla klienta.

Rozwiązanie: Klient użył delegowania podsieci platformy Azure — innymi słowy, sieci wirtualnej — ze środowiskiem zarządzanym, aby ustanowić architekturę sieci prywatnej między Power Platform prywatnymi zasobami platformy Azure. Korzystając z tej architektury, klient bezpiecznie połączył swoje aplikacje Power Platform z usługami Azure, nie udostępniając wrażliwych danych publicznemu Internetowi.

Diagram przedstawiający architekturę używaną przez naszego klienta do bezpiecznego łączenia aplikacji Power Platform z usługami platformy Azure bez udostępniania poufnych danych w publicznym Internecie.

Korzyści: Wdrożenie tego rozwiązania przyniosło kilka kluczowych korzyści.

  • Klient zbudował bezpieczną i sprawną podstawę integracji pomiędzy Power Platform i Azure, przyspieszając realizację wartości biznesowej. Integracja umożliwiła płynny przepływ danych i lepszą współpracę między działami.

  • Nowa architektura wyeliminowała koszty i ograniczenia związane z lokalnymi bramami danych. Unikając konieczności korzystania z infrastruktury lokalnej, klient może zmniejszyć koszty operacyjne i uprościć konserwację.

  • Klient może teraz zintegrować inne wewnętrzne źródła danych, takie jak prywatne usługi Amazon Web Services i lokalne interfejsy API, za pośrednictwem tej platformy z usługą Azure ExpressRoute. Ekspansja umożliwia klientowi korzystanie z szerszego zakresu danych i usług, napędzając dalszą innowacyjność i wydajność.

Podsumowanie

W tym oficjalnym dokumencie omówiliśmy różne aspekty integracji obsługi sieci wirtualnej z platformą Power Platform. Omówiliśmy korzyści związane z bezpieczeństwem korzystania z sieci wirtualnej, takie jak ochrona wrażliwych danych przed nieautoryzowanym dostępem i zapewnienie bezpiecznej komunikacji pomiędzy usługami Power Platform a zasobami prywatnymi. Omówiliśmy typowe przypadki użycia i przykłady ze świata rzeczywistego, udostępniliśmy wzorce integracji dla różnych scenariuszy i zaoferowaliśmy uwagi dotyczące konfigurowania obsługi sieci wirtualnej. Udostępniliśmy najlepsze praktyki dotyczące zabezpieczania połączeń wychodzących z usług Power Platform, w tym:

  • Ograniczanie ruchu wychodzącego
  • Używanie prywatnych punktów końcowych i delegowania podsieci
  • Monitorowanie i inspekcja ruchu
  • Stosowanie zasad zabezpieczeń

Na koniec sprawdziliśmy studium przypadku klienta firmy Microsoft, który pomyślnie wdrożył obsługę sieci wirtualnej dla platformy Power Platform w celu zwiększenia bezpieczeństwa i łączności, zapewniając jednocześnie zgodność z wymogami regulacyjnymi.

Obsługa sieci wirtualnych w platformie Power Platform to kluczowa funkcja, która pozwala organizacjom zwiększać bezpieczeństwo sieci, optymalizować łączność i zapewniać zgodność z wymogami regulacyjnymi. Organizacje korzystające z obsługi sieci wirtualnej mogą bezpiecznie łączyć usługi Power Platform ze swoimi prywatnymi źródłami danych, eliminując ryzyko związane z udostępnianiem tych źródeł w publicznym Internecie.

Powiązana zawartość

  • Last updated on