Skonfiguruj obsługę sieci wirtualnej dla Power Platform

Obsługa sieci wirtualnej Azure dla Power Platform umożliwia integrację składników Power Platform i Dataverse z usługami w chmurze lub usługami hostowanymi w prywatnej sieci przedsiębiorstwa bez udostępniania ich w publicznej sieci internetowej. W tym artykule wyjaśniono, jak skonfigurować obsługę sieci wirtualnej w środowiskach Power Platform.

Wymagania wstępne

• Przejrzyj zasoby Power Platform: sprawdź aplikacje, przepływy i kod wtyczki, aby upewnić się, że łączą się za pośrednictwem sieci wirtualnej. Nie powinny one wywoływać punktów końcowych za pośrednictwem publicznego Internetu. Jeśli składniki muszą łączyć się z publicznymi punktami końcowymi, upewnij się, że konfiguracja zapory lub sieci zezwala na takie wywołania. Dowiedz się więcej w artykule Zagadnienia dotyczące włączania obsługi sieci wirtualnej dla środowiska platformy Power Platform i w często zadawanych pytaniach.

• Przygotuj dzierżawę i skonfiguruj uprawnienia:

  • Azure subskrypcja: upewnij się, że masz subskrypcję Azure, w której są tworzone zasoby sieci wirtualnej, podsieci i polityki przedsiębiorstwa.
  • Przypisywanie ról: Upewnij się, że masz role wymagane do tworzenia zasobów i zasad przedsiębiorstwa.
    • W portalu Azure przypisz rolę administratora sieci Azure, taką jak rola współautora sieci lub równoważna rola niestandardowa.
    • W centrum administracyjnym Microsoft Entra przypisz rolę administratora Power Platform.

• Przygotuj się do użycia PowerShell:

  • Użyj programu Windows PowerShell lub Zainstaluj program PowerShell Core.
  • Sklonuj repozytorium GitHub, aby uzyskać skrypty PowerShell dla zasad przedsiębiorstwa.
  • Uruchom skrypty „zainstaluj moduły i skonfiguruj subskrypcję”.

Poniższy diagram przedstawia funkcje ról w procesie konfiguracji obsługi sieci wirtualnej w środowisku Power Platform.

Konfigurowanie pomocy technicznej usługi Virtual Network

1. Skonfiguruj sieć wirtualną i podsieci.
2. Utwórz zasadę przedsiębiorstwa.
3. Konfigurowanie środowiska Power Platform.

Skonfiguruj sieć wirtualną i podsieci

1. Utwórz sieć wirtualną w regionach platformy Azure powiązanych ze środowiskiem Power Platform. Na przykład, jeśli region środowiska Power Platform to Stany Zjednoczone, sieci wirtualne należy utworzyć w regionach Azure eastus i westus. Aby uzyskać mapowanie regionów środowiska do regionów platformy Azure, przejrzyj listę obsługiwanych regionów.

   Ważne

   • Jeśli dla danego regionu geograficznego istnieją dwa lub więcej obsługiwanych regionów, np. Stany Zjednoczone z regionami eastus i westus, do utworzenia zasad przedsiębiorstwa dla scenariuszy [ciągłości działania i odzyskiwania po awarii] lub przełączania awaryjnego wymagane są dwie sieci wirtualne w różnych regionach.
   • Upewnij się, że utworzona podsieć ma odpowiedni rozmiar zgodnie z Szacowanie rozmiaru podsieci dla środowisk Power Platform.

   W razie potrzeby można ponownie użyć istniejących sieci wirtualnych. Podsieci nie mogą być ponownie używane w wielu zasadach przedsiębiorstwa.

2. Utwórz podsieć w każdej z sieci wirtualnych. Należy przejrzeć liczbę adresów IP przydzielonych do każdej podsieci i uwzględnić obciążenie środowiska. Obie podsieci muszą mieć taką samą liczbę dostępnych adresów IP.

   Ważne

   • Jeśli planujesz używać tej samej delegowanej podsieci dla wielu środowisk Power Platform, możesz potrzebować większego bloku adresów IP niż /24. Zapoznaj się ze wskazówkami dotyczącymi ustalania rozmiaru podsieci w temacie Szacowanie rozmiaru podsieci dla środowisk Power Platform.
   • Aby umożliwić publiczny dostęp do Internetu dla składników platformy Power Platform, utwórz bramę Azure NAT dla podsieci.

3. Upewnij się, że subskrypcja usługi Azure jest zarejestrowana dla dostawcy zasobów Microsoft.Power Platform, uruchamiając skrypt SetupSubscriptionForPower Platform.ps1.

4. Upewnij się, że podsieci nie mają połączonych z nimi żadnych zasobów. Deleguj każdą podsieć do firmy Microsoft.Power Platform/enterprisePolicies, uruchamiając skrypt SetupVnetForSubnetDelegation.ps1 dla każdej podsieci. Jeśli nie chcesz używać PowerShell, możesz delegować podsieć podczas tworzenia sieci wirtualnej w portalu Azure do usługi Microsoft.Power Platform/enterprisePolicies.

   Dowiedz się więcej w temacie Dodawanie lub usuwanie delegowania podsieci.

5. Po utworzeniu sparowanych sieci wirtualnych można je wyświetlić w grupie zasobów Azure, jak pokazano na poniższej ilustracji.

   

Utwórz zasady przedsiębiorstwa

Opcja 1: Użyj szablonu ARM platformy Azure

1. Upewnij się, że przechwycono niezbędne szczegóły, takie jak następujące informacje, z utworzonych sieci wirtualnych.

   • VnetOneSubnetName
   • VnetOneResourceId
   • VnetTwoSubnetName
   • VnetTwoResourceId

2. Wdróż niestandardowy szablon w portalu Azure. Wybierz link Utwórz własny szablon w edytorze, a następnie skopiuj i wklej następujący skrypt JSON.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "policyName": {
               "type": "string",
               "metadata": {
                   "description": "The name of the Enterprise Policy."
               }
           },
           "powerplatformEnvironmentRegion": {
               "type": "string",
               "metadata": {
                   "description": "Geo of the PowerPlatform environment."
               }
           },
           "vNetOneSubnetName": {
               "type": "string"
           },
           "vNetOneResourceId": {
               "type": "string",
         			"metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           },
           "vNetTwoSubnetName": {
               "defaultValue": "",
               "type": "string"
           },
           "vNetTwoResourceId": {
               "defaultValue": "",
               "type": "string",
         			"metadata": {
                   "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
               }
           }
       },
       "variables": {
           "vNetOne": {
               "id": "[parameters('vNetOneResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetOneSubnetName')]"
               }
           },
           "vNetTwo": {
               "id": "[parameters('vNetTwoResourceId')]",
               "subnet": {
                   "name": "[parameters('vNetTwoSubnetName')]"
               }
           },
           "vNetTwoSupplied": "[and(not(empty(parameters('vNetTwoSubnetName'))), not(empty(parameters('vNetTwoResourceId'))))]"
       },
       "resources": [
           {
               "type": "Microsoft.PowerPlatform/enterprisePolicies",
               "apiVersion": "2020-10-30-preview",
               "name": "[parameters('policyName')]",
               "location": "[parameters('powerplatformEnvironmentRegion')]",
               "kind": "NetworkInjection",
               "properties": {
                   "networkInjection": {
                       "virtualNetworks": "[if(variables('vNetTwoSupplied'), concat(array(variables('vNetOne')), array(variables('vNetTwo'))), array(variables('vNetOne')))]"
                   }
               }
           }
       ]
   }
   

3. Zapisz szablon i wypełnij szczegóły, aby utworzyć zasady przedsiębiorstwa, które zawierają następujące informacje:

   • Nazwa zasad: nazwa zasad przedsiębiorstwa, która jest wyświetlana w centrum administracyjnym Power Platform.
   • Lokalizacja: Wybierz lokalizację zasad przedsiębiorstwa odpowiadającą regionowi środowiska Dataverse:
     • unitedstates
     • southafrica
     • uk
     • japan
     • india
     • france
     • europe
     • germany
     • switzerland
     • canada
     • brazil
     • australia
     • asia
     • uae
     • korea
     • norway
     • singapore
     • sweden
     • usgov
   • VnetOneSubnetName: wprowadź nazwę podsieci z pierwszej sieci wirtualnej.
   • VnetOneResourceId: wprowadź identyfikator zasobu z pierwszej sieci wirtualnej.
   • VnetTwoSubnetName: wprowadź nazwę podsieci z drugiej sieci wirtualnej.
   • VnetTwoResourceId: wprowadź identyfikator zasobu z drugiej sieci wirtualnej. Powinien być zgodny z ciągami ze skryptu Json, na przykład: vNetOneResourceId, vNetOneSubnetName

4. Wybierz pozycję Przegląd + Utwórz, aby sfinalizować zasady przedsiębiorstwa.

   

Opcja 2: Użyj PowerShell

1. Uruchom skrypt CreateSubnetInjectionEnterprisePolicy.ps1 przy użyciu delegowanych sieci wirtualnych i podsieci. Pamiętaj, że dwie sieci wirtualne w różnych regionach są wymagane dla obszarów geograficznych, które obsługują co najmniej dwa regiony.

   Ważne

   Jeśli chcesz usunąć sieć wirtualną lub podsieć albo są wyświetlane błędy, takie jak InUseSubnetCannotBeDeleted i SubnetMissingRequiredDelegation, musisz usunąć politykę przedsiębiorstwa, jeśli istnieje. Politykę przedsiębiorstwa można usunąć za pomocą następującego polecenia.

   Remove-AzResource -ResourceId $policyArmId -Force
   

   Dostępne są różne skrypty PowerShell umożliwiające pobranie polityki przedsiębiorstwa dla identyfikatora zasobu usługi ARM.

2. Udziel dostępu do zasad przedsiębiorstwa na odczyt użytkownikom z rolą administratora Power Platform.

Konfigurowanie środowiska Power Platform

Wymagania wstępne

W poniższych procedurach należy przypisać środowisko do zasad przedsiębiorstwa. Środowisko musi być środowiskiem zarządzanym, aby można było przypisać do niego zasady przedsiębiorstwa.

Opcja 1: Używanie nowego centrum administracyjnego platformy Power Platform

1. Zaloguj się do centrum administracyjnego Power Platform.
2. W okienku nawigacji, wybierz Zabezpieczenia.
3. W okienku Zabezpieczenia wybierz pozycję Dane i prywatność.
4. Na stronie Ochrona danych i prywatność wybierz pozycję zasady Azure Virtual Network. Zostanie wyświetlone okienko Zasady sieci wirtualnej.
5. Wybierz środowisko, które chcesz przypisać do zasad przedsiębiorstwa, wybierz zasady, a następnie wybierz Zapisz. Teraz zasady przedsiębiorstwa są powiązane ze środowiskiem.

Opcja 2: Użyj PowerShell

1. Uruchom skrypt skrypt NewSubnetInjection.ps1, aby zastosować zasady przedsiębiorstwa do środowiska.
2. Jeśli chcesz usunąć zasady przedsiębiorstwa ze środowiska, możesz uruchomić skrypt RevertSubnetInjection.ps1.

Zweryfikuj połączenie

1. Zaloguj się do centrum administracyjnego Power Platform.
2. W okienku nawigacyjnym wybierz Zarządzanie.
3. W okienku Zarządzaj, wybierz Środowiska.
4. Na stronie Środowiska wybierz swoje środowisko.
5. Z paska poleceń wybierz opcję Historia.
6. Sprawdź, czy Stan to Pomyślnie.

Najlepsze rozwiązania

Upewnij się, że rozmiar podsieci został wybrany zgodnie z wymaganiami. Po delegowaniu podsieci do Power Platform — a jeśli później zajdzie potrzeba zmiany zakresu podsieci — wymaga pomocy technicznej Microsoft w celu odzwierciedlenia zaktualizowanych zmian podsieci.

Powiązana zawartość

• Rozmieszczanie zasad przedsiębiorstwa za pomocą szablonu ARM Microsoft.Power Platform/enterprisePolicies
• Szybki start: użyj witryny Azure Portal do utworzenia sieci wirtualnej
• Użyj dodatków plug-in w celu rozszerzania procesów biznesowych
• Rozwiązywanie problemów z siecią wirtualną