Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o suporte do Azure Virtual Network para Power Platform, é possível integrar o Power Platform com recursos em sua rede virtual sem expô-los na internet pública. O suporte à Rede Virtual usa a delegação de sub-rede do Azure para gerenciar o tráfego de saída do Power Platform no runtime. O uso da delegação de Sub-rede do Azure evita a necessidade de que recursos protegidos estejam disponíveis na Internet para integração com o Power Platform. Com o suporte de rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro da rede, estejam eles hospedados no Azure ou no local, e usar plug-ins e conectores para fazer chamadas de saída.
O Power Platform geralmente integra-se com recursos corporativos em redes públicas. Com redes públicas, os recursos empresariais devem ser acessíveis a partir de uma lista de intervalos de IP do Azure ou marcas de serviço, que descrevem endereços IP públicos. No entanto, o suporte à Rede Virtual do Azure para o Power Platform permite que você use uma rede privada e ainda integre-se a serviços de nuvem ou serviços hospedados na rede da sua empresa.
Os serviços do Azure são protegidos em uma Rede Virtual por meio de pontos de extremidade privados. Você pode usar o ExpressRoute para trazer seus recursos locais para dentro da Rede Virtual.
O Power Platform usa a Rede Virtual e as sub-redes que você delegar para fazer chamadas de saída para recursos da empresa pela rede privada da empresa. O uso de uma rede privada elimina a necessidade de rotear o tráfego pela Internet pública, o que poderia expor os recursos da empresa.
Em uma Rede Virtual, você tem controle total sobre o tráfego de saída do Power Platform. O tráfego está sujeito às diretivas de rede aplicadas pelo administrador da rede. O diagrama a seguir mostra como os recursos dentro de sua rede interagem com uma Rede Virtual.
Benefícios do suporte à Rede Virtual
Com o suporte à Rede Virtual, seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure fornece, como:
Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se conectem aos seus recursos privados e protegidos sem expô-los à internet.
Sem acesso não autorizado: a Rede Virtual se conecta com seus recursos sem precisar de intervalos de IP ou marcas de serviço do Power Platform na conexão.
Estimando o tamanho da sub-rede para ambientes do Power Platform
No ano passado, dados de telemetria e observações indicam que ambientes de produção normalmente exigem de 25 a 30 endereços IP, com a maioria dos casos de uso dentro desse intervalo. Com base nessas informações, recomendamos alocar de 25 a 30 IPs para ambientes de produção e de 6 a 10 IPs para ambientes de não produção, como área restrita ou ambientes de desenvolvedor. Os endereços IP dentro da sub-rede são usados principalmente por contêineres conectados à Rede Virtual. Quando o ambiente começar a ser utilizado, serão criados no mínimo quatro contêineres, que serão dimensionados dinamicamente com base no volume de chamadas, embora normalmente permaneçam no intervalo de 10 a 30 contêineres. Esses contêineres são responsáveis por executar todas as solicitações para seus respectivos ambientes e tratar com eficiência as solicitações de conexão paralela.
Planejamento para vários ambientes
Se estiver utilizando a mesma sub-rede delegada para vários ambientes do Power Platform, talvez seja necessário um bloco maior de endereços IP de roteamento entre domínios sem classes (CIDR). Considere a quantidade recomendada de endereços IP para ambientes de produção e não produção ao vincular ambientes a uma única política. Tenha em mente que cada sub-rede reserva cinco endereços IP, que precisam ser considerados na sua estimativa.
Nota
Para melhorar a visibilidade da utilização de recursos, estamos trabalhando para expor o consumo de IP em sub-redes delegadas para políticas empresariais e sub-redes corporativas.
Exemplo de alocação de IP
Considere um locatário com duas políticas corporativas. A primeira política é para ambientes de produção, enquanto a segunda política é para ambientes de não produção.
Política empresarial de produção
Se você tiver quatro ambientes de produção associados à sua política corporativa, cada um exigindo 30 IPs. A alocação total de IP seria a seguinte:
(Quatro ambientes x 30 IPs) + 5 IPs reservados = 125 IPs
Este cenário requer um bloco CIDR de /25, que tem capacidade para 128 IPs.
Política empresarial de não produção
Para uma política empresarial não produtiva com 20 ambientes de desenvolvedor e sandbox, cada um dos quais requer 10 IPs, a alocação total de IPs seria a seguinte:
(Vinte ambientes x 10 IPs) + 5 IPs reservados = 205 IPs
Este cenário exigiria um bloco CIDR de /24, que tem capacidade para 256 IPs e espaço suficiente para adicionar mais ambientes à política corporativa.
Cenários com suporte
O Power Platform habilita o suporte à Rede Virtual para plug-ins do Dataverse e dos conectores. Com esse suporte, você pode estabelecer conectividade de saída privada e segura do Power Platform para recursos em sua Rede Virtual. Os plug-ins e conectores do Dataverse aprimoram a segurança da integração de dados conectando-se a fontes de dados externas e a aplicativos do Power Apps, Power Automate e do Dynamics 365. Por exemplo, você pode:
- Use plug-ins do Dataverse para se conectar às suas fontes de dados na nuvem, como SQL do Azure, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Você pode proteger seus dados contra exfiltração dos dados e outros incidentes.
- Use plug-ins do Dataverse para se conectar com segurança a recursos privados protegidos por ponto de extremidade no Azure, como a API Web ou quaisquer recursos em sua rede privada, como SQL e API Web. Você pode proteger seus dados contra violações dados e outras ameaças externas.
- Use Conectores com suporte de Rede Virtual, como SQL Server, para se conectar com segurança às fontes de dados hospedadas na nuvem, como Azure SQL ou SQL Server, sem expô-las à Internet. Da mesma forma, você pode usar o conector da Fila do Azure para estabelecer conexões seguras com Filas do Azure privadas habilitadas para ponto de extremidade.
- Use o conector Azure Key Vault para se conectar com segurança ao Azure Key Vault privado protegido por ponto de extremidade.
- Use conectores personalizados para se conectar com segurança aos seus serviços protegidos por pontos de extremidade privados no Azure ou serviços hospedados em sua rede privada.
- Use o Armazenamento de Arquivos do Azure para conectar-se com segurança ao armazenamento de arquivos do Azure privado habilitado para ponto de extremidade.
- Use HTTP com Microsoft Entra ID (pré-autorizado) para buscar recursos com segurança em redes virtuais de vários serviços Web, autenticados por Microsoft Entra ID ou de um serviço Web local.
Limitações
- Plug-ins low-code do Dataverse que usam conectores não terão suporte até que esses tipos de conector sejam atualizados para usar a delegação de sub-rede.
- Você usa as operações do ciclo de vida do ambiente copiar, fazer backup e restaurar em ambientes compatíveis da rede virtual do Power Platform. A operação de restauração pode ser executada na mesma rede virtual e em ambientes diferentes, desde que estejam conectados à mesma rede virtual. Além disso, a operação de restauração é permitida de ambientes que não oferecem suporte a redes virtuais para aqueles que o fazem.
Regiões com suporte
Confirme se o ambiente e a política corporativa do Power Platform estão em regiões compatíveis do Power Platform e do Azure. Por exemplo, se o ambiente do Power Platform estiver no Reino Unido, sua Rede Virtual e sub-redes deverão estar nas regiões uksouth e ukwest do Azure. No caso de uma região do Power Platform ter mais de duas regiões, você deve garantir que escolha um dos pares de região disponíveis. Por exemplo, se o seu ambiente estiver nos Estados Unidos, sua Rede Virtual e sub-redes deverão estar em eastus e westus ou no centralus e eastus2.
| Região do Power Platform | região do Azure |
|---|---|
| Estados Unidos |
|
| África do Sul | sulafricanorte, sulafricaoeste |
| Reino Unido | uksouth, ukwest |
| Japão | Japão Leste, Japão Oeste |
| Índia | Índia Central, Índia do Sul |
| França | francecentral, francesouth |
| Europa | oeste da Europa, norte da Europa |
| Alemanha | Alemanha Norte, Alemanha Oeste Central |
| Suíça | suíça Norte, suíça Oeste |
| Canadá | canadá central, canadá oriental |
| Brasil | brazilsouth |
| Austrália | australiasoutheast, australiaeast |
| Ásia | eastasia, southeastasia |
| UAE | uaenorth |
| Coreia do Sul | koreasouth, koreacentral |
| Noruega | noruega oeste, noruega leste |
| Cidade de Singapura | southeastasia |
| Suécia | swedencentral |
| Itália | italynorth |
| Governo dos EUA | usgovtexas, usgovvirginia |
Nota
Atualmente, o suporte na GCC (Nuvem da Comunidade do Governo dos EUA) só está disponível para ambientes implantados no GCC High. O suporte para ambientes do Departamento de Defesa (DoD) e GCC não está disponível.
Serviços com suporte
A tabela a seguir lista os serviços compatíveis com a delegação de sub-rede do Azure para suporte à Rede Virtual para o Power Platform.
| Região | Serviços do Power Platform | Disponibilidade de suporte à Rede Virtual |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Disponível para o público geral |
| Conectores | Disponível para o público geral | |
| Conectores | Disponível para o público geral |
Ambientes compatíveis
O suporte à Rede Virtual para o Power Platform não está disponível para todos os ambientes do Power Platform. A tabela a seguir lista quais tipos de ambiente dão suporte à Rede Virtual.
| Tipo de ambiente | Suportado |
|---|---|
| Produção | Yes |
| Padrão | Yes |
| Caixa de areia | Yes |
| Desenvolvedor | Yes |
| Avaliação | Não |
| Microsoft Dataverse for Teams | Não |
Considerações para habilitar o suporte à Rede Virtual do Azure para o Ambiente do Power Platform
Quando você usa o suporte de Rede Virtual em um ambiente do Power Platform, todos os serviços com suporte como conectores e plug-ins do Dataverse, executam solicitações em runtime em sua sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas para recursos disponíveis publicamente começariam a falhar.
Importante
Antes de habilitar o suporte ao ambiente virtual para o ambiente do Power Platform, certifique-se de verificar o código dos plug-ins e dos conectores. As URLs e conexões precisam ser atualizadas para funcionar com conectividade privada.
Por exemplo, um plug-in pode tentar se conectar a um serviço disponível publicamente, mas sua política de rede não permite acesso público à Internet dentro de sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com sua diretiva de rede. Para evitar a chamada bloqueada, você pode hospedar o serviço disponível publicamente em sua Rede Virtual. Como alternativa, se o serviço estiver hospedado no Azure, você poderá habilitar um ponto de extremidade privado no serviço antes de habilitar o suporte à Rede Virtual em um ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados de Rede Virtual e o suporte à Rede Virtual do Azure para o Power Platform?
Um gateway de dados de Rede Virtual é um gateway gerenciado que permite acessar os serviços do Azure e do Power Platform de dentro de sua Rede Virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway é otimizado para cargas de trabalho ETL (extrair, transformar, carregar) e fluxos de dados do Power BI e do Power Platform.
O suporte à Rede Virtual do Azure no Power Platform usa uma delegação de sub-rede do Azure para seu ambiente do Power Platform. As sub-redes são usadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, pois as solicitações são de curta duração e otimizadas para um grande número de solicitações.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para o Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para o Power Platform é a única opção com suporte para todos os cenários de conectividade de saída do Power Platform, exceto Power BI e fluxos de dados do Power Platform.
O Power BI e Fluxos de dados do Power Platform continuam usando gateway de dados de rede virtual (vNet).
Como você pode garantir que uma sub-rede de rede virtual ou um gateway de dados de um cliente não seja usado por outro cliente no Power Platform?
O suporte à Rede Virtual para o Power Platform usa a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está vinculado a uma sub-rede de rede virtual. Somente chamadas desse ambiente têm permissão para acessar essa rede virtual.
A delegação permite designar uma sub-rede específica para qualquer serviço plataforma como serviço (PaaS) do Azure que precise ser injetado na rede virtual.
A Rede Virtual oferece suporte a failover do Power Platform?
Sim, você precisa delegar as Redes Virtuais para ambas as regiões Azure associadas à sua região do Power Platform. Por exemplo, se o seu ambiente do Power Platform estiver no Canadá, você precisará criar, delegar e configurar Redes Virtuais no CanadaCentral e CanadaEast.
Como um ambiente do Power Platform em uma região pode se conectar a recursos hospedados em outra região?
Uma Rede Virtual vinculada a um ambiente do Power Platform deve residir nas regiões do ambiente do Power Platform. Se a Rede Virtual estiver em uma região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e use emparelhamento de Rede Virtual em ambas as Redes Virtuais delegadas de sub-rede da região Azure para preencher a lacuna com a Rede Virtual na região separada.
Posso monitorar o tráfego de saída das sub-redes delegadas?
Sim. Você pode usar o Grupo de Segurança de Rede e/ou firewalls para monitorar o tráfego de saída de sub-redes delegadas. Saiba mais em Rede Virtual do Monitor Azure.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois que meu ambiente for delegado por sub-rede?
Sim. Você pode fazer chamadas pela Internet a partir de plug-ins ou conectores, mas a sub-rede delegada deve ser configurada com um Gateway da NAT do Azure.
Posso atualizar o intervalo de endereços IP da sub-rede depois que ele for delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto o recurso é usado em seu ambiente. Não é possível alterar o intervalo de endereços IP da sub-rede após ela ser delegada a "Microsoft.PowerPlatform/enterprisePolicies". Se você fizer isso, a configuração de delegação será interrompida e o ambiente deixará de funcionar. Para alterar o intervalo de endereços IP, você deve remover o recurso de delegação do seu ambiente, fazer as alterações necessárias e, em seguida, ativar o recurso para seu ambiente.
Posso atualizar o endereço DNS da minha Rede Virtual depois que ela for delegada para "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto o recurso é usado em seu ambiente. Não é possível alterar o endereço DNS da Rede Virtual após ele ser delegado a "Microsoft.PowerPlatform/enterprisePolicies". Se você fizer isso, a alteração não será detectada em nossa configuração e seu ambiente poderá parar de funcionar. Para alterar o intervalo de endereços DNS, você deve remover o recurso de delegação do seu ambiente, fazer as alterações necessárias e, em seguida, ativar o recurso para seu ambiente.
Posso usar a mesma política empresarial para vários ambientes do Power Platform?
Sim. Você pode usar a mesma política empresarial para vários ambientes do Power Platform. No entanto, há uma limitação de que ambientes de ciclo de lançamento antecipado não podem ser usados com a mesma política corporativa de outros ambientes.
Minha Rede Virtual tem um DNS personalizado configurado. O Power Platform usa meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos de extremidade. Depois que o ambiente for delegado, você poderá atualizar os plug-ins para usar o ponto de extremidade correto para que o DNS personalizado possa resolvê-los.
Meu ambiente tem plug-ins fornecidos pelo ISV. Esses plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins ISV podem ser executados usando sua sub-rede. Se os plug-ins ISV tiverem conectividade de saída, talvez seja necessário listar essas URLs no firewall.
Meus certificados TLS de ponto de extremidade local não são assinados por autoridades de certificação (CA) raiz conhecidas. Há suporte para certificados desconhecidos?
Não. Devemos garantir que o ponto de extremidade apresente um certificado TLS com a cadeia completa. Não é possível adicionar sua autoridade de certificação raiz personalizada à nossa lista de CAs conhecidas.
Qual é a configuração recomendada de uma Rede Virtual em um locatário do cliente?
Não recomendamos nenhuma topologia específica. No entanto, nossos clientes usam amplamente a Topologia de rede Hub-spoke no Azure.
Vincular uma assinatura do Azure ao meu locatário do Power Platform é necessário para ativar a Rede Virtual?
Sim, para habilitar o suporte de Rede Virtual para ambientes do Power Platform, é essencial ter uma assinatura do Azure associada ao locatário do Power Platform.
Como o Power Platform usa a delegação de sub-rede do Azure?
Quando um ambiente do Power Platform tem uma sub-rede delegada do Azure atribuída, ele usa a injeção de Rede Virtual do Azure para injetar o contêiner no runtime em uma sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contêiner é alocada a um endereço IP da sub-rede delegada. A comunicação entre o host (Power Platform) e o contêiner ocorre por meio de uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Posso usar uma Rede Virtual existente para o Power Platform?
Sim, você pode usar uma Rede Virtual existente para Power Platform, se uma única sub-rede nova dentro da Rede Virtual for delegada especificamente para o Power Platform. A sub-rede delegada deve ser dedicada para delegação de sub-rede e não pode ser usada para outros propósitos.
Posso reutilizar a mesma sub-rede delegada em várias políticas corporativas?
Não. Não há suporte para reutilização da mesma sub-rede em várias políticas corporativas. Cada política empresarial do Power Platform deve ter sua própria sub-rede exclusiva para delegação.
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é um trecho de código personalizado que pode ser implantado em um ambiente do Power Platform. Esse plug-in pode ser configurado para ser executado durante eventos (como uma alteração nos dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como um plug-in do Dataverse é executado?
Um plug-in do Dataverse opera dentro de um contêiner. Quando um ambiente do Power Platform recebe uma sub-rede delegada, um endereço IP do espaço de endereço dessa sub-rede é alocado para a Placa de Interface de Rede (NIC) do contêiner. A comunicação entre o host (Power Platform) e o contêiner ocorre por uma porta local no contêiner, e o tráfego flui pelo Azure Fabric.
Vários plug-ins podem ser executados no mesmo contêiner?
Sim. Em um determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem, de fato, operar no mesmo contêiner. Cada contêiner consome um endereço IP do espaço de endereço da sub-rede e cada contêiner pode executar várias solicitações.
Como a infraestrutura lida com um aumento nas execuções simultâneas de plug-in?
À medida que o número de execuções simultâneas de plug-in aumenta, a infraestrutura é dimensionada automaticamente (para fora ou para dentro) para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para lidar com o volume de pico de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as diretivas de rede associadas a ela?
Como cliente, você tem propriedade e controle sobre a Rede Virtual e suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual?
Não, os plug-ins com reconhecimento do Azure dão suporte à Rede Virtual.
Próximas etapas
Configurar suporte à Rede Virtual