Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Com o suporte de Rede Virtual do Azure para o Power Platform, pode integrar o Power Platform com recursos na sua rede virtual sem os expor através da internet pública. O suporte de Rede Virtual utiliza delegação da sub-rede do Azure para gerir o tráfego de saída em runtime do Power Platform. A utilização da delegação da Sub-rede do Azure evita a necessidade de os recursos protegidos estarem disponíveis através da Internet para integração com o Power Platform. Com o suporte de rede virtual, os componentes do Power Platform podem chamar recursos pertencentes à sua empresa dentro da sua rede, quer estejam alojados no Azure ou no local, e utilizar plug-ins e conectores para fazer chamadas de saída.
Normalmente, o Power Platform integra-se com recursos empresariais através de redes públicas. Nas redes públicas, os recursos da empresa têm de estar acessíveis a partir de uma lista de intervalos de IP do Azure ou etiquetas de serviço, que descrevem endereços IP públicos. No entanto, o suporte de Rede Virtual do Azure para Power Platform permite-lhe usar uma rede privada e ainda integrar com serviços cloud ou serviços alojados na sua rede empresarial.
Os serviços do Azure são protegidos Rede Virtual por pontos finais privados. Pode utilizar o Express Route para trazer os seus recursos no local para dentro da Rede Virtual.
O Power Platform utiliza a Rede Virtual e sub-redes que delega para fazer chamadas de saída para recursos da empresa através da rede privada da empresa. A utilização de uma rede privada elimina a necessidade de encaminhar o tráfego através da Internet pública, o que poderia expor os recursos da empresa.
Numa Rede Virtual, tem controlo total sobre o tráfego de saída do Power Platform. O tráfego está sujeito a políticas de rede aplicadas pelo seu administrador de rede. O diagrama seguinte mostra como os recursos dentro da rede interagem com uma Rede Virtual.
Benefícios do suporte de Rede Virtual
Com o suporte de Rede Virtual, os seus componentes do Power Platform e do Dataverse obtêm todos os benefícios que a delegação da sub-rede do Azure oferece, como:
Proteção de dados: a Rede Virtual permite que os serviços do Power Platform se liguem aos seus recursos privados e protegidos sem os expor à internet.
Sem acesso não autorizado: a Rede Virtual liga-se aos seus recursos sem necessitar de intervalos de IP ou etiquetas de serviço do Power Platform na ligação.
Estimativa do tamanho da sub-rede para ambientes Power Platform
No ano passado, dados telemétricos e observações indicam que os ambientes de produção normalmente exigem de 25 a 30 endereços IP, com a maioria dos casos de utilização dentro desse intervalo. Com base nessas informações, recomendamos alocar de 25 a 30 IPs para ambientes de produção e de 6 a 10 IPs para ambientes que não sejam de produção, como ambientes de sandbox ou de desenvolvedor. Os endereços IP dentro da sub-rede são usados principalmente por contentores ligados à Rede Virtual. Quando o ambiente começar a ser usado, um mínimo de quatro contentores serão criados, que são dimensionados dinamicamente com base no volume de chamadas, embora normalmente permaneçam dentro do intervalo de 10 a 30 contentores. Esses contentores são responsáveis por executar todas as solicitações para os respetivos ambientes e lidar eficientemente com solicitações de ligação paralela.
Planeamento para vários ambientes
Se estiver a usar a mesma sub-rede delegada para vários ambientes do Power Platform, talvez seja necessário um bloco maior de endereços IP de encaminhamento entre domínios sem classe (CIDR). Considere a quantidade recomendada de endereços IP para ambientes de produção e não produção ao vincular ambientes a uma única política. Tenha em mente que cada sub-rede reserva cinco endereços IP, que devem ser levados em conta na sua estimativa.
Nota
Para melhorar a visibilidade da utilização de recursos, estamos a trabalhar na exposição do consumo de IP de sub-redes delegadas para políticas e sub-redes empresariais.
Exemplo de alocação de IP
Considere um inquilino com duas políticas empresariais. A primeira política é para ambientes de produção, enquanto a segunda política é para ambientes não produtivos.
Política empresarial de produção
Se tiver quatro ambientes de produção associados à sua política empresarial, cada um exigindo 30 IPs. A alocação total de IP seria a seguinte:
(Quatro ambientes x 30 IPs) + 5 IPs reservados = 125 IPs
Este cenário requer um bloco CIDR de /25, que tem capacidade para 128 IPs.
Política empresarial não produtiva
Para uma política empresarial de não produção com 20 ambientes de desenvolvedor e sandbox, cada um exigindo 10 IPs, a alocação total de IP seria a seguinte:
(Vinte ambientes x 10 IPs) + 5 IPs reservados = 205 IPs
Este cenário exigiria um bloco CIDR de /24, que tem capacidade para 256 IPs e tem espaço suficiente para adicionar mais ambientes à política empresarial.
Cenários suportados
O Power Platform permite o suporte de Rede Virtual tanto para plug-ins e conectores do Dataverse. Com este suporte, pode estabelecer uma conetividade segura, privada e de saída a partir do Power Platform para os recursos na sua Rede Virtual. Os plug-ins e conectores do Dataverse melhoram a segurança da integração de dados ao ligarem-se a origens de dados externas de aplicações do Power Apps, Power Automate e Dynamics 365. Por exemplo, pode:
- Utilize plug-ins do Dataverse para ligar às suas origens de dados na cloud, como o SQL do Azure, Armazenamento do Azure, armazenamento de blobs ou Azure Key Vault. Pode proteger os seus dados contra a transferência de dados não autorizada e outros incidentes.
- Utilize plug-ins do Dataverse para ligar-se em segurança a recursos privados protegidos por pontos finais no Azure, como a API Web ou quaisquer recursos dentro da sua rede privada, como SQL e API Web. Pode proteger os seus dados contra falhas de segurança de dados e outras ameaças externas.
- Utilize conectores suportados pela Rede Virtual como o SQL Server para ligar de forma segura às suas origens de dados alojadas na cloud, como o SQL do Azure ou o SQL Server, sem as expor à Internet. Da mesma forma, pode utilizar o conector Azure Queue para estabelecer ligações seguras a Filas do Azure privadas e ativadas para pontos finais.
- Utilize o conector Azure Key Vault para se ligar de forma segura ao Azure Key Vault privado e protegido por pontos finais.
- Utilize conectores personalizados para ligar de forma segura aos seus serviços que estão protegidos por pontos finais privados no Azure ou serviços que estão alojados na sua rede privada.
- Utilize Azure File Storage para ligar em segurança ao armazenamento de ficheiros do Azure privado e ativado para pontos finais.
- Utilize HTTP com Microsoft Entra ID (pré-autorizado) para obter recursos em segurança em redes virtuais de vários serviços Web, autenticados pelo Microsoft Entra ID ou a partir de um serviço Web no local.
Limitações
- Os plug-ins low-code do Dataverse que utilizam conectores só são suportados depois de esses tipos de conectores serem atualizados para utilizarem a delegação de sub-rede.
- Utilize operações do ciclo de vida do ambiente de cópia, cópia de segurança e restauro em ambientes do Power Platform suportados pela rede virtual. A operação de restauro pode ser executada dentro da mesma rede virtual e em ambientes diferentes, desde que estejam ligados à mesma rede virtual. Além disso, a operação de restauro é permissível a partir de ambientes que não suportam redes virtuais para aqueles que suportam.
Regiões suportadas
Confirme se o seu ambiente e política empresarial do Power Platform se encontram em regiões suportadas do Power Platform e do Azure. Por exemplo, se o seu ambiente Power Platform estiver no Reino Unido, então a sua Rede Virtual e sub-redes devem estar nas regiões uksouth e ukwest Azure. No caso de uma região do Power Platform conter mais de duas sub-regiões, deve garantir que escolhe um dos pares de regiões disponíveis. Por exemplo, se o seu ambiente estiver nos Estados Unidos, então a sua Rede Virtual e sub-redes devem estar em eastus e westus ou em centralus e eastus2.
| Região do Power Platform | região do Azure |
|---|---|
| Estados Unidos |
|
| África do Sul | África do Sul-Norte, África do Sul-Oeste |
| Reino Unido | sul do reino unido, oeste do reino unido |
| Japão | Leste do Japão, Oeste do Japão |
| Índia | Centralíndia, Sul da Índia |
| França | França Central, Sul de França |
| Europa | europa ocidental, europa do norte |
| Alemanha | Norte da Alemanha, Centro-Oeste da Alemanha |
| Suíça | SuíçaNorte, SuíçaOeste |
| Canadá | canadá central, leste do canadá |
| Brasil | Sul do Brasil |
| Austrália | sudeste da austrália, leste da austrália |
| Ásia | ásia oriental, sudeste asiático |
| UAE | uaenorth |
| Coreia do Sul | CoreiaSul, CoreiaCentral |
| Noruega | Noruega Oeste, Noruega Este |
| Singapura | southeastasia |
| Suécia | suécia central |
| Itália | italynorth |
| Administração Pública dos EUA | usgovtexas, usgovvirgínia |
Nota
O suporte na Community Cloud (GCC) do Governo dos EUA está atualmente disponível apenas para ambientes implementados no GCC High. O suporte para ambientes do Departamento de Defesa (DoD) e do GCC não está disponível.
Serviços suportados
A tabela seguinte lista os serviços que suportam a delegação de sub-redes do Azure para suporte de Rede Virtual para o Power Platform.
| Área | Serviços do Power Platform | Disponibilidade do suporte de Rede Virtual |
|---|---|---|
| Dataverse | Plug-ins do Dataverse | Disponibilidade geral |
| Conectores | Disponibilidade geral | |
| Conectores | Disponibilidade geral |
Ambientes suportados
O suporte de Rede Virtual para Power Platform não está disponível para todos os ambientes Power Platform. A tabela a seguir lista quais tipos de ambiente oferecem suporte à Rede Virtual.
| Tipo de ambiente | Suportado |
|---|---|
| Produção | Yes |
| Default | Yes |
| Caixa de areia | Yes |
| Desenvolvedor | Yes |
| Ensaio | Não |
| Microsoft Dataverse for Teams | Não |
Considerações para ativar o suporte à Rede Virtual para o Ambiente do Power Platform
Quando utiliza o suporte de Rede Virtual num ambiente do Power Platform, todos os serviços suportados, como plug-ins e conectores do Dataverse executam solicitações em runtime na sub-rede delegada e estão sujeitos às suas políticas de rede. As chamadas a recursos publicamente disponíveis começariam a quebrar.
Importante
Antes de ativar o suporte do ambiente virtual para o ambiente do Power Platform, certifique-se de que verifica o código dos plug-ins e dos conectores. Os URL e ligações precisam de ser atualizados para funcionarem com conectividade privada.
Por exemplo, um Plug-in pode tentar ligar-se a um serviço disponível publicamente, mas a sua política de rede não permite o acesso público à Internet na sua Rede Virtual. A chamada do plug-in é bloqueada de acordo com a política de rede. Para evitar a chamada bloqueada, pode alojar o serviço publicamente disponível na sua Rede Virtual. Em alternativa, se o seu serviço estiver alojado no Azure, pode usar um ponto final privado no serviço antes de ativar o suporte de Rede Virtual no ambiente do Power Platform.
Perguntas frequentes
Qual é a diferença entre um gateway de dados da Rede Virtual e o suporte da Rede Virtual do Azure para a Power Platform?
Um gateway de dados de Rede Virtual é um gateway gerenciado que permite acessar os serviços do Azure e da Plataforma de Energia de dentro de sua Rede Virtual sem precisar configurar um gateway de dados local. Por exemplo, o gateway está otimizado para cargas de trabalho ETL (extrair, transformar, carregar) em fluxos de dados do Power BI e do Power Platform.
O suporte de Rede Virtual do Azure para Power Platform usa uma delegação de sub-rede do Azure para o seu ambiente do Power Platform. As sub-redes são utilizadas por cargas de trabalho no ambiente do Power Platform. As cargas de trabalho de API do Power Platform usam o suporte de Rede Virtual, uma vez que as solicitações são de curta duração e otimizados para um grande número de solicitações.
Quais são os cenários para os quais devo usar o suporte de Rede Virtual para Power Platform e o gateway de dados de rede virtual?
O suporte de Rede Virtual para Power Platform é a única opção suportada para todos os cenários de conectividade de saída a partir do Power Platform, exceto fluxos de dados do Power BI e do Power Platform.
Os fluxos de dados do Power BI e do Power Platform continuam a utilizar o gateway de dados de rede virtual (vNet).
Como pode garantir que uma rede virtual, sub-rede ou gateway de dados de um cliente não é utilizado por outro cliente no Power Platform?
O suporte de Rede Virtual para o Power Platform utiliza a delegação de sub-rede do Azure.
Cada ambiente do Power Platform está ligado a uma sub-rede de rede virtual. Só é permitido às chamadas desse ambiente aceder a essa rede virtual.
A delegação permite-lhe designar uma sub-rede específica para qualquer plataforma como serviço (PaaS) do Azure que precisa de ser injetado na sua rede virtual.
A Rede Virtual suporta a ativação pós-falha do Power Platform?
Sim, tem de delegar as Redes Virtuais para ambas as regiões do Azure associadas à sua região do Power Platform. Por exemplo, se o seu ambiente do Power Platform estiver no Canadá, terá de criar, delegar e configurar Redes Virtuais em CanadaCentral e CanadaEast.
Como pode um ambiente do Power Platform numa região ligar-se a recursos alojados noutra região?
Uma Rede Virtual ligada a um ambiente do Power Platform deve residir na região do ambiente do Power Platform. Se a Rede Virtual estiver numa região diferente, crie uma Rede Virtual na região do ambiente do Power Platform e utilize Peering de rede virtual nas Redes Virtuais delegadas da sub-rede da região do Azure para fazer a ponte com a Rede Virtual na região separada.
Posso monitorizar o tráfego de saída de sub-redes delegadas?
Sim. Pode utilizar o Grupo de Segurança de Rede e firewalls para monitorizar o tráfego de saída de sub-redes delegadas. Saiba mais em Monitorizar a Rede Virtual do Azure.
Posso fazer chamadas ligadas à Internet a partir de plug-ins ou conectores depois de o meu ambiente ser delegado à sub-rede?
Sim. Pode fazer chamadas ligadas à Internet a partir de plug-ins ou conectores, mas a sub-rede delegada deve ser configurada com um NAT Gateway do Azure.
Posso atualizar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto a funcionalidade é usada no seu ambiente. Não é possível alterar o intervalo de endereços IP da sub-rede depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies". Se fizer isso, a configuração de delegação será interrompida e o ambiente parará de funcionar. Para alterar o intervalo de endereços IP, deve remover a funcionalidade de delegação do seu ambiente, fazer as alterações necessárias e ativar a funcionalidade para o seu ambiente.
Posso atualizar o endereço DNS da minha Rede Virtual depois de delegado a "Microsoft.PowerPlatform/enterprisePolicies"?
Não, não enquanto a funcionalidade é usada no seu ambiente. Não é possível alterar o endereço DNS da Rede Virtual depois de ser delegado para "Microsoft.PowerPlatform/enterprisePolicies". Se fizer isso, a alteração não é escolhida na nossa configuração e o seu ambiente pode parar de funcionar. Para alterar o endereços DNS, deve remover a funcionalidade de delegação do seu ambiente, fazer as alterações necessárias e, em seguida, ativar a funcionalidade para o seu ambiente.
Posso usar a mesma política empresarial para vários ambientes do Power Platform?
Sim. Posso usar a mesma política empresarial para vários ambientes do Power Platform. No entanto, há uma limitação de que os ambientes de ciclo de lançamento antecipado não podem ser usados com a mesma política empresarial que outros ambientes.
A minha Rede Virtual tem um DNS personalizado configurado. O Power Platform utiliza o meu DNS personalizado?
Sim. O Power Platform usa o DNS personalizado configurado na Rede Virtual que contém a sub-rede delegada para resolver todos os pontos finais. Depois de o ambiente ser delegado, pode atualizar os plug-ins para utilizar os pontos finais corretos, para que o seu DNS personalizado os possa resolver.
O meu ambiente tem plug-ins fornecidos pelo ISV. Estes plug-ins seriam executados na sub-rede delegada?
Sim. Todos os plug-ins de cliente e plug-ins de ISV podem ser executados utilizando a sua sub-rede. Se os plug-ins de ISV tiverem conectividade de saída, esses URL poderão ter de ser listados na firewall.
Os meus certificados TLS de ponto final no local não estão assinados por autoridades de certificação (AC) de raiz bem conhecidas. Suportam certificados desconhecidos?
Não Temos de garantir que o ponto final apresenta um certificado TLS com a cadeia completa. Não é possível adicionar sua AC de raiz personalizada à nossa lista de AC conhecidas.
Qual é a configuração recomendada de uma Rede Virtual num inquilino de cliente?
Não recomendamos nenhuma topologia específica. No entanto, os nossos clientes usam amplamente a topologia de rede hub and spoke no Azure.
É necessário associar uma subscrição do Azure ao meu inquilino do Power Platform para ativar a Rede Virtual?
Sim, para ativar o suporte da Rede Virtual para ambientes do Power Platform, é essencial ter uma subscrição do Azure associada ao inquilino do Power Platform.
Como é que o Power Platform utiliza a delegação da sub-rede do Azure?
Quando um ambiente do Power Platform tem atribuída uma sub-rede do Azure delegada, utiliza a injeção da Rede Virtual do Azure para injetar o contentor em runtime numa sub-rede delegada. Durante este processo, uma placa de interface de rede (NIC) do contentor recebe um endereço IP da sub-rede delegada. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Posso utilizar uma Rede Virtual existente para o Power Platform?
Sim, pode usar uma Rede Virtual existente para Power Platform, se uma única e nova sub-rede dentro da Rede Virtual for delegada especificamente para o Power Platform. A sub-rede delegada tem de ser dedicada à delegação de sub-redes e não pode ser utilizada para outros fins.
Posso reutilizar a mesma sub-rede delegada em várias políticas empresariais?
Não Reutilizar a mesma sub-rede delegada em várias políticas empresariais não é suportado. Cada política empresarial do Power Platform tem de ter a sua própria sub-rede exclusiva para delegação.
O que é um plug-in do Dataverse?
Um plug-in do Dataverse é uma porção de código personalizada que pode ser implementada num ambiente do Power Platform. Este plug-in pode ser configurado para ser executado durante eventos (tal como uma alteração de dados) ou acionado como uma API personalizada. Saiba mais: Plug-ins do Dataverse
Como é que um plug-in do Dataverse é executado?
Um plug-in do Dataverse funciona dentro de um contentor. Quando uma sub-rede delegada é atribuída a um ambiente do Power Platform, um endereço IP do espaço de endereços dessa sub-rede é alocado à placa de interface de rede (NIC) do contentor. A comunicação entre o anfitrião (Power Platform) e o contentor ocorre através de uma porta local no contentor, e o tráfego flui através do Azure Fabric.
Podem ser executados vários plug-ins no mesmo contentor?
Sim. Num determinado ambiente do Power Platform ou do Dataverse, vários plug-ins podem funcionar dentro do mesmo contentor. Cada contentor consome um endereço IP do espaço de endereços da sub-rede e cada contentor pode executar vários pedidos.
Como é que a infraestrutura lida com um aumento nas execuções de plug-ins em simultâneo?
À medida que o número de execuções simultâneas de plug-ins aumenta, a infraestrutura dimensiona automaticamente para fora ou para dentro para acomodar a carga. A sub-rede delegada a um ambiente do Power Platform deve ter espaços de endereço suficientes para processar o volume máximo de execuções para as cargas de trabalho nesse ambiente do Power Platform.
Quem controla a Rede Virtual e as políticas de rede a ela associadas?
Como cliente, tem propriedade e o controlo sobre a Rede Virtual e as suas políticas de rede associadas. Por outro lado, o Power Platform utiliza os endereços IP alocados da sub-rede delegada dentro dessa Rede Virtual.
Os plug-ins conscientes do Azure suportam a Rede Virtual?
Não, os plug-ins conscientes do Azure não suportam a Rede Virtual.
Próximos passos
Configurar o suporte de Rede Virtual