หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
องค์กรของคุณสามารถใช้ Azure Virtual Network เพื่อให้แน่ใจว่า Power Platform บริการต่างๆ ทำงานในสภาพแวดล้อมเครือข่ายที่ปลอดภัยและควบคุมได้ ลดความเสี่ยงของการละเมิดข้อมูลและการเข้าถึงโดยไม่ได้รับอนุญาต เอกสารข้อมูลนี้ให้การวิเคราะห์เชิงลึกเกี่ยวกับการสนับสนุน Azure Virtual Network ใน Power Platform เน้นย้ำถึงประโยชน์หลัก อธิบายกระบวนการใช้งานและสถาปัตยกรรมทางเทคนิค อภิปรายกรณีการใช้งานจริง และเสนอข้อมูลเชิงลึกเชิงปฏิบัติจากกรณีศึกษาที่ประสบความสำเร็จ ทำให้เป็นแหล่งข้อมูลอันมีค่าสำหรับผู้เชี่ยวชาญด้านไอทีและผู้ตัดสินใจที่ต้องการเพิ่มประโยชน์ด้านความปลอดภัยของเครือข่ายและประสิทธิภาพการทำงาน
ประโยชน์ที่สำคัญ
การรักษาความปลอดภัยที่ได้รับการปรับปรุง: โฮสต์ Power Platform บริการในเครือข่ายที่ปลอดภัย ปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาตและการละเมิดที่อาจเกิดขึ้น
ปรับปรุงการเชื่อมต่อ: สร้างการเชื่อมต่อที่ปลอดภัยและเชื่อถือได้ระหว่างบริการของ Power Platform กับทรัพยากร Azure อื่นๆ ซึ่งช่วยปรับปรุงการเชื่อมต่อโดยรวม
การจัดการเครือข่ายที่มีประสิทธิภาพ: ลดความซับซ้อนในการจัดการเครือข่ายด้วยแนวทางแบบรวมศูนย์และสอดคล้องกันในการกำหนดค่าและจัดการการตั้งค่าเครือข่ายสำหรับ Power Platform บริการ
ความสามารถในการปรับขนาด: ปรับขนาดบริการ Power Platform ได้อย่างมีประสิทธิภาพ ช่วยให้มั่นใจได้ว่าทรัพยากรเครือข่ายสามารถเติบโตได้สอดคล้องกับความต้องการทางธุรกิจ
การปฏิบัติตามข้อกำหนด: เป็นไปตามข้อกำหนดด้านกฎระเบียบและการปฏิบัติตามข้อกำหนดสำหรับการรักษาความปลอดภัยเครือข่ายและการปกป้องข้อมูล
พื้นหลัง
Microsoft Power Platform เป็นแพลตฟอร์มชั้นนำแบบ low-code/no-code ที่ช่วยให้ผู้คนสามารถสร้างแอปพลิเคชัน จัดการเวิร์กโฟลว์อัตโนมัติ และวิเคราะห์ข้อมูล แม้ว่าพวกเขาจะไม่ใช่นักพัฒนามืออาชีพก็ตาม เพื่อสร้างโซลูชันที่กำหนดเองซึ่งเหมาะกับความต้องการทางธุรกิจโดยเฉพาะ ส่งเสริมนวัตกรรมและเพิ่มประสิทธิภาพการผลิต Power Platform ครอบคลุมบริการของ Microsoft ดังต่อไปนี้:
- Dataverse ทำหน้าที่เป็นแพลตฟอร์มข้อมูลพื้นฐาน เพื่อให้สภาพแวดล้อมที่ปลอดภัยและปรับขนาดได้สำหรับการจัดเก็บและจัดการข้อมูล
- Power Apps นำเสนออินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้สำหรับการสร้างแอปพลิเคชันที่กำหนดเอง
- Power Automate นำเสนออินเทอร์เฟซแบบลากและวางเพื่อการทำงานซ้ำๆ และเวิร์กโฟลว์แบบอัตโนมัติ
- Power BI นำเสนอความสามารถในการแสดงภาพข้อมูลและการวิเคราะห์ที่มีประสิทธิภาพ
- Power Pages นำเสนออินเทอร์เฟซที่เป็นมิตรกับผู้ใช้สำหรับการสร้างเว็บไซต์ระดับมืออาชีพ
- Copilot Studio ช่วยให้สร้างบอทและตัวแทนอัจฉริยะได้อย่างง่ายดายโดยไม่ต้องมีความรู้เชิงลึกด้านวิศวกรรม AI
การรวมส่วนประกอบเหล่านี้เข้ากับทรัพยากร Azure โดยใช้เครือข่ายเสมือนช่วยเพิ่มการทำงานและความปลอดภัยโดยรวมของ Power Platform เครือข่ายเสมือนจัดให้มีสภาพแวดล้อมเครือข่ายที่ปลอดภัยและแยกตัวซึ่ง Power Platform บริการต่างๆ สามารถดำเนินการได้ ช่วยให้องค์กรของคุณสามารถควบคุมและจัดการปริมาณการใช้งานเครือข่ายได้ในขณะที่รับรองว่าข้อมูลได้รับการปกป้องตามข้อกำหนดด้านกฎระเบียบ
ความปลอดภัยของเครือข่ายและการรวมเครือข่ายเสมือน
ความปลอดภัยของเครือข่ายเป็นส่วนสำคัญของโครงสร้างพื้นฐานดิจิทัล การปกป้องการรับส่งข้อมูลขาออกจากบริการของ Power Platform เป็นสิ่งสำคัญในการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดข้อมูล และภัยคุกคามความปลอดภัยอื่นๆ การรวมเครือข่ายเสมือนมีบทบาทสำคัญ การให้เส้นทางที่ปลอดภัยสำหรับการส่งข้อมูลและการรับรองว่าการรับส่งข้อมูลทั้งหมดจากบริการต่างๆ จะถูกส่งผ่านสภาพแวดล้อมเครือข่ายที่มีการควบคุมและตรวจสอบ ช่วยลดความเสี่ยงในการถูกคุกคามที่อาจเกิดขึ้น Power Platform
การนำการสนับสนุนเครือข่ายเสมือนมาใช้ องค์กรของคุณจะสามารถบังคับใช้นโยบายความปลอดภัยที่เข้มงวด ตรวจสอบปริมาณการใช้งานเครือข่าย และตรวจจับความผิดปกติใดๆ ได้แบบเรียลไทม์ การควบคุมระดับนี้มีความสำคัญต่อการรักษาความสมบูรณ์และการรักษาความลับของข้อมูลที่ละเอียดอ่อน ในเวลาเดียวกัน การรวมเครือข่ายเสมือนจะช่วยลดความซับซ้อนของสถาปัตยกรรมเครือข่ายโดยรวมของคุณ และปรับปรุงความน่าเชื่อถือด้วยการอนุญาตให้ Power Platform บริการต่างๆ เชื่อมต่อกับทรัพยากร Azure อื่นๆ ได้อย่างราบรื่น
ภาพรวมของการสนับสนุนเครือข่ายเสมือนใน Power Platform
การรองรับเครือข่ายเสมือนเป็นการปรับปรุงที่สำคัญซึ่งมอบความปลอดภัยที่แข็งแกร่งและการเชื่อมต่อที่ดียิ่งขึ้นให้กับ Power Platform เครือข่ายเสมือนเป็นส่วนประกอบพื้นฐานของความสามารถด้านเครือข่ายของ Azure ช่วยให้องค์กรของคุณเชื่อมต่อบริการ Power Platform กับทรัพยากรในเครือข่ายส่วนตัวขององค์กรได้ พวกเขาสร้างการสื่อสารที่ปลอดภัยระหว่างบริการ Power Platform ทรัพยากร Azure อื่นๆ และเครือข่าย เช่น บริการภายในองค์กร ฐานข้อมูล บัญชีที่เก็บข้อมูล และห้องนิรภัยคีย์
การกำหนดเส้นทางการรับส่งข้อมูลขาออกทั้งหมดจากบริการ Power Platform ผ่านเครือข่ายเสมือน องค์กรของคุณสามารถมั่นใจได้ว่าข้อมูลจะถูกส่งอย่างปลอดภัยและได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต เครือข่ายเสมือนยังช่วยปรับปรุงการเชื่อมต่อด้วยการมอบสภาพแวดล้อมเครือข่ายที่เชื่อถือได้และสม่ำเสมอ การสร้างการเชื่อมต่อที่ปลอดภัยระหว่างบริการและทรัพยากร Azure อื่นๆ ช่วยให้การไหลของข้อมูลราบรื่นและใช้ทรัพยากรเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น Power Platform
เบื้องหลัง
Power Platform โครงสร้างพื้นฐานประกอบด้วยเลเยอร์การประสานงานคอนเทนเนอร์แบบไร้เซิร์ฟเวอร์ที่ดำเนินการเวิร์กโหลดด้วยขอบเขตความปลอดภัยที่เข้มงวด และรับประกันความพร้อมใช้งานและความสามารถในการปรับขนาดตามระดับเวิร์กโหลดแต่ละรายการ เลเยอร์การประสานงานคอนเทนเนอร์ใช้สำหรับเวิร์กโหลดทั้งหมดที่ต้องการแยก รวมถึงตัวเชื่อมต่อภายในแบบเวิร์กโหลดของ Microsoft และเวิร์กโหลดของลูกค้าเช่นปลั๊กอิน
เวิร์กโหลดแบบคอนเทนเนอร์ช่วยให้สามารถรองรับการแยกระดับเครือข่ายโดยใช้การผสมผสานระหว่างการมอบหมายซับเน็ตของ Azure และคุณลักษณะการฉีดเครือข่ายเสมือน Power Platform ด้วยการฉีดเครือข่ายเสมือน คอนเทนเนอร์สามารถถูกฉีดเข้าไปในเครือข่ายเสมือนได้โดยการแนบการ์ดอินเทอร์เฟซเครือข่าย เวิร์กโหลดใดๆ ที่ทำงานบนคอนเทนเนอร์นั้นจะถูกดำเนินการในเครือข่ายของลูกค้า และสามารถใช้ที่อยู่ IP ส่วนตัวภายในเครือข่ายได้ เวิร์กโหลดปลั๊กอินสามารถเข้าถึงบริการผู้ใช้ ทรัพยากร หรือทรัพยากร Azure ได้ด้วยลิงก์ส่วนตัวที่เปิดเผยต่อเครือข่ายเสมือนเดียวกัน ในทำนองเดียวกัน เวิร์กโหลดของตัวเชื่อมต่อสามารถเข้าถึงทรัพยากรเป้าหมายหรือจุดสิ้นสุดภายในเครือข่ายเสมือนเดียวกันได้
Azure การมอบสิทธิ์ซับเน็ต
การสนับสนุนเครือข่ายเสมือนของ Power Platform ต้องอาศัย การมอบสิทธิ์ซับเน็ต Azure องค์กรมอบหมายซับเน็ตเพื่อให้ใช้บริการต่างๆ เช่น ปลั๊กอินและตัวเชื่อมต่อ เพื่อประมวลผลคำขอในขณะรันไทม์ Power Platform Dataverse คอนเทนเนอร์ใช้ที่อยู่ IP จากซับเน็ตที่มอบหมายเพื่อจัดการคำขอเหล่านี้
เนื่องจากคอนเทนเนอร์ดำเนินการภายในขอบเขตของซับเน็ตที่มอบหมายและใช้ที่อยู่ IP ของคอนเทนเนอร์ การโทรออกใดๆ จากคอนเทนเนอร์จึงยังคงอยู่ในขอบเขตเครือข่ายขององค์กร นั่นคือ การโทรจะยังคงอยู่ในเครือข่ายเสมือนที่เป็นส่วนหนึ่งของซับเน็ตนั้น การตั้งค่านี้ช่วยให้องค์กรของคุณสามารถควบคุมนโยบาย กฎ และแพ็คเก็ตเครือข่ายสำหรับคอนเทนเนอร์ได้อย่างสมบูรณ์ คุณสามารถใช้การควบคุมแบบเดียวกันกับซับเน็ตที่มอบหมายได้เช่นเดียวกับที่คุณใช้กับเครือข่ายของคุณเอง
Power Platform ไม่ได้จัดการการกำหนดค่าของซับเน็ตที่ได้รับมอบสิทธิ์ ข้อกำหนดเพียงข้อเดียวคือซับเน็ตที่มอบหมายจะต้องไม่สามารถนำไปใช้สำหรับทรัพยากรอื่นหรือมอบหมายให้กับบริการอื่นได้ หลังจากมอบหมายซับเน็ตแล้ว ที่อยู่ IP ภายในซับเน็ตนั้นจะถูกสงวนไว้ Power Platform
การเข้าถึงอินเทอร์เน็ตจากคอนเทนเนอร์ถูกปิดใช้งานตามค่าเริ่มต้น หากโค้ดที่ทำงานในคอนเทนเนอร์ต้องการการเข้าถึงอินเทอร์เน็ต คุณต้องกำหนดค่า Azure NAT Gateway บนซับเน็ตที่มอบหมายเพื่อให้คอนเทนเนอร์สามารถเชื่อมต่อกับทรัพยากรบนอินเทอร์เน็ตได้
ตารางต่อไปนี้สรุปความเป็นเจ้าของซับเน็ตที่มอบหมายและการควบคุมที่มีให้สำหรับลูกค้าและ Microsoft
| ควบคุม | Description | ความเป็นเจ้าของ |
|---|---|---|
| เกตเวย์ NAT | เมื่อเกตเวย์ถูกแนบเข้ากับซับเน็ต เกตเวย์นั้นจะกลายเป็นฮ็อปถัดไปสำหรับทราฟฟิกทั้งหมดที่มุ่งหน้าสู่อินเทอร์เน็ตจากซับเน็ตนั้น NAT การรับส่งข้อมูลใดๆ จากซับเน็ตไปยังอินเทอร์เน็ตจะถูกส่งผ่านเกตเวย์ NAT อินสแตนซ์ทั้งหมดภายในซับเน็ตยังคงเป็นส่วนตัวด้วยการเชื่อมต่อขาออกที่ปลอดภัยและปรับขนาดได้ | ลูกค้า |
| กลุ่มความปลอดภัยเครือข่าย (NSG) | ลูกค้าสามารถเชื่อมโยง NSG กับซับเน็ตที่ได้รับมอบหมายได้ กำหนดและบังคับใช้กฎความปลอดภัยเพื่อควบคุมการรับส่งข้อมูลขาเข้าและขาออกเข้าและออกจากซับเน็ต | ลูกค้า |
| ตารางเส้นทาง | ลูกค้าสามารถเชื่อมโยงตารางเส้นทางกับซับเน็ตที่ได้รับมอบหมายได้ กำหนดนโยบายการกำหนดเส้นทางแบบกำหนดเองเพื่อควบคุมการไหลของข้อมูลภายในเครือข่ายเสมือนและไปยังเครือข่ายภายนอก | ลูกค้า |
| การตรวจสอบเครือข่าย | การตรวจสอบเครือข่ายช่วยรักษาการปฏิบัติตามนโยบายความปลอดภัยโดยบังคับให้การรับส่งข้อมูลเดินทางผ่านเครือข่ายส่วนตัวเสมือนขององค์กร | ลูกค้า |
| การจัดการที่อยู่ IP | ลูกค้าสามารถกำหนดพื้นที่ที่อยู่ IP ให้กับซับเน็ตที่มอบหมายได้ เพื่อให้แน่ใจว่าจะใช้ช่วงที่อยู่ IP ส่วนตัว เช่น 10.0.0.0/8, 192.168.0.0/16 หรือ 172.16.0.0/12 | ลูกค้า |
| การกำหนดค่า DNS | ลูกค้าสามารถกำหนดการตั้งค่า DNS แบบกำหนดเองสำหรับซับเน็ตที่ได้รับมอบหมาย รวมถึงรายการ Azure DNS | ลูกค้า |
| คอนเทนเนอร์ | คอนเทนเนอร์ดำเนินการตามคำขอจากบริการที่รองรับเครือข่ายเสมือนและรับที่อยู่ IP จากซับเน็ตที่มอบหมาย | Microsoft |
สถาปัตยกรรมทางเทคนิค
ไดอะแกรมต่อไปนี้แสดงสถาปัตยกรรมทางเทคนิคของโซลูชัน Power Platform แสดงให้เห็นว่าส่วนประกอบต่างๆ เช่น แหล่งข้อมูล ตัวเชื่อมต่อ บริการ และแอปพลิเคชันโต้ตอบและรวมเข้าด้วยกันภายในโซลูชันอย่างไร แผนภาพนี้เน้นถึงการใช้เครือข่ายเสมือนเพื่อเพิ่มความปลอดภัยและการเชื่อมต่อโดยอนุญาตให้บริการต่างๆ เชื่อมต่อกับทรัพยากรส่วนตัวและได้รับการปกป้องโดยไม่เปิดเผยต่ออินเทอร์เน็ต Power Platform สถาปัตยกรรมนี้แสดงให้เห็นว่าคำขอการดำเนินการจะถูกส่งไปยังคอนเทนเนอร์ในเครือข่ายเสมือนได้อย่างไรในขณะที่ยังคงรักษาขอบเขตการแยกคอนเทนเนอร์ไว้
ในการกำหนดค่าเครือข่ายเสมือน คอนเทนเนอร์ที่รันปลั๊กอินหรือตัวเชื่อมต่อจะเป็นส่วนหนึ่งของเครือข่ายเสมือนขององค์กร การสื่อสารไปยังจุดสิ้นสุดในเครือข่ายเสมือนยังคงอยู่ภายในขอบเขตของเครือข่ายเสมือน คุณสามารถขยายขอบเขตไปยังเครือข่ายเสมือนหรือภายในสถานที่อื่นๆ ได้โดยใช้การเชื่อมต่อเครือข่ายเสมือนและ ExpressRoute หรือ VPN Gateway
Power Platform ส่วนประกอบในเวิร์กโหลดคอนเทนเนอร์ของเครือข่ายเสมือนจะต้องสามารถสื่อสารกับส่วนประกอบอื่น ๆ ในเวิร์กโหลดได้ ตัวอย่างเช่น Power Platform อาจจำเป็นต้องทริกเกอร์ปลั๊กอินหรือเรียกใช้ตัวเชื่อมต่อในเวิร์กโหลด
เนื่องจากคอนเทนเนอร์ไม่ได้เชื่อมต่อโดยตรงกับโครงสร้างพื้นฐานเครือข่ายหลัก จึงต้องมีการสร้างเส้นทางการสื่อสารพิเศษหรือช่องทางระหว่างคอนเทนเนอร์และเลเยอร์ออร์เคสเตรชัน ช่องทางนี้ใช้ที่อยู่ IP เฉพาะในพื้นที่ที่เรียกว่าที่อยู่ APIPA เพื่อส่งคำสั่งหรือสัญญาณเฉพาะไปยังเวิร์กโหลดที่ทำงานภายในคอนเทนเนอร์ อนุญาตให้ส่งข้อความบางประเภทเท่านั้นถึงเวิร์กโหลด เพื่อให้แน่ใจว่าคอนเทนเนอร์และเวิร์กโหลดยังคงปลอดภัยและแยกออกจากกัน
แผนภาพต่อไปนี้แสดงให้เห็นว่าคอนเทนเนอร์ถูกแยกออกจากกันอย่างไรและระบบโฮสต์โดยใช้เครือข่ายเสมือนที่กำหนดเส้นทางคำขอการดำเนินการไปยังคอนเทนเนอร์ในขณะที่ยังคงรักษาขอบเขตการแยกไว้
เปิดการสนับสนุนเครือข่ายเสมือนสำหรับ Power Platform
ปฏิบัติตามคำแนะนำใน ตั้งค่าการรองรับเครือข่ายเสมือนสำหรับ Power Platform -
กรณีการใช้งานทั่วไปและตัวอย่างในโลกแห่งความเป็นจริง
ในส่วนนี้ คุณจะได้เรียนรู้เกี่ยวกับกรณีการใช้งานทั่วไปสำหรับเครือข่ายเสมือนด้วย Power Platform โซลูชั่น คุณยังสำรวจตัวอย่างในโลกแห่งความเป็นจริงว่าอุตสาหกรรมต่างๆ ได้รับประโยชน์จากการใช้สิ่งเหล่านี้อย่างไร
ใช้กรณี
การรวมข้อมูลที่ปลอดภัย :องค์กรของคุณสามารถใช้การสนับสนุนเครือข่ายเสมือนเพื่อเชื่อมต่ออย่างปลอดภัย Power Platform บริการไปยังแหล่งข้อมูลส่วนตัว เช่น Azure SQL Database, Azure Storage และทรัพยากรภายในองค์กร เครือข่ายเสมือนช่วยให้แน่ใจว่าข้อมูลยังคงอยู่ในขอบเขตเครือข่ายขององค์กรและไม่เปิดเผยต่ออินเทอร์เน็ตสาธารณะ
จุดสิ้นสุดส่วนตัวสำหรับตัวเชื่อมต่อ: Power Platform ตัวเชื่อมต่อสามารถใช้การรองรับเครือข่ายเสมือนเพื่อสร้างจุดสิ้นสุดส่วนตัวสำหรับการสื่อสารที่ปลอดภัย เครือข่ายส่วนตัวช่วยลดความจำเป็นในการใช้ที่อยู่ IP สาธารณะและลดความเสี่ยงของการละเมิดข้อมูล
การรวมระบบที่ปลอดภัย Copilot Studio : คุณสามารถใช้การรองรับเครือข่ายเสมือนด้วยตัวเชื่อมต่อ Power Platform เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับแหล่งข้อมูล Copilot Studio เครือข่ายส่วนตัวช่วยขจัดความเสี่ยงที่เกี่ยวข้องกับการเปิดเผยแหล่งข้อมูลต่ออินเทอร์เน็ตสาธารณะและบรรเทาความเสี่ยงของการรั่วไหลข้อมูล
ตัวอย่างในโลกแห่งความเป็นจริง
องค์กรต่างๆ ในทุกอุตสาหกรรมสามารถได้รับประโยชน์จากการสนับสนุนเครือข่ายเสมือนสำหรับ Power Platform การเชื่อมต่อบริการ Power Platform กับแหล่งข้อมูลส่วนตัวอย่างปลอดภัย ช่วยให้องค์กรต่างๆ ปรับปรุงมาตรการรักษาความปลอดภัย ปรับปรุงการเชื่อมต่อ และรับรองการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ
สถาบันการเงิน: ธนาคารขนาดใหญ่สามารถใช้เครือข่ายเสมือนเพื่อเชื่อมต่อโซลูชันและแอป Dynamics 365 เข้ากับฐานข้อมูลและบริการที่ได้รับการปกป้องอย่างปลอดภัย Power Platform การตั้งค่านี้ช่วยให้ธนาคารสามารถสร้างเวิร์กโฟลว์ที่ปลอดภัยและดำเนินกระบวนการอัตโนมัติโดยไม่เปิดเผยข้อมูลที่ละเอียดอ่อนต่ออินเทอร์เน็ตสาธารณะ ทำให้มั่นใจได้ว่าข้อมูลของลูกค้าได้รับการปกป้องและเป็นไปตามข้อกำหนดด้านกฎระเบียบ
ผู้ให้บริการด้านการดูแลสุขภาพ: องค์กรด้านการดูแลสุขภาพสามารถใช้เครือข่ายเสมือนเพื่อเชื่อมต่อ Power Platform โซลูชันและแอป Dynamics 365 เข้ากับระบบบันทึกสุขภาพอิเล็กทรอนิกส์ เครือข่ายส่วนตัวสามารถใช้เพื่อการเข้าถึงข้อมูลผู้ป่วยอย่างปลอดภัย และเพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยระหว่างแผนกต่างๆ และระหว่างผู้ให้บริการกับพันธมิตรภายนอก
บริษัทค้าปลีก: บริษัทค้าปลีกสามารถใช้เครือข่ายเสมือนเพื่อเชื่อมต่อโซลูชันและแอป Dynamics 365 เข้ากับระบบการจัดการสินค้าคงคลังและฐานข้อมูลลูกค้าได้อย่างปลอดภัย Power Platform การเชื่อมต่อส่วนตัวช่วยให้บริษัทสามารถปรับปรุงการดำเนินงาน ปรับปรุงการติดตามสินค้าคงคลัง และปรับปรุงการบริการลูกค้า ในขณะเดียวกันก็มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนยังคงได้รับการปกป้อง
หน่วยงานภาครัฐ: หน่วยงานภาครัฐสามารถใช้เครือข่ายเสมือนเพื่อเชื่อมต่อโซลูชันและแอป Dynamics 365 เข้ากับระบบและฐานข้อมูลภายในของตนอย่างปลอดภัย Power Platform การเชื่อมต่อส่วนตัวช่วยให้หน่วยงานสามารถดำเนินกระบวนการอัตโนมัติ ปรับปรุงการแบ่งปันข้อมูล และปรับปรุงการทำงานร่วมกันในขณะที่ยังคงรักษาความปลอดภัยและมาตรฐานการปฏิบัติตามอย่างเคร่งครัด
รูปแบบการผนวกรวม
ประเภทของเวิร์กโหลดที่คุณต้องการเรียกใช้ในสภาพแวดล้อมจะกำหนดรูปแบบการรวมสำหรับ Power Platform คุณสามารถใช้การสนับสนุนเครือข่ายเสมือนสำหรับ Power Platform เป็นรูปแบบการรวมในสภาพแวดล้อมของคุณโดยมีข้อยกเว้นบางประการ
เวิร์กโหลด API: หากคุณวางแผนที่จะเรียกใช้เวิร์กโหลด API เช่น ปลั๊กอิน ตัวเชื่อมต่อ หรือจุดสิ้นสุดของบริการ เครือข่ายเสมือนเป็นวิธีเดียวที่รองรับในการรวมเข้ากับแหล่งข้อมูลภายในเครือข่ายของคุณอย่างปลอดภัย เครือข่ายเสมือนไม่รองรับชุดย่อยของตัวเชื่อมต่อที่มีข้อกำหนดไดรเวอร์ที่ไม่ใช่ของ Microsoft หรือใช้การตรวจสอบสิทธิ์ของ Windows ตัวเชื่อมต่อเหล่านี้ไม่ได้ใช้งานกันอย่างแพร่หลายและต้องใช้เกตเวย์ข้อมูลภายในสถานที่แทนเครือข่ายเสมือน ปลั๊กอินและตัวเชื่อมต่อต่อไปนี้โดยทั่วไปมีไว้สำหรับใช้งานในเครือข่ายเสมือน:
- ปลั๊กอิน Dataverse
- ตัวเชื่อมต่อที่กำหนดเอง
- Azure Blob Storage
- ที่เก็บไฟล์ Azure
- Azure Key Vault
- Azure Queues
- Azure SQL Data Warehouse
- HTTP พร้อม Microsoft Entra ID (ได้รับอนุญาตล่วงหน้า)
- SQL Server
เวิร์กโหลด ETL: แยก แปลง โหลด (ETL) เวิร์กโหลดใน Power BI และ Power Platform การไหลของข้อมูล ใช้เกตเวย์ข้อมูลเครือข่ายเสมือน
แผนภาพต่อไปนี้แสดงให้เห็นรูปแบบการรวมสำหรับเวิร์กโหลด API และ ETL
ข้อควรพิจารณาเกี่ยวกับการกำหนดค่า
โปรดคำนึงถึงข้อควรพิจารณาต่อไปนี้เมื่อคุณตั้งค่าการรองรับเครือข่ายเสมือนสำหรับ Power Platform
ภูมิภาคและที่ตั้ง
ซับเน็ตที่มอบหมายในภูมิภาค Azure จะต้องตรงกับตำแหน่งของสภาพแวดล้อม Power Platform ตัวอย่างเช่น หากสภาพแวดล้อม Power Platform ของคุณอยู่ในสหรัฐอเมริกา เครือข่ายเสมือนและซับเน็ตทั้งสองเครือข่ายจะต้องอยู่ในภูมิภาค eastus และ westus Azure ตรวจสอบ รายการภูมิภาคที่รองรับและการแมปตำแหน่งที่ตั้ง เพื่อดูข้อมูลล่าสุดเกี่ยวกับภูมิภาคและตำแหน่งที่ตั้งของ Azure
หากทรัพยากร Azure ของคุณอยู่ในภูมิภาค Azure ที่แตกต่างกัน คุณยังคงต้องปรับใช้เครือข่ายเสมือนของคุณสำหรับสภาพแวดล้อมในตำแหน่ง Azure ที่เหมาะสมสำหรับแต่ละสภาพแวดล้อม Power Platform ใช้การเชื่อมต่อเครือข่ายเสมือนหรือตัวเลือกการเชื่อมต่อที่คล้ายกันด้วยความเร็วสูงและความหน่วงต่ำเพื่อเชื่อมต่อทรัพยากรกับเครือข่ายเสมือนของคุณ เครือข่ายทั่วโลกของ Microsoft มีตัวเลือกมากมายในการสร้างการเชื่อมต่อระหว่าง เครือข่ายเสมือนและเครือข่ายเสมือนขององค์กรของคุณ Power Platform
ขนาดซับเน็ต
ขนาดของซับเน็ตที่มอบหมายในเครือข่ายเสมือนควรรองรับการเติบโตในอนาคตของการใช้งานและการเพิ่มบริการใหม่ การปรับขนาดซับเน็ตของคุณอย่างเหมาะสมช่วยให้มั่นใจได้ว่าคำขอจะไม่ถูกจำกัด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดขนาดซับเน็ตของคุณ โปรดไปที่ การประมาณขนาดซับเน็ตสำหรับ Power Platform สภาพแวดล้อม
Azure NAT เกตเวย์
Azure NAT Gateway ใช้การแปลที่อยู่เครือข่าย (NAT) เพื่อให้คอนเทนเนอร์ในซับเน็ตที่มอบหมายสามารถเชื่อมต่อกับทรัพยากรอินเทอร์เน็ตอย่างปลอดภัยได้ โดยการแปลที่อยู่ IP ส่วนตัวของอินสแตนซ์คอนเทนเนอร์ไปเป็นที่อยู่ IP สาธารณะแบบคงที่ ที่อยู่ IP แบบคงที่ช่วยให้การเชื่อมต่อขาออกมีความสอดคล้องและปลอดภัย
หากองค์กรของคุณใช้งานการรองรับเครือข่ายเสมือนในสภาพแวดล้อมที่ไม่ย้ายแหล่งข้อมูลทั้งหมดไปยังเครือข่ายส่วนตัว คุณ ต้อง กำหนดค่า Azure NAT Gateway จำเป็นต้องป้องกันการหยุดชะงักของการบูรณาการที่มีอยู่ซึ่งจำเป็นต้องมีการเข้าถึงทรัพยากรอินเทอร์เน็ต ช่วยให้คุณสามารถเปลี่ยนการบูรณาการของคุณไปยังเครือข่ายเสมือนโดยไม่กระทบต่อภาระงานในปัจจุบัน
การตรวจสอบเครือข่าย
การตรวจสอบเครือข่ายจะติดตามและวิเคราะห์การไหลของข้อมูลในซับเน็ตที่มอบหมาย ซึ่งถือเป็นสิ่งสำคัญสำหรับการระบุและแก้ไขปัญหาที่อาจเกิดขึ้น การตรวจสอบช่วยให้มั่นใจได้ว่าเครือข่ายทำงานอย่างมีประสิทธิภาพและปลอดภัยโดยการให้ข้อมูลเชิงลึกเกี่ยวกับประสิทธิภาพและความสมบูรณ์ของส่วนประกอบเครือข่าย เครื่องมือตรวจสอบสามารถตรวจจับความผิดปกติ เช่น รูปแบบการรับส่งข้อมูลที่ผิดปกติหรือความพยายามเข้าถึงโดยไม่ได้รับอนุญาต ช่วยให้สามารถดำเนินการแทรกแซงและบรรเทาผลกระทบได้ทันท่วงที
กลุ่มความปลอดภัยเครือข่าย
กลุ่มความปลอดภัยของเครือข่าย (NSG) ช่วยให้คุณสามารถกำหนดกฎความปลอดภัยที่ควบคุมการรับส่งข้อมูลไปและมาจากทรัพยากร Azure ของคุณ เมื่อคุณมอบหมายซับเน็ต คุณสามารถกำหนดค่า NSG เพื่อให้แน่ใจว่าอนุญาตเฉพาะการรับส่งข้อมูลที่ได้รับอนุญาตเท่านั้น ช่วยให้คุณสามารถรักษาความปลอดภัยและความสมบูรณ์ของเครือข่ายของคุณได้ NSG สามารถใช้ได้กับทั้งเครือข่ายย่อยและอินเทอร์เฟซเครือข่ายส่วนบุคคล ให้ความยืดหยุ่นในการจัดการการรับส่งข้อมูลในระดับต่างๆ
แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยการเชื่อมต่อขาออกจากบริการของ Power Platform
แนวทางปฏิบัติที่ดีที่สุดต่อไปนี้จะช่วยให้คุณรักษาความปลอดภัยการเชื่อมต่อขาออกจากบริการ ซึ่งมีความสำคัญต่อการลดความเสี่ยงในการขโมยข้อมูลและเพื่อให้มั่นใจว่าเป็นไปตามนโยบายด้านความปลอดภัย Power Platform
จำกัดการรับส่งข้อมูลขาออก: จำกัดการรับส่งข้อมูลขาออกจากทรัพยากร Power Platform ไปยังตำแหน่งข้อมูลเฉพาะ ใช้กลุ่มความปลอดภัยของเครือข่ายและไฟร์วอลล์ Azure เพื่อบังคับใช้กฎการรับส่งข้อมูลและควบคุมการเข้าถึง
ใช้จุดสิ้นสุดส่วนตัว: ใช้จุดสิ้นสุดส่วนตัวเพื่อการสื่อสารที่ปลอดภัยระหว่าง Power Platform บริการและทรัพยากร Azure จุดสิ้นสุดส่วนตัวช่วยให้แน่ใจว่าการรับส่งข้อมูลยังคงอยู่ในเครือข่าย Azure และไม่ผ่านอินเทอร์เน็ตสาธารณะ
ตรวจสอบและตรวจสอบการรับส่งข้อมูล: ใช้ Azure Network Watcher และ Microsoft Sentinel เพื่อตรวจสอบและตรวจสอบการรับส่งข้อมูลขาออกจาก Power Platform บริการต่างๆ เพื่อช่วยคุณระบุและตอบสนองต่อภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นได้แบบเรียลไทม์
ใช้หลักนโยบายความปลอดภัย: บังคับใช้หลักนโยบายความปลอดภัยโดยใช้ Azure Policy และ Azure Firewall เพื่อให้แน่ใจว่าการเชื่อมต่อขาออกทั้งหมดเป็นไปตามข้อกำหนดด้านความปลอดภัยขององค์กรของคุณ เพื่อควบคุมการไหลของข้อมูล ให้ใช้นโยบายการป้องกันการสูญเสียข้อมูลและการกรองจุดสิ้นสุดกับตัวเชื่อมต่อ
ตัวอย่างการกำหนดค่าเครือข่ายเสมือน
ในส่วนนี้ เราให้ตัวอย่างการกำหนดค่าสำหรับการรองรับเครือข่ายเสมือนใน Power Platform การกำหนดค่าเหล่านี้แสดงให้เห็นวิธีการตั้งค่าเครือข่ายเสมือนและซับเน็ตสำหรับสถานการณ์ต่างๆ เพื่อให้แน่ใจว่าการเชื่อมต่อระหว่างบริการและทรัพยากร Azure นั้นมีความปลอดภัย Power Platform
เมื่อทรัพยากร Azure ของคุณอยู่ในภูมิภาค Azure ที่จับคู่กันและสภาพแวดล้อม Power Platform อยู่ในสหรัฐอเมริกา
ในสถานการณ์นี้ เราตั้งสมมติฐานดังต่อไปนี้:
- สภาพแวดล้อมของคุณตั้งอยู่ในสหรัฐอเมริกา Power Platform
- ภูมิภาค Azure สำหรับเครือข่ายเสมือนถูกตั้งค่าเป็นสหรัฐอเมริกาตะวันตกและสหรัฐอเมริกาตะวันออก
- ทรัพยากรองค์กรของคุณอยู่ในเครือข่ายเสมือน VNET1 ในภูมิภาคตะวันตกของสหรัฐอเมริกา
จำเป็นต้องมีการกำหนดค่าขั้นต่ำต่อไปนี้เพื่อตั้งค่าการรองรับเครือข่ายเสมือนในสถานการณ์นี้:
- สร้างเครือข่ายเสมือน VNet1 ในสหรัฐอเมริกาตะวันตก และตั้งค่าซับเน็ตสำหรับการมอบหมาย
- สร้างเครือข่ายเสมือนที่สอง VNet2 ในสหรัฐอเมริกาฝั่งตะวันออก และตั้งค่าซับเน็ตสำหรับการมอบหมาย
- สร้างการเชื่อมต่อแบบเพียร์ระหว่าง VNet1 และ VNet2
- กำหนดค่าการรวมเครือข่ายเสมือนสำหรับสภาพแวดล้อมที่ต้องการโดยใช้ซับเน็ตที่คุณสร้างในขั้นตอนที่ 1 และ 2 Power Platform
เมื่อทรัพยากร Azure ของคุณอยู่ในภูมิภาค Azure ของสหรัฐอเมริกาตอนกลางและสภาพแวดล้อม Power Platform อยู่ในประเทศสหรัฐอเมริกา
ในสถานการณ์นี้ เราตั้งสมมติฐานดังต่อไปนี้:
- สภาพแวดล้อมของคุณตั้งอยู่ในสหรัฐอเมริกา Power Platform
- ภูมิภาค Azure หลักและภูมิภาคสำรองสำหรับเครือข่ายเสมือนถูกตั้งค่าเป็นตะวันตกสหรัฐอเมริกาและตะวันออกสหรัฐอเมริกา ตามลำดับ
- ทรัพยากรองค์กรของคุณอยู่ในเครือข่ายเสมือน VNet1 ในภูมิภาคตอนกลางของสหรัฐอเมริกา
จำเป็นต้องมีการกำหนดค่าขั้นต่ำต่อไปนี้เพื่อตั้งค่าการรองรับเครือข่ายเสมือนในสถานการณ์นี้:
- สร้างเครือข่ายเสมือน VNet2 ในสหรัฐอเมริกาตะวันตก และตั้งค่าซับเน็ตสำหรับการมอบหมาย
- สร้างเครือข่ายเสมือนอีกเครือข่ายหนึ่งคือ VNet3 ในสหรัฐอเมริกาตะวันออก และตั้งค่าซับเน็ตสำหรับการมอบหมาย
- สร้างการเชื่อมต่อแบบเพียร์ระหว่าง VNet1 และ VNet2
- สร้างการเชื่อมต่อแบบ peering ระหว่าง VNet1 และ VNet3
- กำหนดค่าการรวมเครือข่ายเสมือนสำหรับสภาพแวดล้อมที่ต้องการโดยใช้ซับเน็ตที่คุณสร้างในขั้นตอนที่ 1 และ 2 Power Platform
กรณีศึกษา
กรณีศึกษาต่อไปนี้แสดงให้เห็นว่าลูกค้าของ Microsoft สามารถนำการสนับสนุนเครือข่ายเสมือนไปใช้งานได้สำเร็จอย่างไร Power Platform เพื่อเพิ่มความปลอดภัยและการเชื่อมต่อพร้อมทั้งให้เป็นไปตามข้อกำหนดด้านกฎระเบียบ
บริษัทปรับปรุงความคล่องตัวทางธุรกิจด้วย AI เชิงสร้างสรรค์และการบูรณาการที่ปลอดภัยโดยใช้ Azure Virtual Network
เพื่อสำรวจกรณีการใช้งานทางธุรกิจในทางปฏิบัติสำหรับ AI เชิงสร้างสรรค์ ลูกค้าของเราได้จัดงานแฮ็กกาธอน งานดังกล่าวได้นำนักพัฒนาภาคประชาชนหลายรายมารวมตัวกัน เพื่อสร้างต้นแบบที่ประสบความสำเร็จภายในเวลาเพียงหนึ่งเดือนโดยใช้ Power Platform และ Azure AI Services แฮกกาธอนไม่เพียงแต่แสดงศักยภาพของ Generative AI เท่านั้น แต่ยังมอบประสบการณ์ตรงอันมีค่าแก่ผู้เข้าร่วม ส่งเสริมนวัตกรรมและการทำงานร่วมกันภายในองค์กร
ความท้าทายของลูกค้า: การเปลี่ยนจากต้นแบบไปสู่การผลิตก่อให้เกิดความท้าทายที่สำคัญ อุปสรรคหลักคือ การสร้างสถาปัตยกรรมเครือข่ายส่วนตัวที่ปลอดภัยบน Power Platform และ Azure ที่สอดคล้องกับนโยบายความปลอดภัยภายในที่เข้มงวดของบริษัท การรับรองความเป็นส่วนตัวและความปลอดภัยของข้อมูล ในขณะที่การรักษาความคล่องตัวและความสามารถในการปรับขนาดเป็นสิ่งสำคัญสำหรับลูกค้า
โซลูชัน: ลูกค้าใช้การมอบหมายซับเน็ต Azure หรืออีกนัยหนึ่งคือ เครือข่ายเสมือน ร่วมกับสภาพแวดล้อมที่ได้รับการจัดการเพื่อสร้างสถาปัตยกรรมเครือข่ายส่วนตัวระหว่าง Power Platform และทรัพยากร Azure ส่วนตัว ด้วยการใช้สถาปัตยกรรมนี้ ลูกค้าสามารถเชื่อมต่อแอปพลิเคชันของตนกับบริการ Azure ได้อย่างปลอดภัยโดยไม่เปิดเผยข้อมูลที่ละเอียดอ่อนต่ออินเทอร์เน็ตสาธารณะ Power Platform
ประโยชน์: การนำโซลูชันนี้ไปใช้ก่อให้เกิดประโยชน์สำคัญหลายประการ
ลูกค้าสร้างรากฐานการบูรณาการที่ปลอดภัยและคล่องตัวระหว่าง Power Platform และ Azure ซึ่งช่วยเร่งการรับรู้มูลค่าทางธุรกิจ การบูรณาการช่วยให้การไหลของข้อมูลราบรื่นและการทำงานร่วมกันระหว่างแผนกต่างๆ ดีขึ้น
สถาปัตยกรรมใหม่ช่วยขจัดค่าใช้จ่ายและข้อจำกัดที่เกี่ยวข้องกับเกตเวย์ข้อมูลภายในองค์กร ด้วยการหลีกเลี่ยงความต้องการโครงสร้างพื้นฐานภายในองค์กร ลูกค้าสามารถลดค่าใช้จ่ายในการดำเนินงานและทำให้การบำรุงรักษาง่ายขึ้น
ขณะนี้ลูกค้าพร้อมที่จะบูรณาการแหล่งข้อมูลภายในอื่นๆ เช่น Amazon Web Services ส่วนตัวและ API ในสถานที่ผ่านแพลตฟอร์มนี้ด้วย Azure ExpressRoute การขยายตัวดังกล่าวช่วยให้ลูกค้าสามารถใช้ข้อมูลและบริการได้หลากหลายมากขึ้น ส่งผลให้มีนวัตกรรมและประสิทธิภาพเพิ่มมากขึ้น
บทสรุป
ในเอกสารข้อมูลนี้ เราได้สำรวจประเด็นต่างๆ ของการบูรณาการการสนับสนุนเครือข่ายเสมือนกับ Power Platform เราได้หารือถึงประโยชน์ด้านความปลอดภัยของการใช้เครือข่ายเสมือน เช่น การปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาต และการรับรองการสื่อสารที่ปลอดภัยระหว่าง Power Platform บริการและทรัพยากรส่วนตัว เราได้หารือเกี่ยวกับกรณีการใช้งานทั่วไปและตัวอย่างในโลกแห่งความเป็นจริง ให้รูปแบบการรวมสำหรับสถานการณ์ต่างๆ และเสนอข้อควรพิจารณาสำหรับการกำหนดค่าการรองรับเครือข่ายเสมือน เราได้แบ่งปันแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยการเชื่อมต่อขาออกจากบริการ Power Platform ได้แก่:
- การจำกัดการรับส่งข้อมูลขาออก
- การใช้ปลายทางส่วนตัวและการมอบสิทธิ์ซับเน็ต
- การติดตามและตรวจสอบการรับส่งข้อมูล
- การใช้นโยบายความปลอดภัย
ในที่สุด เราได้ตรวจสอบกรณีศึกษาของลูกค้า Microsoft ที่สามารถใช้งานการสนับสนุน Virtual Network ได้สำเร็จ Power Platform เพื่อเพิ่มความปลอดภัยและการเชื่อมต่อในขณะที่ยังรับรองให้เป็นไปตามข้อกำหนดด้านกฎระเบียบ
การสนับสนุนเครือข่ายเสมือนสำหรับ Power Platform เป็นคุณสมบัติสำคัญที่ช่วยให้องค์กรสามารถปรับปรุงความปลอดภัยของเครือข่าย เพิ่มประสิทธิภาพการเชื่อมต่อ และรับรองการปฏิบัติตามข้อกำหนดด้านกฎระเบียบ องค์กรที่ใช้การรองรับเครือข่ายเสมือนสามารถเชื่อมต่อบริการ Power Platform กับแหล่งข้อมูลส่วนตัวส่วนตัวได้อย่างปลอดภัย ซึ่งจะช่วยขจัดความเสี่ยงที่เกี่ยวข้องกับการเปิดเผยแหล่งข้อมูลส่วนตัวเหล่านั้นต่ออินเทอร์เน็ตสาธารณะ