แชร์ผ่าน

รักษาความปลอดภัยการเข้าถึง Power Platform ไปยังทรัพยากรภายในเครือข่ายเสมือนของคุณ

Power Platform รองรับการใช้เครือข่ายเสมือน Azure เพื่อเข้าถึงทรัพยากรภายในเครือข่ายเสมือนของคุณโดยไม่เปิดเผยต่ออินเทอร์เน็ตสาธารณะ

เคล็ดลับ

บทความนี้แสดงตัวอย่างสถานการณ์และสถาปัตยกรรมตัวอย่างทั่วไปเพื่อแสดงวิธีการที่ Power Platform เข้าถึงทรัพยากร Azure อย่างปลอดภัยด้วยเครือข่ายเสมือน Azure ตัวอย่างสถาปัตยกรรมสามารถแก้ไขได้สำหรับสถานการณ์และอุตสาหกรรมต่างๆ มากมาย

แผนภาพสถาปัตยกรรม

แผนภาพสถาปัตยกรรมแสดงการเข้าถึงทรัพยากร Azure ของ Power Platform อย่างปลอดภัย

ลำดับงาน

ขั้นตอนต่อไปนี้อธิบายเวิร์กโฟลว์ที่แสดงในไดอะแกรมสถาปัตยกรรมตัวอย่าง:

  1. แอปพลิเคชันการจัดการกรณี: แอปพื้นที่ทำงาน Power Apps หรือแอปแบบจำลองใช้ตัวเชื่อมต่อแบบกำหนดเอง Power Platform เพื่อเข้าถึงฐานข้อมูลส่วนหลังหรือบริการที่โฮสต์ใน Azure การกำหนดค่าได้รับการจัดการที่ระดับสภาพแวดล้อมเพื่อเชื่อมต่อกับเครือข่ายเสมือน Azure เฉพาะตามต้องการ ตัวอย่างเช่น สภาพแวดล้อมการพัฒนาอาจไม่จำเป็นต้องใช้เครือข่ายเสมือน แต่การทดสอบและการผลิตจำเป็นต้องใช้

  2. คำขอค้นหา: คำขอค้นหาจากแอปใช้ตัวเชื่อมต่อที่กำหนดเอง Power Platform เพื่อเข้าถึง API ส่วนหลังที่โฮสต์ใน Azure

  3. ขอการอนุญาต: API ส่วนหลังได้รับการรักษาความปลอดภัยด้วย Microsoft Entra ID และ Microsoft Entra ID รับรองความถูกต้องของผู้ใช้กับแอป ตัวเชื่อมต่อใช้ OAuth เพื่ออนุญาตการเข้าถึง API ส่วนหลังของผู้ใช้ ตัวเชื่อมต่อได้รับรหัสไคลเอ็นต์และข้อมูลลับจาก Azure Key Vault โดยใช้ตัวแปรสภาพแวดล้อม Power Platform

  4. การเข้าถึงเครือข่าย: API ส่วนหลังโฮสต์อยู่ในเครือข่ายเสมือน Azure และไม่อนุญาตให้เข้าถึงเครือข่ายสาธารณะ เครือข่ายเสมือนมอบสิทธิ์ซับเน็ตสำหรับสภาพแวดล้อม Power Platform ทำให้คำขอและการตอบสนอง API สามารถสำรวจเครือข่ายได้โดยไม่ต้องใช้เครือข่ายสาธารณะ Azure

  5. การค้นหา API ส่วนหลัง : API ส่วนหลังได้รับคำขอค้นหาและทำการค้นหาฐานข้อมูลในบริบทของผู้ใช้ที่ส่งคำขอ

คอมโพเนนต์

สภาพแวดล้อม Power Platform: มีทรัพยากร Power Platform สภาพแวดล้อมเป็นขอบเขตของการเข้าถึงข้อมูลและความปลอดภัย สภาพแวดล้อม Power Platform สามารถกำหนดค่าให้ใช้การรวมเครือข่ายเสมือน Azure ซึ่งช่วยให้ทรัพยากร Power Platform สามารถสื่อสารกับทรัพยากร Azure ในเครือข่ายเสมือนได้

Power Apps: ใช้ประสบการณ์ผู้ใช้ของโซลูชัน ผู้ใช้ลงชื่อเข้าใช้พื้นที่ทำงานหรือแอปแบบจำลองโดยใช้ Microsoft Entra ID

ตัวเชื่อมต่อที่กำหนดเอง Power Platform: กำหนดการดำเนินการที่พร้อมใช้งานสำหรับแอปพลิเคชัน Power Platform จากบริการที่เชื่อมต่อ

เครือข่ายเสมือน Azure: รองรับการเชื่อมต่อแบบไฮบริดกับความสามารถด้านเครือข่ายในองค์กรและ Azure อื่นๆ เพื่อให้มีเครือข่ายเสมือนในระบบคลาวด์ เครือข่ายเสมือนสามารถมอบสิทธิ์ซับเน็ตให้กับทรัพยากร Power Platform โดยอนุญาต Power Platform และทรัพยากร Azure ให้สามารถโต้ตอบผ่านเครือข่ายส่วนตัวได้โดยไม่ต้องส่งปริมาณการใช้งานผ่านเครือข่ายสาธารณะ

Azure Key Vault: จัดเก็บข้อมูลรับรองที่จำเป็นในการเชื่อมต่อกับ API ส่วนหลังโดยใช้ OAuth คล้ายกับ API ส่วนหลัง ทรัพยากร Power Platform จะเข้าถึง Azure Key Vault ผ่านเครือข่ายเสมือน

รายละเอียดสถานการณ์

องค์กรที่มีความต้องการด้านความปลอดภัยสูงจะต้องสร้างความมั่นใจว่าการสื่อสารระหว่างระบบภายในและบริการคลาวด์มีความปลอดภัย ใช้การควบคุมความปลอดภัยที่มีอยู่และรวมเครือข่ายเสมือนระหว่าง Power Platform กับทรัพยากร Azure เป็นส่วนหนึ่งของสถาปัตยกรรมโซลูชันของคุณ

การนำการควบคุมความปลอดภัยเครือข่ายไปใช้ระหว่างส่วนประกอบของแอปพลิเคชันมักนำมาซึ่งความท้าทาย โดยเฉพาะอย่างยิ่งเมื่อส่วนประกอบเหล่านั้นอยู่ในระดับการแยกเทคโนโลยีที่แตกต่างกัน ด้วยเครือข่ายเสมือน Azure คุณสามารถสร้างโซลูชันที่มี Power Platform และส่วนประกอบ Azure ได้โดยไม่ต้องการความซับซ้อนของโซลูชันหลายเครือข่ายทั่วไป สถาปัตยกรรมตัวอย่างใช้การมอบสิทธิ์ซับเน็ตเครือข่ายเสมือนเพื่อให้ Power Platform และทรัพยากร Azure ทำงานร่วมกันในโซลูชันที่ใช้จุดแข็งของผลิตภัณฑ์ทั้งสองโดยไม่สูญเสียความเรียบง่ายและความปลอดภัย

ข้อควรพิจารณา

ข้อควรพิจารณาเหล่านี้ใช้เสาหลักของ Power Platform Well-Architected ซึ่งเป็นชุดของหลักการชี้นำที่ปรับปรุงคุณภาพของเวิร์กโหลด เรียนรู้เพิ่มเติมใน Microsoft Power Platform Well-Architected

ความน่าเชื่อถือ

ระบบสำรอง: โครงสร้างพื้นฐาน Power Platform สร้างขึ้นเพื่อใช้ภูมิภาคหลักและภูมิภาคในการย้ายโหนดเมื่อเกิดข้อผิดพลาดโดยไม่มีการดำเนินการที่ชัดเจนจากลูกค้า ตัวอย่างเช่น หากสภาพแวดล้อม Power Platform ของคุณอยู่ในสหรัฐอเมริกาตะวันตก ภูมิภาคในการย้ายโหนดเมื่อเกิดข้อผิดพลาดคือสหรัฐอเมริกาตะวันออก เพื่อให้ได้ความยืดหยุ่นสูงสุด ให้ตั้งค่าเครือข่ายเสมือนในภูมิภาค Azure ที่จับคู่กันทั้งสองภูมิภาค และสร้างการเชื่อมต่อแบบเพียร์ระหว่างภูมิภาคเหล่านั้น การตั้งค่านี้ช่วยให้สามารถดำเนินการล้มเหลวของทรัพยากร Azure ได้อย่างราบรื่นในกรณีที่เกิดภัยพิบัติ เรียนรู้เพิ่มเติมใน ความต่อเนื่องทางธุรกิจและการกอบกู้ระบบ และ สถานการณ์ตัวอย่างสำหรับการตั้งค่าและการกำหนดค่าเครือข่ายเสมือน

การรักษาความปลอดภัย

การควบคุมการเข้าถึงข้อมูล: API, ที่เก็บข้อมูล และทรัพยากร Azure อื่นๆ สำหรับโซลูชันจะถูกแยกออกและสามารถเข้าถึงได้จากแอปพลิเคชันที่ทำงานในสภาพแวดล้อม Power Platform ที่เชื่อมต่อกับเครือข่ายเสมือนเท่านั้น

การแบ่งส่วนและขอบเขตโดยเจตนา: การรวมเครือข่ายเสมือน Azure ให้ Power Platform และทรัพยากร Azure สื่อสารกันอย่างปลอดภัย โดยแยกออกจากการรบกวนเครือข่ายระบบคลาวด์อื่นๆ การตั้งค่านี้จะป้องกันไม่ให้สภาพแวดล้อมระดับล่าง เช่น สภาพแวดล้อมการพัฒนา เชื่อมต่อกับทรัพยากร Azure สำหรับการทดสอบหรือการผลิตโดยไม่ได้ตั้งใจ ซึ่งจะช่วยรักษาวงจรชีวิตการพัฒนาให้ปลอดภัย ด้วยเครือข่ายเสมือนที่กำหนดค่าในสภาพแวดล้อม Power Platform คุณจะควบคุมปริมาณการใช้งานขาออกจาก Power Platform เรียนรู้เพิ่มเติมใน แนวทางปฏิบัติสำหรับการรักษาความปลอดภัยการเชื่อมต่อขาออกจากบริการของ Power Platform

การเข้ารหัสลับ: ข้อมูลที่ย้ายจาก Power Platform ไปยังบริการ Azure ในเครือข่ายเสมือนจะไม่ข้ามอินเทอร์เน็ตสาธารณะ

ความเป็นเลิศในการดำเนินงาน

การจัดการวงจรชีวิตของแอปพลิเคชัน (ALM): มีการกำหนดค่าการรวมที่ระดับสภาพแวดล้อม Power Platform เครือข่ายเสมือน Azure ที่สอดคล้องกันประกอบเป็นโซนการลงจอดที่สมบูรณ์สำหรับโซลูชันทั้งหมด และสามารถแยกการพัฒนา การทดสอบ และการผลิตหรือขั้นตอนวงจรชีวิตเฉพาะในกระบวนการ ALM ขององค์กรของคุณได้

ประสิทธิภาพการทำงาน

รวบรวมข้อมูลประสิทธิภาพ: บริการ Azure Monitor รวบรวมและรวมเมตริกและบันทึกจากทุกส่วนประกอบของระบบของคุณ เพื่อให้คุณมีมุมมองของความพร้อมใช้งาน ประสิทธิภาพ และความยืดหยุ่น เรียนรู้เพิ่มเติมใน ตรวจสอบเครือข่ายเสมือน Azure

ผู้สนับสนุน

Microsoft ดูแลบทความนี้ ผู้ร่วมให้ข้อมูลต่อไปนี้เขียนบทความนี้

ผู้เขียนหลัก:

  • Rahul Kannathusseril, ผู้จัดการโครงการหลัก
  • Henry Luo, ผู้จัดการโครงการอาวุโส

ขั้นตอนถัดไป

ปฏิบัติตามขั้นตอนระดับสูงเหล่านี้เพื่อสร้างโซลูชันแบบครบวงจร:

  1. ตั้งค่าการสนับสนุนเครือข่ายเสมือนสำหรับ Power Platform

  2. สร้าง REST API ที่โฮสต์บน Azure โดยใช้เทคนิคที่คุณต้องการ ปกป้อง API ด้วย Microsoft Entra ID เรียนรู้เพิ่มเติมใน กำหนดค่าบริการแอปของคุณหรือแอปฟังก์ชัน Azure เพื่อใช้การลงชื่อเข้าใช้ Microsoft Entra

  3. สร้างตัวแปรสภาพแวดล้อม Power Platform เพื่อเก็บรหัสไคลเอ็นต์และข้อมูลลับจาก Azure Key Vault เรียนรู้เพิ่มเติมใน ใช้ตัวแปรสภาพแวดล้อมสำหรับข้อมูลลับของ Azure Key Vault

  4. สร้างตัวเชื่อมต่อที่กำหนดเองสำหรับ API ของคุณ เริ่มต้นใช้งานด้วยบทช่วยสอน

  5. กำหนดตัวเชื่อมต่อที่กำหนดเองที่จะใช้ OAuth 2.0 กับ Azure Active Directory (Microsoft Entra ID) และเปิดการสนับสนุนบริการหลัก

    ภาพหน้าจอของการตั้งค่าการรับรองความถูกต้องความปลอดภัยของตัวเชื่อมต่อที่กำหนดเองที่แสดงการใช้งาน OAuth 2.0

  6. กำหนดค่า ID ไคลเอนต์และความลับไคลเอนต์เพื่อใช้ค่าจากตัวแปรสภาพแวดล้อมที่คุณสร้างในขั้นตอนที่ 2

    ภาพหน้าจอของการตั้งค่าความปลอดภัยของตัวเชื่อมต่อแบบกำหนดเองที่แสดงฟิลด์ ID ไคลเอนต์ที่ตั้งค่าเป็นตัวแปรสภาพแวดล้อม

  7. สร้างแอปพื้นที่ทำงานใน Power Apps เพื่อให้มีอินเทอร์เฟซการค้นหา

  • Last updated on