借助 Power Platform 的 Azure 虚拟网络支持,您可将 Power Platform 与虚拟网络中的资源集成,而无需在公共互联网上将其公开。 虚拟网络支持使用 Azure 子网委派在运行时管理来自 Power Platform 的出站流量。 使用 Azure 子网委派可避免需要通过互联网提供受保护的资源来与 Power Platform 集成。 利用虚拟网络支持,Power Platform 组件可以在网络内部调用企业拥有的资源,无论这些资源是托管在 Azure 中还是内部部署的,并使用插件和连接器进行出站调用。
Power Platform 通常通过公用网络与企业资源集成。 对于公共网络,企业资源必须可以从描述公共 IP 地址的 Azure IP 范围或服务标签列表中访问。 但是,Power Platform 的 Azure 虚拟网络支持允许您使用专用网络,其仍然与云服务或企业网络内部托管的服务集成。
Azure 服务通过专用终结点在虚拟网络中受到保护。 您可以使用 Express Route 将您的内部资源引入虚拟网络。
Power Platform 使用您委派的虚拟网络和子网通过企业专用网络向企业资源进行出站调用。 使用专用网络消除了通过公共互联网路由流量的需要,这可能会暴露企业资源。
在虚拟网络中,您可以完全控制来自 Power Platform 的出站流量。 流量受制于网络管理员应用的网络策略。 下图显示了网络内部的资源如何与虚拟网络进行交互。
虚拟网络支持的优势
借助虚拟网络支持,您的 Power Platform 和 Dataverse 组件可以获得 Azure 子网委派提供的所有优势,例如:
数据保护:虚拟网络允许 Power Platform 服务连接到您的专用的受保护资源,而不会将其暴露在 Internet 上。
无未经授权访问:虚拟网络可连接您的资源,无需在连接中使用 Power Platform IP 范围或服务标签。
估计 Power Platform 环境的子网大小
在过去的一年里,遥测数据和观察表明,生产环境通常需要 25 到 30 个 IP 地址,大多数用例都在这个范围内。 根据此信息,我们建议为生产环境分配 25 到 30 个 IP,为非生产环境(如沙盒或开发人员环境)分配 6 到 10 个 IP。 子网中的 IP 地址主要由连接到虚拟网络的容器使用。 开始使用环境后,将至少创建四个容器,这些容器会根据调用量动态扩展,它们通常保持在 10 到 30 个容器范围内。 这些容器负责执行各自环境的所有请求,并有效地处理并行连接请求。
多环境计划
如果对多个 Power Platform 环境使用相同的委派子网,您可能需要更多的无类别域际路由 (CIDR) IP 地址。 将环境链接到单个策略时,请考虑为生产和非生产环境推荐的 IP 地址量。 请记住,每个子网会保留五个 IP 地址,您在估计时必须考虑这一点。
备注
为了增强对资源利用率的可见性,我们正在努力公开企业策略和子网的委派子网 IP 使用。
IP 分配示例
考虑具有两个企业策略的租户。 第一个策略适用于生产环境,而第二个策略用于非生产环境。
生产企业政策
如果您有四个与企业策略关联的生产环境,每个环境需要 30 个 IP。 总 IP 分配如下:
(四个环境 x 30 IP) + 5 个保留 IP = 125 个 IP
此场景需要 /25 CIDR 块,其容量为 128 个 IP。
非生产企业策略
对于具有 20 个开发人员和沙盒环境(每个环境需要 10 个 IP)的非生产企业策略,总 IP 分配如下所示:
(20 个环境 x 10 个 IP) + 5 个保留 IP = 205 个 IP
此场景需要 /24 CIDR 块,其容量为 256 个 IP,并且有足够的空间向企业策略添加更多环境。
支持的应用场景
Power Platform 支持对 Dataverse 插件和连接器的虚拟网络支持。 通过此支持,您可以在虚拟网络中建立从 Power Platform 到资源的安全的专用出站连接。 Dataverse 插件和连接器通过从 Power Apps、Power Automate 和 Dynamics 365 应用连接到外部数据源来增强数据集成安全性。 例如,您可以:
- 使用 Dataverse 插件连接到您的云数据源,例如 Azure SQL、Azure 存储、Blob 存储或 Azure Key Vault。 您可以防止数据发生数据外泄和其他事件。
- 使用 Dataverse 插件安全地连接到在 Azure 中专用的受终结点保护的资源(例如 Web API)或专用网络内的任何资源(例如 SQL 和 Web API)。 您可以防止数据发生数据泄露和其他外部威胁。
- 使用诸如 SQL Server的虚拟网络支持的连接器安全地连接到云托管(例如 Azure SQL 或 SQL Server),而无需在 Internet 上公开它们。 同样,可以使用 Azure 队列连接器与启用了终结点的专用 Azure 队列建立安全连接。
- 使用 Azure Key Vault 连接器安全地连接到受终结点保护的专用 Azure Key Vault。
- 使用自定义连接器安全地连接到受 Azure 中的专用终结点保护的服务或专用网络内托管的服务。
- 使用 Azure 文件存储安全地连接到支持端点的专用 Azure 文件存储。
- 使用使用 Microsoft Entra ID 的 HTTP(预授权)通过虚拟网络从由 Microsoft Entra ID 进行身份验证的不同 Web 服务或从本地 Web 服务安全地提取资源。
限制
- 在将连接器类型更新为使用子网委派之前,不支持使用连接器的 Dataverse 低代码插件。
- 您可以在虚拟网络支持的 Power Platform 环境中使用复制、备份和还原环境生命周期操作。 还原操作可以在同一虚拟网络中以及跨不同的环境执行,前提是它们连接到同一虚拟网络。 此外,从不支持虚拟网络的环境到支持虚拟网络的环境,还原操作都是允许的。
支持的区域
确认您的 Power Platform 环境和企业策略在受支持的 Power Platform 和 Azure 区域中。 例如,如果 Power Platform 环境位于英国,则虚拟网络和子网必须位于 uksouth 和 ukwest Azure 区域。 如果 Power Platform 区域具有两个以上的区域,则必须确保选择一个可用的区域对。 例如,如果环境位于美国,则虚拟网络和子网必须位于 eastus 和 westus 或 centralus 和 eastus2 中。
| Power Platform 区域 | Azure 区域 |
|---|---|
| 美国 |
|
| 南非 | southafricanorth、southafricawest |
| 英国 | 英国南部、英国西部 |
| 日本 | 日本东部、日本西部 |
| 印度 | 印度中部,印度南部 |
| 法国 | 法国中部、法国南部 |
| 欧洲 | 西欧、北欧 |
| 德国 | 德国北部、德国中西部 |
| 瑞士 | 瑞士北部,瑞士西部 |
| 加拿大 | 加拿大中部、加拿大东部 |
| 巴西 | 巴西南部 |
| 澳大利亚 | 澳大利亚东南部、澳大利亚东部 |
| 亚洲 | 东亚、东南亚 |
| UAE | uaenorth |
| 韩国 | 韩国南部,韩国中部 |
| 挪威 | 挪威西部,挪威东部 |
| 新加坡 | 东南亚 |
| 瑞典 | 瑞典中部 |
| 意大利 | italynorth |
| 美国政府 | usgovtexas,usgovvirginia |
备注
美国政府社区云(GCC)的支持目前仅适用于 GCC High 中部署的环境。 不支持国防部(DoD)和 GCC 环境。
支持的服务
下表列出了为 Power Platform 的虚拟网络支持而支持 Azure 子网委派的服务。
| 区域 | Power Platform 服务 | 虚拟网络支持可用性 |
|---|---|---|
| Dataverse | Dataverse 插件 | 正式发布 |
| 连接符 | 正式发布 | |
| 连接符 | 正式发布 |
支持的环境
对 Power Platform 的虚拟网络支持不适用于所有 Power Platform 环境。 下表列出了哪些环境类型支持虚拟网络。
| 环境类型 | 已支持 |
|---|---|
| 生产 | 是的 |
| 违约 | 是的 |
| 沙盒 | 是的 |
| 开发人员 | 是的 |
| 试用版 | 否 |
| Microsoft适用于 Teams 的 Dataverse | 否 |
启用对 Power Platform 环境的虚拟网络支持的注意事项
当您在 Power Platform 环境中使用虚拟网络支持时,所有受支持的服务(如 Dataverse 插件和连接器)都会在运行时在您的委派子网中执行请求,并受您的网络策略的约束。 对公共可用资源的调用将开始中断。
重要提示
在为 Power Platform 环境启用虚拟环境支持之前,请确保检查插件和连接器的代码。 需要更新 URL 和连接以使用专用连接。
例如,一个插件可能会尝试连接到公开可用的服务,但您的网络策略不允许在您的虚拟网络中进行公共 Internet 访问。 根据网络策略阻止来自插件的调用。 为了避免调用遭阻止,您可以在虚拟网络中托管公开可用的服务。 或者,如果您的服务托管在 Azure 中,您可以在 Power Platform 环境中打开虚拟网络支持之前在服务上使用专用终结点。
常见问题
虚拟网络数据网关与 Power Platform 的 Azure 虚拟网络支持有何区别?
虚拟网络数据网关是一个托管网关,可用于从虚拟网络中访问 Azure 和 Power Platform 服务,而无需设置本地数据网关。 例如,网关针对 Power BI 和 Power Platform 数据流中的 ETL(提取、转换、加载)工作负荷进行了优化。
对 Power Platform 的 Azure 虚拟网络支持为您的 Power Platform 环境使用 Azure 子网委派。 子网由 Power Platform 环境中的工作负荷使用。 Power Platform API 工作负荷使用虚拟网络支持,因为请求是短期的,并且针对大量请求进行了优化。
在哪些场景中我应该对 Power Platform 和虚拟网络数据网关使用虚拟网络支持?
对于除 Power BI 和 Power Platform 数据流之外 Power Platform 中出站连接的所有场景,对 Power Platform 的虚拟网络支持是唯一支持的选项。
Power BI 和 Power Platform 数据流继续使用虚拟网络 (vNet) 数据网关。
在 Power Platform 中,您如何确保一个客户的虚拟网络子网或数据网关不被另一个客户使用?
Power Platform 的虚拟网络支持使用 Azure 子网委派。
每个 Power Platform 环境都链接到一个虚拟网络子网。 只有来自该环境的调用才允许访问该虚拟网络。
委派允许您为任何需要注入虚拟网络的 Azure 平台即服务 (PaaS) 指定特定子网。
虚拟网络支持 Power Platform 故障转移吗?
是的,您需要委派与 Power Platform 区域相关联的两个 Azure 区域的虚拟网络。 例如,如果 Power Platform 环境位于加拿大,您需要在 CanadaCentral 和 CanadaEast 中创建、委派和配置虚拟网络。
一个区域的 Power Platform 环境如何连接到在另一个区域托管的资源?
链接到 Power Platform 环境的虚拟网络必须位于 Power Platform 环境的区域中。 如果虚拟网络位于不同区域,则在 Power Platform 环境的区域中创建虚拟网络,并在两个 Azure 区域的子网委派虚拟网络上使用虚拟网络对等互连来弥合与不同区域虚拟网络之间的差距。
我可以监控委派子网的出站流量吗?
是的。 您可以使用网络安全组和防火墙来监控来自委派子网的出站流量。 有关详细信息,请参阅监控 Azure 虚拟网络。
一旦我的环境获得子网委派,我可以从插件或连接器进行互联网绑定调用吗?
是的。 可以从插件或连接器进行 Internet 限制调用,但必须使用 Azure NAT 网关配置委派子网。
委派给“Microsoft.PowerPlatform/enterprisePolicies”后,我可以更新子网 IP 地址范围吗?
否,在您的环境中使用该功能时不会。 在将子网委派给“Microsoft.PowerPlatform/enterprisePolicies”后,不能更改子网的 IP 地址范围。如果更改,委派配置将中断,环境将停止工作。 若要更改 IP 地址范围,必须从环境中删除委派功能,进行必要的更改,然后为环境启用该功能。
在将虚拟网络委派给“Microsoft.PowerPlatform/enterprisePolicies”后,是否可以更新虚拟网络的 DNS 地址?
否,在您的环境中使用该功能时不会。 将虚拟网络的 DNS 地址委派给“Microsoft.PowerPlatform/enterprisePolicies”后,不能更改虚拟网络的 DNS 地址。如果进行更改,不会在我们的配置中选择更改,您的环境可能会停止工作。 若要更改 DNS 地址,必须从环境中删除委派功能,进行必要的更改,然后为环境启用该功能。
是否可以对多个 Power Platform 环境使用相同的企业策略?
是的。 可以对多个 Power Platform 环境使用相同的企业策略。 但是,有一个限制,即早期发布周期环境不能使用与其他环境相同的企业策略。
我的虚拟网络配置了自定义 DNS。 Power Platform 使用我的自定义 DNS 吗?
是的。 Power Platform 使用在保留委派子网的虚拟网络中配置的自定义 DNS 来解析所有终结点。 委派环境后,您可以更新插件以使用正确的端点,以便您的自定义 DNS 能够解析。
我的环境有 ISV 提供的插件。这些插件会在委派子网中运行吗?
是的。 所有客户插件和 ISV 插件都可以使用您的子网运行。 如果 ISV 插件具有出站连接,这些 URL 可能需要在您的防火墙中列出。
我的本地端点 TLS 证书不是由知名根证书颁发机构 (CA) 签署的。 您支持未知证书吗?
不包括。 我们必须确保端点提供具有完整链的 TLS 证书。 无法将您的自定义根 CA 添加到我们的知名 CA 列表中。
客户租户内虚拟网络的建议设置是什么?
我们不推荐任何特定的拓扑结构。 但是,我们的客户在 Azure 中广泛使用轴辐式网络拓扑结构。
是否必须将 Azure 订阅链接到我的 Power Platform 租户才能激活虚拟网络?
是,若要启用对 Power Platform 环境的虚拟网络支持,必须将 Azure 订阅与 Power Platform 租户相关联。
Power Platform 如何使用 Azure 子网委派?
当 Power Platform 环境被分配了委派 Azure 子网时,它使用 Azure 虚拟网络注入在运行时将容器注入委派子网。 在此流程中,容器的网络接口卡 (NIC) 从委派的子网分配一个 IP 地址。 主机 (Power Platform) 和容器之间的通信通过容器上的本地端口实现,流量将流经 Azure Fabric。
我能否使用 Power Platform 的现有虚拟网络?
可以,如果虚拟网络中的单个新子网被专门委派给 Power Platform,则可以使用 Power Platform 的现有虚拟网络。 委派子网必须专门用于子网委派,不能用于其他目的。
是否可以在多个企业策略中重复使用同一委派子网?
不包括。 不支持在多个企业策略中重复使用同一子网。 每个 Power Platform 企业策略都必须有自己的唯一子网以进行委派。
什么是 Dataverse 插件?
Dataverse 插件是可部署到 Power Platform 环境的一段自定义代码。 此插件可以配置为在事件期间运行(例如数据中的更改),或作为自定义 API 触发。 了解详细信息:Dataverse 插件
Dataverse 插件如何运行?
Dataverse 插件在容器内运行。 当为 Power Platform 环境分配委派子网时,该子网的地址空间中的 IP 地址会被分配到容器的网络接口卡 (NIC)。 主机 (Power Platform) 和容器之间的通信通过容器上的本地端口实现,流量将流经 Azure Fabric。
多个插件是否可以在同一容器内运行?
是的。 在给定 Power Platform 或 Dataverse 环境中,多个插件可以在同一容器内运行。 每个容器占用子网地址空间中的一个 IP 地址,每个容器可以运行多个请求。
基础结构如何处理并行插件执行增加?
随着并行插件执行数量的增加,基础结构会自动进行缩放(横向缩减或横向扩展)以容纳负荷。 委派到 Power Platform 环境的子网应具有足够的地址空间,来处理该 Power Platform 环境中工作负荷的峰值执行量。
谁控制虚拟网络及其关联的网络策略?
作为客户,您拥有对虚拟网络及其关联网络策略的所有权和控制权。 另一方面,Power Platform 使用该虚拟网络内从委派子网中分配的 IP 地址。
Azure 感知插件支持虚拟网络吗?
否, Azure 感知插件不支持虚拟网络。