Power Platform 支援使用 Azure 虛擬網路存取虛擬網路內的資源,而無需將其暴露給公共網際網路。
提示
本文提供了一個範例情境和一個通用範例體系結構,以說明如何使用 Azure 虛擬網路保護 Power Platform 對 Azure 資源的存取。 此結構範例可針對許多不同的案例和產業進行修改。
架構圖表
Workflow
下列步驟說明範例結構圖中顯示的工作流程:
案例管理應用程式:Power Apps 畫布或模型導向的應用程式使用 Power Platform 自訂連接器存取 Azure 中託管的後端資料庫或服務。 設定在環境層級進行管理,以根據需要連接到特定的 Azure 虛擬網路。 例如,開發環境可能不需要使用虛擬網路,但測試和生產環境則需要。
搜尋請求:來自應用程式的搜尋請求使用 Power Platform 自訂連接器存取 Azure 中託管的後端 API。
請求授權:後端 API 透過 Microsoft Entra ID 進行保護,並透過 Microsoft Entra ID 向應用程式驗證使用者身分。 連接器使用 OAuth 授權使用者對後端 API 的存取。 連接器使用 Power Platform 環境變數從 Azure Key Vault 取得用戶端 ID 和機密。
網路存取:後端 API 託管在 Azure 虛擬網路中,不允許存取公共網路。 虛擬網路為 Power Platform 環境委託一個子網路,允許 API 請求和回應穿越網路,而無需使用 Azure 公共網路。
後端 API 搜尋:後端 API 接收搜尋請求,並在發出請求的使用者上下文中執行資料庫搜尋。
元件
Power Platform 環境:包含 Power Platform 資源。 環境是資料存取和安全的邊界。 可以將環 Power Platform 境設定為使用 Azure 虛擬網路整合,這允許 Power Platform 資源與虛擬網路中的 Azure 資源進行通訊。
Power Apps:實現解決方案的使用者體驗。 使用者使用 Microsoft Entra ID 登入畫布或模型導向的應用程式。
Power Platform 自訂連接器:定義 Power Platform 應用程式可從其連接的服務執行的操作。
Azure 虛擬網路:支援與本機和其他 Azure 網路功能的混合連接,以在雲端提供虛擬網路。 虛擬網路可以將子網路委託給 Power Platform 資源,從而允許 Power Platform 和 Azure 資源透過專用網路進行互動,而無需透過公用網路傳送流量。
Azure Key Vault:儲存使用 OAuth 連接到後端 API 所需的憑證。 與後端 API 類似,Power Platform 資源透過虛擬網路存取 Azure Key Vault。
案例詳細資料
對安全性有較高需求的組織必須確保內部系統和雲端服務之間的安全通訊。 使用可用的安全控制,並將 Power Platform 和 Azure 資源之間的虛擬網路整合納入解決方案架構。
在應用程式元件之間實施網路安全控制通常會帶來挑戰,尤其是當它們處於不同的技術抽象層級時。 透過 Azure 虛擬網路,您可以使用 Power Platform 和 Azure 元件建立解決方案,而無需典型的多網路解決方案的複雜性。 範例架構使用虛擬網路子網路委派,讓 Power Platform 和 Azure 資源在利用兩種產品優勢的解決方案中協同工作,而不會犧牲簡單性和安全性。
考量因素
這些考慮因素體現了 Power Platform Well-Architected 的支柱,這是一套提高工作負載品質的指導原則。 如需進一步了解,請參閱 Microsoft Power Platform Well-Architected。
可靠性
冗餘:Power Platform 基礎設施的建置是為了使用主區域和容錯移轉區域,而無需客戶採取明確行動。 例如,如果您的 Power Platform 環境位於美國西部,容錯移轉區域就是美國東部。 為了實現最佳的復原能力,請在兩個配對的 Azure 區域中設定虛擬網路並在它們之間建立對等連線。 此設定允許在發生災難時無縫地容錯移轉 Azure 資源。 有關詳細資訊,請參閱業務連續性和災難復原以及虛擬網路設定和設定的範例情境。
安全性
資料存取控制:解決方案的 API、資料儲存和其他 Azure 資源是隔離的,只能從連接到虛擬網路的 Power Platform 環境中執行的應用程式存取。
有意的分段和邊界:Azure 虛擬網路整合可讓 Power Platform 和 Azure 資源安全通訊,並免受其他雲端網路干擾。 此設定可防止較低階的環境 (如開發環境) 意外連接到測試或生產 Azure 資源,有助於維護安全的開發生命週期。 透過在 Power Platform 環境中設定虛擬網路,您可以控制來自 Power Platform 的出站流量。 如需進一步了解,請參閱保護 Power Platform 服務出站連線的最佳做法
加密:從 Power Platform 移至虛擬網路中的 Azure 服務的資料不會穿越公共網際網路。
卓越營運
應用程式生命週期管理 (ALM):整合在 Power Platform 環境層級進行設定。 對應的 Azure 虛擬網路構成了整個解決方案的完整登陸區,並且可以隔離組織 ALM 流程中的開發、測試和生產或特定生命週期階段。
效能效益
收集效能資料:Azure Monitor 服務收集並彙總系統每個元件的指標和記錄,為您提供可用性、效能和彈性的檢視。 如需進一步了解,請參閱監視 Azure 虛擬網路。
投稿人
Microsoft 維護此文章。 以下貢獻者撰寫了這篇文章。
主要作者:
- Rahul Kannathusseril,主要專案經理
- Henry Luo,專案經理長
後續步驟
請按照以下進階步驟建立端到端解決方案:
使用您喜歡的技術建立 Azure 託管的 REST API。 使用 Microsoft Entra ID 保護 API。 有關詳細資訊,請參閱設定您的應用程式服務或 Azure Functions 應用程式以使用 Microsoft Entra 登入。
建立 Power Platform 環境變數來儲存來自 Azure Key Vault 的用戶端 ID 和機密。 在使用環境變數儲存 Azure Key Vault 機密中了解詳細資訊。
為您的 API 建立自訂連接器。 從教程開始。
定義自訂連接器以將 OAuth 2.0 與 Azure Active Directory (Microsoft Entra ID) 一起使用,並開啟服務主體支援。
設定用戶端 ID 和用戶端金鑰以使用您在步驟 2 中建立的環境變數的值。
在 Power Apps 中建立一個畫布應用程式來提供搜尋介面。
