Überblick über die Virtual Network-Unterstützung für Power Platform (Vorschauversion)
[Dieser Artikel ist Teil der Dokumentation zur Vorabversion und kann geändert werden.]
Mit der Azure Virtual Network-Unterstützung für Power Platform können Sie Power Platform in Ressourcen in Ihrem virtuellen Netzwerk integrieren, wobei diese nicht über das öffentliche Internet verfügbar gemacht werden müssen. Die Virtual Network-Unterstützung nutzt die Azure-Subnetzdelegierung, um den ausgehenden Datenverkehr zur Runtime von Power Platform zu verwalten. Durch die Verwendung einer Stellvertretung entfällt die Notwendigkeit, dass geschützte Ressourcen zur Integration in Power Platform über das Internet übertragen werden müssen. Virtuelle Netzwerk-, Dataverse- und Power Platform-Komponenten können Ressourcen, die Ihrem Unternehmen gehören, innerhalb Ihres Netzwerks aufrufen, unabhängig davon, ob sie in Azure oder lokal gehostet werden, und Plug-Ins und Konnektoren verwenden, um ausgehende Anrufe tätigen.
Wichtig
- Dies ist eine Vorschauversion.
- Funktionen in der Vorschauversion sind nicht für den Produktionseinsatz gedacht und können eine eingeschränkte Funktionalität aufweisen. Diese Funktionen stehen vor der offiziellen Veröffentlichung zur Verfügung, damit Kunden frühzeitig Zugriff erhalten und Feedback geben können.
Über öffentliche Netzwerke lässt sich für gewöhnlich eine Integration von Power Platform mit Unternehmensressourcen herstellen. Bei öffentlichen Netzwerken muss über eine Liste von Azure-IP-Bereichen oder Diensttags, die öffentliche IP-Adressen beschreiben, auf Unternehmensressourcen zugegriffen werden können. Die Azure Virtual Network-Unterstützung für Power Platform ermöglicht Ihnen jedoch die Verwendung eines privaten Netzwerks und weiterhin die Integration mit Cloud-Diensten oder Diensten, die in Ihrem Unternehmensnetzwerk gehostet werden.
Azure-Dienste werden innerhalb eines virtuellen Netzwerks durch private Endpunkte geschützt. Sie können Express Route verwenden, um Ihre lokalen Ressourcen in das virtuelle Netzwerk zu bringen.
Power Platform verwendet das virtuelle Netzwerk und Subnetze, die Sie delegieren, um ausgehende Aufrufe an Unternehmensressourcen über das private Unternehmensnetzwerk zu tätigen. Durch die Verwendung eines privaten Netzwerks muss der ausgehende Datenverkehr nicht über das öffentliche Internet erfolgen, was die Ressourcen des Unternehmens gefährden könnte.
In einem virtuellen Netzwerk haben Sie die volle Kontrolle über den ausgehenden Datenverkehr von Power Platform. Für den Datenverkehr gelten die Netzwerkrichtlinien Ihrer Netzwerksadministrierenden. Das folgende Diagramm zeigt, wie Ressourcen in Ihrem Netzwerk mit einem virtuellen Netzwerk interagieren.
Vorteile der Unterstützung für Virtual Network
Mit der Unterstützung von Virtual Network profitieren Ihre Power Platform- und Dataverse-Komponenten von allen Vorteilen, die die Azure-Subnetzdelegierung bietet, wie z. B.:
Datenschutz: Virtual Network erlaubt den Power Platform-Diensten, eine Verbindung zu Ihren privaten und geschützten Ressourcen herzustellen, ohne dass diese dem Internet ausgesetzt werden müssen.
Kein unbefugter Zugriff: Virtual Network stellt eine Verbindung zu Ihren Ressourcen her und benötigt dafür keine Power Platform-IP-Bereiche oder Diensttags in der Verbindung.
Unterstützte Szenarien
Power Platform unterstützt Dataverse-Plug-Ins und Konnektoren mit einem virtuellen Netzwerk, damit Sie eine sichere, private, ausgehende Konnektivität zwischen Power Platform und Ressourcen in Ihrem virtuellen Netzwerk nutzen können. Dataverse-Plug-Ins und Konnektoren verbessern die Sicherheit der Datenintegration durch Verbindung mit externen Datenquellen aus Power Apps, Power Automate und Dynamics 365-Apps. So können Sie beispielsweise Folgendes ausführen:
- Verwenden Sie Dataverse-Plug-Ins , um eine Verbindung zu Ihren Cloud-Datenquellen wie Azure SQL, Azure Storage, Blob Storage oder Azure Key Vault herzustellen. Sie können Ihre Daten vor Datenexfiltration und anderen Vorfällen schützen.
- Verwenden Sie Dataverse-Plug-Ins, um eine sichere Verbindung zu privaten, endpunktgeschützten Ressourcen in Azure herzustellen, etwa zur Web-API oder zu anderen Ressourcen innerhalb Ihres privaten Netzwerks wie SQL und Web-API. Sie können Ihre Daten vor Datenschutzverletzungen und anderen externen Bedrohungen schützen.
- Verwenden Sie von Virtual Network unterstützte Konnektoren wie SQL Server, um eine sichere Verbindung zu Ihren in der Cloud gehosteten Datenquellen wie Azure SQL oder SQL Server herzustellen, ohne sie dem Internet auszusetzen. Ebenso können Sie den Azure Queue-Konnektor verwenden, um sichere Verbindungen zu privaten, endpunktfähigen Azure Queues herzustellen.
- Verwenden Sie den Azure Key Vault-Konnektor, um eine sichere Verbindung zu einem privaten, endpunktgeschützten Azure Key Vault herzustellen.
- Verwenden Sie HTTP mit Microsoft Entra ID, um eine sichere Verbindung zur Dienstauthentifizierung per Microsoft Entra ID herzustellen.
- Verwenden Sie benutzerdefinierte Konnektoren, um eine sichere Verbindung zu Ihren Diensten, die durch private Endpunkte in Azure geschützt sind, oder zu in Ihrem privaten Netzwerk gehosteten Diensten herzustellen.
Einschränkungen
- Dataverse-Low-Code-Plug-Ins, die Konnektoren verwenden, werden erst unterstützt, wenn diese Konnektortypen für die Verwendung der Subnetzdelegierung aktualisiert werden.
- Sie können nur die Umgebungslebenszyklusvorgänge „Kopieren“ und „Wiederherstellen“ verwenden. Wenn in der Quellumgebung das virtuelle Netzwerk aktiviert ist und in der Zielumgebung nicht, können Sie „Kopieren“ und „Wiederherstellen“ nicht durchführen.
Unterstützte Regionen
Stellen Sie sicher, dass sich Ihre Power Platform-Umgebung und Ihre Unternehmensrichtlinie in unterstützten Power Platform- und Azure-Regionen befinden. Wenn sich Ihre Power Platform-Umgebung beispielsweise in den Vereinigten Staaten befindet, müssen sich Ihr virtuelles Netzwerk, Ihre Subnetze und Ihre Unternehmensrichtlinie in der Azure-Region eastus oder westus befinden.
| Power Platform-Region | Azure-Region |
|---|---|
| USA | eastus, westus |
| Südafrika | eouthafricanorth, southafricawest |
| UK | uksouth, ukwest |
| Japan | japaneast, japanwest |
| Indien | centralindia, southindia |
| Frankreich | francecentral, francesouth |
| Europa | westeurope, northeurope |
| Deutschland | germanynorth, germanywestcentral |
| Schweiz | switzerlandnorth, switzerlandwest |
| Kanada | canadacentral, canadaeast |
| Brasilien | brazilsouth, southcentralus |
| Australien | australiasoutheast, australiaeast |
| Asien | eastasia, southeastasia |
| VAE | uaecentral, uaenorth |
| Südkorea | koreasouth, koreacentral |
| Neinrwegen | norwaywest, norwayeast |
| Singapur | southeastasia |
| Schweden | swedencentral |
Unterstützte Dienste
In der folgenden Tabelle sind die Dienste aufgeführt, die die Azure-Subnetzdelegierung für die Unterstützung von Virtual Network für Power Platform unterstützen.
| Region | Power Platform-Services | Unterstützung von Virtual Network |
|---|---|---|
| Dataverse | Dataverse-Plug-Ins | Vorschauversion |
| Konnektoren | Vorschauversion |
Lizenzanforderungen
Die Lizenzanforderungen für die Unterstützung von Virtual Network für Power Platform werden bekannt gegeben, wenn die allgemeine Verfügbarkeit des Diensts näher rückt.
Überlegungen zur Aktivierung der Unterstützung virtueller Netzwerke für die Power Platform-Umgebung
Wenn Sie die Unterstützung virtueller Netzwerke in einer Power Platform-Umgebung aktivieren, führen alle unterstützten Dienste, wie z. B. Dataverse Plug-Ins, -Konnektoren, Anforderungen zur Laufzeit in Ihrem delegierten Subnetz aus, und diese unterliegen Ihren Netzwerkrichtlinien. Die Aufrufe zu öffentlich zugänglichen Ressourcen würden anfangen zu scheitern.
Wichtig
Bevor Sie die Unterstützung der virtuellen Umgebung für die Power Platform-Umgebung aktivieren, stellen Sie sicher, dass Sie den Code der Plug-Ins und Konnektoren überprüfen. Die URLs und Verbindungen müssen aktualisiert werden, um mit der privaten Konnektivität zu funktionieren.
Beispielsweise könnte ein Plug-In versuchen, eine Verbindung zu einem öffentlich verfügbaren Dienst herzustellen, Ihre Netzwerkrichtlinie aber keinen öffentlichen Internetzugang innerhalb Ihres virtuellen Netzwerks erlauben. Der Aufruf vom Plug-In wird gemäß Ihrer Netzwerkrichtlinie blockiert. Um den blockierten Anruf zu vermeiden, können Sie den öffentlich verfügbaren Dienst in Ihrem virtuellen Netzwerk hosten. Alternativ können Sie, wenn Ihr Dienst in Azure gehostet wird, einen privaten Endpunkt für den Dienst aktivieren, bevor Sie die Unterstützung Ihres virtuellen Netzwerks in der Power Platform-Umgebung aktivieren.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem virtuelle Netzwerkdatengateway und der Unterstützung von Azure Virtual Network für Power Platform?
Ein virtuelles Netzwerkdatengateway ist ein verwaltetes Gateway, das Ihnen den Zugriff auf Azure- und Power Platform-Dienste innerhalb Ihres virtuellen Netzwerks ohne Einrichtung eines lokalen Datengateways ermöglicht. Beispielsweise ist das Gateway für ETL-Workloads (Extrahieren, Transformieren, Laden) in Power BI- und Power Platform-Dataflows optimiert.
Die Unterstützung für Azure Virtual Network für Power Platform verwendet eine Azure-Subnetzdelegierung für Ihre Power Platform-Umgebung. Subnetze werden von Workloads innerhalb der Power Platform-Umgebung verwendet. Power Platform-API-Workloads nutzen die Unterstützung virtueller Netzwerke, da die Anforderungen nur von kurzer Dauer sind und für eine große Anzahl von Anforderungen optimiert sind.
In welchen Szenarien sollte ich die virtuelle Netzwerkunterstützung für Power Platform und das virtuelle Netzwerk-Datengateway verwenden?
Die Unterstützung virtueller Netzwerke für Power Platform ist die einzige unterstützte Option für alle Szenarios für ausgehende Konnektivität von Power Platform, mit Ausnahme von Power BI und Power Platform-Dataflows.
Power BI und Power Platform-Dataflows verwenden weiterhin das virtuelle Netzwerk(vNet)-Datengateway.
Wie können Sie sicherstellen, dass ein virtuelles Netzwerksubnetz oder -datengateway einer bestimmten Kundschaft nicht von einer anderen in Power Platform verwendet wird?
Die Unterstützung für Virtual Network für Power Platform verwendet die Azure-Subnetzdelegierung.
Jede Power Platform-Umgebung ist mit einem virtuellen Netzwerksubnetz verknüpft. Nur Aufrufe aus dieser Umgebung dürfen auf dieses virtuelle Netzwerk zugreifen.
Mit der Delegierung können Sie ein bestimmtes Subnetz für einen Azure-Platform as a Service(PaaS)-Dienst festlegen, der in Ihr virtuelles Netzwerk eingefügt werden muss.
Unterstützt Virtual Network das Power Platform-Unterstützungs-Failover?
Ja Während das Feature in der öffentlichen Vorschauversion ist, müssen Sie ein primäres und ein virtuelles Failover-Netzwerk sowie Subnetze während der Einrichtung delegieren.
Wie kann eine Power Platform-Umgebung in einer Region eine Verbindung zu Ressourcen herstellen, die in einer anderen Region gehostet werden?
Ein mit einer Power Platform-Umgebung verknüpftes virtuelles Netzwerk muss sich in der Region der Power Platform-Umgebung befinden. Wenn das virtuelle Netzwerk sich in einer anderen Region befindet, erstellen Sie ein virtuelles Netzwerk in der Region der Power Platform-Umgebung und verwenden Sie das Peering virtueller Netzwerke, um die beiden Regionen zu überbrücken.
Kann ich den ausgehenden Datenverkehr von delegierten Subnetzen überwachen?
Ja Sie können Netzwerksicherheitsgruppen und Firewalls verwenden, um den ausgehenden Datenverkehr von delegierten Subnetzen zu überwachen.
Wie viele IP-Adressen benötigt Power Platform im Subnetz für die Delegierung?
Sie müssen mindestens 24 CIDR (klassenloses domänenübergreifendes Routing) oder 255 IPAdressen im Subnetz delegieren. Wenn Sie dasselbe Subnetz an mehrere Umgebungen delegieren möchten, müssen Sie möglicherweise mehr IP-Adressen in diesem Subnetz bereitstellen.
Kann ich über Plug-Ins Internetaufrufe tätigen, sobald meine Umgebung über ein delegiertes Subnetz verfügt?
Ja Sie können über Plug-Ins Internetaufrufe tätigen, aber das Subnetz muss mit einem Azure NAT-Gateway konfiguriert sein.
Kann ich den Subnetz-IP-Adressbereich aktualisieren, nachdem er an „Microsoft.PowerPlatform/enterprisePolicies“ delegiert wurde?
Nein. Sie können den IP-Adressbereich des Subnetzes nicht mehr ändern, nachdem er an „Microsoft.PowerPlatform/enterprisePolicies“ delegiert wurde.
In meinem virtuellen Netzwerk ist ein benutzerdefiniertes DNS konfiguriert. Verwendet Power Platform mein benutzerdefiniertes DNS?
Ja Power Platform verwendet das benutzerdefinierte DNS, das im virtuellen Netzwerk konfiguriert ist, welches das delegierte Subnetz enthält, um alle Endpunkte aufzulösen. Nachdem die Umgebung delegiert ist, können Sie die Plug-Ins aktualisieren, um den richtigen Endpunkt zu verwenden, damit Ihr benutzerdefiniertes DNS ihn auflösen kann.
Meine Umgebung verfügt über vom ISV bereitgestellte Plug-Ins. Würden diese Plug-Ins im delegierten Subnetz ausgeführt werden?
Ja Alle Kunden-Plug-Ins und ISV-Plug-Ins können über Ihr Subnetz ausgeführt werden. Wenn die ISV-Plug-Ins über eine Ausgangskonnektivität verfügen, müssen diese URLs möglicherweise in Ihrer Firewall aufgeführt sein.
Meine lokalen Endpunkt-TLS-Zertifikate sind nicht von bekannten Stammzertifizierungsstellen (ZS) signiert. Unterstützen Sie unbekannte Zertifikate?
Nein. Wir müssen sicherstellen, dass der Endpunkt ein TLS-Zertifikat mit der vollständigen Kette vorlegt. Ihre benutzerdefinierte Stammzertifizierungsstelle kann nicht zu unserer Liste bekannter Zertifizierungsstellen hinzugefügt werden.
Welche Einrichtung wird für ein virtuelles Netzwerks innerhalb eines Kundenmandanten empfohlen?
Wir empfehlen keine bestimmte Topologie. Unsere Kundschaft nutzt jedoch häufig das Netzwerkmodell der Hub-and-Spoke-Topologie.
Ist die Verknüpfung eines Azure-Abonnements mit meinem Power Platform-Mandanten erforderlich, um Virtual Network zu aktivieren?
Ja, um die Virtual Network-Unterstützung für Power Platform-Umgebungen zu aktivieren, muss dem Power Platform-Mandanten ein Azure-Abonnement zugeordnet sein.
Wie nutzt Power Platform die Azure-Subnetzdelegierung?
Wenn einer Power Platform-Umgebung ein delegiertes Azure-Subnetz zugewiesen ist, wird die Azure Virtual Network-Injektion verwendet, um den Container zur Laufzeit in ein delegiertes Subnetz zu injizieren. Während dieses Vorgangs wird einer Netzwerkschnittstellenkarte (NIC) des Containers eine IP-Adresse aus dem delegierten Subnetz zugewiesen. Die Kommunikation zwischen dem Host (Power Platform) und dem Container erfolgt über einen lokalen Port auf dem Container, und der Datenverkehr fließt über Azure Fabric.
Kann ich ein vorhandenes virtuelles Netzwerk für Power Platform nutzen?
Ja, Sie können ein vorhandenes virtuelles Netzwerk für Power Platform nutzen, solange ein einzelnes, neues Subnetz innerhalb des virtuellen Netzwerks speziell an Power Platform delegiert wird. Dabei ist zu beachten, dass dieses delegierte Subnetz keine anderen Dienste hosten sollte.
Kann ich USA, Osten 2 als Failover verwenden, wenn sich meine Power Platform-Umgebung in Kanada befindet?
Um ein ordnungsgemäßes Failover sicherzustellen, müssen die primären Subnetze und die Failover-Subnetze in canadacentral bzw. canadaeast bereitgestellt werden. Erstellen Sie für ein wirksames Failover das primäre Subnetz in der Region canadacentral und das Failover-Subnetz in der Region canadaeast. Richten Sie außerdem ein Peering virtueller Netzwerke zwischen dem primären virtuellen Netzwerk und dem Failover-Netzwerk ein, einschließlich des virtuellen Netzwerks in der Region useast2 für die Konnektivität.
Was ist ein Dataverse-Plug-In?
Ein Dataverse-Plug-In ist ein benutzerdefinierter Code, der in einer Power Platform-Umgebung bereitgestellt werden kann. Dieses Plug-In kann so konfiguriert werden, dass es bei Ereignissen (z. B. einer Datenänderung) ausgeführt oder als benutzerdefinierte API ausgelöst wird. Weitere Informationen: Dataverse-Plug-Ins
Wie wird ein Dataverse-Plug-In ausgeführt?
Ein Dataverse-Plug-In wird innerhalb eines Containers ausgeführt. Wenn einer Power Platform-Umgebung ein delegiertes Subnetz zugewiesen wird, wird der Netzwerkschnittstellenkarte (NIC) des Containers eine IP-Adresse aus dem Adressraum dieses Subnetzes zugewiesen. Die Kommunikation zwischen dem Host (Power Platform) und dem Container erfolgt über einen lokalen Port auf dem Container, und der Datenverkehr fließt über Azure Fabric.
Können mehrere Plug-Ins im selben Container ausgeführt werden?
Ja In einer bestimmten Power Platform- oder Dataverse-Umgebung können tatsächlich mehrere Plug-Ins im selben Container ausgeführt werden. Jeder Container benutzt eine IP-Adresse aus dem Subnetzadressraum, und jeder Container kann mehrere Anfragen ausführen.
Wie bewältigt die Infrastruktur eine Zunahme gleichzeitiger Plug-In-Ausführungen?
Wenn die Anzahl gleichzeitiger Plug-In-Ausführungen zunimmt, wird die Infrastruktur automatisch (nach oben oder unten) skaliert, um der Last gerecht zu werden. Das an eine Power Platform-Umgebung delegierte Subnetz sollte über ausreichend Adressräume verfügen, um das Spitzenvolumen an Ausführungen für die Workloads in dieser Power Platform-Umgebung zu bewältigen.
Wer kontrolliert das virtuelle Netzwerk und die damit verbundenen Netzwerkrichtlinien?
Als Kunde sind Sie der Besitzer des virtuellen Netzwerks und kontrollieren dieses und die dazugehörigen Netzwerkrichtlinien. Power Platform wiederum verwendet die zugewiesenen IP-Adressen aus dem delegierten Subnetz innerhalb dieses virtuellen Netzwerks.
Wie konfiguriere ich die Virtual Network-Unterstützung für Power Platform in Dev/Test-Umgebungen, ohne zwei separate virtuelle Netzwerke in unterschiedlichen Azure-Regionen zu verwenden?
Während für Produktionsworkloads ein virtuelles Netzwerk und ein dediziertes Subnetz in jeder Ihrer primären und sekundären Azure-Regionen erforderlich sind, um ein ordnungsgemäßes Failover sicherzustellen, empfehlen wir für Dev/Test-Umgebungen die Verwendung eines einzelnen virtuellen Netzwerks mit zwei dedizierten Subnetzen für Power Platform.
Nächste Schritte,
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für