Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Note
È disponibile Power Platform Rete virtuale community su Microsoft Viva Engage. È possibile pubblicare qualsiasi domanda o feedback su questa funzionalità. È possibile partecipare compilando una richiesta tramite il modulo seguente: Richiedere l'accesso a Finance and Operations Viva Engage Community.
Usando il supporto di Rete virtuale di Azure per Power Platform, è possibile integrare Power Platform con risorse all'interno della rete virtuale senza esporle tramite la rete Internet pubblica. Il supporto per la rete virtuale utilizza la delegazione di subnet di Azure per gestire il traffico in uscita da Power Platform durante l'esecuzione. Usando la delega subnet di Azure, le risorse protette non devono essere disponibili tramite Internet per l'integrazione con Power Platform. Usando il supporto della rete virtuale, i componenti di Power Platform possono chiamare le risorse di proprietà dell'azienda all'interno della rete, indipendentemente dal fatto che siano ospitate in Azure o in locale e usare plug-in e connettori per effettuare chiamate in uscita.
Power Platform si integra generalmente con le risorse aziendali su reti pubbliche. Con le reti pubbliche, le risorse aziendali devono essere accessibili da un elenco di intervalli IP o tag di servizio Azure, che descrivono gli indirizzi IP pubblici. Il supporto di Rete virtuale di Azure per Power Platform consente di utilizzare una rete privata e integrare comunque con servizi cloud o servizi ospitati all'interno della rete aziendale.
I servizi Azure sono protetti all'interno di una rete virtuale da endpoint privati. È possibile usare Express Route per trasferire le risorse locali all'interno del Rete virtuale.
Power Platform usa le Rete virtuale e le subnet delegate per effettuare chiamate in uscita alle risorse aziendali tramite la rete privata aziendale. Usando una rete privata, non è necessario instradare il traffico su Internet pubblico, che potrebbe esporre le risorse aziendali.
In un Rete virtuale si ha il controllo completo sul traffico in uscita da Power Platform. Il traffico è soggetto ai criteri di rete applicati dall'amministratore della rete. Il diagramma seguente illustra come le risorse all'interno della rete interagiscono con un Rete virtuale.
Vantaggi del supporto Rete virtuale
Usando il supporto della rete virtuale, i componenti Power Platform e Dataverse ottengono tutti i vantaggi offerti dalla delega della subnet di Azure, ad esempio:
Protezione dati: Rete virtuale consente ai servizi Power Platform di connettersi alle risorse private e protette senza esporle a Internet.
No accesso non autorizzato: Rete virtuale si connette alle risorse senza bisogno di intervalli IP o tag di servizio di Power Platform nella connessione.
Stima delle dimensioni della subnet per gli ambienti Power Platform
I dati di telemetria e le osservazioni dell'anno precedente indicano che gli ambienti di produzione richiedono in genere da 25 a 30 indirizzi IP, con la maggior parte dei casi d'uso che rientrano in questo intervallo. In base a queste informazioni, allocare da 25 a 30 indirizzi IP per gli ambienti di produzione e da 6 a 10 indirizzi IP per ambienti non di produzione, ad esempio ambienti sandbox o di sviluppo. I contenitori connessi alla rete virtuale usano principalmente indirizzi IP all'interno della subnet. Quando l'ambiente inizia a essere usato, crea almeno quattro contenitori, che vengono ridimensionati in modo dinamico in base al volume delle chiamate, anche se in genere rimangono entro l'intervallo da 10 a 30 contenitori. Questi contenitori eseguono tutte le richieste per i rispettivi ambienti ed gestiscono in modo efficiente le richieste di connessione parallele.
Pianificazione per più ambienti
Se si usa la stessa subnet delegata per più ambienti Power Platform, potrebbe essere necessario un blocco più ampio di indirizzi IP CIDR (Classless Inter-Domain Routing). Prendere in considerazione il numero consigliato di indirizzi IP per gli ambienti di produzione e non di produzione quando si collegano gli ambienti a un singolo criterio. Ogni subnet riserva cinque indirizzi IP, quindi includere questi indirizzi riservati nella stima.
Note
Per migliorare la visibilità sull'utilizzo delle risorse, il team di prodotto sta lavorando per rendere visibile il consumo di IP delle subnet delegate per le politiche aziendali e delle subnet.
Esempio di allocazione IP
Consideriamo un tenant con due criteri aziendali. Il primo criterio è per gli ambienti di produzione e il secondo criterio è per gli ambienti non di produzione.
Criteri aziendali di produzione
Se si dispone di quattro ambienti di produzione associati ai criteri aziendali e ogni ambiente richiede 30 indirizzi IP, l'allocazione ip totale è:
(Quattro ambienti x 30 INDIRIZZI IP) + 5 indirizzi IP riservati = 125 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /25, con capacità per 128 IP.
Politica aziendale di non produzione
Per i criteri aziendali non di produzione con 20 ambienti di sviluppo e sandbox e ogni ambiente richiede 10 indirizzi IP, l'allocazione IP totale è:
(Venti ambienti x 10 INDIRIZZI IP) + 5 indirizzi IP riservati = 205 INDIRIZZI IP
Questo scenario richiede un blocco CIDR di /24, che ha capacità per 256 INDIRIZZI IP e ha spazio sufficiente per aggiungere altri ambienti ai criteri aziendali.
Scenari supportati
Power Platform supporta Rete virtuale sia per i plug-in di Dataverse sia per i connettori. Usando questo supporto, è possibile creare connettività protetta, privata e in uscita da Power Platform alle risorse all'interno della rete virtuale. I plug-in dataverse e i connettori migliorano la sicurezza dell'integrazione dei dati connettendosi a origini dati esterne dalle app Power Apps, Power Automate e Dynamics 365. Ad esempio, puoi:
- Usare i plug-in Dataverse per connettersi alle origini dati cloud, ad esempio Azure SQL, Archiviazione di Azure, archiviazione BLOB o Azure Key Vault. Puoi proteggere i tuoi dati dall'esfiltrazione di dati e da altri incidenti.
- Usare i plug-in Dataverse per connettersi in modo sicuro a risorse private protette da endpoint in Azure, ad esempio l'API Web o qualsiasi risorsa all'interno della rete privata, ad esempio SQL e API Web. Puoi proteggere i tuoi dati da violazioni di dati e altre minacce esterne.
- Usare i connettori supportati da Rete virtuale come SQL Server per connettersi in modo sicuro alle origini dati ospitate nel cloud, ad esempio Azure SQL o SQL Server, senza esponerle a Internet. Analogamente, è possibile usare il connettore Azure Queue per stabilire connessioni sicure alle code Azure private con endpoint abilitati.
- Usare il connettore Azure Key Vault per connettersi in modo sicuro a un Azure Key Vault privato protetto da endpoint.
- Usare connettori personalizzati per connettersi in modo sicuro ai servizi protetti da endpoint privati in Azure o servizi ospitati all'interno della rete privata.
- Usare Azure File Storage per connettersi in modo sicuro all'archiviazione file privata di Azure con endpoint abilitati.
- Usare HTTP con Microsoft Entra ID (pre-autorizzato) per recuperare in modo sicuro le risorse su reti virtuali da vari servizi Web, autenticati da Microsoft Entra ID o da un servizio Web locale.
Limitazioni
- I plug-in Dataverse con poco codice che utilizzano connettori non sono supportati finché tali tipi di connettori non vengono aggiornati per utilizzare la delega della subnet.
- Utilizzi operazioni di copia, backup e ripristino del ciclo di vita dell'ambiente su ambienti Power Platform supportati dalla rete virtuale. È possibile eseguire l'operazione di ripristino all'interno della stessa rete virtuale e in ambienti diversi, purché siano connessi alla stessa rete virtuale. Inoltre, l'operazione di ripristino è consentita dagli ambienti che non supportano le reti virtuali a quelli che le supportano.
Regioni supportate
Prima di creare la rete virtuale e i criteri aziendali, convalidare l'area dell'ambiente Power Platform per assicurarsi che si tratti di un'area supportata. È possibile usare il Get-EnvironmentRegion cmdlet del modulo PowerShell di diagnostica della subnet per recuperare le informazioni sull'area dell'ambiente.
Dopo aver confermato l'area dell'ambiente, assicurarsi che i criteri aziendali e le risorse di Azure siano configurati nelle aree di Azure supportate corrispondenti. Ad esempio, se l'ambiente Power Platform si trova nel Regno Unito, la rete virtuale e le subnet devono trovarsi nelle aree uksouth e ukwest di Azure. Nel caso in cui un'area di Power Platform abbia più di due coppie di aree disponibili, è necessario usare la coppia di aree specifica che corrisponde all'area dell'ambiente. Ad esempio, se Get-EnvironmentRegion restituisce westus per l'ambiente, la rete virtuale e le subnet devono trovarsi in eastus e westus.
| Area geografica di Power Platform | Regione Azure |
|---|---|
| Stati Uniti | Stati Uniti orientali, Stati Uniti occidentali |
| Sudafrica | sudafricanord, sudafricasud |
| Regno Unito | Regno Unito meridionale, Regno Unito occidentale |
| Giappone | Giappone Est, Giappone Ovest |
| India | India centrale, India del sud |
| Francia | francecentral, francesouth |
| Europa | Europa occidentale, Europa settentrionale |
| Germania | Germania Nord, Germania Ovest-Centrale |
| Svizzera | svizzera nord, svizzera ovest |
| Canada | Canada centrale, Canada orientale |
| Brasile | Brasile meridionale |
| Australia | Australia sud-orientale, Australia orientale |
| Asia | Asia orientale, Asia sud-orientale |
| Emirati Arabi Uniti | uaenorth |
| Corea | koreasouth, koreacentral |
| Norvegia | Norvegia Ovest, Norvegia Est |
| Singapore | Asia sud-orientale |
| Svezia | swedencentral |
| Italia | italynorth |
| Governo degli Stati Uniti | usgovtexas, usgovvirginia |
Note
Il supporto in US Government Community Cloud (GCC) è attualmente disponibile solo per gli ambienti distribuiti in GCC High. Il supporto per gli ambienti DoD (Department of Defense) e GCC non è disponibile.
Servizi supportati
Nella tabella seguente sono elencati i servizi che supportano la delega delle subnet di Azure per il supporto della rete virtuale per Power Platform.
| Area | Servizi di Power Platform | Supporto della disponibilità della rete virtuale |
|---|---|---|
| Dataverse | Plug-in Dataverse | Generalmente disponibile |
| Connettori | Generalmente disponibile | |
| Connettori | Generalmente disponibile |
Ambienti supportati
Il supporto di Rete virtuale per Power Platform, non è disponibile per tutti gli ambienti di Power Platform. Nella tabella seguente sono elencati i tipi di ambiente che supportano la rete virtuale.
| Tipo di ambiente | Supportato |
|---|---|
| Produzione | Yes |
| Default | Yes |
| Sandbox | Yes |
| Sviluppatore | Yes |
| Trial | No |
| Microsoft Dataverse per Teams | No |
Considerazioni sull'abilitazione del supporto di Rete virtuale per l'ambiente Power Platform
Quando si usa Rete virtuale supporto in un ambiente Power Platform, tutti i servizi supportati, ad esempio plug-in e connettori Dataverse, eseguono richieste in fase di esecuzione nella subnet delegata e sono soggetti ai criteri di rete. Le chiamate alle risorse disponibili pubblicamente iniziano a interrompersi.
Important
Prima di abilitare il supporto dell'ambiente virtuale per l'ambiente Power Platform, assicurati di controllare il codice dei plug-in e dei connettori. È necessario aggiornare gli URL e le connessioni per lavorare con la connettività privata.
Ad esempio, un plug-in potrebbe provare a connettersi a un servizio disponibile pubblicamente, ma i criteri di rete non consentono l'accesso a Internet pubblico all'interno del Rete virtuale. I criteri di rete bloccano la chiamata dal plug-in. Per evitare la chiamata bloccata, è possibile ospitare il servizio disponibile pubblicamente nella Rete virtuale. In alternativa, se il servizio è ospitato in Azure, è possibile usare un endpoint privato nel servizio prima di attivare Rete virtuale supporto nell'ambiente Power Platform.
Domande frequenti
Qual è la differenza tra un gateway dati di rete virtuale e il supporto della rete virtuale di Azure per Power Platform?
Un gateway dati di rete virtuale è un gateway gestito usato per accedere ai servizi di Azure e Power Platform dall'interno della rete virtuale senza dover configurare un gateway dati locale. Ad esempio, il gateway è ottimizzato per carichi di lavoro ETL (estrazione, trasformazione, caricamento) in flussi di dati di Power BI e Power Platform.
Il supporto di Rete virtuale di Azure per Power Platform utilizza una sottorete delegata di Azure nell'ambiente di Power Platform. Le subnet vengono utilizzate dai carichi di lavoro all'interno dell'ambiente Power Platform. I carichi di lavoro dell'API Power Platform usano Rete virtuale supporto perché le richieste sono di breve durata e ottimizzate per un numero elevato di richieste.
Quali sono gli scenari in cui è consigliabile usare il supporto per la rete virtuale per Power Platform e il gateway dati della rete virtuale?
Il supporto di Rete virtuale per Power Platform è l'unica opzione supportata per tutti gli scenari per la connettività in uscita da Power Platform ad eccezione di Power BI e dataflows di Power Platform.
Power BI e Power Platform dataflows continuano a usare gateway dati di rete virtuale.
Come è possibile garantire che una subnet di rete virtuale o un gateway dati di un cliente non venga utilizzato da un altro cliente in Power Platform?
Il supporto per Rete virtuale per Power Platform utilizza la delega di subnet di Azure.
Ogni ambiente Power Platform è collegato a una subnet della rete virtuale. Solo le chiamate provenienti da tale ambiente possono accedere alla rete virtuale.
La delega consente di designare una subnet specifica per qualsiasi piattaforma distribuita come servizio (PaaS) di Azure che deve essere inserita nella rete virtuale.
Rete virtuale supporta il failover di Power Platform?
Sì, è necessario delegare le reti virtuali per entrambe le aree Azure associate all'area di Power Platform. Ad esempio, se l'ambiente Power Platform è in Canada, è necessario creare, delegare e configurare le reti virtuali in CanadaCentral e CanadaEast.
Come può un ambiente Power Platform in un'area geografica connettersi alle risorse ospitate in un'altra area geografica?
Un Rete virtuale collegato a un ambiente Power Platform deve trovarsi nell'area dell'ambiente Power Platform. Se la rete virtuale si trova in una regione diversa, creare una rete virtuale nella regione dell'ambiente Power Platform e usare Rete virtuale peering in entrambe le reti virtuali delegate della regione Azure per colmare il divario con la rete virtuale nella regione separata.
Posso monitorare il traffico in uscita dalle subnet delegate?
Sì. È possibile utilizzare il gruppo di sicurezza di rete e i firewall per monitorare il traffico in uscita dalle subnet delegate. Per altre informazioni, vedere Monitor Rete virtuale di Azure.
Posso effettuare chiamate via Internet da plug-in o connettori dopo che il mio ambiente è delegato alla subnet?
Sì. L'accesso destinato a Internet è disponibile per impostazione predefinita da plug-in e connettori in un ambiente con delega di subnet. È consigliabile collegare un gateway NAT di Azure alla subnet delegata in modo che l'organizzazione possa controllare e proteggere l'accesso in uscita. Per altre informazioni, vedere Procedure consigliate per la protezione delle connessioni in uscita dai servizi Power Platform.
Posso aggiornare l'intervallo di indirizzi IP della subnet dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non puoi possibile modificare l'intervallo di indirizzi IP della subnet dopo averla delegata a "Microsoft.PowerPlatform/enterprisePolicies". In tal caso, la configurazione della delega non verrà più eseguita e l'ambiente smetterà di funzionare. Per modificare l'intervallo di indirizzi IP, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
È possibile aggiornare l'indirizzo DNS del Rete virtuale dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies"?
No, non mentre la funzionalità è in uso nel tuo ambiente. Non è possibile modificare l'indirizzo DNS della rete virtuale dopo che è stato delegato a "Microsoft.PowerPlatform/enterprisePolicies". In questo caso, la modifica non viene rilevata nella configurazione e l'ambiente potrebbe smettere di funzionare. Per modificare l'indirizzo DNS, rimuovere la funzionalità di delega dall'ambiente, apportare le modifiche necessarie e quindi attivare la funzionalità per l'ambiente.
Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform?
Sì. Posso utilizzare gli stessi criteri aziendali per più ambienti Power Platform. Tuttavia, esiste una limitazione per cui gli ambienti con ciclo di rilascio anticipato non possono essere utilizzati con gli stessi criteri aziendali degli altri ambienti.
Il Rete virtuale dispone di un DNS personalizzato configurato. Power Platform usa il mio DNS personalizzato?
Sì. Power Platform usa il DNS personalizzato configurato nel Rete virtuale che contiene la subnet delegata per risolvere tutti gli endpoint. Dopo aver delegato l'ambiente, è possibile aggiornare i plug-in per usare l'endpoint corretto in modo che il DNS personalizzato possa risolverli.
Il mio ambiente dispone di plug-in forniti dall'ISV. Questi plug-in verranno eseguiti nella subnet delegata?
Sì. Tutti i plug-in dei clienti e i plug-in ISV possono essere eseguiti usando la subnet. Se i plug-in ISV dispongono di connettività in uscita, potrebbe essere necessario elencare tali URL nel firewall.
I miei certificati TLS dell'endpoint locale non sono firmati da autorità di certificazione root (CA) note. Sono supportati i certificati sconosciuti?
No. Dobbiamo garantire che l'endpoint presenti un certificato TLS con la catena completa. Non è possibile aggiungere la tua CA radice personalizzata al nostro elenco di CA note.
Qual è la configurazione consigliata di un Rete virtuale all'interno di un tenant del cliente?
Non consigliamo alcuna topologia specifica. Tuttavia, i clienti usano ampiamente la topologia di rete Hub-spoke in Azure.
Il collegamento di una sottoscrizione Azure al tenant di Power Platform è necessario per attivare Rete virtuale?
Sì, per abilitare Rete virtuale supporto per gli ambienti Power Platform, è essenziale avere una sottoscrizione Azure associata al tenant di Power Platform.
In che modo Power Platform usa la delega di subnet Azure?
Quando a un ambiente Power Platform è assegnata una subnet Azure delegata, usa Rete virtuale di Azure injection per inserire il contenitore in fase di esecuzione in una subnet delegata. In questo processo, a una scheda di interfaccia di rete (NIC) del contenitore viene assegnata un indirizzo IP dalla subnet delegata. La comunicazione tra l'host (Power Platform) e il contenitore avviene tramite una porta locale nel contenitore e il traffico passa attraverso Azure Fabric.
È possibile usare un Rete virtuale esistente per Power Platform?
Sì, è possibile usare un Rete virtuale esistente per Power Platform, se una singola subnet all'interno del Rete virtuale viene delegata in modo specifico a Power Platform. È necessario assegnare la subnet delegata alla delega della subnet e non usarla per altri scopi.
Posso riutilizzare la stessa subnet delegata in più criteri aziendali?
No. Non è possibile riutilizzare la stessa subnet in più criteri aziendali. I criteri aziendali Power Platform devono avere una propria subnet univoca per la delega.
Cos'è un plug-in Dataverse?
Un plug-in Dataverse è un frammento di codice personalizzato che è possibile distribuire in un ambiente Power Platform. È possibile configurare questo plug-in per l'esecuzione durante gli eventi (ad esempio una modifica dei dati) o attivarli come API personalizzata. Per altre informazioni, vedere Plug-in Dataverse.
Come viene eseguito un plug-in Dataverse?
Un plugin Dataverse viene eseguito all'interno di un contenitore. Quando si assegna una subnet delegata a un ambiente Power Platform, la scheda di interfaccia di rete del contenitore ottiene un indirizzo IP dallo spazio indirizzi della subnet. L'host (Power Platform) e il contenitore comunicano tramite una porta locale nel contenitore e il traffico passa attraverso Azure Fabric.
È possibile eseguire più plug-in nello stesso contenitore?
Sì. In un determinato ambiente Power Platform o Dataverse, più plug-in possono essere eseguiti all'interno dello stesso contenitore. Ogni contenitore usa un indirizzo IP dallo spazio indirizzi della subnet e ogni contenitore può eseguire più richieste.
In che modo l'infrastruttura gestisce un aumento delle esecuzioni simultanee di plug-in?
All'aumentare del numero di esecuzioni simultanee di plug-in, l'infrastruttura si ridimensiona automaticamente (in entrata o in uscita) in base al carico. La subnet delegata a un ambiente Power Platform deve disporre di spazi di indirizzi sufficienti per gestire il volume di picco delle esecuzioni per i carichi di lavoro in quell'ambiente Power Platform.
Chi controlla il Rete virtuale e le politiche di rete ad esso associate?
Si ha la proprietà e il controllo sulla rete virtuale e sui criteri di rete associati. D'altra parte, Power Platform usa gli indirizzi IP allocati dalla subnet delegata all'interno di tale Rete virtuale.
I plug-in Azure-aware supportano il Rete virtuale?
No, i plug-in compatibili con Azure non supportano Rete virtuale.
Passaggi successivi
Configura il supporto per la rete virtuale