Настройка поддержки виртуальной сети для Power Platform

Замечание

Доступно сообщество Power Platform Virtual Network в Microsoft Viva Engage. Опубликуйте какие-либо вопросы или отзывы об этой функции. Присоединитесь, заполнив запрос с помощью следующей формы: запрос доступа к финансовому и операционному сообществу Viva Engage.

С помощью поддержки виртуальной сети Azure для Power Platform можно интегрировать компоненты Power Platform и Dataverse с облачными службами или службами, размещенными в частной корпоративной сети, не предоставляя их общедоступному Интернету. В этой статье объясняется, как настроить поддержку виртуальной сети в средах Power Platform.

Prerequisites

Замечание

Чтобы включить поддержку виртуальной сети для Power Platform, среды должны быть управляемыми средами.

  • Просмотрите ресурсы Power Platform: проверьте приложения, потоки и подключаемый код, чтобы убедиться, что они подключаются через виртуальную сеть. Они не должны вызывать конечные точки через общедоступный Интернет. Если компоненты должны подключаться к общедоступным конечным точкам, убедитесь, что брандмауэр или конфигурация сети разрешает такие вызовы. Узнайте больше в Рекомендациях по включению поддержки виртуальной сети для среды Power Platform и в разделе Часто задаваемые вопросы.

  • Подготовьте арендатора и настройте разрешения:

    • Подписка Azure. Убедитесь, что у вас есть подписка Azure, в которой вы создаете виртуальную сеть, подсеть и ресурсы корпоративной политики.
    • Назначение ролей. Убедитесь, что у вас есть необходимые роли для создания ресурсов и корпоративной политики.
      • На портале Azure назначьте роль администратора сети Azure, например роль участника сети или эквивалентную пользовательскую роль.
      • В центре администрирования Microsoft Entra назначьте роль администратора Power Platform.

  • Подготовка к использованию PowerShell:

На следующей схеме показаны функции ролей в процессе установки для поддержки виртуальной сети в среде Power Platform.

Снимок экрана: конфигурации для поддержки виртуальной сети в среде Power Platform.

Разъяснения

  • Необходимо создать виртуальные сети в регионах Azure, связанных с средой Power Platform. Например, если регион вашей среды Power Platform — Соединённые Штаты, создайте виртуальные сети в регионах Azure eastus и westus. Для сопоставления региона среды с регионами Azure просмотрите список поддерживаемых регионов.

  • Если для географического региона существуют два или более поддерживаемых регионов, таких как США с востоком и западом, вам потребуется две виртуальные сети в разных регионах для создания корпоративной политики. Это требование применяется как к рабочим, так и непроизводным средам.

  • Убедитесь, что вы правильно выбираете размер создаваемой подсети в соответствии с рекомендациями по оценке размера подсети для сред Power Platform. Если требуется несколько подсетей, обе подсети должны иметь одинаковое количество доступных IP-адресов. После делегирования подсети Power Platform необходимо обратиться в службу поддержки Майкрософт, чтобы изменить диапазон подсети.

  • При необходимости можно повторно использовать существующие виртуальные сети. Вы не можете повторно использовать одну подсеть в нескольких корпоративных политиках.

Настройка виртуальной сети

Вы можете настроить и включить поддержку виртуальной сети с помощью сценариев PowerShell или вручную. В обоих методах действия, которые необходимо выполнить, относятся к следующим категориям:

  1. Настройте виртуальную сеть и подсети.
  2. Создайте корпоративную политику.
  3. Настройте среду Power Platform.

Настройка с помощью PowerShell

  1. Установите и загрузите модуль Microsoft.PowerPlatform.EnterprisePolicies.

    Install-Module Microsoft.PowerPlatform.EnterprisePolicies
Import-Module Microsoft.PowerPlatform.EnterprisePolicies

  2. Настройте свою виртуальную сеть и подсеть для делегирования в Power Platform. Выполните эту команду для каждой виртуальной сети с делегированной подсетью. Просмотрите количество IP-адресов, выделенных каждой подсети, и рассмотрите нагрузку среды.

    New-VnetForSubnetDelegation -SubscriptionId "00000000-0000-0000-0000-000000000000" -VirtualNetworkName "myVnet" -SubnetName "mySubnet"

    Important

    • Если вы планируете использовать одну и ту же делегированную подсеть для нескольких сред Power Platform, может потребоваться более крупный блок IP-адресов, чем /24. Ознакомьтесь с рекомендациями по выбору размера подсети в оценке размера подсети для сред Power Platform.
    • Чтобы разрешить общедоступный доступ к Интернету для компонентов Power Platform, создайте шлюз NAT Azure NAT для подсетей.

  3. Создайте корпоративную политику с помощью виртуальных сетей и подсетей, которые вы делегировали. Помните, что две виртуальные сети в разных регионах необходимы для географических регионов, поддерживающих два или более регионов.

    New-SubnetInjectionEnterprisePolicy -SubscriptionId "00000000-0000-0000-0000-000000000000" -ResourceGroupName "myResourceGroup" -PolicyName "myPolicy" -PolicyLocation "unitedstates" -VirtualNetworkId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVnet" -SubnetName "default"

  4. Предоставьте доступ на чтение корпоративной политики пользователям с ролью администратора Power Platform. Этот шаг относится к тому, что человек, связывающий корпоративную политику с средой Power Platform, отличается от того, кто создал корпоративную политику в Azure.

  5. Чтобы связать только что созданную политику, выполните следующую команду.

    Enable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000" -PolicyArmId "/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.PowerPlatform/enterprisePolicies/myPolicy"

    Tip

    Если вам нужна другая учетная запись для связывания политики, используйте параметр -ForceAuth, чтобы убедиться, что вам будет предложено войти в новую учетную запись.

Настройка вручную

  1. Зарегистрируйте в подписке следующие поставщики ресурсов. Сведения о регистрации поставщика ресурсов см. в разделе "Регистрация поставщика ресурсов".

    • Microsoft.Network.
    • Microsoft.PowerPlatform

  2. Зарегистрируйте следующую функцию в подписке. Сведения о регистрации функции см. в разделе "Регистрация предварительной версии функции ".

    • ПредварительныйПросмотрПолитикПредприятия

  3. Создайте виртуальную сеть и подсети, следуя инструкциям по созданию виртуальной сети.

    Замечание

    Создание сервера бастиона можно пропустить. Для виртуальной сети Power Platform это не требуется.

  4. Используйте существующую подсеть или создайте новую подсеть и делегируйте ее на Microsoft.PowerPlatform/enterprisePolicies. Дополнительные сведения см. в разделе "Добавление или удаление делегирования подсети".

  5. Чтобы убедиться, что подсеть успешно делегирована, перейдите к вашей подсети и проверьте столбец "Делегировано в", как показано на следующем рисунке.

    Снимок экрана: делегированная подсеть на портале Azure.

  6. После создания парных виртуальных сетей их можно просмотреть в группе ресурсов Azure, как показано на следующем рисунке.

    Снимок экрана виртуальных сетей в вашей группе ресурсов Azure.

  7. Убедитесь, что вы записываете необходимые сведения из созданных виртуальных сетей, например следующие сведения:

    • VnetOneSubnetName
    • VnetOneResourceId
    • VnetTwoSubnetName
    • VnetTwoResourceId

  8. Разверните настраиваемый шаблон на портале Azure. Выберите ссылку Создайте собственный шаблон в редакторе и скопируйте и вставьте следующий скрипт JSON.

    {
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "policyName": {
            "type": "string",
            "metadata": {
                "description": "The name of the Enterprise Policy."
            }
        },
        "powerplatformEnvironmentRegion": {
            "type": "string",
            "metadata": {
                "description": "Geography of the PowerPlatform environment."
            }
        },
        "vNetOneSubnetName": {
            "type": "string"
        },
        "vNetOneResourceId": {
            "type": "string",
                  "metadata": {
                "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
            }
        },
        "vNetTwoSubnetName": {
            "defaultValue": "",
            "type": "string"
        },
        "vNetTwoResourceId": {
            "defaultValue": "",
            "type": "string",
                  "metadata": {
                "description": "Fully qualified name, such as /subscription/{subscriptionid}/..."
            }
        }
    },
    "variables": {
        "vNetOne": {
            "id": "[parameters('vNetOneResourceId')]",
            "subnet": {
                "name": "[parameters('vNetOneSubnetName')]"
            }
        },
        "vNetTwo": {
            "id": "[parameters('vNetTwoResourceId')]",
            "subnet": {
                "name": "[parameters('vNetTwoSubnetName')]"
            }
        },
        "vNetTwoSupplied": "[and(not(empty(parameters('vNetTwoSubnetName'))), not(empty(parameters('vNetTwoResourceId'))))]"
    },
    "resources": [
        {
            "type": "Microsoft.PowerPlatform/enterprisePolicies",
            "apiVersion": "2020-10-30-preview",
            "name": "[parameters('policyName')]",
            "location": "[parameters('powerplatformEnvironmentRegion')]",
            "kind": "NetworkInjection",
            "properties": {
                "networkInjection": {
                    "virtualNetworks": "[if(variables('vNetTwoSupplied'), concat(array(variables('vNetOne')), array(variables('vNetTwo'))), array(variables('vNetOne')))]"
                }
            }
        }
    ]
}

  9. Сохраните шаблон и заполните сведения для создания корпоративной политики, которая содержит следующие сведения:

    • Имя политики: имя корпоративной политики, которая отображается в Центре администрирования Power Platform.
    • Расположение: выберите расположение корпоративной политики, соответствующее региону среды Dataverse:
      • Соединенные Штаты
      • southafrica
      • uk
      • japan
      • india
      • france
      • europe
      • germany
      • switzerland
      • canada
      • brazil
      • australia
      • Азия
      • Оаэ
      • Корея
      • norway
      • singapore
      • sweden
      • usgov
    • VnetOneSubnetName: введите имя подсети из первой виртуальной сети.
    • VnetOneResourceId: введите идентификатор ресурса из первой виртуальной сети.
    • VnetTwoSubnetName: введите имя подсети из второй виртуальной сети.
    • VnetTwoResourceId: введите идентификатор ресурса из второй виртуальной сети. Он должен соответствовать строкам из скрипта JSON, например vNetOneResourceId, vNetOneSubnetName

  10. Выберите "Проверка и создание ", чтобы завершить корпоративную политику.

    Снимок экрана: выбор проверки и создание для завершения корпоративной политики.

  11. Предоставьте доступ на чтение корпоративной политики пользователям с ролью администратора Power Platform. Этот шаг относится к тому, что человек, связывающий корпоративную политику с средой Power Platform, отличается от того, кто создал корпоративную политику в Azure.

  12. Чтобы назначить политику для вашей среды, войдите в Центр администрирования Power Platform.

    1. В области навигации выберите Безопасность.
    2. На панели "Безопасность " выберите "Данные и конфиденциальность".
    3. На странице "Защита данных и конфиденциальность" выберите политики виртуальной сети Azure. Отображается область политик виртуальной сети .
    4. Выберите среду, которую вы хотите назначить корпоративной политике, выберите политику и нажмите кнопку "Сохранить". Теперь политика предприятия связана с средой.

    Important

    Политику предприятия можно удалить из среды только с помощью PowerShell, выполнив команду Disable-SubnetInjection.

    Disable-SubnetInjection -EnvironmentId "00000000-0000-0000-0000-000000000000"

  13. Проверьте привязку политики, войдя в Центр администрирования Power Platform.

    1. В области навигации выберите Управление.
    2. На панели Управление выберите Среды.
    3. На странице Окружения выберите окружение.
    4. На панели команд выберите История.
    5. Убедитесь, что статус показывает успешно.

Связанный контент

  • Last updated on