Co je třeba zvážit před použitím ExpressRoute s platformou Microsoft Power Platform
Složitost nastavení připojení ExpressRoute je často podceňována. Při plánování nebo provádění jsou často přehlíženy zejména následující skutečnosti a důsledky:
Konfigurace vaší sítě pro směrování provozu do podsítě připojené k ExpressRoute
Je důležité vyhnout se asymetrickému směrování, kde provoz směřuje přímo do platformy Microsoft Power Platform přes internet, ale je vrácen připojením ExpressRoute do podnikové sítě, což vyvolává odmítnutí provozu bránou firewall
Celkové náklady na zřízení ExpressRoute, včetně služeb Microsoft Azure, zřízení poskytovatele připojení a probíhající služby a konfigurace směrování interní IT sítě
Určení, zda by pro distribuovaná nasazení mělo být vytvořeno více okruhů ExpressRoute
Problémy související s výkonem možností připojení
Možnosti připojení LAN
Některé z běžných problémů, se kterými se uživatel může setkat, jsou:
Před přidáním zformátované aplikace prohlížeče do mixu jsou možnosti připojení v místní síti již nasycené.
Microsoft Power Platform nahrazuje silnou klientskou aplikaci, kde byla v síti přenášena pouze data, nikoli data a zároveň informace o prezentaci.
Je důležité si uvědomit, že aplikace prohlížeče, i když vyžaduje méně, pokud jde o správu nasazení na straně klienta, bude vyžadovat větší šířku pásma než silná klientská aplikace, a tudíž další přidání nových služeb do již nasycené místní sítě jí uškodí.
Špatné připojení WAN
Na základě síťové analýzy možností připojení k online službě je běžným vzorem to, že v určitém okamžiku síťový provoz prochází interní síťovou cestou, která přidává značnou latenci. Toto může být způsobeno podmínkami, jako jsou:
Sytost odkazu WAN.
Zpracování serveru proxy, které přináší větší latenci a režii.
Neúčinné interní směrování (například směrování v podnikové síti, spíše než dřívější směrování na internet).
Pokud provoz Microsoft Power Platform trpí těmito překážkami, může tím utrpět výkon na straně klienta.
Špatné připojení k internetu
Přidání cloudových služeb může znamenat další spotřebu a zatížení podnikového připojení k internetu. To se může stát, pokud:
Připojení k internetu není dostatečné pro podporu dodatečného načítání.
V rámci sítě poskytovatele internetových služeb (ISP) je směrování tohoto provozu do sítě Microsoft řízeno poskytovatelem internetových služeb; účinnost tohoto směrování se může lišit.
Připojení trpí kombinací provozu, který ovlivňuje kvalitu připojení (například několik internetových relací za účelem školení, Microsoft Stream nebo YouTube videa s provozem do kriticky důležité aplikace soupeřící o dostupnou šířku pásma). To by mohlo stačit pro celkový objem provozu, ale potenciálně by to mohlo ovlivnit výkon prostřednictvím poptávkových špiček, které aktivita jako streamování videa přinese.
Tyto věci lze vyřešit získáním dodatečné šířky pásma nebo samostatným připojením prostřednictvím ISP. Zejména samostatné připojení vyhrazené pro prioritní provoz může pomoci jak s výkonem, tak s předvídatelností provozu.
Nezapomeňte také správně nastavit kvalitu služeb (QoS). Pokud používáte Microsoft Teams a Microsoft Stream, pro více informací viz Požadavky QoS v ExpressRoute.
Řízení zabezpečení
Další konfigurace, kterou musíte vzít v úvahu, je řízení zabezpečení. ExpressRoute sám o sobě nešifruje ani nefiltruje provoz nativně (s výjimkou ExpressRoute Direct s povoleným MACsec); jednoduše vytvoří soukromé, spíše než sdílené, připojení přímo mezi Microsoft a zákaznickými datovými centry prostřednictvím jejich poskytovatele připojení.
Jakýkoli požadavek z jakékoli Microsoft online služby nebo služby Azure do podsítě inzerované prostřednictvím okruhu ExpressRoute bude směrován přes tento okruh, bez ohledu na službu nebo zákazníka. Jelikož je požadavek směrován na síťové vrstvě, neexistuje žádný řídicí prvek na úrovni aplikace, který by určoval, zda jde o vhodného žadatele pro tuto cílovou službu.
Pro provoz na Microsoft služby, protože se jedná o veřejné sdílené služby, lze k nim přistupovat přímo přes veřejný internet. Řízení přístupu k těmto službám se provádí prostřednictvím ověřovacích a autorizačních služeb na úrovni aplikace. Jsou dále chráněny na úrovni infrastruktury před vniknutím a hrozbami, jako jsou útoky na dostupnost služby.
V případě provozu ze služeb Microsoft do místní hostovaných služeb je zákazník odpovědný za poskytování podobné ochrany jako jeho vlastní služby, když je provoz přijímán přes připojení ExpressRoute.
Možnost omezit použití ExpressRoute pouze na určité Microsoft služby
Jednou z výzev, kterým můžete čelit, je chtít používat ExpressRoute pro konkrétní Microsoft cloudovou službu, ale ne pro ostatní. Přestože různé možnosti peeringu poskytují určitou úroveň kontroly, samotný peering neposkytuje granulární kontrolu v rámci služeb stejného typu peeringu (například povolení směrování pouze do virtuálních počítačů Azure, ale ne do Microsoft 365). Je však možné použít komunity protokolu Border Gateway Protocol (BGP) ke konfiguraci provozu pouze pro konkrétní služby.
Toto je relevantní pro služby Microsoft Power Platform s přítomností Microsoft 365, kdy směrování přes ExpressRoute může být žádoucí pro jednu službu, ale ne pro obě, nebo pouze pro určité jednotlivé služby Microsoft 365 jako Microsoft Teams.
Samotné připojení ExpressRoute aktuálně nenabízí možnost přímé konfigurace služeb za účelem směrování prostřednictvím konkrétního okruhu ExpressRoute na této úrovni specifičnosti služby, ale k jejich ovládání lze použít komunity BGP.
Microsoft inzeruje trasy v Microsoft peeringových cestách s trasami označenými pomocí vhodných komunitních hodnot BGP pro geografické polohy a typy služeb. Ty pak mohou být nakonfigurovány ve směrovačích zákazníka pro směrování provozu pro tyto služby přes okruh ExpressRoute.
Můžete použít různé značky pro služby Microsoft 365 ke směrování provozu pouze pro tyto služby přes okruh ExpressRoute a zbytek směrovat přes jiný okruh ExpressRoute nebo veřejný internet.
Hodnoty komunity BGP specifické pro Microsoft Power Platform nejsou dostupné tak, jak jsou služby Microsoft 365. Namísto toho jsou oblastní komunity BGP používány s odpovídajícími oblastmi Microsoft Azure, které se používají pro každé prostředí Microsoft Power Platform. Protože prostředí Microsoft Power Platform používají dvě sady datových center, nezapomeňte se podívat do Přehledu oblastí a zkontrolovat, která dvě datová centra se používají. Další informace: Komunity BGP pro GCC
Microsoft 365
Protože Microsoft Power Platform služby a Microsoft 365 služby jsou nabízeny prostřednictvím Microsoft peeringu, nastavení Microsoft peeringu by ve výchozím nastavení inzerovalo všechny Microsoft Power Platform služby a Microsoft 365 služby v okruhu ExpressRoute.
V důsledku toho by umožnění komunitám BGP směrovat provoz pro jednu službu vedlo k tomu, že obě budou směrovány přes ExpressRoute. To může nebo nemusí být žádoucí, ale může to mít nepříznivé důsledky. Pokud jste například určili šířku pásma sítě potřebnou pro Microsoft Power Platform a podle toho dimenzoval připojení ExpressRoute, ale pak nechtěně také směrovali veškerý provoz Microsoft 365 přes ExpressRoute, může to zahltit vaši síť a způsobit problémy s výkonem.
Zatímco povolení ExpressRoute pro Microsoft peering bude směrovat veškerý provoz Microsoft Power Platform a Microsoft 365 přes připojení ExpressRoute, je možné použít značky komunity BGP k řízení směrování tak, aby konkrétní služby – například Microsoft Power Platform služby, ale ne jiné Microsoft 365 služby – používají připojení ExpressRoute. Ne všechny služby Microsoft 365 jsou navrženy pro práci s ExpressRoute. V současné době služby Microsoft Power Platform nemají určenou komunitu BGP jako některé služby Microsoft 365. Místo toho byste měli použít oblastní komunity BPG tak, aby odpovídaly oblasti, kde bylo prostředí Microsoft Power Platform vytvořeno.
Další informace o směrování Microsoft 365 získáte v dokumentaci pro selektivní směrování s Microsoft 365.
Protože služby Microsoft Power Platform částečně fungují jako součást Microsoft 365, vyžaduje se také mnoho crossover služeb, jako je portál pro správu a ověřování. Není možné chránit všechny tyto služby pomocí ExpressRoute; například centrum pro správu Microsoft 365 není publikováno přes ExpressRoute.
Podpora suverénních cloudů
Zákazníci, kteří musejí splňovat vládní či národní/oblastní předpisy a nařízení, se mohou rozhodnout použít suverénní cloud. Suverénní cloudy se fyzicky nacházejí v konkrétní oblasti, aby splňovaly požadavky konkrétní vlády nebo země. Například Power Apps pro cloud komunity státní správy (GCC) se nachází ve Spojených státech, čímž splňuje specifické předpisy a nařízení vlády USA – a také protokoly ke splnění těchto požadavků.
Podívejte se na toto video popisující dostupnost Microsoft Power Platform se suverénními cloudy: Video: Suverénní cloudy s Marty Carrerasem.
Když zvážíte použití suverénního cloudového prostředí, musíte zvážit existující omezení, protože ve srovnání s veřejnými cloudovými prostředími nejsou v takovém případě dostupné všechny funkce. Dostupnost pro každé prostředí pro Microsoft Power Platform je uvedeno v následující tabulce. Další rozdíly v dostupnosti najdete v dokumentaci o oblastech datových center.
| Kraj | Podpora ExpressRoute |
|---|---|
| Komunitní cloud pro státní správu USA (GCC) | Podporováno 1 |
| Vysoká úroveň cloudu vládní komunity USA (GCC High) | Podporováno 1 |
| Čína | Podporováno 2 |
1 Zákazníci musí používat Azure Government ExpressRoute, když používají US GCC nebo GCC High oblasti a nemohou používat Azure komerční cloud ExpressRoute. 2 Zákazníci musejí používat Azure China ExpressRoute při používání čínských oblastí a nemohou používat ExpressRoute pro cloud Azure Commercial.
Náklady na Azure ExpressRoute
Při odhadu nákladů na ExpressRoute musíte vzít v úvahu několik faktorů:
Náklady na Azure
Náklady na poskytovatele připojení
Náklady interního nastavení
Při přesném stanovení obchodního případu je při hodnocení ExpressRoute pro Microsoft Power Platform důležité zvážit všechny tyto náklady . V následujících částech jsou všechny popsány.
Náklady na Azure
Azure ExpressRoute lze zakoupit v různých modelech.
Typ fakturace
Měřená: cena základního předplatného za měsíc s neomezeným příchozím provozem, ale s poplatkem za odchozí provoz (účtovaným podle GB)
Neomezená: cena základního předplatného za měsíc s neomezeným příchozím a odchozím provozem
SKU / Plán
Standard
Základní připojení pomocí ExpressRoute
Nabízí přístup ke službám v rámci jedné geografické oblasti
Pokud je okruh ExpressRoute ve stejné oblasti jako prostředí Microsoft Power Platform, ke kterému se uživatelé připojují, je pro daný okruh vyžadováno pouze standardní připojení ExpressRoute
Premium
Nabízí přístup k celosvětovým geografickým službám odkudkoli
Pokud se uživatel připojí přes okruh ExpressRoute z jiné oblasti, než je jeho koncová služba, bude pro daný okruh ExpressRoute potřebovat ExpressRoute Premium.
Další informace: Ceny Azure ExpressRoute
Náklady na poskytovatele připojení
V některých případech mohou být náklady na navázání připojení s poskytovatelem připojení velmi vysoké. Tyto náklady se liší od nákladů Azure pro ExpressRoute.
Interní snaha zákazníka konfigurovat směrování v síti
Chcete-li povolit ExpressRoute, musí být interně nastaveno síťové směrování.
U mnoha zákazníků to bude vyžadovat interní křížové poplatky za síťový tým nebo externí náklady u poskytovatele outsourcingu IT nebo alespoň náklady obětované příležitosti pro snahu interních zaměstnanců zaměřit se na konfiguraci.
Dopady na stávající používané služby Microsoft Power Platform,Microsoft 365 a Azure
Když je Microsoft povolený partnerský vztah, nakonfiguruje se provoz pro Microsoft Power Platform služby Microsoft 365 a Azure tak, aby byly směrovány přes ExpressRoute.
Pokud již používáte Microsoft Power Platform, aplikace Dynamics 365 nebo Microsoft 365 bez ExpressRoute, je důležité, abyste byli citliví na dopad na tyto stávající služby, když povolíte Microsoft peering přes ExpressRoute (což je výchozí chování). Může být nutné nakonfigurovat směrování pomocí komunit BGP k oddělení provozu na různé služby.
Opětovné použití připojení ExpressRoute ve více online službách
Jedno připojení ExpressRoute lze použít pro přístup k více online službám, např. Microsoft Power Platform, Dynamics 365, Microsoft 365 a Azure.
Diagram znázorňující sdílené připojení ExpressRoute s Microsoft veřejnými službami a Azure. Microsoft partnerský vztah pro Microsoft 365, Microsoft Power Platform, Dynamics 365 a veřejné služby Azure sdílejí stejné připojení ExpressRoute s privátním partnerským vztahem Azure pro virtuální sítě.
ExpressRoute sama o sobě neodděluje různé typy Microsoft služeb od konkrétní podsítě. Je možné použít značky komunity BGP k řízení směrování provozu na konkrétní služby přes připojení ExpressRoute. Microsoft nesměruje provoz zpět přes ExpressRoute selektivně na základě značek komunity BGP. Pokud je třeba provoz vracet odlišně na základě typu služby, ujistěte se, že provoz pochází z různých veřejných IP adres. Jelikož veškerý provoz vracející se do podsítě bude zpracován na úrovni sítě, bylo by nebezpečné konfigurovat pouze část provozu z podsítě pro použití s připojením ExpressRoute, jelikož by to mohlo vést k asymetrickému směrování.