Freigeben über

ExpressRoute für Microsoft Power Platform einrichten

  • Artikel

Microsoft Power Platform selbst muss nicht speziell für ExpressRoute konfiguriert werden. Microsoft Power Platform as a Service verwendet Microsoft Azure hinter den Kulissen und wurde integriert, um die Verwendung mit ExpressRoute zu unterstützen. Daher müssen Sie keine spezifischen Konfigurationen der Microsoft Power Platform-Umgebungen selbst vornehmen, um anzugeben, dass ExpressRoute verwendet wird.

Innerhalb des Microsoft Netzwerks wickelt ExpressRoute den Datenverkehr ab, indem es die Weiterleitung bestimmter IP-Subnetze an den jeweiligen ExpressRoute-Schaltkreis ankündigt, für den sie konfiguriert wurden. Da dieses Routing über eine Border Gateway Protocol (BGP)-Verbindung angekündigt wird, wird es in der Regel als die effizienteste Verbindung gewählt, um dieses Ziel dem Routing über das Internet vorzuziehen.

Auf Kundenseite kündigt die BGP-Verbindung die IP-Präfixe für die Dienste für jeden Peering-Typ an, der für diese ExpressRoute-Verbindung konfiguriert ist.

Welche weitere Netzwerkkonfiguration Sie benötigen, hängt davon ab, welche Interaktionen Sie über ExpressRoute weiterleiten möchten.

Serververkehr

Eingehender Datenverkehr (Datenverkehr an Microsoft Power Platform-Dienste)

Für die Konfiguration des eingehenden Datenverkehrs ist die Einrichtung eines internen Routings innerhalb des Rechenzentrums erforderlich, um für den Datenverkehr zu Microsoft Diensten Verbindungen über den ExpressRoute-Schaltkreis zu bevorzugen.

Ausgehender Datenverkehr (Datenverkehr von Microsoft Power Platform-Diensten)

Wenn Datenverkehr über ExpressRoute zurückgeleitet wird, z. B. zu einem lokalen Server, gibt es in ExpressRoute keine Steuerelemente zum Sperren der Dienste, die Verbindungen herstellen. Das Routing erfolgt vollständig auf Netzwerkebene und validiert daher nicht den jeweiligen Dienst, der die Anfrage stellt, bevor der Verkehr weitergeleitet wird.

Anfragen können von anderen Diensten an einen Kundenservice gestellt werden. Besonders für Microsoft Power Platform, bei dem es sich um einen gemeinsam genutzten Dienst handelt, ist es nicht möglich, die Anforderungen an eine bestimmte Gruppe von Computern zu sperren. Der Datenverkehr zurück über ExpressRoute muss als von einer externen Quelle stammend betrachtet werden, denn obwohl er aus einem Microsoft Rechenzentrum kommt, Microsoft kontrolliert dieses nicht die Quelle der Anforderungen. Andere Kundendienste könnten versuchen, Verbindungen herzustellen. Alle Verbindungen sollten so gesteuert werden, als ob sie von einem externen Gateway kämen.

Ausgehender Datenverkehr wird über ExpressRoute für Microsoft Power Platform zurückgeleitet, z. B. benutzerdefinierte Webservice-Anfragen und serverseitige Synchronisierung.

Um über ExpressRoute zurückgeleitet zu werden, muss jeder verbundene Dienst:

  • Eine öffentlich auffindbare URL haben.

  • Über eine öffentliche IP-Adresse verfügen, die einem Subnetz entspricht, das für eine ExpressRoute-Circuit-Peering-Definition konfiguriert ist.

  • Sich in derselben Region befinden wie der anfordernde Dienst, wenn ExpressRoute (Standard) verwendet wird, oder in einer beliebigen Region, wenn ExpressRoute Premium verwendet wird.

Dieser Ansatz ist für viele gängige Integrationsszenarien zwischen Online- und lokal-Diensten wertvoll.

Die Ziel-IP-Adresse für ausgehenden Datenverkehr von einer Microsoft Power Platform-Ressource muss eine öffentliche IP-Adresse sein, die über eine ExpressRoute-Verbindung angekündigt wird. Aufgrund der gemeinsamen Nutzung von Microsoft Cloud-Diensten sollte der gesamte Datenverkehr so behandelt werden, als stamme er aus dem Internet. Daher sollte in der Regel ein Reverse-Proxy oder ein Anwendungsgateway verwendet werden, um den eingehenden Datenverkehr von ExpressRoute zu überprüfen und zu steuern.

Informationen zu den verwendeten IP-Subnetzen finden Sie unter Systemanforderungen, Grenzwerte und Konfigurationswerte für Power Apps und IP-Adresskonfiguration für Power Automate.

Clientdatenverkehr

Benutzer können verschiedene Client-Geräte verwenden, z. B. PCs im Unternehmensnetzwerk oder mobile Geräte an öffentlichen Verbindungen. Der Client-Datenverkehr ist typischerweise eingehend zu den Microsoft Diensten und nicht ausgehend zurück zum Client. Beachten Sie, dass ExpressRoute nicht als einziger der Weg zu Microsoft Power Platform erzwungen wird.

Wenn der Client-Datenverkehr über die ExpressRoute-Verbindung geleitet werden soll, besteht die Herausforderung für Ihr Netzwerkteam darin, den Datenverkehr zuerst intern vom Client über das LAN oder WAN an das mit ExpressRoute verbundene Subnetz zu leiten. Es liegt auch in der Verantwortung Ihres Teams, sicherzustellen, dass dieser Datenverkehr nicht versehentlich „durchgesickert“ und über das öffentliche Internet verbunden wird.

Microsoft Power Platform blockiert keinen Datenverkehr, der direkt aus dem Internet empfangen wird. ExpressRoute blockiert auch keine Antworten von Datenverkehr, der ursprünglich direkt aus dem Internet empfangen wurde. Der Microsoft Power Platform-Dienst wird weiterhin öffentlich im Internet beworben, sodass Routingpfade zu dem Dienst separat von ExpressRoute verfügbar sind.

Das korrekte Routing des Datenverkehrs wird normalerweise durch die Verwendung von Proxys innerhalb des Unternehmensnetzwerks sichergestellt undfür mobile Gerätemöglicherweise durch die zusätzliche Verwendung von VPN, um zuerst eine Verbindung zum Unternehmensnetzwerk herzustellen, um sicherzustellen, dass der Datenverkehr über die ExpressRoute-Leitung des Unternehmens geleitet wird. Beachten Sie jedoch, dass dies im Vergleich zum direkten Zugriff auf die Cloud-Dienste über einen lokalen Internet-Breakout zu Mehraufwand führen kann.

Daher kann ExpressRoute zwar für die Verwendung von Verbindungen zu und von Microsoft Power Platform konfiguriert werden, es is jedoch wichtig zu wissen, dass ExpressRoute:

  • Nicht sicherstellt, dass der Datenverkehr aus dem Unternehmensnetzwerk ExpressRoute verwendet. Die Proxy- und Routingregeln innerhalb des Unternehmensnetzwerks bestimmen dies, und Sie müssen sie einrichten, um sicherzustellen, dass Anfragen aus dem Unternehmensnetzwerk ExpressRoute verwenden.

  • Keine anderen Verbindungen (z. B. Benutzer im Internet) direkt zu Microsoft Power Platform verhindert.

Das Diagramm zeigt, dass Microsoft Power Platform den direkten Zugriff nicht verhindert. Das Einrichten von ExpressRoute stellt nicht sicher, dass der direkte Zugriff deaktiviert wird.

Das Problem der externen Konnektivität ist ein Problem, wenn mobile Benutzer beteiligt sind, insbesondere von mobilen Geräten wie Laptops, Tablets und Telefonen. Wenn dies ein Anliegen ist, können Sie aus einer Reihe von Ansätzen wählen:

  • Wenn die Verbundauthentifizierung verwendet wird, stellen Sie sicher, dass der Zugriff auf die Active Directory-Verbunddienste (AD FS) nur möglich ist, nachdem eine VPN-Verbindung zum Unternehmensnetzwerk hergestellt wurde.

  • Microsoft Entra bedingter Zugriff und Intune können verwendet werden, um zu steuern, welchen Geräten und Standorten der Zugriff gewährt wird, und um die Gerätekonfiguration wie Proxys, VPN und Routing zu steuern.

Diagramm der mobilen Mitarbeiter, die sich direkt mit Microsoft Power Platform verbinden, während Büroangestellte Firmen-WLAN oder VPN nutzen und über ExpressRoute zugreifen.

Häufige Fragen und Szenarien mit ExpressRoute

Bei der Implementierung von ExpressRoute ist es genauso wichtig zu verstehen, was es nicht tut, als was es tut. In diesem Abschnitt untersuchen wir einige häufig gestellte Fragen und Szenarien, die Sie berücksichtigen sollten.

Konfiguration des Kundennetzwerk-Routings

Durch die Aktivierung von ExpressRoute wird die Konfiguration des Netzwerkverkehrs innerhalb des Microsoft Netzwerks übernommen, die Weiterleitung des Datenverkehrs innerhalb des Kundennetzwerks selbst wird jedoch nicht geändert. Sie müssen das Netzwerkrouting in Ihrem Netzwerk so konfigurieren, dass der für Microsoft Clouddienste bestimmte Datenverkehr an das mit ExpressRoute verbundene Subnetz und dann über den ExpressRoute-Schaltkreis weitergeleitet wird.

Wir werben für spezifischere Routen für Microsoft 365 über ExpressRoute als die Routen, die wir im öffentlichen Internet bewerben. Wenn ein Kunde die spezifischen Routen von uns an sein Netzwerk weiterleitet, wird sein Benutzerverkehr aufgrund der längsten Präfix-Übereinstimmungsregel an ExpressRoute weitergeleitet.

Zwei Hauptgründe, die bei der Konfiguration von ExpressRoute auf Schwierigkeiten stoßen können, sind:

  • Ihr internes Netzwerkrouting zum Weiterleiten von Datenverkehr an den ExpressRoute-Verbindungspunkt ist falsch eingerichtet.

  • Sie haben asymmetrisches Routing, bei dem Anforderungs- und Antwortverkehr unterschiedlich geroutet werden.

    Beispielsweise wird der Datenverkehr über das Internet direkt an Microsoft Cloud-Dienste weitergeleitet, kehrt dann aber über ExpressRoute zurück, wodurch Firewall-Ausnahmen ausgelöst werden, die den zurückgehenden Datenverkehr blockieren.

Leistung

ExpressRoute allein bringt normalerweise keine signifikanten Leistungsvorteile gegenüber einer effizienten Netzwerkverbindung mit verfügbarer Kapazität. Es ist möglich, dass der Prozess des Herstellens einer dedizierten und privaten Verbindung durch Ihren Konnektivitätsanbieter zu einer optimierteren Verbindung führt als Ihre gemeinsame Internetverbindung.

Datenladedurchsatz zu Microsoft Power Platform

Beim Durchführen von Datenladevorgängen in Microsoft Power Platform ist das Netzwerk selten der Flaschenhals für den Datenverkehr. Wahrscheinlicher ist es, dass die Antragsbearbeitung optimiert werden muss.

ExpressRoute ist daher selten eine direkte Teilnehmer zu einem höheren Durchsatz der Datenlast in Microsoft Power Platform. ExpressRoute macht den Datenverkehr jedoch vorhersehbarer und stellt sicher, dass keine Daten über das öffentliche Internet gesendet werden.

Weiter Schritt: ExpressRoute-Bereitschaftscheckliste