Faktoren, die Sie berücksichtigen sollten, bevor Sie ExpressRoute mit Microsoft Power Platform verwenden
Die Komplexität der Einrichtung von ExpressRoute wird oft unterschätzt. Insbesondere die folgenden Aktionen und Auswirkungen werden oft übersehen, sei es bei der Planung oder Ausführung:
Konfigurieren Ihres Netzwerks zum Weiterleiten von Datenverkehr an das mit ExpressRoute verbundene Subnetz
Vermeidung von asymmetrischem Routing, bei dem der Datenverkehr direkt zu Microsoft Power Platform über das Internet verläuft, jedoch von ExpressRoute an das Unternehmensnetzwerk zurückgegeben wird, wodurch der Datenverkehr von der Firewall zurückgewiesen wird
Die Gesamtkosten für die Bereitstellung von ExpressRoute, einschließlich Microsoft Azure-Dienste, Bereitstellung von Konnektivitätsanbietern und laufende Dienst- und interne IT-Netzwerk-Routing-Konfiguration
Bestimmen, ob mehrere ExpressRoute-Verbindungen für verteilte Bereitstellungen eingerichtet werden sollen
Verbindungsleistungsprobleme
LAN-Konnektivität
Einige der häufigsten Probleme, die bei einem Benutzer auftreten können, sind:
Die Konnektivität innerhalb des lokalen Netzwerks ist bereits gesättigt, bevor eine reichhaltige Browseranwendung zum Mix hinzugefügt wird.
Microsoft Power Platform ersetzt eine Thick-Client-Anwendung, bei der nur die Daten über das Netzwerk übertragen wurden und nicht sowohl Daten als auch Präsentationsinformationen.
Es ist wichtig zu verstehen, dass eine Browseranwendung zwar weniger in Bezug auf die clientseitige Bereitstellungsverwaltung erfordert, jedoch eine höhere Bandbreite benötigt als eine Thick-Client-Anwendung. Daher wird ein bereits gesättigtes lokales Netzwerk durch das Hinzufügen neuer Dienste weiter leiden.
Schlechte WAN-Konnektivität
Basierend auf der Netzwerkanalyse der Konnektivität zum Onlinedienst besteht ein häufiges Muster darin, dass der Netzwerkverkehr an einem bestimmten Punkt eine interne Netzwerkroute durchquert, was zu erheblicher Latenz führt. Dies kann an Bedingungen liegen wie:
Sättigung des WAN-Links.
Proxy-Verarbeitung, die zu mehr Latenz und Overhead führt.
Ineffizientes internes Routing (z. B. Routing innerhalb des Unternehmensnetzwerks statt früher ins Internet).
Wenn der Microsoft Power Platform-Datenverkehr unter diesen Herausforderungen leidet, könnte die Leistung beim Client ebenfalls darunter leiden.
Schlechte Internetverbindung
Das Hinzufügen von Cloud-Diensten kann zusätzlichen Verbrauch verursachen und die Unternehmensverbindung zum Internet belasten. Dies kann in folgenden Fällen vorkommen:
Die Internetverbindung reicht nicht aus, um die zusätzliche Last zu tragen.
Innerhalb des Netzwerks des Internetdienstanbieters (ISP) wird die Weiterleitung des Datenverkehrs zum Netzwerk von Microsoft vom ISP gesteuert. Die Effizienz dieser Weiterleitung kann variieren.
Die Verbindung leidet unter einer Verkehrsmischung, die sich auf die Qualität der Verbindung auswirkt (z. B. mehrere internetbasierte Schulungen, Microsoft Stream oder YouTube-Videos mit Datenverkehr zu einer geschäftskritischen Anwendung, die um die verfügbare Bandbreite konkurrieren). Dies kann insgesamt für das Verkehrsaufkommen ausreichen, kann jedoch möglicherweise die Leistung durch Nachfragespitzen beeinträchtigen, die durch Aktivitäten wie Videostreaming verursacht werden.
Diese Dinge können durch zusätzliche Bandbreite oder separate Verbindungen über den ISP behoben werden. Insbesondere eine separate Verbindung, die dem Prioritätsverkehr gewidmet ist, kann sowohl die Leistung als auch die Vorhersagbarkeit des Verkehrs verbessern.
Stellen Sie außerdem sicher, dass Sie Quality of Service (QoS) richtig eingerichtet haben. Wenn Sie Microsoft Teams und Microsoft Stream verwenden, lesen Sie die QoS-Anforderungen innerhalb von ExpressRoute.
Sicherheitskontrolle
Die nächste Konfiguration, die Sie berücksichtigen müssen, ist die Sicherheitskontrolle. ExpressRoute selbst verschlüsselt oder filtert den Datenverkehr nicht nativ (mit Ausnahme von ExpressRoute Direct mit aktiviertem MACsec). Es stellt lediglich eine private (keine gemeinsam genutzte) Verbindung direkt zwischen den Microsoft Rechenzentren der Kunden über deren Konnektivitätsanbieter her.
Alle Anfragen von einem beliebigen Microsoft Onlinedienst oder Azure-Dienst an das über einen ExpressRoute-Schaltkreis angekündigte Subnetz werden über diesen Schaltkreis geleitet, unabhängig vom Dienst oder Kunden. Da die Anforderung auf der Netzwerkschicht weitergeleitet wird, gibt es keine Kontrolle auf Anwendungsebene, um zu bestimmen, ob dies ein geeigneter Anforderer für diesen Zieldienst ist.
Für den Datenverkehr zu Microsoft Diensten gilt: Da es sich um öffentlich gemeinsam genutzte Dienste handelt, kann auf diese direkt über das öffentliche Internet zugegriffen werden. Die Zugriffskontrolle auf diese Dienste erfolgt über Authentifizierungs- und Autorisierungsdienste auf Anwendungsebene. Außerdem sind sie auf Infrastrukturebene gegen Eindringlinge und Bedrohungen wie Denial-of-Service-Angriffe geschützt.
Bei Datenverkehr von Microsoft Diensten zu lokal gehosteten Diensten ist der Kunde dafür verantwortlich, einen ähnlichen Schutz für seine eigenen Dienste bereitzustellen, wenn der Datenverkehr über eine ExpressRoute-Verbindung empfangen wird.
Möglichkeit, die Nutzung von ExpressRoute auf bestimmte Microsoft Dienste zu beschränken
Eine der Herausforderungen, mit denen Sie möglicherweise konfrontiert werden, besteht darin, dass Sie ExpressRoute für einen bestimmten Microsoft Cloud-Dienst verwenden möchten, für andere jedoch nicht. Obwohl die verschiedenen Peeringoptionen hier ein gewisses Maß an Kontrolle bieten, bietet das Peering selbst keine detaillierte Kontrolle innerhalb von Diensten desselben Peeringtyps (z. B. um das Routing nur zu virtuellen Azure-Computern zu ermöglichen, aber nicht zu Microsoft 365). Es ist jedoch möglich, Border Gateway Protocol (BGP)-Communitys zu verwenden, um den Datenverkehr nur für bestimmte Dienste zu konfigurieren.
Dies ist für Microsoft Power Platform-Dienste mit einer Microsoft 365-Präsenz relevant, wobei das Routing über ExpressRoute für einen Dienst wünschenswert sein kann, aber nicht für beide, oder nur für bestimmte einzelne Dienste von Microsoft 365 wie zum Beispiel Microsoft Teams.
ExpressRoute selbst bietet derzeit nicht die Möglichkeit, Dienste direkt zu konfigurieren, die über eine bestimmte ExpressRoute-Verbindung auf dieser Ebene der Dienstgranularität geleitet werden, aber BGP-Communitys können verwendet werden, um dies zu steuern.
Microsoft kündigt Routen in den Microsoft Peering-Pfaden mit Routen an, die durch die Verwendung entsprechender BGP-Community-Werte für geografische Standorte und Diensttypen markiert sind. Diese können dann in den Routern der Kunden so konfiguriert werden, dass der Datenverkehr für diese Dienste über die ExpressRoute-Verbindung geleitet wird.
Sie können verschiedene Tags für Microsoft 365-Dienste verwenden, um Datenverkehr nur für diese Dienste über die ExpressRoute-Verbindung und den Rest entweder über eine andere ExpressRoute-Verbindung oder das öffentliche Internet zu leiten.
Microsoft Power Platform-spezifische BGP-Community-Werte sind nicht so verfügbar wie Microsoft 365-Dienste. Stattdessen werden regionale BGP-Communitys mit entsprechenden Microsoft Azure-Regionen verwendet, die für jede Microsoft Power Platform-Umgebung verwendet werden. Da Microsoft Power Platform-Umgebungen zwei Rechenzentrumssätze verwenden, sehen Sie sich den Überblick zu Regionen an, um zu überprüfen, welche zwei Rechenzentren verwendet werden. Weitere Informationen: BGP-Communitys für GCC
Microsoft 365
Da sowohl Microsoft Power Platform Dienste als auch Microsoft 365 Services über Microsoft Peering angeboten werden, würden beim Einrichten von Microsoft Peering standardmäßig alle Microsoft Power Platform Dienste und Microsoft 365 Services über den ExpressRoute-Kreislauf beworben.
Dies hat zur Folge, dass die Aktivierung von BGP-Communitys zum Weiterleiten von Datenverkehr für einen Dienst dazu führen würde, dass beide über ExpressRoute geroutet werden. Dies kann wünschenswert sein oder auch nicht, kann jedoch ungünstige Folgen haben. Wenn Sie beispielsweise die benötigte Netzwerkbandbreite für Microsoft Power Platform ermittelt und die ExpressRoute-Verbindung entsprechend angepasst haben, dann aber versehentlich auch Ihren gesamten Microsoft 365-Datenverkehr über ExpressRoute routen, kann dies Ihr Netzwerk überlasten und zu Leistungsproblemen führen.
Während durch die Aktivierung von ExpressRoute für Microsoft Peering der gesamte Microsoft Power Platform und Microsoft 365 Datenverkehr über die ExpressRoute-Verbindung geleitet wird, ist es möglich, BGP-Community-Tags zum Steuern des Routings zu verwenden, sodass nur bestimmte Dienste – wie Microsoft Power Platform Dienste, aber keine anderen Microsoft 365 Dienste – die ExpressRoute-Verbindung verwenden. Insbesondere sind nicht alle Microsoft 365-Dienste für die Zusammenarbeit mit ExpressRoute konzipiert. Derzeit haben Microsoft Power Platform-Dienste keine ausgewiesene BGP-Community wie manche Microsoft 365-Dienste. Stattdessen sollten Sie regionale BPG-Communitys passend zu der Region verwenden, in der die Microsoft Power Platform-Umgebung erstellt wurde.
Weitere Informationen zum Routing von Microsoft 365 finden Sie in der Dokumentation unter selektives Routing mit Microsoft 365.
Da Microsoft Power Platform-Dienste teilweise als Teil des Microsoft 365-Dienstes, arbeiten werden auch viele sich überschneidenden Dienste, wie das Admin-Portal und die Authentifizierung, benötigt. Es ist nicht möglich, alle diese Dienste mithilfe von ExpressRoute zu schützen. Das Microsoft 365 Admin Center wird beispielsweise nicht über ExpressRoute veröffentlicht.
Unterstützung für Sovereign Clouds
Kunden, die behördliche oder länder-/regionenspezifische Vorschriften erfüllen müssen, können sich für die Nutzung einer Sovereign Cloud entscheiden. Sovereign Clouds befinden sich physisch in einer Region, um die spezifischen Anforderungen dieser bestimmten Regierung oder dieses Landes zu erfüllen. Beispielsweise befindet sich Power Apps for Government Community Cloud (GCC) in den USA und erfüllt dort die spezifischen Vorschriften und Zertifizierungen der US-Regierung und erfüllt Protokolle, um diese Anforderungen zu erfüllen.
Sehen Sie sich dieses Video an, in dem beschrieben wird, wie Microsoft Power Platform mit Sovereign Clouds erhältlich ist: Video: Sovereign Clouds mit Marty Carreras.
Wenn Sie erwägen, eine Sovereign Cloud-Umgebung zu verwenden, müssen Sie die Einschränkungen berücksichtigen, da im Vergleich zu öffentlichen Cloud-Umgebungen nicht alle Funktionen verfügbar sind. Die Verfügbarkeit nach jeder Umgebung für Microsoft Power Platform ist in der folgenden Tabelle aufgeführt. Hinsichtlich anderer Unterschiede in der Verfügbarkeit lesen Sie die Dokumentation über Rechenzentrumsregionen.
Region | ExpressRoute-Unterstützung |
---|---|
US Government Community Cloud (GCC) | Unterstützt 1 |
Community Cloud High der US-Regierung (GCC High) | Unterstützt 1 |
China | Unterstützt 2 |
1 Kunden müssen Azure Government ExpressRoute verwenden, wenn sie US GCC oder GCC High Regionen nutzen, und können nicht Azure Commercial Cloud ExpressRoute verwenden. 2 Kunden müssen Azure China ExpressRoute verwenden, wenn sie die China-Regionen verwenden, und können Azure Commercial Cloud ExpressRoute nicht verwenden.
Azure ExpressRoute-Kosten
Bei der Schätzung der Kosten für ExpressRoute müssen Sie mehrere Elemente berücksichtigen:
Azure-Kosten
Kosten des Konnektivitätsanbieters
Kosten interner Einrichtungsaufwand
Um den Geschäftsfall genau zu bestimmen, ist es wichtig, all diese Kosten bei der Bewertung von ExpressRoute für Microsoft Power Platform zu berücksichtigen. Alle werden in den nachstehenden Abschnitten diskutiert.
Azure-Kosten
Azure ExpressRoute kann in verschiedenen Modellen erworben werden.
Fakturierungstyp
Gemessen: Grundgebühr für das Abonnement pro Monat mit unbegrenztem eingehenden Datenverkehr, aber einer Gebühr pro GB für ausgehenden Datenverkehr
Unbegrenzt: Grundgebühr für das Abonnement pro Monat mit unbegrenztem ein- und ausgehenden Datenverkehr
SKU / Plan
Standard
Basisverbindung mit ExpressRoute
Bietet Zugang zu Diensten innerhalb einer einzigen geografischen Region
Wenn sich die ExpressRoute-Verbindung in derselben Region befindet wie die Microsoft Power Platform-Umgebung, mit der Benutzer eine Verbindung herstellen, ist für diese Verbindung nur der ExpressRoute-Standard erforderlich
Premium
Bietet Zugriff auf weltweite geografische Dienste von jedem Ort aus, an dem die Verbindung hergestellt wird
Wenn Benutzer eine Verbindung über eine ExpressRoute-Verbindung aus einer anderen Region als ihrem Enddienst herstellen, wird ExpressRoute Premium für diese ExpressRoute-Verbindung benötigt.
Weitere Informationen: Azure ExpressRoute Preisgestaltung
Kosten des Konnektivitätsanbieters
In einigen Fällen können die Kosten für den Verbindungsaufbau mit dem Konnektivitätsanbieter erheblich sein. Diese sind von den Azure-Kosten für ExpressRoute getrennt.
Interner Kundenaufwand zur Konfiguration des Netzwerkroutings
Um ExpressRoute zu aktivieren, muss das Netzwerkrouting intern eingerichtet werden.
Für viele Kunden erfordert dies eine interne Weiterbelastung des Netzwerkteams oder externe Kosten für einen IT-Outsourcing-Anbieter oder zumindest Opportunitätskosten für die Bemühungen des internen Personals, sich auf die Konfiguration zu konzentrieren.
Auswirkungen auf bestehende verwendete Microsoft Power Platform-, Microsoft 365- und Azure-Dienste
Wenn Microsoft Peering aktiviert ist, wird der Datenverkehr für Microsoft Power Platform Dienste Microsoft 365 und Azure so konfiguriert, dass er über ExpressRoute geleitet wird.
Wenn Sie bereits Dynamics 365-Anwendungen Microsoft Power Platform oder keine ExpressRoute-Anwendungen Microsoft 365 verwenden, müssen Sie sich der Auswirkungen auf diese vorhandenen Dienste bewusst sein, wenn Sie Peering über ExpressRoute aktivieren Microsoft (dies ist das Standardverhalten). Es kann erforderlich sein, das Routing mithilfe von BGP-Communitys zu konfigurieren, um den Datenverkehr auf verschiedene Dienste zu trennen.
Wiederverwendung von ExpressRoute über mehrere Onlinedienste
Eine einzelne ExpressRoute-Verbindung kann für den Zugriff auf mehrere Onlinedienste verwendet werden, z. B. Microsoft Power Platform, Dynamics 365, Microsoft 365 und Azure.
Diagramm, das eine gemeinsam genutzte ExpressRoute-Verbindung mit Microsoft öffentlichen Diensten und Azure zeigt. Microsoft Peering für Microsoft 365, Microsoft Power Platform, Dynamics 365 und öffentliche Azure-Dienste teilen sich dieselbe ExpressRoute-Verbindung mit privatem Azure-Peering für virtuelle Netzwerke.
ExpressRoute selbst trennt nicht verschiedene Arten von Microsoft Diensten von einem bestimmten Subnetz. Es ist möglich, BGP-Community-Tags zu verwenden, um das Routing des Datenverkehrs zu bestimmten Diensten über ExpressRoute zu steuern. Microsoft leitet den Datenverkehr nicht selektiv basierend auf BGP-Community-Tags über ExpressRoute zurück. Wenn der Datenverkehr je nach Diensttyp unterschiedlich zurückgegeben werden muss, stellen Sie sicher, dass der Datenverkehr von verschiedenen öffentlichen IP-Adressen stammt. Da jeglicher Datenverkehr, der zu einem Subnetz zurückkehrt, auf Netzwerkebene verarbeitet wird, wäre es gefährlich, nur einen Teil des Datenverkehrs aus einem Subnetz für die Verwendung von ExpressRoute zu konfigurieren, da dies zu asymmetrischem Routing führen kann.