Configurar ExpressRoute para Microsoft Power Platform
Microsoft Power Platform no necesita configurarse específicamente para ExpressRoute. Microsoft Power Platform como un servicio utiliza Microsoft Azure en segundo plano y se ha incorporado para admitir el uso con ExpressRoute. Por lo tanto, no es necesario realizar ninguna configuración específica de los entornos de Microsoft Power Platform en sí mismos para especificar que se está utilizando ExpressRoute.
Dentro de la red, ExpressRoute maneja el tráfico mediante la publicidad del enrutamiento para subredes IP específicas al circuito ExpressRoute específico contra el cual han sido configuradas. Microsoft Debido a que ese enrutamiento se anuncia a través de una conexión de Protocolo de puerta de enlace de borde (BGP), generalmente se elige como la conexión más eficiente para llegar a ese destino con preferencia al enrutamiento a través de Internet.
En el lado del cliente, la conexión BGP anuncia los prefijos de IP para los servicios para cada tipo de emparejamiento configurado para ese circuito de ExpressRoute.
Determinar qué configuración de red adicional necesita dependerá de las interacciones que desee enrutar a través de ExpressRoute.
Tráfico del servidor
Tráfico entrante (tráfico hacia los servicios de Microsoft Power Platform)
La configuración para el tráfico entrante requerirá establecer un enrutamiento interno dentro del centro de datos para preferir conexiones a través del circuito ExpressRoute para el tráfico hacia los servicios. Microsoft
Tráfico saliente (tráfico desde los servicios de Microsoft Power Platform)
Cuando el tráfico se enruta de regreso a través de ExpressRoute, como a un servidor local, no hay controles dentro de ExpressRoute para bloquear los servicios que realizan conexiones. Todo el enrutamiento se realiza a nivel de red y, por lo tanto, no valida el servicio particular que realiza la solicitud antes de enrutar el tráfico.
Las solicitudes se pueden realizar desde otros servicios a un servicio del cliente. Particularmente para Microsoft Power Platform, que es un servicio compartido, no es posible bloquear las solicitudes a un conjunto particular de máquinas. Es necesario considerar el tráfico que regresa a través de ExpressRoute como proveniente de una fuente externa, porque aunque proviene de un Microsoft centro de datos, Microsoft no controla la fuente de las solicitudes; otros servicios de atención al cliente podrían intentar realizar conexiones. Todas las conexiones deben controlarse como si procedieran de una puerta de enlace externa.
Para volver a enrutarse a través de ExpressRoute, cualquier servicio al que se conecte debe:
Tener una dirección URL visible públicamente.
Tener una dirección IP pública que coincida con una subred configurada para una definición de emparejamiento de circuitos de ExpressRoute.
Estar en la misma región que el servicio solicitante si se usa ExpressRoute (estándar), o en cualquier región si se usa ExpressRoute Premium.
Este enfoque es útil para muchos escenarios de integración comunes entre los servicios en línea y local.
La dirección IP de destino para el tráfico saliente de un recurso de Microsoft Power Platform deberá ser una dirección IP pública que se anuncie a través de un circuito de ExpressRoute. Debido a la naturaleza compartida de los servicios en la nube, todo el tráfico debe tratarse como si tuviera su origen en Internet. Microsoft Por lo tanto, por lo general, se debe usar un proxy inverso o una puerta de enlace de aplicaciones para inspeccionar y controlar el tráfico entrante desde ExpressRoute.
Para obtener información sobre las subredes IP que se utilizan, vaya a Requisitos del sistema, límites y valores de configuración para Power Apps y Configuración de dirección IP para Power Automate.
Tráfico de clientes
Los usuarios pueden utilizar varios dispositivos cliente, como PC en la red corporativa o dispositivos móviles en conexiones públicas. El tráfico del cliente normalmente será entrante a los servicios en lugar de saliente al cliente. Microsoft Debe tener en cuenta que ExpressRoute no se aplica como la única ruta a Microsoft Power Platform.
Si el tráfico del cliente debe enrutarse a través del circuito de ExpressRoute, la complejidad para su equipo de red es enrutar el tráfico internamente primero desde el cliente a través de la LAN o WAN hacia la subred conectada a ExpressRoute. También es responsabilidad de su equipo asegurarse de que este tráfico no se "filtre" accidentalmente y se conecte a través de la red pública de Internet.
Microsoft Power Platform no bloquea el tráfico que se recibe directamente de Internet. ExpressRoute tampoco bloqueará las respuestas del tráfico que originalmente se recibió directamente de Internet. El servicio de Microsoft Power Platform seguirá anunciándose públicamente en Internet, por lo que habrá rutas de enrutamiento al servicio disponibles por separado de ExpressRoute.
El enrutamiento correcto del tráfico normalmente se garantizaría mediante el uso de proxies dentro de la red corporativa y, para dispositivos móviles, potencialmente, el uso adicional de VPN para conectarse de nuevo a la red corporativa primero, asegurando que el tráfico se enrute a través del circuito de ExpressRoute corporativo. Sin embargo, tenga en cuenta que esto podría generar gastos generales en comparación con el acceso directo a los servicios en la nube a través de una interrupción de la red local de Internet.
Por lo tanto, aunque ExpressRoute se puede configurar para conectarse desde y hacia Microsoft Power Platform, es importante darse cuenta de que ExpressRoute:
No garantiza que el tráfico de la red corporativa utilice ExpressRoute. Las reglas de enrutamiento y proxy dentro de la red corporativa lo determinan, y debe configurarlas para asegurarse de que las solicitudes desde dentro de la red corporativa utilicen ExpressRoute.
No evita que otras conexiones (por ejemplo, usuarios en Internet) vayan directamente a Microsoft Power Platform.
El asunto de la conectividad externa es una preocupación cuando los usuarios móviles están involucrados, especialmente desde dispositivos móviles como ordenadores portátiles, tabletas y teléfonos. Si esto se convierte en un problema, puede elegir entre varios enfoques:
Cuando se usa la autenticación federada, asegúrese de que el acceso a los Servicios de federación de Active Directory (AD FS) solo sea posible después de que se establezca una conexión VPN a la red corporativa.
El acceso condicional de Microsoft Entra e Intune se pueden usar para controlar qué dispositivos y ubicaciones tienen acceso permitido y para controlar la configuración del dispositivo, como proxies, VPN y enrutamiento.
Preguntas y escenarios comunes con ExpressRoute
Al implementar ExpressRoute, es tan importante entender lo que no hace como lo que hace. En esta sección, exploraremos algunas preguntas y escenarios comunes para su consideración.
Configuración del enrutamiento de la red del cliente
La habilitación de ExpressRoute maneja la configuración del tráfico de red dentro de la red, pero no cambia el enrutamiento del tráfico dentro de la red del cliente en sí. Microsoft Debe configurar el enrutamiento de red dentro de su red para dirigir el tráfico destinado a los servicios en la nube a la subred conectada a ExpressRoute y luego a través del circuito ExpressRoute. Microsoft
Anunciamos rutas más específicas para Microsoft 365 sobre ExpressRoute que las rutas que publicitamos en la Internet pública. Si un cliente propaga las rutas específicas desde nosotros a su red, su tráfico de usuarios se enrutará a ExpressRoute debido a la regla de coincidencia de prefijo más largo.
Dos razones clave por las que puede encontrarse con problemas al configurar ExpressRoute son:
El enrutamiento de su red interna para enrutar el tráfico al punto de conexión de ExpressRoute está configurado incorrectamente.
Tiene enrutamiento asimétrico, donde el tráfico de solicitud y respuesta se enruta de manera diferente.
Por ejemplo, el tráfico se enruta directamente a los servicios en la nube a través de Internet, pero luego regresa a través de ExpressRoute, lo que activa excepciones de firewall que bloquean el tráfico de retorno. Microsoft
Rendimiento
ExpressRoute por sí solo no suele aportar ventajas significativas en el rendimiento respecto una conexión de red eficiente con capacidad disponible. Es posible que el proceso de establecer una conexión dedicada y privada por parte de su proveedor de conectividad dé como resultado una conexión más optimizada que su conexión compartida a Internet.
Volumen de carga de datos en Microsoft Power Platform
Al realizar cargas de datos en Microsoft Power Platform, la red rara vez produce cuellos de botella para el tráfico de datos. Lo más probable es que sea el procesamiento de la aplicación lo que deba optimizarse.
ExpressRoute, por lo tanto, rara vez es un responsable directo de una mayor entrada de carga de datos en Microsoft Power Platform. Sin embargo, ExpressRoute hará que el tráfico sea más predecible y garantizará que los datos no se envíen a través de la red pública de Internet.