Huomioonotettavia seikkoja ennen ExpressRouten käyttöä Microsoft Power Platformissa
ExpressRouten määrittämisen monimutkaisuus aliarvioidaan usein. Etenkin seuraavat toimet ja seuraukset unohdetaan usein suunnittelu- tai toteutusvaiheessa:
Verkon määrittäminen reitittämään liikenne ExpressRouteen yhdistettyyn aliverkkoon.
Sellaisen epäsymmetrisen reitityksen välittäminen, jossa liikenne kulkee suoraan Microsoft Power Platformiin internetin kautta mutta jossa ExpressRoute palauttaa sen yritysverkkoon, minkä vuoksi palomuuri hylkää liikenteen.
ExpressRouten valmistelun, mukaan lukien Microsoft Azure -palvelut, yhteyspalvelun valmistelu ja jatkuva huolto, sekä sisäisen IT-verkon reitityksen määrittämisen kokonaiskustannukset.
Sen selvittäminen, onko hajautetuissa käyttöönotoissa muodostettava useita ExpressRoute-piirejä.
Yhteyksien suorituskykyongelmat
Lähiverkkoyhteydet
Yleisiä käyttäjien kohtaamia ongelmia:
Lähiverkkoyhteydet ovat ruuhkaiset jo ennen monipuolisen selainsovelluksen lisäämistä.
Microsoft Power Platform korvaa raskaan asiakassovelluksen, jossa verkossa lähetetään vain tietoa eikä sekä tietoa että esitystietoja.
On tärkeää hahmottaa, että vaikka selainsovellukseen liittyy vähemmän asiakaspuolen hallintaa, se tarvitsee enemmän kaistanleveyttä kuin raskas asiakassovellus, minkä vuoksi valmiiksi ruuhkainen lähiverkko kärsii entisestään uusien palvelujen lisäämisestä.
Heikko WAN-yhteys
Verkkopalveluyhteyden verkkoanalyysin perusteella on yleistä, että verkkoliikenne kulkee jossain vaiheessa sisäisen verkkoreitin läpi, mikä lisää merkittävästi viivettä. Syynä tähän voi olla esimerkiksi jokin seuraavista:
WAN-linkin ruuhkaisuus.
Välityspalvelinkäsittely, mikä lisää viivettä ja kuormittumista.
Tehoton sisäinen reititys (kuten reititys yritysverkon sisällä eikä reititys aikaisemmin ulos internetiin).
Jos nämä haasteet koskevat Microsoft Power Platform -liikennettä, myös asiakasohjelman suorituskyky voi heikentyä.
Heikko internet-yhteys
Pilvipalvelujen lisääminen voi lisätä yritysverkon internet-yhteyden kulutusta ja kuormitusta. Niin voi tapahtua seuraavissa tilanteissa:
Internet-yhteys ei ole riittävä lisäkuormituksen tukemiseen.
Internet-palveluntarjoajan (ISP) verkossa kyseisen liikenteen Microsoft reititystä verkkoon ohjaa Internet-palveluntarjoaja; reitityksen tehokkuus voi vaihdella.
Sekalainen liikenne vaikuttaa yhteyteen, mikä puolestaan vaikuttaa yhteyden laatuun. (Liikenne voi koostua esimerkiksi useista verkkopohjaisista koulutusistunnoista, Microsoft Streamista tai YouTube-videoista, jotka kilpailevat käytettävissä olevasta kaistanleveydestä liiketoiminnan kannalta keskeisiin sovelluksiin suuntautuvan liikenteen kanssa.) Yhteys voi riittää kokonaisuudessaan liikennemäärälle mutta suorituskykyongelmia saattaa syntyä kysyntähuippujen aikana, joita tulee esiintymään toimintojen, kuten videosuoratoiston, vuoksi.
Nämä ongelmat voidaan ratkaista lisäämällä kaistanleveyttä tai erittelemällä yhteydet internet-palveluntarjoajan kautta. Etenkin erillinen, priorisoidulle liikenteelle varattu yhteys voi auttaa sen suorituskyvyn että liikenteen ennakoitavuuden osalta.
Lisäksi on varmistettava, että palvelun laatu määritetään oikein. Jos käytössä on Microsoft Teams ja Microsoft Stream, lisätietoja on kohdassa ExpressRoutea koskevat palvelun laatuvaatimukset.
Tietoturva
Seuraavaksi on pohdittava tietoturvan määrittämistä. ExpressRoute itsessään ei salaa tai suodata liikennettä natiivisti (lukuun ottamatta ExpressRoute Directiä, jossa MACsec on käytössä); se yksinkertaisesti muodostaa yksityisen eikä jaetun yhteyden suoraan asiakkaan palvelinkeskusten välille Microsoft niiden yhteyspalveluntarjoajan kautta.
Kaikki minkä tahansa Microsoft verkkopalvelun tai Azure-palvelun pyynnöt aliverkkoon, jota mainostetaan ExpressRoute-piirin kautta, reititetään kyseisen piirin kautta palvelusta tai asiakkaasta riippumatta. Koska pyyntö reititetään verkkokerroksessa, sovellustasolla ei ole mitään keinoa määrittää, onko kyse kyseisen kohdepalvelun asianmukaisesta pyytäjästä.
Koska liikenne palveluihin on Microsoft julkisia jaettuja palveluja, niihin pääsee suoraan julkisen internetin kautta. Näiden palvelujen käyttöoikeuksia hallitaan sovellustason todennus- ja käyttöoikeuksien tarkistuspalveluilla. Lisäksi niitä suojataan infrastruktuuritasolla tunkeutumisilta ja uhilta, kuten palvelunestohyökkäyksiltä.
Liikenteessä Microsoft palveluista paikallinen isännöityihin palveluihin asiakas on vastuussa vastaavan suojauksen tarjoamisesta omille palveluilleen, kun liikennettä vastaanotetaan ExpressRoute-yhteyden kautta.
Mahdollisuus rajoittaa ExpressRouten käyttö vain tiettyihin Microsoft palveluihin
Yksi haasteista, joita saatat kohdata, on halu käyttää ExpressRoutea tietylle Microsoft pilvipalvelulle, mutta ei muille. Vaikka eri vertaisverkkoyhteysvaihtoehdot tarjoavat ohjausta, vertaisverkkoyhteys itsessään ei tarjoa tarkkaa ohjausta saman vertaisverkkoyhteystyypin palveluissa (esimerkiksi reitittämisen mahdollistaminen vain Azure-näennäiskoneisiin mutta ei Microsoft 365:een). BGP (rajayhdyskäytäväprotokolla) -yhteisöjen avulla voidaan kuitenkin määrittää vain tiettyjen palvelujen liikenne.
Tämä on relevanttia Microsoft Power Platform -palveluille, joilla on Microsoft 365 -läsnäolo, kun reitittäminen ExpressRouten kautta voi olla hyvä vaihtoehto yhdelle palvelulle mutta ei molemmille tai kun on kyse tietyistä yksittäisistä Microsoft 365 -palveluista kuten Microsoft Teams.
ExpressRoutessa ei itsessään ole tällä hetkellä mahdollisuutta määrittää suoraan palveluja reititettäväksi tietyn ExpressRoute-piirin kautta tällä palvelun tarkkuustasolla, mutta tätä voidaan hallita BGP-yhteisöjen avulla.
Microsoft mainostaa peering-reittien reittejä, Microsoft joiden reitit on merkitty käyttämällä asianmukaisia BGP-yhteisöarvoja maantieteellisille sijainneille ja palvelutyypeille. Ne voidaan sitten määrittää asiakkaan reitittimissä reitittämään kyseisten palvelujen liikenteen ExpressRoute-piirin kautta.
On mahdollista käyttää eri tunnisteita Microsoft 365 -palveluita varten, jotta liikenteen voi reitittää vain kyseisiä palveluita varten ExpressRoute-piirin kautta ja reitittää loput joko eri ExpressRoute-piirin tai julkisen internetin kautta.
Microsoft Power Platform -kohtaiset BGP-yhteisöarvot eivät ole käytettävissä niin kuin ne ovat käytettävissä Microsoft 365 -palveluissa. Sen sijaan alueellisia BGP-yhteisöjä käytetään kussakin Microsoft Power Platform -ympäristössä käytettävien vastaavien Microsoft Azure -alueiden kanssa. Koska Microsoft Power Platform -ympäristöissä on kaksi palvelinkeskusparia, käytössä oleva palvelinkeskuspari on muistettava tarkistaa kohdasta Alueiden yleiskuvaus. Lisätietoja: GCC:n BGP-yhteisöt
Microsoft 365
Koska Microsoft Power Platform sekä palvelut Microsoft 365 että palvelut tarjotaan peeringin kautta Microsoft , peeringin Microsoft määrittäminen mainostaisi oletusarvoisesti kaikkia Microsoft Power Platform palveluita ja Microsoft 365 palveluita ExpressRoute-piirissä.
Tästä on seurauksena se, että BGP-yhteisöjen ottaminen käyttöön reitittämään toisen palvelun liikennettä johtaisi kummankin reitittämiseen ExpressRouteen. Vaikka tämä olisi toivottavaa, sillä voi olla ei-toivottuja seurauksia. Jos olet esimerkiksi määrittänyt verkon kaistanleveyden, joka tarvitaan Microsoft Power Platformia varten ja säätänyt ExpressRouten kokoa vastaavasti, mutta sitten vahingossa reitittänyt kaiken Microsoft 365 -liikenteen ExpressRouten kautta, verkko saattaa ylirasittua ja suorituskykyhaasteita voi tulla.
Vaikka ExpressRouten ottaminen käyttöön peeringille Microsoft reitittää kaiken Microsoft Power Platform liikenteen Microsoft 365 ExpressRoute-yhteyden kautta, reititystä voidaan hallita BGP-yhteisötunnisteiden avulla siten, että vain tietyt palvelut, kuten Microsoft Power Platform palvelut, mutta eivät muut Microsoft 365 palvelut, käyttävät ExpressRoute-yhteyttä. Etenkään kaikki Microsoft 365 -palvelut eivät ole suunniteltuja ExpressRouten kanssa käytettäviksi. Tällä hetkellä Microsoft Power Platform -palveluilla ei ole määritettyjä BGP-yhteisöjä niin kuin joillakin Microsoft 365-palveluilla. Sen sijaan on käytettävä sitä aluetta vastaavia alueellisia BGP-yhteisöjä, jolla Microsoft Power Platform -ympäristö luotiin.
Lisätietoja Microsoft 365-reitityksestä ohjeessa valikoiva reititys Microsoft 365:ssä.
Koska Microsoft Power Platform -palvelut toimivat osin Microsoft 365 -palvelun osana, tarvitaan myös joitakin crossover-palveluita kuten hallintaportaali ja todentaminen. ExpressRoutea käyttämällä ei voi suojata kaikkia näitä palveluita; esimerkiksi Microsoft 365 hallintakeskusta ei julkaista ExpressRoutessa.
Maakohtaisten pilvipalvelujen tuki
Asiakkaat, joiden on noudatettava julkishallinnon tai maa-/aluekohtaisia säädöksiä, voivat valita maakohtaisen pilvipalvelun. Maakohtaiset pilvipalvelut sijaitsevat fyysisesti alueella, mikä on edellytys kyseisen hallinnon tai maan vaatimustenmukaisuudelle. Esimerkiksi Power Apps for Government Community Cloud (GCC) sijaitsee Yhdysvalloissa, jossa se vastaa Yhdysvaltain hallinnon säädöksiä ja sertifiointeja sekä tyydyttää näin kyseisten säädösten protokollat.
Seuraavassa videossa käsitellään Microsoft Power Platformin saatavuutta maakohtaisissa pilvipalveluissa: Video: Marty Carreras kertoo maakohtaisista pilvipalveluista.
Maakohtaisen pilvipalveluympäristön käyttöä harkitessa on otettava huomioon mahdolliset rajoitukset, sillä niissä ei ole kaikkia ominaisuuksia, joita on julkisissa pilviympäristöissä. Kunkin Microsoft Power Platform -ympäristön saatavuus ilmoitetaan seuraavassa taulukossa. Saatavuuden eroja käsitellään palvelinkeskusalueita käsittelevissä ohjeissa.
| Alue | ExpressRoute-tuki |
|---|---|
| US Government Community Cloud (GCC) | Tuetaan 1 |
| Yhdysvaltain hallituksen yhteisöpilvi korkea (GCC High) | Tuetaan 1 |
| Kiina | Tuetaan 2 |
1 Asiakkaiden on käytettävä Azure Government ExpressRoutea käyttäessään Yhdysvaltain GCC:tä tai GCC High alueita, eivätkä he voi käyttää Azuren kaupallista pilvipalvelua ExpressRoutea. 2 Asiakkaiden on käytettävä Azure China ExpressRoutea, kun käytössä Kiinan alueet, eikä Azure Commercial -pilven ExpressRouten käyttö ole mahdollista.
Azure ExpressRoute -kustannukset
ExpressRoute-kustannuksia arvioitaessa on otettava huomioon useita seikkoja:
Azure-kustannukset
Yhteyspalvelun kustannukset
Sisäiset määrityskustannukset
Liiketoimintatapauksen tarkka määrittäminen edellyttää, että kaikki nämä kustannukset otetaan huomioon arvioitaessa Microsoft Power Platformin ExpressRoutea. Kutakin kustannusta käsitellään seuraavissa osissa.
Azure-kustannukset
Azure ExpressRoute voidaan ostaa erilaisina versioina.
Laskutustyyppi
Käytön mukaan laskutettava: tilauksella kuukausikohtainen perushinta ilman saapuvan liikenteen rajoituksia; lähtevällä liikenteellä Gt-kohtainen veloitus.
Rajoittamaton: tilauksella kuukausikohtainen perushinta ilman saapuvan tai lähtevän liikenteen rajoituksia.
SKU/palvelupaketti
Vakio
Perus ExpressRoute-yhteys
Palvelujen käyttäminen yhdellä maantieteellisellä alueella.
Jos ExpressRoute-piiri on samalla alueella kuin Microsoft Power Platform -ympäristö, johon käyttäjät muodostavat yhteyden, piiriä varten tarvitaan vain ExpressRoute Standard.
Premium
Maailmanlaajuinen palvelujen käyttö riippumatta siitä, mistä yhteys muodostetaan.
Jos käyttäjä muodostaa yhteyden ExpressRoute-piirin kautta joltain muulta alueelta kuin missä päätepalvelu on, he tarvitsevat kyseisestä ExpressRoute-piiriä varten ExpressRoute Premiumin.
Lisätietoja: Azure ExpressRoute:n hinnoittelu
Yhteyspalvelun kustannukset
Joissakin tapauksissa yhteyspalveluun muodostettavan yhteyden kustannukset voivat olla merkittävät. Nämä kustannukset eivät sisälly ExpressRouten Azure-kustannuksiin.
Asiakkaan verkkoreitityksen sisäiseen määrittämiseen tarvittava työmäärä
ExpressRouten käyttöönotto edellyttää, että verkkoreititys määritetään sisäisesti:
Monien asiakkaiden kohdalla tämä aiheuttaa sisäisiä verkkotiimin veloittamia kuluja tai ulkoistetun IT-kumppanin veloittamia kuluja tai ainakin mahdollisuuden kustannuksia työmäärästä, joka liittyy oman henkilökunnan määritykseen keskittymisestä.
Vaikutukset käytössä oleviin aiemmin luotuihin Microsoft Power Platform-, Microsoft 365- ja Azure-palveluihin
Kun Microsoft peering on käytössä, tämä määrittää palveluiden Microsoft Power Platform ja Azuren Microsoft 365liikenteen reititettäväksi ExpressRouten kautta.
Jos käytät jo jompaakumpaa Microsoft Power Platform sovellusta, Dynamics 365 sovellusta tai Microsoft 365 ilman ExpressRoutea, on tärkeää ottaa huomioon vaikutukset näihin olemassa oleviin palveluihin, kun otat vertaisverkon käyttöön Microsoft ExpressRouten kautta (mikä on oletustoiminto). On ehkä välttämätöntä määrittää reititys BGP-yhteisön avulla, sillä niin voidaan erottaa liikenne eri palveluihin.
ExpressRouten käyttäminen uudelleen useissa verkkopalveluissa
Yksittäistä ExpressRoute-yhteyttä voi käyttää useiden online-palveluiden (esim. Microsoft Power Platform, Dynamics 365, Microsoft 365 ja Azure) käyttämiseen.
Kaavio, jossa näkyy jaettu ExpressRoute-yhteys julkisiin palveluihin ja Azureen Microsoft . Microsoft peering for Microsoft 365, Microsoft Power Platform, Dynamics 365 ja Azuren julkiset palvelut jakavat saman ExpressRoute-yhteyden Azuren virtuaaliverkkojen yksityisen vertaisverkon kanssa.
ExpressRoute itsessään ei erottele erityyppisiä Microsoft palveluita tietystä aliverkosta. BGP-yhteisötunnisteiden avulla voidaan hallita liikenteen reitittämistä tiettyihin palveluihin ExpressRoutessa. Microsoft ei reititä liikennettä takaisin ExpressRouten kautta valikoivasti BGP-yhteisötunnisteiden perusteella. Jos liikenne on palautettava eri tavalla palvelutyypin perusteella, on varmistettava, että liikenne tulee erilaisista julkisista IP-osoitteista. Koska kaikki aliverkkoon palaava liikenne käsitellään verkkotasolla, on vaarallista määrittää vain osa aliverkon liikenteestä käyttämään ExpressRoutea, sillä se voi johtaa epäsymmetriseen reititykseen.