Points à considérer avant d’utiliser ExpressRoute avec Microsoft Power Platform
La complexité de la configuration d’ExpressRoute est souvent sous-estimée. En particulier, les actions et implications suivantes sont souvent négligées, que ce soit dans la planification ou l’exécution :
Configuration de votre réseau pour acheminer le trafic vers le sous-réseau connecté à ExpressRoute
Éviter le routage asymétrique, où le trafic va directement vers Microsoft Power Platform sur Internet mais est renvoyé par ExpressRoute au réseau d’entreprise, déclenchant le rejet du trafic par le pare-feu
Les coûts globaux d’approvisionnement d’ExpressRoute, y compris les services Microsoft Azure, l’approvisionnement du fournisseur de connectivité et la configuration continue du service et du routage du réseau informatique interne
Déterminer si plusieurs circuits ExpressRoute doivent être établis pour les déploiements distribués
Problèmes de performances de connectivité
Connectivité LAN
Certains des problèmes courants qu’un utilisateur peut rencontrer sont :
La connectivité au sein du réseau local est déjà saturée avant l’ajout une application de navigateur riche à l’ensemble.
Microsoft Power Platform remplace une application client lourde où seules les données étaient transmises sur le réseau, plutôt que les données et les informations de présentation.
Il est important de comprendre qu’une application de navigateur, tout en nécessitant moins d’administration de déploiement côté client, nécessitera une bande passante plus élevée qu’une application cliente lourde, et donc un réseau local déjà saturé souffrira davantage avec l’ajout de nouveaux services.
Connectivité WAN médiocre
Sur la base d’une analyse réseau de la connectivité au service en ligne, un schéma courant est qu’à un moment donné, le trafic réseau traverse une route réseau interne qui ajoute une latence importante. Cela peut être dû à des conditions telles que :
Saturation du lien WAN.
Traitement proxy, entraînant plus de latence et de surcharge.
Routage interne inefficace (par exemple, routage au sein du réseau d’entreprise plutôt que vers Internet auparavant).
Si le trafic de Microsoft Power Platform souffre de ces défis, les performances chez le client peuvent également en souffrir.
Connectivité Internet médiocre
L’ajout de services cloud peut entraîner une consommation et une charge supplémentaires sur la connexion à Internet de l’entreprise. Cette erreur peut se produire dans les cas suivants :
La connexion Internet n’est pas suffisante pour supporter la charge supplémentaire.
Au sein du réseau du fournisseur d’accès Internet (FAI), le routage de ce trafic vers le réseau est contrôlé par le FAI ; l’efficacité de ce routage peut varier. Microsoft
La connexion souffre d’un mélange de trafic, ce qui affecte la qualité de la connexion (par exemple, plusieurs sessions de formation sur Internet, Microsoft Stream, ou des vidéos YouTube avec trafic vers une application critique pour l’entreprise en compétition pour obtenir la bande passante disponible). Cela peut être suffisant dans l’ensemble pour le volume de trafic, mais pourrait potentiellement affecter les performances à cause de pics de demande, qu’une activité comme le streaming vidéo générera.
Ces problèmes peuvent être résolus en obtenant une bande passante supplémentaire ou des connexions séparées via le FAI. En particulier, disposer d’une connexion distincte dédiée au trafic prioritaire peut contribuer à la fois aux performances et à la prévisibilité du trafic.
Assurez-vous également de configurer correctement la qualité du service. Si vous utilisez Microsoft Teams et Microsoft Stream, reportez-vous aux Exigences de QoS dans ExpressRoute.
Contrôle de sécurité
La prochaine configuration que vous devez prendre en compte est le contrôle de sécurité. ExpressRoute lui-même ne crypte pas ou ne filtre pas le trafic de manière native (à l’exception d’ ExpressRoute Direct avec MACsec activé) ; il établit simplement une connexion privée, plutôt que partagée, directement entre les centres de données Microsoft et les centres de données clients via leur fournisseur de connectivité.
Toute demande provenant de n’importe quel service en ligne ou service Azure vers le sous-réseau annoncé via un circuit ExpressRoute sera acheminée via ce circuit, quel que soit le service ou le client. Microsoft Étant donné que la demande est acheminée au niveau de la couche réseau, il n’y a aucun contrôle au niveau de l’application pour déterminer s’il s’agit d’un demandeur approprié pour ce service de destination.
Pour le trafic vers les services, étant donné qu’il s’agit de services publics partagés, ils sont accessibles directement via l’Internet public. Microsoft Le contrôle d’accès à ces services est géré par des services d’authentification et d’autorisation au niveau de l’application. Ils sont en outre protégés au niveau de l’infrastructure contre les intrusions et les menaces telles que les attaques par déni de service.
Pour le trafic provenant des services vers les services hébergés local, le client est responsable de fournir une protection similaire à ses propres services lorsque le trafic est reçu via une connexion ExpressRoute. Microsoft
Possibilité de restreindre l’utilisation d’ExpressRoute à certains services uniquement Microsoft
L’un des défis auxquels vous pourriez être confronté est de vouloir utiliser ExpressRoute pour un service cloud particulier mais pas pour d’autres. Microsoft Bien que les différentes options de peering fournissent un certain niveau de contrôle ici, le peering lui-même ne fournit pas de contrôle granulaire au sein des services du même type de peering (par exemple pour activer le routage uniquement vers les machines virtuelles Azure, mais pas vers Microsoft 365). Il est toutefois possible d’utiliser les communautés Border Gateway Protocol (BGP) pour configurer le trafic pour des services spécifiques uniquement.
Ceci est pertinent pour les services Microsoft Power Platform avec une présence Microsoft 365, où le routage via ExpressRoute peut être souhaitable pour un service, mais pas pour les deux, ou seulement pour certains services individuels de Microsoft 365 comme Microsoft Teams.
ExpressRoute lui-même n’offre actuellement pas la possibilité de configurer directement les services à router via un circuit ExpressRoute spécifique à ce niveau de précision de service, mais les communautés BGP peuvent être utilisées pour contrôler cela.
Microsoft annonce les itinéraires dans les chemins de peering avec des itinéraires balisés à l’aide de valeurs de communauté BGP appropriées pour les emplacements géographiques et les types de services. Microsoft Ceux-ci peuvent ensuite être configurés dans les routeurs du client pour acheminer le trafic de ces services via le circuit ExpressRoute.
Vous pouvez utiliser différentes balises pour les services Microsoft 365 pour acheminer le trafic uniquement pour ces services via le circuit ExpressRoute et acheminer le reste via un autre circuit ExpressRoute ou l’Internet public.
Les valeurs de la communauté BGP spécifiques à Microsoft Power Platform ne sont pas disponibles comme elles le sont pour les services Microsoft 365. Au lieu de cela, les communautés BGP régionales sont utilisées avec les régions Microsoft Azure correspondantes utilisées pour chaque environnement Microsoft Power Platform. Parce que les environnements Microsoft Power Platform utilisent deux ensembles de centres de données, assurez-vous de consulter l’Aperçu des régions pour vérifier quels sont les deux centres de données utilisés. Plus d’informations : Communautés BGP pour GCC
Microsoft 365
Étant donné que les services et les services sont tous deux proposés via le peering, la configuration du peering annoncerait par défaut tous les services et services sur le circuit ExpressRoute. Microsoft Power Platform Microsoft 365 Microsoft Microsoft Microsoft Power Platform Microsoft 365
Le résultat de ceci est que permettre aux communautés BGP d’acheminer le trafic pour un service conduirait à acheminer les deux via ExpressRoute. Cela peut être souhaitable ou non, mais cela peut avoir des résultats défavorables. Par exemple, si vous avez déterminé la bande passante réseau nécessaire pour Microsoft Power Platform et dimensionné la connexion ExpressRoute en conséquence, mais achemine également par inadvertance tous vos trafics Microsoft 365 via ExpressRoute, cela peut saturer votre réseau et entraîner des problèmes de performances.
Bien que l’activation d’ExpressRoute pour le peering achemine tout le trafic via la connexion ExpressRoute, il est possible d’utiliser des balises de communauté BGP pour contrôler le routage afin que seuls des services spécifiques, tels que des services mais pas d’autres services, utilisent la connexion ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365 Microsoft Power Platform Microsoft 365 En particulier, les services Microsoft 365 ne sont pas tous conçus pour fonctionner avec ExpressRoute. Actuellement, les services Microsoft Power Platform n’ont pas de communauté BGP désignée comme c’est le cas pour certains services Microsoft 365. Au lieu de cela, vous devez utiliser communautés BPG régionales pour correspondre à la région où l’environnement Microsoft Power Platform a été créé.
Pour plus d’informations sur le routage Microsoft 365, accédez à la documentation sur routage sélectif avec Microsoft 365.
Parce que les services Microsoft Power Platform fonctionnent en partie dans le cadre du service Microsoft 365, de nombreux services croisés tels que le portail d’administration et l’authentification sont également requis. Il n’est pas possible de protéger tous ces services en utilisant ExpressRoute ; le centre d’administration Microsoft 365, par exemple, n’est pas publié sur ExpressRoute.
Prise en charge des clouds souverains
Les clients tenus de respecter les réglementations gouvernementales ou spécifiques à un pays/une région peuvent choisir d’utiliser un cloud souverain. Les clouds souverains sont physiquement situés dans une région pour répondre aux exigences spécifiques à ce gouvernement ou pays spécifique. Par example, Power Apps for Government Community Cloud (GCC) est situé aux États-Unis, où il répond aux réglementations et certifications spécifiques au gouvernement américain et satisfait aux protocoles pour répondre à ces exigences.
Regardez cette vidéo décrivant comment Microsoft Power Platform est disponible avec des clouds souverains : Vidéo : Sovereign Clouds avec Marty Carreras.
Lorsque vous envisagez d’utiliser un environnement de cloud souverain, vous devez tenir compte des limitations existantes, car toutes les fonctionnalités ne sont pas disponibles par rapport aux environnements de cloud public. La disponibilité de chaque environnement pour Microsoft Power Platform est répertoriée dans le tableau suivant. Pour d’autres différences de disponibilité, lisez la documentation sur les régions de centre de données.
| Région | Prise en charge d’ExpressRoute |
|---|---|
| US Government Community Cloud (GCC) | Pris en charge 1 |
| Le gouvernement américain a un nuage communautaire élevé (GCC High) | Pris en charge 1 |
| Chine | Pris en charge 2 |
1 Les clients doivent utiliser Azure Government ExpressRoute lorsqu’ils utilisent US GCC ou GCC High des régions et ne peuvent pas utiliser Azure Commercial Cloud ExpressRoute. 2 Les clients doivent utiliser Azure China ExpressRoute lorsqu’ils utilisent les régions Chine, et ne peuvent pas utiliser le cloud Azure Commercial ExpressRoute.
Coûts Azure ExpressRoute
Lors de l’estimation des coûts d’ExpressRoute, vous devez prendre en compte plusieurs éléments :
Coûts Azure
Coûts du fournisseur de connectivité
Coûts de l’effort de configuration interne
Pour déterminer avec précision l’analyse de rentabilité, il est important de prendre en compte tous ces coûts lors de l’évaluation d’ExpressRoute pour Microsoft Power Platform. Chaque coût est abordé dans les sections suivantes.
Coûts Azure
Azure ExpressRoute peuvent être achetés dans différents modèles.
Type de facturation
Mesuré : un coût d’abonnement de base par mois avec un trafic entrant illimité mais des frais par Go pour le trafic sortant
Illimité : un coût d’abonnement de base par mois avec un trafic entrant et sortant illimité
SKU / Plan
Standard
Connexion de base à l’aide d’ExpressRoute
Offrir un accès aux services au sein d’une même zone géographique
Si le circuit ExpressRoute se trouve dans la même région que l’environnement Microsoft Power Platform auquel les utilisateurs se connectent, seule la norme ExpressRoute est requise pour ce circuit
Premium
Offre un accès à des services géographiques dans le monde entier, quel que soit l’endroit où la connexion est établie
Si un utilisateur se connecte via un circuit ExpressRoute à partir d’une région différente de celle de son service final, il aura besoin d’ExpressRoute Premium pour ce circuit ExpressRoute.
Plus d’informations : Tarification Azure ExpressRoute
Coûts du fournisseur de connectivité
Dans certains cas, les coûts d’établissement de la connexion avec le fournisseur de connectivité peuvent être importants. Ceux-ci sont distincts des coûts Azure pour ExpressRoute.
Effort interne du client pour configurer le routage du réseau
Pour activer ExpressRoute, le routage réseau doit être configuré en interne.
Pour de nombreux clients, cela nécessitera des frais croisés internes pour l’équipe réseau ou un coût externe pour un fournisseur d’externalisation informatique, ou au moins un coût d’opportunité pour les efforts du personnel interne visant à se concentrer sur la configuration.
Impacts sur les services Microsoft Power Platform, Microsoft 365, et Azure existants en cours d’utilisation
Lorsque le peering est activé, cela configure le trafic pour les services, et Azure pour qu’il soit acheminé via ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365
Si vous utilisez déjà des applications Dynamics 365 ou sans ExpressRoute, il est important d’être sensible à l’impact sur ces services existants lorsque vous activez le peering via ExpressRoute (qui est le comportement par défaut). Microsoft Power Platform Microsoft 365 Microsoft Il peut être nécessaire de configurer le routage en utilisant les communautés BGP pour séparer le trafic vers différents services.
Réutilisation d’ExpressRoute sur plusieurs services en ligne
Une seule connexion ExpressRoute peut être utilisée pour accéder à plusieurs services en ligne, par exemple, Microsoft Power Platform, Dynamics 365, Microsoft 365 et Azure.
Diagramme montrant une connexion ExpressRoute partagée avec Microsoft des services publics et Azure. Microsoft le peering pour Microsoft 365, Microsoft Power Platform, Dynamics 365 et les services publics Azure partagent la même connexion ExpressRoute avec le peering privé Azure pour les réseaux virtuels.
ExpressRoute lui-même ne sépare pas les différents types de services d’un sous-réseau particulier. Microsoft Il est possible d’utiliser des balises de communauté BGP pour contrôler le routage du trafic vers des services particuliers sur ExpressRoute. Microsoft ne renvoie pas le trafic via ExpressRoute de manière sélective en fonction des balises de communauté BGP. Si le trafic doit être renvoyé différemment en fonction du type de service, assurez-vous que le trafic provient de différentes adresses IP publiques. Étant donné que tout trafic retournant vers un sous-réseau sera géré au niveau du réseau, il serait dangereux de configurer uniquement une partie du trafic d’un sous-réseau pour utiliser ExpressRoute, car cela peut entraîner un routage asymétrique.