Pianificare una distribuzione di ExpressRoute per l'uso con Microsoft Power Platform
Ora che hai deciso di usare ExpressRoute per Microsoft Power Platform, è importante pianificare la distribuzione in base alle proprie esigenze e al proprio ambiente.
Prerequisiti per ExpressRoute
La configurazione di ExpressRoute richiede la considerazione e la configurazione di diversi prerequisiti. Questi possono portare a costi e attività imprevisti, che se non pianificati possono influenzare il progetto e il funzionamento continuo di altri servizi.
Prerequisiti esterni
ExpressRoute non fornisce la connessione fisica stessa; fornisce la connettività privata su una connessione fisica già stabilita. La connettività fisica deve essere prima impostata da un provider di connettività. Esistono diversi modi per stabilire questa connettività con i partner ExpressRoute esistenti. La documentazione di ExpressRoute fornisce descrizioni dettagliate delle opzioni e dei partner attualmente disponibili.
Come parte della pianificazione, dovrai prendere in considerazione quanto segue:
Geografia: come approfondiremo più avanti, comprendere geograficamente da dove devono essere effettuati uno o più collegamenti influirà sulla pianificazione complessiva.
Costo: Il fornitore di connettività addebiterà un costo per stabilire la connessione privata. Questo può essere un costo significativo; varierà a seconda del tipo e del numero di connessioni necessarie.
Tempo di installazione: in alcuni casi sarà necessario installare l'hardware fisico. Questo tempo di configurazione dovrà essere incorporato nel programma di implementazione.
Configurazione capacità e risorse: La maggior parte della complessità della configurazione risiede nell'impostazione del routing interno all'interno della rete. È essenziale assicurarsi che le persone qualificate siano disponibili per farlo.
Microsoft prerequisiti
Una volta stabilita la connettività fisica, è possibile procedere alla configurazione delle connessioni ExpressRoute stesse. Ciò richiederà:
Una sottoscrizione di Azure in cui effettuare il provisioning e fatturare i circuiti ExpressRoute.
Configurazione nella sottoscrizione di Azure dei circuiti ExpressRoute, che viene eseguita tramite gli strumenti di Azure.
Pianificazione della configurazione del routing per il traffico Microsoft Power Platform in ExpressRoute
Quando si pianifica il routing del traffico Microsoft Power Platform, dovrai prendere in considerazione i vari tipi di traffico, che dipendono da come hai configurato e utilizzato Microsoft Power Platform.
Per capire come configurare ExpressRoute per Microsoft Power Platform, dovrai considerare i diversi usi e le connessioni da e verso Microsoft Power Platform, che dipendono dai servizi e dalle funzionalità che utilizzi.
Configurazione del routing
La configurazione del routing viene eseguita dal provider di connettività o dal cliente, a seconda del tipo di connessione fornito.
Sebbene la connessione ExpressRoute stessa sia tra data center, la connessione di rete effettiva proviene principalmente dai dispositivi client dell'utente (che verranno spesso distribuiti su una WAN più ampia, ad esempio filiali bancarie distribuite). Ciò significa che le connessioni vengono instradate dalla posizione del dispositivo client attraverso la WAN al data center e quindi attraverso il circuito ExpressRoute. Ciò richiede un'attenta configurazione. La WAN deve essere configurata in modo tale che:
La route tramite la subnet di rete è configurata per ExpressRoute.
o
Il circuito di failover è preferito alla connessione Internet pubblica a Microsoft Power Platform.
Pertanto, è importante identificare quali subnet nella rete dovrebbero essere le destinazioni per le connessioni di sessione BGP (Border Gateway Protocol) principale e di fallback, per assicurarsi che i prefissi Microsoft Power Platform preferiscano quella route. Non è necessario configurare specificamente i servizi a ciascuna estremità, poiché questa configurazione viene eseguita annunciando le subnet/i prefissi IP tramite questa connessione. Quando viene avviata una richiesta, l'algoritmo di routing vede la connessione BGP diretta come la route preferita per il traffico alla subnet connessa al circuito ExpressRoute e indirizza il traffico in quel modo.
Configurazione di ExpressRoute per basi di utenti distribuite
ExpressRoute è progettato per fornire connessioni private, dedicate e quindi prevedibili dal tuo ambiente alla rete. Microsoft Quando si dispone di una connessione dedicata e diretta tramite il fornitore di connettività a Microsoft, si riduce la possibilità di dover gestire altro traffico sulle connessioni che si Condividi tramite la rete del fornitore di connettività. Non dovrebbe essere necessario usare ExpressRoute per ottenere questa qualità di connessione tramite un provider di connettività, ma è un modo per assicurarla.
Nell'esempio seguente, la connessione di un utente in una filiale viene instradata tramite la WAN alla connessione del data center del cliente a ExpressRoute.
Laddove un cliente ha una rete di utenti altamente distribuita, come una rete filiale di uffici sparsi in un paese o un'area geografica, il traffico di rete deve essere connesso in modo efficiente da più posizioni altamente distribuite a livello geografico. Lo schema tipico consiste nell'instradare le cose attraverso la WAN alla rete locale connessa a ExpressRoute, come mostrato nell'immagine seguente.
Se la connessione tra il client ed ExpressRoute è mediocre o è saturata o in qualche altro modo inefficiente, ExpressRoute non sarà in grado di risolverla, perché i problemi di connessione nel raggiungere il punto di ingresso di ExpressRoute influiranno comunque sull'esperienza dell'utente. In un caso come questo, dovresti prendere in considerazione l'utilizzo di ExpressRoute Direct, che ti dà la possibilità di Connetti direttamente sulla rete globale di Microsoft.
Quando ci si connette a servizi cloud e si è vincolati da connessioni WAN complesse, può essere utile stabilire interruzioni Internet locali dalle filiali locali. Ciò eviterà la connessione WAN più lenta e sfrutterà la portata del provider di connettività per ottenere una connessione più diretta al servizio cloud.
È possibile configurare circuiti ExpressRoute da più posizioni, nonché alle singole filiali, tramite un breakout Internet locale, come mostrato nell'immagine seguente.
In genere, l'approccio che prevede la connessione delle filiali a un data center centrale tramite una WAN e la creazione di circuiti ExpressRoute tra il cliente e i data center è preferibile e più pratico rispetto al tentativo di stabilire una connessione ExpressRoute da ciascuna filiale. Microsoft Sarebbe relativamente costoso e complicato da configurare e gestire, se ciò fosse necessario in molte località.
Un approccio alternativo consiste nel Connetti connettere tutte le filiali e il data center del cliente allo stesso IP VPN e far sì che il fornitore del servizio IP VPN Connetti si trovi in una posizione ExpressRoute. Microsoft
Se hai problemi con una connessione WAN locale, in genere è meglio ottimizzarla, attraverso metodi come l'acquisizione di larghezza di banda aggiuntiva o l'ottimizzazione del routing, anziché tentare di stabilire una connessione ExpressRoute da ogni posizione.
Per le reti distribuite in un'ampia area geografica, potrebbe essere utile disporre di più hub connessi a ExpressRoute per ridurre al minimo il numero di connessioni ExpressRoute necessarie pur offrendo un punto di connessione più locale per ogni utente. In questo caso, è importante assicurarsi che gli indirizzi IP pubblici univoci vengano pubblicati tramite ogni circuito ExpressRoute; ognuna di queste subnet deve essere distinta, il che richiede la presenza di tante subnet pubbliche quante sono le connessioni ExpressRoute.
Ciò è particolarmente vantaggioso se diverse aree operative sono ubicate in aree geografiche molto diverse o se la connettività di rete tra le aree è limitata e per ciascuna di esse può essere stabilita una connessione più diretta. Microsoft
È anche possibile che aree geografiche diverse abbiano requisiti di privacy diversi e non è necessario che ogni area geografica usi ExpressRoute semplicemente perché lo fa. Potrebbe essere possibile instradare alcune connessioni direttamente tramite Internet e altre tramite ExpressRoute, come illustrato nell'immagine seguente.
ExpressRoute (standard) offre connettività solo all'interno di un'area geografica specifica; ExpressRoute Premium è necessario per offrire l'accesso a più aree geografiche da un singolo punto di connessione ExpressRoute. Ciò sarebbe rilevante se, ad esempio, un cliente avesse uffici negli Stati Uniti e uffici in Europa, tutti utilizzando un unico ambiente Microsoft Power Platform. Se il tenant Microsoft Power Platform del cliente è distribuito negli Stati Uniti, il circuito ExpressRoute in Europa deve essere lo SKU Premium. Se il tenant Microsoft Power Platform è in Europa, il circuito statunitense dovrebbe essere Premium.
Evitare il routing asimmetrico
Una sfida da tenere d'occhio è il routing asimmetrico, in cui la configurazione del routing all'interno della rete del cliente indirizza il traffico al data center direttamente attraverso Internet, ma poi il traffico di ritorno determina che le risposte devono essere instradate tramite un circuito ExpressRoute. Microsoft Ciò può spesso attivare un firewall per rifiutare il traffico, perché riceve i pacchetti di risposta senza aver inviato i pacchetti di richiesta.
Ciò può accadere se la rete locale di un client determina che il routing più efficiente verso i servizi cloud avviene tramite la rete Internet pubblica anziché tramite la WAN verso il circuito privato ExpressRoute. Microsoft Ma se l'indirizzo IP del client è un indirizzo IP pubblico o è tradotto tramite i mapping NAT a un indirizzo IP pubblico annunciato tramite ExpressRoute, la route più efficiente per tornare a tale IP sarebbe probabilmente tramite la sessione BGP su ExpressRoute. Puoi usare diversi IP NAT sul perimetro Internet e sul perimetro ExpressRoute. Con un indirizzo di origine distinto, il traffico di ritorno tornerà inequivocabilmente allo stesso perimetro.
Ciò può verificarsi anche in presenza di più circuiti ExpressRoute configurati per lo stesso cliente con routing del traffico in uscita via un circuito ma routing di ritorno tramite un altro in cui i controlli del firewall possono bloccare il traffico attraverso il percorso di ritorno. Per evitare il routing asimmetrico attraverso un circuito ExpressRoute diverso per i percorsi in uscita e in ingresso, è importante assicurarsi che vengano pubblicati indirizzi IP pubblici univoci in ogni circuito.
Come puoi vedere, è importante determinare come viene gestito il routing all'interno della tua WAN e assicurarti che i percorsi da e verso i servizi cloud siano attentamente considerati. Microsoft
Connettività esterna da/verso Microsoft Power Platform
Quando si effettuano collegamenti a Microsoft Power Platform dalle località dei clienti, è necessario considerare più tipi di traffico. Ciò può portare sia a tipi di peering, sia a peering privato, e lo stesso circuito ExpressRoute può essere utilizzato per questi tipi di peering come mostrato nell'immagine seguente. Microsoft
Esistono diversi tipi di connessione tra i servizi Microsoft Power Platform e una rete esterna. Ad esempio, la connettività di Exchange Web Services mediante sincronizzazione lato server sfrutta ExpressRoute per trasferire il traffico di rete dalla rete alla rete del cliente. Microsoft La connettività dei servizi Web utilizza ExpressRoute sia per il traffico in entrata che per quello in uscita verso la rete. Microsoft Per il client HTTPS, la connessione ExpressRoute viene utilizzata per l'accesso dalla rete del cliente alla rete. Microsoft Nell'immagine seguente vengono illustrati questi esempi.
Traffico in entrata (traffico dai servizi Microsoft Power Platform)
Diversi tipi di traffico in uscita possono verificarsi direttamente dai servizi Microsoft Power Platform ai servizi al cliente. Per ognuno di questi è importante notare che il servizio clienti deve essere indirizzabile pubblicamente con un IP pubblico che può essere risolto tramite DNS pubblico dai servizi Microsoft Power Platform.
Questo indirizzo IP deve anche essere pubblicizzato tramite ExpressRoute in modo che il routing di rete interno all'interno dei servizi sappia di doverlo instradare tramite quella connessione ExpressRoute. Microsoft Microsoft Power Platform
I servizi Microsoft Power Platform non possono specificare quale istanza del servizio o organizzazione del cliente può effettuare richieste a quali indirizzi IP. Pertanto, è importante gestire le richieste in entrata alla rete aziendale come se provenissero da Internet e proteggerle come tali.
La tabella seguente descrive il traffico in uscita dai servizi Microsoft Power Platform.
| Descrizione | Tipo e direzione del traffico | Tipo di peering | Ambito |
|---|---|---|---|
| Servizi Web | HTTPS in uscita dai servizi Microsoft Power Platform | Microsoft sbirciando Pubblicare servizi Web su indirizzi IP pubblici che si trovano in subnet configurate da ExpressRoute |
I plug-in personalizzati e le attività del flusso di lavoro possono inviare richieste di servizi Web a servizi esterni |
| Integrazione Exchange: modalità ibrida | HTTPS in uscita dai servizi Microsoft Power Platform | Microsoft sbirciando I servizi Web dovrebbero essere pubblicati su indirizzi IP pubblici che si trovano in subnet configurate da ExpressRoute |
Richieste dei servizi Web Exchange dalla sincronizzazione lato server per le distribuzioni ibride (servizi Microsoft Power Platform, Exchange on-premises) |
| Connettori | HTTPS in entrata dai servizi Microsoft Power Platform | Microsoft sbirciando | Richieste da servizi Microsoft Power Platform tramite il servizio Gestione API di Azure via connettori utilizzando il gateway dati locale |
| Inoltro di Azure | HTTPS in uscita dai servizi Microsoft Power Platform | Microsoft sbirciando Pubblicare servizi Web su indirizzi IP pubblici che si trovano in subnet configurate da ExpressRoute |
Connettività diretta tra i flussi cloud e i flussi desktop di Power Automate |
Traffico in entrata (traffico verso i servizi Microsoft Power Platform)
Il seguente traffico in entrata è possibile ai servizi Microsoft Power Platform dalla rete del cliente.
| Descrizione | Tipo e direzione del traffico | Tipo di peering | Ambito |
|---|---|---|---|
| Connettività client | HTTPS in entrata ai servizi Microsoft Power Platform | Microsoft sbirciando Connessione Internet diretta per contenuto statico servito dalla rete per la distribuzione di contenuti di Azure |
Richieste client per l'interfaccia utente dei servizi Microsoft Power Platform |
| Servizi Web | HTTPS in entrata ai servizi Microsoft Power Platform | Microsoft sbirciando | Richieste ai servizi Microsoft Power Platform tramite le API del servizio Web (SOAP, API Web). Da un'applicazione client standard o personalizzata |
| Connettori | HTTPS in entrata ai servizi Microsoft Power Platform | Microsoft sbirciando | Risposte ai servizi Microsoft Power Platform tramite APIM via connettori utilizzando il gateway dati locale |
Connettività Cloud interna nei servizi Microsoft Power Platform
Microsoft Power Platform i servizi utilizzano e si integrano con molti altri servizi online ospitati sia in Azure che in Microsoft . Microsoft 365
| Descrizione | Tipo e direzione del traffico | Scopo |
|---|---|---|
| Integrazione di Exchange | HTTPS in uscita verso Microsoft 365 | Richieste del servizio web Exchange a Exchange Online dalla sincronizzazione lato server |
| Integrazione SharePoint | HTTPS in uscita verso Microsoft 365 | Richieste del servizio Web SharePoint a SharePoint Online dai servizi Microsoft Power Platform |
| Bus di servizio | HTTPS in uscita verso bus di servizio di Azure | Esegue il push di eventi a bus di servizio di Azure come registrazione di eventi standard o da plug-in personalizzati e attività del flusso di lavoro |
| Sincronizzazione dati | HTTPS in entrata da Azure | Richieste di rilevamento modifiche in entrata per la sincronizzazione dei servizi dati, inclusa ricerca/offline/informazioni dettagliate sui clienti |
| Autenticazione | HTTPS in uscita verso Microsoft Entra | La maggior parte dell'autenticazione avviene attraverso reindirizzamenti passivi e token di attestazione, ma alcuni dati vengono sincronizzati con Microsoft Entra ID direttamente |
| Flussi di dati | HTTPS in uscita verso Azure Data Lake Storage | Fornisce funzionalità di analisi e consente l'accesso a soluzioni di big data che incorporano i dati di da servizi Microsoft Power Platform e altre origini, oltre alle informazioni dettagliate risultanti dall'analisi. |
| Connettori | HTTPS in uscita verso servizi PaaS di Azure | Connessioni a vari servizi PaaS di Azure |
| Desktop flows | HTTPS in uscita verso Inoltro di Azure | Connettività diretta tra i flussi cloud di Power Automate e i flussi desktop creati in Power Automate per Desktop |
La connettività effettiva tra questi servizi, ospitati in Microsoft o nelle sottoscrizioni Azure del cliente, è gestita da Microsoft. ExpressRoute non è applicabile per le connessioni con questi servizi.
Laddove viene eseguito il push degli eventi sul bus di servizio, la connettività tra i servizi Microsoft Power Platform e Azure è gestita internamente. Separatamente, il cliente può inviare richieste al Service Bus per recuperare informazioni e questa operazione può essere gestita tramite peering. Microsoft
Connettività cloud pubblico e privato del cliente da/verso servizi Microsoft Power Platform
I servizi Microsoft Power Platform consentono inoltre l'integrazione diretta con risorse Azure pubbliche o private:
Da fonti esterne, utilizzando le API dei servizi Web di Microsoft Dataverse.
A fonti esterne, utilizzando le richieste di servizi Web effettuate.
A fonti esterne, utilizzando connettori.
Le implicazioni di ciò devono essere considerate nel routing di ExpressRoute.
| Descrizione | Tipo e direzione del traffico | Tipo di peering | Scopo |
|---|---|---|---|
| Portali | HTTPS in entrata a Azure | Interno al datacenter, ad eccezione del contenuto statico, che utilizza la rete per la distribuzione di contenuti. (la rete per la distribuzione di contenuti non è supportato da ExpressRoute, quindi il contenuto statico viaggerà attraverso l'Internet pubblico.) | Ospitare servizi rivolti al pubblico. Potrebbero esserci scenari in cui i dipendenti interni possono accedere a queste risorse, quindi è possibile che tu voglia che il traffico viaggi su ExpressRoute anziché su Internet pubblico |
| Percorso di apprendimento | HTTPS in entrata a Azure | Usa la rete per la distribuzione di contenuti, che non è supportato da ExpressRoute, quindi il contenuto statico viaggerà attraverso l'Internet pubblico | Ciò è ospitato su un servizio rivolto al pubblico perché non contiene i dati dei clienti privati. Per motivi di prevedibilità, potrebbero esserci scenari in cui si desidera instradare questo tramite ExpressRoute |
| Bus di servizio | HTTPS in entrata verso bus di servizio di Azure | Interno al datacenter | Eseguire il pull di eventi da bus di servizio di Azure posizionati lì come registrazione di eventi standard o da plug-in personalizzati o attività del flusso di lavoro |
| Richiesta di servizio Web | In entrata da Azure IaaS/PaaS | Interno al datacenter | I clienti possono ospitare applicazioni personalizzate in Azure ed effettuare richieste di servizi Web Microsoft Power Platform |
| Richiesta di servizio Web | In uscita verso Azure IaaS/PaaS | Interno al datacenter | I clienti possono implementare plug-in personalizzati e attività di flusso di lavoro che effettuano richieste di servizi ospitati di Azure |
| Flussi di dati | Connessioni dati verso Azure Data Lake Storage | Interno al datacenter | Fornire funzionalità di analisi e consentire l'accesso a soluzioni di big data che incorporano i dati dai servizi Microsoft Power Platform e altre origini, oltre alle informazioni dettagliate risultanti dall'analisi. |
| Azure Data Lake | Connessioni dati verso Azure Data Lake Storage | Interno al datacenter | Fornire funzionalità di analisi e consentire l'accesso a soluzioni di big data che incorporano i dati dai servizi Microsoft Power Platform e altre origini e dalle informazioni dettagliate risultanti dall'analisi. |
| SQL di Azure | Connessioni dati a servizi SQL di Azure | Interno al datacenter | Con funzionalità come Export to Data Warehouse, l'uso di un'istanza SQL di Azure per contenere le repliche di dati di Microsoft Dataverse per scopi di reporting o replica aumenterà. Potrebbe essere utile proteggere le connessioni a queste risorse su ExpressRoute. |
Potrebbero essere presenti altri servizi pubblici in futuro che si connettono internamente al data center man mano che vengono usate altre funzionalità di Azure.