Condividi tramite

Configurare ExpressRoute per Microsoft Power Platform

  • Articolo

Microsoft Power Platform non deve essere configurato specificamente per ExpressRoute. Come servizio, Microsoft Power Platform usa Microsoft Azure in background e supporta l'uso con ExpressRoute in quanto ne è stato eseguito l'onboarding. Pertanto, non è necessario effettuare alcuna configurazione specifica degli ambienti di Microsoft Power Platform per l'uso di ExpressRoute.

All'interno della rete, ExpressRoute gestisce il traffico pubblicizzando il routing per specifiche subnet IP al circuito ExpressRoute specifico per il quale sono state configurate. Microsoft Poiché tale instradamento è annunciato attraverso una connessione Border Gateway Protocol (BGP), in genere viene scelta come connessione più efficiente per raggiungere quella destinazione rispetto al routing tramite Internet.

Dal lato cliente, la connessione BGP annuncia i prefissi IP per i servizi di ogni tipo di peering configurato per quel circuito ExpressRoute.

La determinazione dell'ulteriore configurazione di rete necessaria dipenderà dalle interazioni che si desidera instradare tramite ExpressRoute.

Traffico del server

Traffico in entrata (traffico verso i servizi Microsoft Power Platform)

La configurazione del traffico in entrata richiederà di stabilire un routing interno all'interno del data center per preferire le connessioni tramite il circuito ExpressRoute per il traffico verso i servizi. Microsoft

Traffico in entrata (traffico dai servizi Microsoft Power Platform)

Laddove il traffico viene reinstradato tramite ExpressRoute, ad esempio a un server locale, non sono presenti controlli in ExpressRoute per bloccare i servizi che effettuano le connessioni. L'intero routing viene eseguito a livello di rete e quindi non convalida il particolare servizio che effettua la richiesta prima di instradare il traffico.

Le richieste possono essere eseguite da altri servizi a un servizio clienti. In particolare per Microsoft Power Platform, che è un servizio condiviso, non è possibile bloccare le richieste a un particolare insieme di macchine. È necessario considerare il traffico di ritorno tramite ExpressRoute come proveniente da una fonte esterna, perché, sebbene provenga da un Microsoft data center, Microsoft non controlla la fonte delle richieste; altri servizi clienti potrebbero tentare di stabilire connessioni. Tutte le connessioni devono essere controllate come se provenissero da un gateway esterno.

Il traffico in uscita verrà reinstradato via ExpressRoute per Microsoft Power Platform, ad esempio, richieste di servizi Web personalizzati e sincronizzazione lato server.

Per essere reinstradato via ExpressRoute, qualsiasi servizio connesso deve:

  • Avere un URL rilevabile pubblicamente.

  • Avere un indirizzo IP pubblico che corrisponda a una subnet configurata per una definizione di peering del circuito ExpressRoute.

  • Essere nella stessa area geografica del servizio richiedente se viene usato ExpressRoute (standard) o in qualsiasi area geografica se viene usato ExpressRoute Premium.

Questo approccio è vantaggioso per molti scenari di integrazione comuni tra servizi online e locali.

L'indirizzo IP di destinazione per il traffico in uscita da una risorsa Microsoft Power Platform dovrà essere un indirizzo IP pubblico annunciato tramite un circuito ExpressRoute. Data la natura condivisa dei servizi cloud, tutto il traffico dovrebbe essere trattato come se provenisse da Internet. Microsoft Pertanto, in genere, è necessario usare un gateway applicazione o un proxy inverso per ispezionare e controllare il traffico in entrata da ExpressRoute.

Per informazioni sulle sottoreti IP utilizzate, vedi Requisiti di sistema, limiti e valori di configurazione per Power Apps e Configurazione dell'indirizzo IP per Power Automate.

Traffico client

Gli utenti possono utilizzare vari dispositivi client, come PC nella rete aziendale o dispositivi mobili in connessioni pubbliche. Il traffico client sarà in genere in entrata verso i servizi anziché in uscita verso il client. Microsoft Tieni presente che ExpressRoute non viene applicato in quanto è la sola route a Microsoft Power Platform.

Se il traffico client deve essere instradato attraverso il circuito ExpressRoute, la sfida per il team di rete consiste nell'instradare il traffico internamente prima dal client attraverso la LAN o la WAN alla subnet connessa a ExpressRoute. È anche responsabilità del team garantire che questo traffico non "fuoriesca" accidentalmente e che si connetta tramite l'Internet pubblico.

Microsoft Power Platform non blocca il traffico ricevuto direttamente da Internet. Né ExpressRoute bloccherà le risposte dal traffico originariamente ricevuto direttamente da Internet. Il servizio Microsoft Power Platform verrà comunque annunciato pubblicamente su Internet, quindi ci saranno percorsi di routing al servizio disponibile separatamente da ExpressRoute.

Il corretto routing del traffico verrebbe generalmente garantito attraverso l'uso di proxy nella rete aziendale e, per i dispositivi mobili, potenzialmente l'uso ulteriore della VPN per riconnettersi prima alla rete aziendale, assicurando l'instradamento del traffico tramite il circuito ExpressRoute aziendale. Tuttavia, tieni presente che ciò potrebbe comportare un sovraccarico rispetto all'accesso diretto ai servizi cloud tramite un breakout Internet locale.

Pertanto, mentre ExpressRoute può essere configurato per l'uso per la connessione verso e da Microsoft Power Platform, è importante rendersi conto che ExpressRoute:

  • Non garantisce che il traffico nella rete aziendale usi ExpressRoute. Il proxy e le regole di routing nella rete aziendale determinano ciò ed è necessario configurarli per garantire che le richieste nella rete aziendale utilizzino ExpressRoute.

  • Non impedisce ad altre connessioni (ad esempio, utenti su Internet) di accedere direttamente a Microsoft Power Platform.

Diagramma che mostra che Microsoft Power Platform non impedisce l'accesso diretto. La configurazione di ExpressRoute non garantisce che l'accesso diretto venga disabilitato.

Il problema della connettività esterna è una preoccupazione degli utenti mobili, in particolare di quelli che usano dispositivi mobili come laptop, tablet e telefoni. Se è un problema, puoi scegliere tra una serie di approcci:

  • Laddove viene utilizzata l'autenticazione federata, assicurarsi che l'accesso ad Active Directory Federation Services (AD FS) sia possibile solo dopo che è stata stabilita una connessione VPN alla rete aziendale.

  • L'accesso condizionale di Microsoft Entra e Intune possono essere usati per controllare i dispositivi e le posizioni a cui è consentito accedere e per controllare la configurazione dei dispositivi, ad esempio proxy, VPN e routing.

Diagramma dei lavoratori mobili che si collegano direttamente a Microsoft Power Platform, mentre gli impiegati in ufficio usano il Wi-Fi o la VPN aziendale e accedono tramite ExpressRoute.

Domande e scenari comuni con ExpressRoute

Quando si implementa ExpressRoute, è importante capire ciò che fa e anche ciò che non fa. In questa sezione, esploreremo alcune domande e scenari comuni da prendere in considerazione.

Configurazione dell'instradamenti di rete dei clienti

L'abilitazione di ExpressRoute gestisce la configurazione del traffico di rete all'interno della rete, ma non modifica il routing del traffico all'interno della rete del cliente stessa. Microsoft È necessario configurare il routing di rete all'interno della rete per indirizzare il traffico destinato ai servizi cloud alla subnet connessa a ExpressRoute e quindi attraverso il circuito ExpressRoute. Microsoft

Pubblicizziamo route più specifici per Microsoft 365 su ExpressRoute rispetto alle route che pubblicizziamo sulla rete Internet pubblica. Se un cliente propaga le route specifiche da Microsoft alla rete, il relativo traffico utente verrà instradato a ExpressRoute a causa della regola di corrispondenza del prefisso più lunga.

Due motivi principali per cui potresti incontrare problemi durante la configurazione di ExpressRoute sono:

  • Il routing della rete interna per instradare il traffico al punto di connessione ExpressRoute è configurato in modo errato.

  • Disponi di un routing asimmetrico, in cui il traffico di richieste e risposte viene instradato in modo diverso.

    Ad esempio, il traffico viene instradato direttamente verso i servizi cloud attraverso Internet, ma poi ritorna tramite ExpressRoute, attivando eccezioni del firewall che bloccano il traffico di ritorno. Microsoft

Prestazioni

ExpressRoute da solo in genere non migliora significativamente le prestazioni rispetto a una connessione di rete efficiente con capacità disponibile. È possibile che il processo di creazione di una connessione dedicata e privata da parte del tuo provider di connettività si traduca in una connessione più ottimizzata rispetto alla connessione Internet condivisa.

Velocità di caricamento dati su Microsoft Power Platform

Quando si eseguono caricamenti di dati su Microsoft Power Platform, la rete è raramente il collo di bottiglia per il traffico dati. Più probabilmente è l'elaborazione dell'applicazione che deve essere ottimizzata.

ExpressRoute, quindi, raramente è un contributore diretto a una velocità di caricamento dei dati più elevata in Microsoft Power Platform. Tuttavia, ExpressRoute renderà il traffico più prevedibile e garantirà che i dati non vengano inviati tramite l'Internet pubblico.

Prossimo passaggio: Checklist di prontezza per ExpressRoute