Aspetti da considerare prima di usare ExpressRoute con Microsoft Power Platform
La complessità della configurazione di ExpressRoute è spesso sottovalutata. In particolare, vengono spesso trascurate le seguenti azioni e implicazioni, sia nella pianificazione che nell'esecuzione:
Configurare la rete per instradare il traffico alla subnet connessa a ExpressRoute
Evitare il routing asimmetrico, che indirizza il traffico direttamente a Microsoft Power Platform attraverso Internet ma viene restituito via ExpressRoute alla rete aziendale, attivando il rifiuto del traffico da parte del firewall
I costi complessivi del provisioning di ExpressRoute, inclusi i servizi Microsoft Azure, il provisioning del provider di connettività e la configurazione del routing della rete IT interna e del servizio continuo
Determinare se è necessario stabilire più circuiti ExpressRoute per le distribuzioni distribuite
Problemi di prestazioni di connettività
Connettività LAN
Alcuni dei problemi comuni che un utente potrebbe riscontrare sono:
La connettività nella rete locale è già saturata ancora prima di aggiungere una applicazione browser complessa al mix.
Microsoft Power Platform sta sostituendo un'applicazione client ingombrante in cui solo i dati erano trasmessi attraverso la rete, senza le informazioni di presentazione.
È importante capire che un'applicazione browser, pur richiedendo meno in termini di amministrazione della distribuzione lato client, richiederà una larghezza di banda maggiore rispetto a un'applicazione client ingombrante, e quindi una rete locale già saturata soffrirà ulteriormente con l'aggiunta di nuovi servizi.
Connettività WAN mediocre
In base all'analisi di rete della connettività al servizio online, un modello comune è che a un certo punto il traffico di rete attraversa una route di rete interna che aggiunge una latenza significativa. Ciò può essere dovuto a condizioni come:
Saturazione del collegamento WAN.
Elaborazione proxy, con maggiore latenza e sovraccarico.
Routing interno inefficiente (ad esempio, routing nella rete aziendale piuttosto che un routing a Internet in precedenza).
Se il traffico Microsoft Power Platform soffre di queste condizioni, anche le prestazioni del client possono risentirne.
Connettività Internet mediocre
L'aggiunta di servizi cloud può introdurre un ulteriore consumo e carico sulla connessione aziendale a Internet. Ciò può verificarsi se:
La connessione Internet non è sufficiente per supportare il carico aggiuntivo.
All'interno della rete del fornitore di servizi Internet (ISP), l'instradamento del traffico verso la rete Microsoft è controllato dall'ISP; l'efficienza di tale instradamento può variare.
La connessione soffre di una combinazione di traffico, che influisce sulla qualità della connessione (ad esempio, più sessioni di formazione basate su Internet, Microsoft Stream o video YouTube con traffico verso un'applicazione business-critical in competizione per la larghezza di banda disponibile). Ciò potrebbe essere complessivamente sufficiente per il volume di traffico, ma potenzialmente potrebbe influire sulle prestazioni attraverso picchi di domanda, che attività come lo streaming video genereranno.
Tutto ciò può essere risolto ottenendo una larghezza di banda aggiuntiva o connessioni distinte tramite l'ISP. In particolare, avere una connessione distinta dedicata al traffico prioritario può migliorare le prestazioni e la prevedibilità del traffico.
Inoltre, assicurati di impostare correttamente Qualità del servizio (QoS). Se stai usando Microsoft Teams e Microsoft Stream, fai riferimento a Requisiti di QoS in ExpressRoute.
Controllo della sicurezza
La configurazione successiva da considerare è il controllo della sicurezza. ExpressRoute di per sé non crittografa né filtra il traffico in modo nativo (ad eccezione di ExpressRoute Direct con MACsec abilitato); stabilisce semplicemente una connessione privata, anziché condivisa, direttamente tra il Microsoft datacenter e quello del cliente tramite il relativo provider di connettività.
Qualsiasi richiesta proveniente da qualsiasi servizio online o servizio Azure alla subnet pubblicizzata tramite un circuito ExpressRoute verrà instradata tramite tale circuito, indipendentemente dal servizio o dal cliente. Microsoft Poiché la richiesta viene instradata a livello di rete, non è disponibile alcun controllo a livello di applicazione per determinare se si tratta di un richiedente appropriato per quel servizio di destinazione.
Per quanto riguarda il traffico verso i servizi, poiché si tratta di servizi pubblici condivisi, è possibile accedervi direttamente tramite la rete Internet pubblica. Microsoft Il controllo dell'accesso a questi servizi viene gestito tramite servizi di autenticazione e autorizzazione a livello di applicazione. Sono ulteriormente protetti a livello di infrastruttura contro le intrusioni e le minacce come gli attacchi denial-of-service.
Per il traffico dai servizi ai servizi ospitati locale, il cliente è responsabile di fornire una protezione simile ai propri servizi quando il traffico viene ricevuto tramite una connessione ExpressRoute. Microsoft
Possibilità di limitare l'uso di ExpressRoute solo a determinati servizi Microsoft
Una delle sfide che potresti dover affrontare è quella di voler utilizzare ExpressRoute per un particolare servizio cloud ma non per altri. Microsoft Sebbene le diverse opzioni di peering forniscano qui un certo livello di controllo, il peering stesso non fornisce un controllo granulare all'interno di servizi dello stesso tipo di peering (ad esempio per abilitare il routing solo alle macchine virtuali di Azure ma non per Microsoft 365). È possibile, tuttavia, utilizzare le community Border Gateway Protocol (BGP) per configurare il traffico solo per servizi specifici.
Questo è rilevante per i servizi Microsoft Power Platform con Microsoft 365, dove l'instradamento tramite ExpressRoute potrebbe essere desiderabile per un servizio ma non per entrambi, o solo per determinati servizi individuali di Microsoft 365 come Microsoft Teams.
ExpressRoute non offre attualmente la possibilità di configurare direttamente i servizi da instradare via un circuito ExpressRoute specifico a questo livello di granularità del servizio, ma le community BGP possono essere usate per controllarlo.
Microsoft pubblicizza percorsi nei percorsi di peering con percorsi contrassegnati utilizzando valori della community BGP appropriati per posizioni geografiche e tipi di servizio. Microsoft Questi possono quindi essere configurati nei router del cliente per instradare il traffico per tali servizi tramite il circuito ExpressRoute.
Puoi usare diversi tag per i servizi Microsoft 365 per instradare il traffico solo per quei servizi attraverso il circuito ExpressRoute e instradare il resto attraverso un circuito ExpressRoute diverso o la rete Internet pubblica.
Microsoft Power Platform: i valori specifici della community BGP non sono disponibili come lo sono per i servizi Microsoft 365. Le community BGP regionali sono usate con le aree geografiche di Microsoft Azure corrispondenti utilizzate per ogni ambiente Microsoft Power Platform. Poiché gli ambienti Microsoft Power Platform utilizzano due set di data center, assicurati di dare un'occhiata alla Panoramica dell'aree geografiche per determinare quali sono i due data center utilizzati. Ulteriori informazioni, Community BGP per GCC
Microsoft 365
Poiché sia i servizi che i servizi sono offerti tramite peering, l'impostazione del peering pubblicizzerebbe per impostazione predefinita tutti i servizi e i servizi nel circuito ExpressRoute. Microsoft Power Platform Microsoft 365 Microsoft Microsoft Microsoft Power Platform Microsoft 365
Il risultato è che l'abilitazione delle community BGP per instradare il traffico di un servizio comporterebbe l'instradamento di entrambi attraverso ExpressRoute. Ciò potrebbe essere o meno desiderabile, ma può avere risultati sfavorevoli. Ad esempio, se hai determinato la larghezza di banda di rete necessaria per Microsoft Power Platform e dimensionato di conseguenza la connessione ExpressRoute, ma poi inavvertitamente instradi anche tutto il tuo traffico Microsoft 365 tramite ExpressRoute, ciò potrebbe saturare la rete e causare problemi di prestazioni.
Sebbene l'abilitazione di ExpressRoute per il peering instraderà tutto il traffico attraverso la connessione ExpressRoute, è possibile utilizzare i tag della community BGP per controllare il routing in modo che solo servizi specifici, come alcuni servizi ma non altri, utilizzino la connessione ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365 Microsoft Power Platform Microsoft 365 In particolare, non tutti i servizi Microsoft 365 sono progettati per funzionare con ExpressRoute. Attualmente, i servizi Microsoft Power Platform non hanno una community BGP designata come alcuni servizi Microsoft 365. Dovresti invece usare le community BPG regionali per la corrispondenza con l'area geografica in cui l'ambiente Microsoft Power Platform è stato creato.
Per ulteriori informazioni sull'instradamento di Microsoft 365, vai alla documentazione sull'instradamento selettivo con Microsoft 365.
Poiché i servizi Microsoft Power Platform funzionano parzialmente nell'ambito del servizio Microsoft 365 sono richiesti anche molti servizi incrociati come il portale di amministrazione e l'autenticazione. Non è possibile proteggere tutti questi servizi utilizzando ExpressRoute; l'interfaccia di amministrazione Microsoft 365, ad esempio, non è pubblicata su ExpressRoute.
Supporto per cloud sovrani
I clienti tenuti a soddisfare le normative governative o specifiche del paese/area geografica possono scegliere di utilizzare un cloud sovrano. I cloud sovrani si trovano fisicamente in un'area geografica per soddisfare i requisiti specifici di quel particolare governo o paese. Ad esempio, Power Apps for Government Community Cloud (GCC) si trova negli Stati Uniti, dove soddisfa normative e certificazioni specifiche degli Stati Uniti nonché i protocolli per soddisfare tali requisiti.
Guarda questo video che descrive la disponibilità di Microsoft Power Platform con i cloud sovrani: Video: Cloud sovrani con Marty Carreras.
Quando prendi in considerazione l'uso di un ambiente cloud sovrano, è necessario considerare quali limitazioni esistono, poiché non tutte le funzionalità sono disponibili rispetto agli ambienti cloud pubblici. La disponibilità di ogni ambiente per Microsoft Power Platform è elencata nella tabella seguente. Per altre differenze di disponibilità, leggi la documentazione sulle aree geografiche dei data center.
| Regione | Supporto ExpressRoute |
|---|---|
| US Government Community Cloud (GCC) | Supportato 1 |
| Nuvola della comunità del governo degli Stati Uniti alta (GCC High) | Supportato 1 |
| Cina | Supportato 2 |
1 I clienti devono utilizzare Azure Government ExpressRoute quando utilizzano regioni o Stati Uniti GCC e non possono utilizzare Azure Commercial Cloud ExpressRoute. GCC High 2 I clienti devono usare Azure China ExpressRoute quando usano le aree geografiche della Cina e non possono usare ExpressRoute per il cloud di Azure Commercial.
Costi di Azure ExpressRoute
Quando si stimano i costi per ExpressRoute, è necessario considerare diversi elementi:
Costi di Azure
Costi del provider di connettività
Costi di installazione interna
Nel determinare con precisione il caso aziendale, è importante considerare tutti questi costi durante la valutazione di ExpressRoute per Microsoft Power Platform. Ogni costo è descritto nelle sezioni seguenti.
Costi di Azure
Azure ExpressRoute può essere acquistato in diversi modelli.
Tipo di fatturazione
A consumo: un costo di abbonamento al mese con traffico in entrata illimitato ma una tariffa per GB per il traffico in uscita
Illimitato: un costo di abbonamento base al mese con traffico in entrata e in uscita illimitato
SKU/Piano
Standard
Connessione di base tramite ExpressRoute
Accesso ai servizi in una singola area geografica
Se il circuito ExpressRoute si trova nella stessa area geografica dell'ambiente Microsoft Power Platform a cui gli utenti si connettono, per quel circuito è necessario solo ExpressRoute standard
Premium
Offre l'accesso a servizi geografici in tutto il mondo da qualsiasi luogo venga effettuata la connessione
Se un utente si connette tramite un circuito ExpressRoute da un'area geografica diversa rispetto al servizio finale, richiederà ExpressRoute Premium per quel circuito ExpressRoute.
Ulteriori informazioni: Prezzi di Azure ExpressRoute
Costi del provider di connettività
In alcuni casi, i costi per stabilire la connessione con il provider di connettività possono essere significativi. Questi sono separati dai costi di Azure per ExpressRoute.
Attività del cliente per configurare il routing di rete
Per abilitare ExpressRoute, il routing di rete deve essere configurato internamente.
Per molti clienti, ciò richiederà un addebito incrociato interno al team di rete o un costo esterno a un provider di outsourcing IT, o almeno un costo di opportunità per le attività del personale interno relative alla configurazione.
Impatto sui servizi Microsoft Power Platform, Microsoft 365 e Azure in uso
Quando il peering è abilitato, il traffico per i servizi, e Azure verrà configurato in modo che venga instradato tramite ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365
Se stai già utilizzando applicazioni Dynamics 365 o senza ExpressRoute, è importante prestare attenzione all'impatto su questi servizi esistenti quando abiliti il peering tramite ExpressRoute (che è il comportamento predefinito). Microsoft Power Platform Microsoft 365 Microsoft Potrebbe essere necessario configurare il routing utilizzando le community BGP per separare il traffico verso differenti servizi.
Riutilizzo di ExpressRoute su più servizi online
È possibile utilizzare una singola connessione ExpressRoute per accedere a più servizi online, ad esempio Microsoft Power Platform, Dynamics 365, Microsoft 365, e Azure.
Diagramma che mostra una connessione ExpressRoute condivisa con servizi pubblici e Azure. Microsoft Microsoft il peering per Microsoft 365, Microsoft Power Platform, Dynamics 365 e i servizi pubblici di Azure condividono la stessa connessione ExpressRoute con il peering privato di Azure per le reti virtuali.
ExpressRoute di per sé non separa i diversi tipi di servizi da una particolare subnet. Microsoft È possibile usare i tag della community BGP per controllare il routing del traffico verso particolari servizi in ExpressRoute. Microsoft non instrada il traffico attraverso ExpressRoute in modo selettivo in base ai tag della community BGP. Se il traffico deve essere restituito in modo diverso in base al tipo di servizio, assicurati che il traffico provenga da indirizzi IP pubblici diversi. Poiché il traffico che ritorna a una subnet verrà gestito a livello di rete, sarebbe pericoloso configurare solo una parte del traffico da una subnet per usare ExpressRoute, in quanto ciò può portare a un routing asimmetrico.