ExpressRoute をMicrosoft Power Platform で使用する前に考慮すべきこと
ExpressRoute の設定の複雑さは、しばしば過小評価されています。 特に、次のアクションと影響は、計画または実行のいずれかで見過ごされがちです。
ExpressRoute に接続されたサブネットにトラフィックをルーティングするようにネットワークを構成する
トラフィックがインターネットを介して直接 Microsoft Power Platform に送信される非対称ルーティングの回避、しかし ExpressRoute によって企業ネットワークに返され、ファイアウォールによるトラフィックの拒否をトリガーします
ExpressRoute のプロビジョニングの全体的なコスト (以下を含む) Microsoft Azure サービス、接続プロバイダーのプロビジョニング、継続的なサービスと内部 IT ネットワークルーティング構成
分散型展開用に複数の ExpressRoute 回線を確立する必要があるかどうかの決定
接続パフォーマンス上の問題
LAN 接続
ユーザーが経験する可能性のある一般的な問題のいくつかは次のとおりです。
リッチ ブラウザー アプリケーションをミックスに追加する前に、ローカル ネットワーク内の接続はすでに飽和しています。
Microsoft Power Platform は、データとプレゼンテーション情報の両方ではなく、データのみがネットワークを介して送信されるシック クライアント アプリケーションに取って代わります。
ブラウザー アプリケーションは、クライアント側の展開管理に関しては必要ではありませんが、シック クライアント アプリケーションよりも高い帯域幅を必要とするため、すでに飽和状態になっているローカル ネットワークは、新しいサービスの追加によってさらに問題が発生することを理解することが重要です。
不良な WAN 接続
オンライン サービスへの接続のネットワーク分析に基づくと、一般的なパターンは、ある時点でネットワーク トラフィックが内部ネットワーク ルートを通過するため、大幅な遅延が発生することです。 これは、次のような条件が原因である可能性があります。
WAN リンクの飽和。
待ち時間とオーバーヘッドが増加した、プロキシ処理中。
非効率的な内部ルーティング (たとえば、以前にインターネットにルーティングするのではなく、企業ネットワーク内でルーティングする)。
Microsoft Power Platform トラフィックがこれらの課題に悩まされている場合、クライアントのパフォーマンスも低下する可能性があります。
不良なインターネット接続
クラウド サービスを追加すると、インターネットへの企業接続に余分な消費と負荷がかかる可能性があります。 以下の原因が考えられます。
インターネット接続が、追加の負荷をサポートするのに十分ではない。
インターネット サービス プロバイダー (ISP) のネットワーク内では、そのトラフィックの Microsoft ネットワークへのルーティングはISPによって制御されますが、そのルーティングの効率は異なる場合があります。
接続は、接続の品質に影響を与えるトラフィックの混合に悩まされている (たとえば、複数のインターネット ベースのトレーニング セッション、利用可能な帯域幅をめぐって競合するビジネスクリティカルなアプリケーションへのトラフィックを含む Microsoft Stream ビデオ、または YouTube ビデオ)。 これはトラフィックの量に対して全体的に十分かもしれませんが、ビデオ ストリーミングのような活動がもたらす需要のピークを通じてパフォーマンスに影響を与える可能性があります。
これらの問題は、ISP を介して追加の帯域幅または個別の接続を取得することで対処できます。 特に、優先トラフィック専用の個別の接続があると、トラフィックのパフォーマンスと予測可能性の両方に役立ちます。
また、サービス品質 (QoS) が正しく設定されていることを確認してください。 Microsoft Teams と Microsoft Stream を使用している場合、ExpressRoute 内 の QoS 要件 を参照してください。
セキュリティ コントロール
考慮する必要がある次の構成は、セキュリティ制御です。 ExpressRoute自体は、トラフィックをネイティブに暗号化またはフィルタリングしません ( MACsecが有効になっているExpressRoute Direct を除く)。接続プロバイダーを介して、 Microsoft と顧客のデータセンターの間で共有ではなくプライベートな接続を直接確立するだけです。
任意のオンライン サービスまたはAzureサービスからExpressRoute回線を通じてアドバタイズされたサブネットへの要求は、サービスや顧客に関係なく、その回線経由でルーティングされます。 Microsoft 要求はネットワーク層でルーティングされるため、それがその宛先サービスの適切な要求者であるかどうかを判断するためのアプリケーション レベルの制御はありません。
Microsoft サービスへのトラフィックは、パブリック共有サービスであるため、パブリック インターネット経由で直接アクセスできます。 これらのサービスへのアクセス制御は、アプリケーション レベルの認証および承認サービスを通じて処理されます。 これらは、インフラストラクチャ レベルで、侵入やサービス拒否攻撃などの脅威からさらに保護されます。
Microsoft サービスから オンプレミスの ホスト サービスへのトラフィックについては、ExpressRoute接続を介してトラフィックを受信するときに、顧客は自社のサービスに対して同様の保護を提供する責任があります。
ExpressRouteの使用を特定の Microsoft サービスのみに制限する機能
直面する可能性のある課題の1つは、特定のクラウド サービスにはExpressRouteを使用し、他のクラウド サービスには使用したくないという点です。 Microsoft ここでは、さまざまなピアリング オプションによってある程度の制御が提供されますが、ピアリング自体は、同じピアリング タイプのサービス内で詳細な制御を提供しません (たとえば、Azure 仮想マシンへのルーティングのみを有効にし、Microsoft 365 にはしないなど)。 ただし、Border Gateway Protocol (BGP) コミュニティを使用して、特定のサービスのみのトラフィックを設定することは可能です。
これは Microsoft 365 がある場合の Microsoft Power Platform サービスに関連しており、ここでは ExpressRoute を介したルーティングが 1 つのサービスには望ましいが、両方には望ましくない、または Microsoft Teams などの Microsoft 365 の特定の個々のサービスに対してのみ望ましい可能性があります。
ExpressRoute 自体は現在、このレベルのサービス粒度で特定の ExpressRoute 回線を介してルーティングされるようにサービスを直接構成する機能を提供していませんが、BGP コミュニティを使用してこれを制御できます。
Microsoft 地理的な場所とサービス タイプに適切なBGPコミュニティ値を使用してタグ付けされたルートを含むピアリング パス内のルートをアドバタイズします。 Microsoft これらは、ExpressRoute 回線を介してこれらのサービスのトラフィックをルーティングするように、顧客のルーターで構成できます。
別のMicrosoft 365 サービスのタグ を使用して、これらのサービスのトラフィックのみを ExpressRoute 回線を介してルーティングし、残りを別の ExpressRoute 回線またはパブリック インターネットを介してルーティングできます。
Microsoft Power Platform 固有の BGP コミュニティ値は、これらが Microsoft 365 サービス向けであるようには利用できません。 代わりに、地域の BGP コミュニティ が、それぞれの Microsoft Power Platform 環境に使用される対応 Microsoft Azure 地域とともに使用されます。 なぜなら Microsoft Power Platform 環境は 2 セットのデータセンターを使用しますので、必ず 地域の概要 を確認して、使用されている 2 つのデータセンターを確認してください。 詳細: GCC 用 BGP コミュニティ
Microsoft 365
サービスとサービスはどちらもピアリングを通じて提供されるため、ピアリングを設定すると、デフォルトでExpressRoute回線全体のすべてのサービスとサービスがアドバタイズされます。 Microsoft Power Platform Microsoft 365 Microsoft Microsoft Microsoft Power Platform Microsoft 365
この結果、BGP コミュニティが 1 つのサービスのトラフィックをルーティングできるようにすると、両方が ExpressRoute を介してルーティングされることになります。 これは望ましい場合と望ましくない場合がありますが、好ましくない結果になる可能性があります。 たとえば、Microsoft Power Platform に必要なネットワーク帯域幅を決定した場合、それに応じて ExpressRoute 接続のサイズを設定しましたが、誤ってすべてのExpressRouteを介した Microsoft 365 トラフィックもルーティングし、これによりネットワークが飽和状態になり、パフォーマンスの問題が発生する可能性があります。
ExpressRouteをピアリング用に有効にすると、すべてのトラフィックがExpressRoute接続を介してルーティングされますが、BGPコミュニティ タグを使用してルーティングを制御し、特定のサービス (たとえば、他のサービスではなくサービス) のみがExpressRoute接続を使用するようにすることができます。 Microsoft Microsoft Power Platform Microsoft 365 Microsoft Power Platform Microsoft 365 特に、すべての Microsoft 365 サービスが ExpressRoute で動作するように設計されているわけではありません。 現在、Microsoft Power Platform サービスには、いくつかの Microsoft 365 サービスがおこなう ような指定された BGP コミュニティはありません。 代わりに、地域の BPG コミュニティ を使用して、Microsoft Power Platform 環境 が作成された地域に合わせなければなりません。
Microsoft 365 のルーティングの詳細については、Microsoft 365 での選択的ルーティング のドキュメントに移動します。
Microsoft Power Platform サービスは Microsoft 365 サービスの一部であることから、管理ポータルや認証などの多くのクロス オーバーサービスも必要です。 ExpressRouteを使用してこれらのサービスのすべてを保護することはできません。たとえば、Microsoft 365管理センターは ExpressRoute 全体で公開されていません。
ソブリン クラウドのサポート
政府または国/地域固有の規制を満たす必要があるお客様は、ソブリン クラウドの使用を選択できます。 ソブリン クラウドは、その特定の政府または国に固有の要件を満たすために、物理的に地域に配置されています。 例えば、Power Apps for Government Community Cloud (GCC) は米国にあり、米国ではそれは米国政府特定の規制と認証、およびそれらの要件を満たすためのプロトコルを満たしています。
このビデオを見て、Microsoft Power Platform がいかにソブリン クラウドで利用可能なのかについてご覧ください: ビデオ: マーティ カレラスとのソブリン クラウド。
ソブリン クラウド環境の使用を検討するときは、パブリック クラウド環境と比較してすべての機能を利用できるわけではないため、どのような制限が存在するかを考慮する必要があります。 Microsoft Power Platform の各環境での可用性は次の表にリストされています。 可用性のその他の違いについては、データセンターの地域 に関するドキュメントをお読みください。
| 地域 | ExpressRouteサポート |
|---|---|
| US Government Community Cloud (GCC) | サポート 1 |
| 米国政府コミュニティクラウド高 (GCC High) | サポート 1 |
| 中国 | サポート 2 |
1 お客様は、米国GCCまたは GCC High リージョンを使用する場合、Azure Government ExpressRouteを使用する必要があります。Azure商用クラウドExpressRouteは使用できません。 2 顧客は、中国リージョンを使用する場合は Azure China ExpressRoute を使用する必要があり、Azure Commercial Cloud ExpressRoute を使用することはできません。
Azure ExpressRoute コスト
ExpressRoute のコストを見積もるときは、いくつかの要素を考慮する必要があります。
Azure コスト
接続性プロバイダーのコスト
内部セットアップの労力コスト
ビジネス ケースを正確に決定するには、Microsoft Power Platform 向けの ExpressRoute を評価する際にこれらすべてのコストを考慮することが重要です。 それぞれについては、以降のセクションで議論します。
Azure コスト
Azure ExpressRoute はさまざまなモデルで購入できます。
請求の種類
従量制:無制限のインバウンド トラフィックを伴う月額の基本サブスクリプション コスト、ただしアウトバウンド トラフィックの GB あたりの料金
無制限: 無制限のインバウンドおよびアウトバウンド トラフィックを使用した 1 か月あたりの基本サブスクリプション コスト
SKU / プラン
標準
ExpressRoute を使用した基本的な接続
単一の地理的地域内のサービスへのアクセスを提供する
ExpressRoute 回線がユーザーが接続している Microsoft Power Platform 環境と同じリージョン内にある場合では、その回線には ExpressRoute 標準のみが必要です
Premium
接続が確立されている場所から世界中の地理的サービスへのアクセスを提供します
ユーザーがエンド サービスとは異なるリージョンから ExpressRoute 回線を介して接続する場合、その ExpressRoute 回線には ExpressRoute Premium が必要になります。
接続性プロバイダーのコスト
場合によっては、接続プロバイダーとの接続を確立するためのコストが高額になる可能性があります。 これらは、ExpressRoute の Azure のコストとは別のものです。
ネットワーク ルーティングを構成するための社内顧客の取り組み
ExpressRoute を有効にするには、ネットワーク ルーティングを内部で設定する必要があります。
多くの顧客にとって、これには、ネットワーク チームへの内部クロスチャージ、IT アウトソーシング プロバイダーへの外部コスト、または少なくとも内部スタッフが構成に集中するための機会費用が必要になります。
既存の Microsoft Power Platform、Microsoft 365、および使用中の Azure サービスへの影響
ピアリングが有効になっている場合、サービス、AzureのトラフィックがExpressRoute経由でルーティングされるように構成されます。 Microsoft Microsoft Power Platform Microsoft 365
既にDynamics 365アプリケーションを使用している場合、またはExpressRouteを使用せずに使用している場合は、ExpressRoute経由のピアリングを有効にすると (既定の動作)、これらの既存のサービスにどのような影響が及ぶかに注意する必要があります。 Microsoft Power Platform Microsoft 365 Microsoft 異なるサービスへのトラフィックを分離するために、BGP コミュニティを使用してルーティングを構成する必要がある場合があります。
複数のオンライン サービスで ExpressRoute を再利用する
たとえば、単一の ExpressRoute 接続を使用して、Microsoft Power Platform、Dynamics 365、Microsoft 365、Azure などの複数のオンライン サービスにアクセスできます。
パブリック サービスとAzureとの共有ExpressRoute接続を示す図。 Microsoft Microsoft Microsoft 365、 Microsoft Power Platform、Dynamics 365、およびAzureパブリック サービスのピアリングは、仮想ネットワークのAzureプライベート ピアリングと同じExpressRoute接続を共有しています。
ExpressRoute自体は、特定のサブネットから異なるタイプの Microsoft サービスを分離しません。 BGP コミュニティタグを使用して、ExpressRoute 全体の特定のサービスへのトラフィックのルーティングを制御することができます。 Microsoft BGPコミュニティ タグに基づいて選択的にExpressRoute経由でトラフィックをルーティングしません。 サービスタイプに基づいてトラフィックを異なる方法で返す必要がある場合は、トラフィックが異なるパブリック IP アドレスからのものであることを確認してください。 サブネットに戻るトラフィックはネットワークレベルで処理されるため、ExpressRoute を使用するようにサブネットからの一部のトラフィックのみを構成すると、非対称ルーティングが発生する可能性があるため、危険です。