Ting du bør vurdere før du bruker ExpressRoute med Microsoft Power Platform
Kompleksiteten ved konfigurering av ExpressRoute er ofte undervurdert. Spesielt blir følgende handlinger og implikasjoner ofte oversett, enten i planlegging eller utførelse:
Konfigurere nettverket til å rute trafikk til delnettverket som er koblet til ExpressRoute
Unngå asymmetrisk ruting, der trafikk går direkte til Microsoft Power Platform over Internett, men returneres av ExpressRoute til bedriftsnettverket og utløser avvisning av trafikk fra brannmuren
De samlede kostnadene ved klargjøring av ExpressRoute, inkludert Microsoft Azure-tjenester, klargjøring av tilkoblingsleverandør og pågående konfigurasjon av tjenester og ruting av interne IT-nettverk
Avgjøre om flere ExpressRoute-kretser bør etableres for distribusjoner
Ytelsesproblemer med tilkobling
LAN-tilkobling
Dette er noen av de vanligste problemene en bruker kan oppleve:
Tilkoblingen til det lokale nettverket er allerede mettet før du legger til et rikt nettleserprogram i blandingen.
Microsoft Power Platform erstatter et tykt klientprogram der bare dataene ble overført over nettverket, i stedet for både data- og presentasjonsinformasjon.
Det er viktig å forstå at et nettleserprogram, samtidig som det krever mindre når det gjelder administrasjon av distribusjon på klientsiden, krever høyere båndbredde enn et tykt klientprogram, og derfor vil et allerede mettet lokalt nettverk lide ytterligere med tillegg av nye tjenester.
Dårlig WAN-tilkoblingsmulighet
Et vanlig mønster er at nettverkstrafikken på et tidspunkt krysser en intern nettverksrute som legger til betydelig ventetid, basert på nettverksanalyse for tilkobling til den elektroniske tjenesten. Dette kan skyldes for eksempel følgende betingelser:
Metning av WAN-koblingen.
Proxy-behandling som gir økt ventetid og kostnad.
Ineffektiv intern ruting (for eksempel ruting i bedriftsnettverket i stedet for å rute ut til Internett tidligere).
Hvis Microsoft Power Platform-trafikk påvirkes av disse utfordringene, kan det også hende at ytelsen til klienten blir påvirket.
Dårlig Internett-tilkobling
Hvis du legger til skytjenester, kan det føre til ekstra forbruk og belastning for bedriftstilkoblingen til Internett. Dette kan skje hvis:
Internett-tilkoblingen er ikke tilstrekkelig til å støtte den ekstra belastningen.
Innenfor Internett-leverandørens (ISP) sitt nettverk kontrolleres rutingen av den trafikken til Microsoft nettverket av ISP; effektiviteten til denne rutingen kan variere.
Tilkoblingen er påvirket av en blanding av trafikk, noe som påvirker kvaliteten på tilkoblingen (for eksempel flere Internett-baserte opplæringsøkter, Microsoft Stream eller YouTube-videoer med trafikk til et forretningskritisk program som konkurrerer om den tilgjengelige båndbredden). Dette kan være tilstrekkelig generelt for trafikkvolumet, men kan potensielt påvirke ytelsen gjennom topper i etterspørselen, noe aktivitet som videostrømming vil introdusere.
Disse tingene kan håndteres ved å få mer båndbredde eller separate tilkoblinger via Internett-leverandøren. Det å ha en separat tilkobling dedikert til prioritert trafikk, kan særlig bidra til både ytelsen og forutsigbarheten i trafikk.
Pass også på at du konfigurerer kvalitet på servicen (QoS) på riktig måte. Hvis du bruker Microsoft Teams og Microsoft Stream, kan du se QoS-kravene i ExpressRoute.
Sikkerhetskontroll
Den neste konfigurasjonen du må vurdere, er sikkerhetskontrollen. ExpressRoute i seg selv krypterer eller filtrerer ikke trafikk opprinnelig (med unntak av ExpressRoute Direct med MACsec aktivert), den oppretter ganske enkelt en privat, i stedet for delt, tilkobling direkte mellom datasentrene Microsoft og kundedatasentrene gjennom tilkoblingsleverandøren.
Alle forespørsler fra en Microsoft nettbasert tjeneste eller Azure-tjeneste til delnettet som annonseres gjennom en ExpressRoute-krets, rutes via denne kretsen, uavhengig av tjenesten eller kunden. Ettersom forespørselen rutes på nettverkslaget, finnes det ingen programnivåkontroll for å avgjøre om dette er en passende anmoder for denne måltjenesten.
For trafikk til Microsoft tjenester, fordi dette er offentlige delte tjenester, kan de nås direkte over det offentlige internett. Tilgangskontroll til disse tjenestene håndteres gjennom godkjennings- og godkjenningstjenester på programnivå. De er ytterligere beskyttet på infrastrukturnivå mot inntrenging og trusler som tjenestenektangrep.
For trafikk fra Microsoft tjenester til lokale vertstjenester er kunden ansvarlig for å gi lignende beskyttelse som sine egne tjenester når trafikk mottas over en ExpressRoute-tilkobling.
Mulighet til å begrense ExpressRoute-bruk til bare bestemte Microsoft tjenester
En av utfordringene du kan møte, er å ønske å bruke ExpressRoute for en bestemt Microsoft skytjeneste, men ikke for andre. Selv om de forskjellige nodenettverksalternativene gir noe kontrollnivå her, gir ikke nodenettverk i seg selv detaljert kontroll innenfor tjenester av samme nodenettverkstype (for eksempel for å aktivere ruting bare til virtuelle Azure-maskiner, men ikke til Microsoft 365). Det er imidlertid mulig å bruke BGP-grupper (Border Gateway Protocol) til å konfigurere trafikk bare for bestemte tjenester.
Dette er relevant for Microsoft Power Platform-tjenester med en Microsoft 365-tilstedeværelse, der ruting via ExpressRoute kan være relevant for én tjeneste, men ikke for begge, eller bare for bestemte individuelle tjenester for Microsoft 365 for eksempel Microsoft Teams.
ExpressRoute selv tilbyr for øyeblikket ikke muligheten til å konfigurere tjenester direkte som skal rutes via en bestemt ExpressRoute-krets på dette servicenivået, men BGP-grupper kan brukes til å kontrollere dette.
Microsoft annonserer ruter i nodebanene Microsoft med ruter som er merket ved hjelp av riktige BGP-fellesskapsverdier for geografiske plasseringer og tjenestetyper. Disse kan deretter konfigureres i kundens rutere til å rute trafikk for disse tjenestene via ExpressRoute-kretsen.
Du kan bruke forskjellige merker for Microsoft 365-tjenester til å rute trafikk bare for disse tjenestene via ExpressRoute, og rute resten over en annen ExpressRoute-forbindelse eller på det offentlige Internett.
Microsoft Power Platform– bestemte BGP-fellesskapsverdier er ikke tilgjengelige slik de er for Microsoft 365-tjenester. I stedet brukes regionale BGP-grupper med tilhørende Microsoft Azure-områder som brukes for hvert Microsoft Power Platform-miljø. Fordi Microsoft Power Platform-miljøer bruker to sett med datasentre, må du se på oversikten over områder for å sjekke hvilke to datasentre som brukes. Mer informasjon: BGP-fellesskap for GCC
Microsoft 365
Fordi Microsoft Power Platform både tjenester og Microsoft 365 tjenester tilbys via Microsoft nodenettverk, vil konfigurering Microsoft av nodenettverk som standard annonsere alle Microsoft Power Platform tjenester og Microsoft 365 tjenester på tvers av ExpressRoute-kretsen.
Resultatet av dette er at hvis BGP-grupper kan rute trafikk for én tjeneste, vil dette føre til at begge rutes over ExpressRoute. Dette kan være ønskelig, men det kan føre til ugunstige resultater. Hvis du for eksempel har fastslått nettverksbåndbredden som er nødvendig for Microsoft Power Platform og har fått en tilsvarende størrelse på ExpressRoute-tilkoblingen, men ved et uhell også ruter all Microsoft 365-trafikken via ExpressRoute, kan dette mette nettverket og føre til ytelsesutfordringer.
Selv om aktivering av ExpressRoute for Microsoft nodenettverk ruter all Microsoft Power Platform trafikk Microsoft 365 gjennom ExpressRoute-tilkoblingen, er det mulig å bruke BGP-fellesskapskoder til å kontrollere rutingen, slik at bare bestemte tjenester, for eksempel Microsoft Power Platform tjenester, men ikke andre Microsoft 365 tjenester, bruker ExpressRoute-tilkoblingen. Det er ikke alle Microsoft 365-tjenester som er utviklet for å fungere med ExpressRoute. Microsoft Power Platform-tjenester har for øyeblikket ikke en BGP-gruppe som enkelte Microsoft 365-tjenester har. I stedet bør du bruke regionale BPG-grupper for å samsvare med området der Microsoft Power Platform-miljøet ble opprettet.
Hvis du vil ha mer informasjon om ruting av Microsoft 365, kan du gå til dokumentasjonen for selektiv ruting med Microsoft 365.
Siden Microsoft Power Platform-tjenester fungerer delvis som en del av Microsoft 365-tjenesten, kreves det også mange crossover-tjenester, for eksempel administrasjonsportalen og godkjenning. Det er ikke mulig å beskytte alle disse tjenestene ved hjelp av ExpressRoute. Administrasjonssenteret for Microsoft 365 publiseres for eksempel ikke på tvers av ExpressRoute.
Støtte for nasjonale skyer
Kunder som må overholde offentlige eller lands-/områdespesifikke forskrifter, kan velge å bruke en nasjonal sky. Nasjonale skyer befinner seg fysisk i et område for å oppfylle kravene som er spesifikke for den bestemte offentlig myndighet eller et bestemt land. For eksempel er Power Apps for Government Community Cloud (GCC) plassert i USA, der det oppfyllerspesifikke forskrifter og sertifiseringer fra amerikanske myndigheter, og oppfyller protokollene for å oppfylle disse kravene.
Se på denne videoen som beskriver Microsoft Power Platform hvordan er tilgjengelig med nasjonale skyer: Video: Nasjonale skyer med Marty Carreras.
Når du vurderer å bruke et nasjonalt skymiljø, må du vurdere hvilke begrensninger som finnes, fordi ikke alle funksjonene er tilgjengelige når de sammenlignes med offentlige skymiljøer. Tilgjengeligheten for hvert miljø for Microsoft Power Platform vises i tabellen nedenfor. Hvis du vil se andre forskjeller i tilgjengelighet, kan du lese gjennom dokumentasjonen om datasenterområder.
| Region | Støtte for ExpressRoute |
|---|---|
| US Government Community Cloud (GCC) | Støttes 1 |
| US Government Community Cloud Høy (GCC High) | Støttes 1 |
| Kina | Støttes 2 |
1 Kunder må bruke Azure Government ExpressRoute når de bruker US GCC eller GCC High områder, og kan ikke bruke ExpressRoute i Azure-skyen. 2 Kunder må bruke Azure Kina ExpressRoute når de bruker GCC- eller GCC High-områder i Kina, og de kan ikke bruke Azure Commercial Cloud ExpressRoute.
Azure ExpressRoute-kostnader
Når du beregner kostnadene for ExpressRoute, må du vurdere flere elementer:
Azure-kostnader
Kostnader for tilkoblingsleverandør
Interne kostnader for oppsettsinnsats
Når forretningssaken avgjøres nøyaktig, er det viktig å vurdere alle disse kostnadene når du evaluerer ExpressRoute for Microsoft Power Platform. Hver kostnad dekkes i avsnittene nedenfor.
Azure-kostnader
Azure ExpressRoute kan kjøpes i forskjellige modeller.
Faktureringstype
Målt: en basisabonnementkostnad per måned med ubegrenset inngående trafikk, men en kostnad per GB for utgående trafikk
Ubegrenset: grunnabonnementkostnad per måned med ubegrenset inngående og utgående trafikk
SKU / plan
Standard
Grunnleggende tilkobling ved hjelp av ExpressRoute
Tilby tilgang til tjenester innenfor ett enkelt geografisk område
Hvis ExpressRoute-kretsen er i samme region som Microsoft Power Platform-miljøet som brukere kobler til, er bare ExpressRoute-standarden nødvendig for denne kretsen
Premium
Tilbyr tilgang til geografiske tjenester over hele verden uansett hvor tilkoblingen er
Hvis en bruker kobler til via en ExpressRoute-krets fra en annen region enn sluttjenesten, kreves ExpressRoute Premium for denne ExpressRoute-kretsen.
Mer informasjon: Azure ExpressRoute-priser.
Kostnader for tilkoblingsleverandør
I noen tilfeller kan kostnadene for oppretting av tilkoblingen til tilkoblingsleverandøren være betydelige. Disse er atskilt fra Azure-kostnadene for ExpressRoute.
Internt kundeinnsats for å konfigurere nettverksrutingen
Hvis du vil aktivere ExpressRoute, må nettverksrutingen konfigureres internt.
For mange kunder krever dette en intern belastning for nettverksteamet eller en ekstern kostnad for en IT-leverandør, eller i det minste en mulighetskostnad for interne medarbeideres innsats for å fokusere på konfigurasjonen.
Påvirkninger på eksisterende Microsoft Power Platform-, Microsoft 365- og Azure-tjenester som er i bruk
Når Microsoft nodenettverk er aktivert, konfigurerer dette trafikk for Microsoft Power Platform tjenester Microsoft 365 og Azure som skal rutes via ExpressRoute.
Hvis du allerede bruker enten Microsoft Power Platform Dynamics 365-programmer eller Microsoft 365 uten ExpressRoute, er det viktig å være følsom for innvirkningen på disse eksisterende tjenestene når du aktiverer Microsoft nodenettverk via ExpressRoute (som er standard virkemåte). Det kan være nødvendig å konfigurere ruting ved å bruke BGP-grupper til å skille trafikk til forskjellige tjenester.
Bruke ExpressRoute på nytt på tvers av flere onlinetjenester
En enkelt ExpressRoute-tilkobling kan brukes til å få tilgang til flere nettbaserte tjenester, for eksempel Microsoft Power Platform, Dynamics 365, Microsoft 365 og Azure.
Diagram som viser en delt ExpressRoute-tilkobling med Microsoft offentlige tjenester og Azure. Microsoft nodenettverk for Microsoft 365, Microsoft Power Platform Dynamics 365 og offentlige Azure-tjenester deler den samme ExpressRoute-tilkoblingen med privat Azure-nodenettverk for virtuelle nettverk.
ExpressRoute i seg selv skiller ikke ulike typer Microsoft tjenester fra et bestemt delnett. Det er mulig å bruke BGP-fellesskapsmerker til å styre rutingen av trafikk til bestemte tjenester over ExpressRoute. Microsoft ruter ikke trafikk tilbake på tvers av ExpressRoute selektivt basert på BGP-fellesskapskoder. Hvis trafikk må returneres på en annen måte basert på tjenestetypen, må du kontrollere at trafikk kommer fra ulike offentlige IP-adresser. I og med at all trafikk som returneres til et delnettverk, håndteres på nettverksnivå, er det farlig å bare konfigurere noe trafikk fra et delnett til å bruke ExpressRoute, fordi dette kan føre til asymmetrisk ruting.