Zaken waarmee u rekening moet houden voordat u ExpressRoute gebruikt met Microsoft Power Platform
De complexiteit van het instellen van ExpressRoute wordt vaak onderschat. Met name de volgende acties en implicaties worden vaak over het hoofd gezien, zowel bij de planning als bij de uitvoering:
Uw netwerk configureren om verkeer te routeren naar het subnet dat is verbonden met ExpressRoute
Vermijden van asymmetrische routering, waarbij verkeer rechtstreeks naar Microsoft Power Platform wordt geleid via internet maar via ExpressRoute terugkomt naar het bedrijfsnetwerk, waardoor het verkeer door de firewall wordt geblokkeerd
De totale kosten van het inrichten van ExpressRoute, inclusief Microsoft Azure-services, voorziening van connectiviteitsproviders en doorlopende configuratie van service en interne IT-netwerkroutering
Bepalen of er meerdere ExpressRoute-circuits tot stand moeten worden gebracht voor gedistribueerde implementaties
Problemen met connectiviteitsprestaties
LAN-connectiviteit
Enkele veelvoorkomende problemen die een gebruiker kan ondervinden, zijn:
De connectiviteit binnen het lokale netwerk is al verzadigd voordat een gegevensintensieve browsertoepassing aan de mix wordt toegevoegd.
Microsoft Power Platform vervangt een thick-clienttoepassing waarbij alleen de gegevens over het netwerk werden verzonden, in plaats van zowel gegevens als presentatiegegevens.
Het is belangrijk om te begrijpen dat een browsertoepassing een hogere bandbreedte vereist dan een thick-clienttoepassing, ook al stelt deze lagere eisen in termen van implementatiebeheer aan de clientzijde. Daarom zal een reeds verzadigd lokaal netwerk verder lijden door de toevoeging van nieuwe services.
Slechte WAN-connectivity
Gebaseerd op netwerkanalyse van connectiviteit met de online service, is een algemeen patroon dat netwerkverkeer op een bepaald punt een interne netwerkroute doorkruist die aanzienlijke latentie toevoegt. Dit kan komen door omstandigheden zoals:
Verzadiging van de WAN-koppeling.
Proxyverwerking, met meer latentie en overhead.
Inefficiënte interne routering (bijvoorbeeld routering binnen het bedrijfsnetwerk in plaats van eerdere routering naar internet).
Als Microsoft Power Platform-verkeer lijdt onder die uitdagingen, kunnen de prestaties bij de klant er ook onder lijden.
Slechte internetverbinding
Het toevoegen van clouddiensten kan leiden tot extra verbruik en belasting van de internetverbinding van het bedrijf. Dit kan gebeuren als:
De internetverbinding niet voldoende om de extra belasting te ondersteunen.
Binnen het netwerk van de internetprovider (ISP) wordt de routering van dat verkeer naar het netwerk van de ISP beheerd. De efficiëntie van die routering kan variëren. Microsoft
De verbinding heeft te lijden onder een mix van verkeer, wat de kwaliteit van de verbinding beïnvloedt (bijvoorbeeld meerdere op internet gebaseerde trainingssessies, Microsoft Stream, of YouTube-video's en verkeer naar een bedrijfskritische toepassing die allemaal een deel van de beschikbare bandbreedte proberen te krijgen). Dit kan in het algemeen voldoende zijn voor het verkeersvolume, maar kan mogelijk de prestaties beïnvloeden door pieken in de vraag, die kunnen worden veroorzaakt door activiteiten als videostreaming.
Deze zaken kunnen worden aangepakt door extra bandbreedte of afzonderlijke verbindingen via de ISP te krijgen. In het bijzonder kan het hebben van een aparte verbinding voor prioriteitsverkeer helpen, zowel wat betreft de prestaties als de voorspelbaarheid van het verkeer.
Zorg er ook voor dat u Quality of Service (QoS) correct instelt. Als u Microsoft Teams en Microsoft Stream gebruikt, raadpleegt u de QoS-vereisten binnen ExpressRoute.
Beveiligingsbeheer
De volgende configuratie waaraan u moet denken, is de beveiligingscontrole. ExpressRoute zelf versleutelt of filtert het verkeer niet op native wijze (met uitzondering van ExpressRoute Direct met MACsec ingeschakeld). Het brengt eenvoudigweg een privéverbinding tot stand, in plaats van een gedeelde verbinding, rechtstreeks tussen de Microsoft datacenters en de datacenters van de klant via hun connectiviteitsprovider.
Elk verzoek van een online service of Azure-service naar het subnet dat via een ExpressRoute-circuit wordt geadverteerd, wordt via dat circuit gerouteerd, ongeacht de service of klant. Microsoft Omdat de aanvraag wordt gerouteerd in de netwerklaag, is er geen controle op toepassingsniveau om te bepalen of het een geschikte aanvrager is voor die bestemmingsservice.
Voor verkeer naar Microsoft diensten geldt dat deze, omdat het openbare gedeelde diensten zijn, rechtstreeks toegankelijk zijn via het openbare internet. Toegangscontrole tot deze services wordt afgehandeld via verificatie- en autorisatieservices op applicatieniveau. Ze zijn verder op infrastructuurniveau beschermd tegen inbraak en bedreigingen zoals denial-of-service-aanvallen.
Voor verkeer van Microsoft services naar on-premises gehoste services is de klant verantwoordelijk voor het bieden van vergelijkbare bescherming voor zijn eigen services wanneer verkeer wordt ontvangen via een ExpressRoute-verbinding.
Mogelijkheid om het gebruik van ExpressRoute te beperken tot slechts bepaalde Microsoft services
Een van de uitdagingen waar u tegenaan kunt lopen, is dat u ExpressRoute voor een specifieke Microsoft cloudservice wilt gebruiken, maar niet voor andere. Hoewel de verschillende peering-opties hier enige mate van controle bieden, biedt de peering zelf geen gedetailleerde controle binnen services van hetzelfde peering-type (bijvoorbeeld om routering alleen naar virtuele Azure-machines in te schakelen, maar niet naar Microsoft 365). Het is echter mogelijk om Border Gateway Protocol (BGP)-community's te gebruiken om verkeer alleen voor specifieke services te configureren.
Dit is relevant voor Microsoft Power Platform-services met een Microsoft 365-aanwezigheid, waarbij routering via ExpressRoute misschien wenselijk is voor één service, maar niet voor beide, of alleen voor bepaalde individuele services van Microsoft 365 zoals Microsoft Teams.
ExpressRoute zelf biedt momenteel niet de mogelijkheid om services rechtstreeks te configureren om via een specifiek ExpressRoute-circuit te worden gerouteerd op dit serviceniveau, maar om dit te beheren kunnen BGP-community's worden gebruikt.
Microsoft Adverteert routes in de Microsoft peeringpaden met routes die zijn getagd met behulp van de juiste BGP-communitywaarden voor geografische locaties en servicetypen. Deze kunnen vervolgens worden geconfigureerd op de routers van de klant om verkeer voor die services te routeren via het ExpressRoute-circuit.
U kunt verschillende tags voor Microsoft 365-services gebruiken om alleen verkeer voor die services via het ExpressRoute-circuit te routeren en de rest over een ander ExpressRoute-circuit of het openbare internet te routeren.
Microsoft Power Platform-specifieke BGP-gemeenschapswaarden zijn niet beschikbaar zoals ze dat zijn voor Microsoft 365-services. In plaats daarvan worden regionale BGP-community's gebruikt met corresponderende Microsoft Azure-regio's die worden gebruikt voor elke Microsoft Power Platform-omgeving. Omdat Microsoft Power Platform-omgevingen twee sets van datacenters gebruiken, moet u ook kijken naar het overzicht van regio's om te controleren welke twee datacenters worden gebruikt. Meer informatie: BGP-community's voor GCC
Microsoft 365
Omdat Microsoft Power Platform services en Microsoft 365 services beide via Microsoft peering worden aangeboden, zou het instellen van Microsoft peering standaard alle Microsoft Power Platform services en Microsoft 365 services via het ExpressRoute-circuit adverteren.
Het resultaat hiervan is dat het inschakelen van BGP-community's om verkeer voor één service te routeren ertoe zou leiden dat beide via ExpressRoute worden gerouteerd. Dit kan al dan niet wenselijk zijn, maar het kan ongunstige resultaten hebben. Als u bijvoorbeeld de netwerkbandbreedte hebt bepaald die nodig is voor Microsoft Power Platform en de ExpressRoute-verbinding dienovereenkomstig dimensioneert, maar dan onbedoeld ook al uw Microsoft 365-verkeer via ExpressRoute routeert, kan dit uw netwerk verzadigen en prestatieproblemen veroorzaken.
Als u ExpressRoute voor peering inschakelt, wordt al het verkeer en alle verkeer via de ExpressRoute-verbinding gerouteerd. U kunt echter ook BGP-communitytags gebruiken om de routering te beheren, zodat alleen specifieke services (zoals services, maar geen andere services) gebruikmaken van de ExpressRoute-verbinding. Microsoft Microsoft Power Platform Microsoft 365 Microsoft Power Platform Microsoft 365 Niet alle Microsoft 365-services zijn namelijk ontworpen om met ExpressRoute te werken. Momenteel hebben Microsoft Power Platform-services geen aangewezen BGP-community zoals sommige Microsoft 365-services wel hebben. In plaats daarvan moet u regionale BPG-community's gebruiken die overeenkomen met de regio waar de Microsoft Power Platform-omgeving is gemaakt.
Voor meer informatie over routering in Microsoft 365, gaat u naar de documentatie op selectieve routering met Microsoft 365.
Omdat Microsoft Power Platform-services gedeeltelijk werken als onderdeel van de Microsoft 365-service, zijn ook veel crossover-services zoals het beheerdersportaal en verificatie vereist. Het is niet mogelijk om al deze services te beschermen met ExpressRoute; het Microsoft 365-beheercentrum wordt bijvoorbeeld niet gepubliceerd in ExpressRoute.
Ondersteuning voor onafhankelijke clouds
Klanten die aan overheids- of land-/regiospecifieke regelgeving moeten voldoen, kunnen ervoor kiezen om een onafhankelijke cloud te gebruiken. Onafhankelijke clouds bevinden zich fysiek in een regio om te voldoen aan de vereisten die specifiek zijn voor de overheid of het land in kwestie. Power Apps for Government Community Cloud (GCC) bevindt zich bijvoorbeeld in de Verenigde Staten, overeenkomstig de specifieke voorschriften en certificeringen van de Amerikaanse overheid, en voldoet aan de protocollen om aan die vereisten te voldoen.
Bekijk deze video waarin wordt beschreven hoe Microsoft Power Platform kan worden gebruikt in onafhankelijke clouds: Video: Onafhankelijke clouds met Marty Carreras.
Wanneer u overweegt een onafhankelijke cloudomgeving te gebruiken, moet u overwegen welke beperkingen er zijn, omdat niet alle functies beschikbaar zijn in vergelijking met openbare cloudomgevingen. De beschikbaarheid per omgeving voor Microsoft Power Platform wordt vermeld in de volgende tabel. Andere verschillen in beschikbaarheid vindt u in de documentatie over datacenterregio's.
| Regio | ExpressRoute-ondersteuning |
|---|---|
| US Government Community Cloud (GCC) | Ondersteund 1 |
| Amerikaanse overheidsgemeenschap Cloud Hoog (GCC High) | Ondersteund 1 |
| China | Ondersteund 2 |
1 Klanten moeten Azure Government ExpressRoute gebruiken wanneer ze gebruikmaken van de Amerikaanse GCC of regio's. Ze kunnen geen Azure Commercial Cloud ExpressRoute gebruiken. GCC High 2 Klanten moeten Azure China ExpressRoute gebruiken wanneer ze Chinese regio's gebruiken en kunnen geen Azure Commercial Cloud ExpressRoute gebruiken.
Kosten van Azure ExpressRoute
Bij het schatten van de kosten van ExpressRoute moet u rekening houden met verschillende elementen:
Azure-kosten
Kosten van de connectiviteitsprovider
Kosten van interne configuratie-inspanningen
Bij het nauwkeurig bepalen van de businesscase is het belangrijk om al deze kosten in overweging te nemen bij het evalueren van ExpressRoute voor Microsoft Power Platform. Elke post wordt behandeld in de volgende secties.
Azure-kosten
Azure ExpressRoute kan in verschillende modellen worden gekocht.
Factureringstype
Op verbruiksbasis: basisabonnementskosten per maand met onbeperkt inkomend verkeer, maar kosten per GB voor uitgaand verkeer
Onbeperkt: basisabonnementskosten per maand met onbeperkt inkomend en uitgaand verkeer
SKU / Plan
Standaard
Basisverbinding met ExpressRoute
Toegang tot diensten binnen één geografische regio
Als het ExpressRoute-circuit zich in dezelfde regio bevindt als de Microsoft Power Platform-omgeving waarmee gebruikers verbinding maken, is alleen de ExpressRoute-standaard vereist voor dat circuit
Premium
Toegang tot wereldwijde geografische diensten, ongeacht vanwaar de verbinding wordt gemaakt
Als een gebruiker verbinding maakt via een ExpressRoute-circuit uit een andere regio dan de eindservice, is ExpressRoute Premium vereist voor dat ExpressRoute-circuit.
Meer informatie: Azure ExpressRoute-prijzen
Kosten van de connectiviteitsprovider
In sommige gevallen kunnen de kosten voor het tot stand brengen van de verbinding met de connectiviteitsaanbieder aanzienlijk zijn. Deze kosten staan los van de Azure-kosten voor ExpressRoute.
Interne inspanningen van de klant voor het configureren van de netwerkroutering
Om ExpressRoute in te schakelen moet de netwerkroutering intern worden geconfigureerd.
Voor veel klanten vereist dit een extra belasting van het interne netwerkteam of externe kosten voor een IT-outsourcingprovider, of op zijn minst tijdkosten voor de inspanningen van interne medewerkers die zich met de configuratie moeten bezighouden.
Impact op bestaande Microsoft Power Platform-, Microsoft 365- en Azure-services in gebruik
Wanneer Microsoft peering is ingeschakeld, wordt het verkeer voor Microsoft Power Platform services, Microsoft 365 en Azure geconfigureerd om via ExpressRoute te worden gerouteerd.
Als u al Microsoft Power Platform Dynamics 365-toepassingen gebruikt of Microsoft 365 geen ExpressRoute gebruikt, is het belangrijk om rekening te houden met de gevolgen voor deze bestaande services wanneer u Microsoft peering via ExpressRoute inschakelt (dit is de standaardinstelling). Het kan nodig zijn om routering te configureren door middel van BGP-community's om verkeer naar verschillende services te scheiden.
ExpressRoute hergebruiken voor meerdere online services
Een enkele ExpressRoute-verbinding kan worden gebruikt om toegang te krijgen tot meerdere online services, bijvoorbeeld Microsoft Power Platform, Dynamics 365, Microsoft 365 en Azure.
Diagram met een gedeelde ExpressRoute-verbinding met Microsoft openbare services en Azure. Microsoft peering voor Microsoft 365, Microsoft Power Platform, Dynamics 365 en openbare Azure-services delen dezelfde ExpressRoute-verbinding met Azure private peering voor virtuele netwerken.
ExpressRoute zelf scheidt geen verschillende typen Microsoft services van een bepaald subnet. Het is mogelijk om BGP-communitytags te gebruiken om de routering van verkeer naar bepaalde services in ExpressRoute te beheren. Microsoft routeert verkeer niet selectief terug via ExpressRoute op basis van BGP-communitytags. Als verkeer anders moet worden geretourneerd op basis van het servicetype, moet u ervoor zorgen dat het verkeer afkomstig is van verschillende openbare IP-adressen. Omdat al het verkeer dat terugkeert naar een subnet wordt verwerkt op netwerkniveau, zou het gevaarlijk zijn om slechts een deel van het verkeer van een subnet te configureren om ExpressRoute te gebruiken, omdat dit kan leiden tot asymmetrische routering.