Compartilhar via

Configure o ExpressRoute para o Microsoft Power Platform

  • Artigo

O Microsoft Power Platform em si não precisa ser configurado especificamente para o ExpressRoute. O Microsoft Power Platform como um serviço usa o Microsoft Azure nos bastidores e foi integrado para oferecer suporte ao uso com o ExpressRoute. Portanto, você não precisa fazer nenhuma configuração específica dos ambientes do Microsoft Power Platform para especificar que o ExpressRoute está sendo usado.

Dentro da rede, o ExpressRoute manipula o tráfego anunciando o roteamento para sub-redes IP específicas para o circuito ExpressRoute específico em relação ao qual elas foram configuradas. Microsoft Como esse roteamento é anunciado por meio de uma conexão Border Gateway Protocol (BGP), ele geralmente é escolhido como a conexão mais eficiente para alcançar o destino em vez do roteamento via Internet.

No lado do cliente, a conexão BGP anuncia os prefixos IP dos serviços para cada tipo de emparelhamento configurado para o circuito do ExpressRoute.

A determinação de qual configuração de rede adicional você precisa dependerá de quais interações você deseja rotear pelo ExpressRoute.

Tráfego do servidor

Tráfego de entrada (tráfego para serviços do Microsoft Power Platform)

A configuração do tráfego de entrada exigirá o estabelecimento de roteamento interno no datacenter para preferir conexões por meio do circuito ExpressRoute para tráfego para serviços. Microsoft

Tráfego de saída (tráfego de serviços do Microsoft Power Platform)

Nos casos em que o tráfego é roteado de volta pelo ExpressRoute, como para um servidor local, não há controles no ExpressRoute para bloquear os serviços que fazem conexões. Todo o roteamento é feito no nível da rede e, portanto, não valida o serviço específico que faz a solicitação antes de rotear o tráfego.

As solicitações podem ser feitas de outros serviços para um SAC. Especificamente para o Microsoft Power Platform, que é um serviço compartilhado, não é possível bloquear as solicitações a determinado conjunto de máquinas. É necessário considerar o tráfego de volta pelo ExpressRoute como vindo de uma fonte externa, porque embora venha de um Microsoft datacenter, Microsoft não está controlando a origem das solicitações; outros serviços ao cliente podem tentar fazer conexões. Todas as conexões devem ser controladas como se viessem de um gateway externo.

O tráfego de saída será roteado de volta via ExpressRoute para o Microsoft Power Platform, por exemplo, solicitações de serviço Web personalizadas e sincronização no servidor.

Para que seja roteado de volta pelo ExpressRoute, o serviço que será conectado deve:

  • Ter um URL publicamente detectável.

  • Ter um endereço IP público que corresponda a uma sub-rede configurada para uma definição de emparelhamento de circuito do ExpressRoute.

  • Estar na mesma região do serviço solicitante, se o ExpressRoute (padrão) for usado, ou em qualquer região, se o ExpressRoute Premium for usado.

Essa abordagem é valiosa para muitos cenários comuns de integração entre serviços online e locais.

O endereço IP de destino para o tráfego de saída de um recurso do Microsoft Power Platform precisará ser um endereço IP público anunciado por meio de um circuito do ExpressRoute. Devido à natureza compartilhada dos serviços de nuvem, todo o tráfego deve ser tratado como se tivesse se originado da Internet. Microsoft Sendo assim, normalmente deve-se usar um proxy reverso ou gateway de aplicativo para inspecionar e controlar o tráfego de entrada do ExpressRoute.

Para obter informações sobre as sub-redes IP que são usadas, acesse Requisitos do sistema, limites e valores de configuração do Power Apps e Configuração de endereço IP necessária para o Power Automate.

Tráfego de cliente

Os usuários podem usar vários dispositivos clientes, como PCs na rede corporativa ou dispositivos móveis em conexões públicas. O tráfego do cliente normalmente será de entrada para os serviços em vez de saída de volta para o cliente. Microsoft Observe que o ExpressRoute não é forçado como a única rota para o Microsoft Power Platform.

Se o tráfego de cliente precisar ser roteado pelo circuito do ExpressRoute, o desafio para sua equipe de rede é primeiro rotear o tráfego internamente do cliente para a sub-rede conectada ao ExpressRoute, pela LAN ou WAN. Também é responsabilidade da sua equipe garantir que esse tráfego não “vaze” acidentalmente e se conecte pela Internet pública.

O Microsoft Power Platform não bloqueia o tráfego recebido diretamente da Internet. O ExpressRoute também não bloqueará as respostas do tráfego que foi originalmente recebido diretamente da Internet. O serviço Microsoft Power Platform ainda será anunciado publicamente na Internet, portanto haverá caminhos de roteamento para o serviço disponíveis separadamente do ExpressRoute.

O roteamento correto do tráfego normalmente seria garantido por meio do uso de proxies na rede corporativa e, para dispositivos móveis, provavelmente pelo uso adicional de VPN para conectar de volta primeiro à rede corporativa, garantindo que o tráfego seja roteado por meio do circuito do ExpressRoute corporativo. No entanto, observe que isso pode gerar uma sobrecarga em comparação com o acesso direto aos serviços de nuvem por meio de uma fuga local da Internet.

Sendo assim, embora o ExpressRoute possa ser configurado para uso com conexão de e para o Microsoft Power Platform, é importante perceber que o ExpressRoute:

  • Não garante que o tráfego de dentro da rede corporativa use o ExpressRoute. As regras de proxy e roteamento na rede corporativa determinam isso, e você deve configurá-las para garantir que as solicitações de dentro da rede corporativa usem o ExpressRoute.

  • Não impede que outras conexões (por exemplo, usuários na Internet) vão diretamente para o Microsoft Power Platform.

Diagrama mostrando que o Microsoft Power Platform não impede o acesso direto. A configuração do ExpressRoute não garante que o acesso direto seja desabilitado.

A questão da conectividade externa é uma preocupação que envolve os usuários de dispositivos móveis, especialmente de laptops, tablets e smartphones. Quando isso for uma preocupação, você pode escolher entre diversas abordagens:

  • Onde a autenticação federada for usada, verifique se o acesso aos Serviços de Federação do Active Directory (AD FS) só é possível depois do estabelecimento de uma conexão VPN à rede corporativa.

  • O acesso condicional do Microsoft Entra e o Intune podem ser usados para controlar quais dispositivos e locais têm acesso permitido e para controlar a configuração do dispositivo, como proxies, VPN e roteamento.

Diagrama de funcionários remotos conectando-se diretamente ao Microsoft Power Platform, enquanto os funcionários de escritório usam a rede Wi-Fi ou VPN corporativa e acesso via ExpressRoute.

Perguntas e cenários comuns com o ExpressRoute

Ao implementar o ExpressRoute, entender o que ele não faz é tão importante quanto entender o que faz. Nesta seção, vamos explorar algumas questões e cenários comuns que devem ser considerados.

Configuração de roteamento de rede do cliente

A ativação do ExpressRoute manipula a configuração do tráfego de rede dentro da Microsoft rede, mas não altera o roteamento do tráfego dentro da própria rede do cliente. Você deve configurar o roteamento de rede dentro da sua rede para direcionar o tráfego destinado aos serviços de nuvem para a sub-rede conectada ao ExpressRoute e, em seguida, através do circuito do ExpressRoute. Microsoft

Anunciamos rotas mais específicas para o Microsoft 365 no ExpressRoute do que as rotas que anunciamos na Internet pública. Se um cliente propagar as rotas específicas de nós para sua rede, seu tráfego de usuário será roteado para o ExpressRoute devido à regra de correspondência de prefixo mais longa.

Dois motivos principais pelos quais você pode encontrar desafios ao configurar o ExpressRoute são:

  • O roteamento da rede interna para rotear o tráfego até o ponto de conexão do ExpressRoute está configurado incorretamente.

  • O seu roteamento é assimétrico, no qual os tráfegos de solicitação e resposta são roteados de maneira diferente.

    Por exemplo, o tráfego é roteado diretamente para serviços de nuvem pela Internet, mas depois retorna via ExpressRoute, acionando exceções de firewall que bloqueiam o tráfego de retorno. Microsoft

Performance

O ExpressRoute sozinho normalmente não adiciona vantagens significativas de desempenho em relação a uma conexão de rede eficiente com capacidade disponível. É possível que o processo de estabelecimento de uma conexão dedicada e privada pelo seu provedor de conectividade resulte em uma conexão mais otimizada do que sua conexão compartilhada com a Internet.

Taxa de transferência do carregamento de dados para o Microsoft Power Platform

Ao realizar carregamentos de dados para o Microsoft Power Platform, a rede raramente é o gargalo para o tráfego de dados. É mais provável que haja necessidade de otimização do processamento do aplicativo.

Assim, o ExpressRoute raramente contribui diretamente para um aumento da taxa de transferência de carregamento de dados para o Microsoft Power Platform. No entanto, o ExpressRoute tornará o tráfego mais previsível e garantirá que os dados não sejam enviados pela Internet pública.

Próximo etapa: Lista de verificação de prontidão do ExpressRoute