Принцип работы ExpressRoute с Microsoft Power Platform
Чтобы понять, как ExpressRoute работает с Microsoft Power Platform, вам необходимо сначала узнать основы работы ExpressRoute.
Канал ExpressRoute представляет собой логическое соединение между вашей инфраструктурой локальный и Microsoft облачными сервисами через поставщика услуг подключения. Вы можете заказать несколько каналов ExpressRoute. Каждый канал может находиться в одном или разных регионах и может быть подключен к вашему помещению через разных поставщиков услуг связи.
Поставщики услуг подключения — это группа партнеров, которые помогают вам настроить ExpressRoute, чтобы ваша инфраструктура локальный и Microsoft облако могли быть подключены. Чтобы получить полный список партнеров по подключению ExpressRoute, перейдите по ссылке Поставщики услуг связи ExpressRoute. Доступность этих поставщиков будет зависеть от расположения, из которого вы выберете подключение.
Канал ExpressRoute может обеспечить преимущества в производительности, поскольку выделенное и оптимизированное соединение устанавливается непосредственно через инфраструктуру поставщика услуг ExpressRoute к границе Microsoft сети. Это подключение можно оптимизировать без ExpressRoute, но поскольку подключение к Интернету обычно обеспечивается через серию партнерств и отношений между поставщиками услуг связи, ваш сетевой трафик может маршрутизироваться через неоптимальные пути подключения к месту назначения.
Когда вы договариваетесь с поставщиком услуг подключения о настройке выделенного и частного соединения, это помогает гарантировать, что поставщик возьмет на себя прямую ответственность за настройку оптимизированного подключения к Microsoft сети. Это чувство сопричастности часто приводит к оптимизированному опыту.
Каждый канал имеет фиксированную пропускную способность; ограничение пропускной способности зависит от того, какой план вы выберете. Этот канал сопоставлен с поставщиком услуг связи и расположением пиринга. Доступная пропускная способность распределяется между пирингами канала. У канала может быть до двух отдельных пирингов. Эти пиринги представляют различные используемые маршруты в зависимости от запрашиваемой службы:
Microsoft пиринг направляет запросы к Microsoft публичным службам, таким как Microsoft 365, Dynamics 365 или Microsoft Power Platform службам.
Частный пиринг направляет запросы в частные службы Azure клиента, например, виртуальные машины Azure.
Каждый пиринг — это пара независимых сеансов протокола BGP, каждый из которых настроен с резервированием для обеспечения высокой доступности. Чтобы обеспечить истинную отказоустойчивость, важно убедиться, что эти сеансы проходят через физически разные подключения.
Microsoft объявляет IP-подсети или префиксы облачных сервисов в общедоступном Интернете. Microsoft также объявляет префиксы IP для соответствующих служб через соединение ExpressRoute BGP для служб, указанных в пирингах, определенных для этого канала.
Внутренний трафик конфигурации маршрутизатора для Microsoft онлайн-сервисов в подсети, подключенной к ExpressRoute. Конфигурация маршрутизатора направляет трафик через сеанс BGP через канал ExpressRoute. После того, как трафик достигает Microsoft границы, внутренняя конфигурация маршрутизации направляет трафик в соответствующую службу.
Для трафика на Microsoft внутренняя конфигурация маршрутизации в сети клиента должна настроить (и отвечает за) следующее:
Приоритет маршрута для трафика онлайн-сервисов через подсеть, подключенную к ExpressRoute, а не через общедоступное интернет-подключение Microsoft
Маршрутизация Microsoft трафика онлайн-сервисов из подключенной подсети через сеанс BGP, установленный через ExpressRoute
С другой стороны, Microsoft затем отвечает за маршрутизацию трафика к соответствующей службе в Microsoft центре обработки данных.
Требования к трафику, направляемому из Microsoft онлайн-сервисов во внешний сервис, показаны на следующем рисунке.
Запросы к внешним службам сравниваются с DNS. Если IP-адрес зарегистрирован в канале ExpressRoute, он маршрутизируется внутри. Трафик на IP-адрес, зарегистрированный в ExpressRoute, маршрутизируемый через сеанс BGP через частный канал клиента, направляется в подключение ExpressRoute. Конфигурация маршрутизатора при необходимости направляет трафик внутри, используя общедоступный IP-адрес или преобразование сетевых адресов (NAT) IP. Наконец, выполняется подключение к внутренней службе.
Когда запрос сделан:
Это должно быть сделано через общедоступный URL-адрес, который сначала должен быть преобразован в общедоступный IP-адрес.
Если IP-адрес зарегистрирован для пиринга ExpressRoute, трафик будет маршрутизироваться внутри для отправки через соответствующий канал ExpressRoute.
Если IP-адрес не зарегистрирован, конфигурация маршрутизации в веб-службе будет направлять трафик в общедоступный Интернет.
После того, как трафик поступает в сеть клиента, внутренняя маршрутизация в сети клиента отвечает за его маршрутизацию до пункта назначения либо посредством прямой маршрутизации IP-адреса, либо сначала посредством преобразования сетевых адресов (NAT).
Вы должны подключаться к Microsoft облачным службам только из подсети, использующей публичные IP-адреса, принадлежащие вам или вашему поставщику услуг подключения ExpressRoute. Если вы используете частные IP-адреса в локальной сети, вам или вашему провайдеру необходимо преобразовать частные IP-адреса в общедоступные IP-адреса, используя NAT, перед подключением к ExpressRoute. Это позволяет запросам от Microsoft служб разрешаться в службу конечная точка и маршрутизироваться через сеть через общие сетевые сегменты.
Пиринг ExpressRoute
Один критический фактор, который следует учитывать, заключается в том, что ExpressRoute в настоящее время не позволяет напрямую настраивать определенные службы для транспортировки по каналу ExpressRoute; скорее; позволяет включать группы служб — называемых пиринги — для транспортировки.
Существует два типа пиринга ExpressRoute: Microsoft и частный.
Microsoft вглядываясь
Настройка ExpressRoute для Microsoft Power Platform сервисов требует Microsoft пиринга, который по умолчанию будет совместно маршрутизировать обе Microsoft Power Platform сервисы и Microsoft 365 через ExpressRoute. Это означает, что трафик будет перенаправлен на диапазоны общедоступных IP-адресов, которые используются этими службами.
Можно использовать сообщества BGP для настройки сети на маршрутизацию трафика только для определенных служб, например, только Microsoft Teams или только SharePoint онлайн-служб, через пиринговый канал ExpressRoute Microsoft . В настоящее время это не поддерживается для Microsoft Power Platform; альтернативы объясняются в следующем разделе.
Подключение к Microsoft онлайн-сервисам, таким как Microsoft 365 и Microsoft Power Platform сервисы, будет осуществляться через Microsoft пиринг. Microsoft назначает URL-адреса и IP-адреса для Microsoft Power Platform, приложений Dynamics 365 для взаимодействия с клиентами и Microsoft 365 сервисов Microsoft пирингу, поэтому любой трафик, направляемый на них, будет анонсироваться и включаться через Microsoft пиринг. В отличие от Microsoft 365 в Microsoft Power Platform нет назначенных сообществ BGP. (Сообщества BGP охвачены здесь.)
Трафик с использованием Microsoft пиринга. После того, как соединение достигает Microsoft границы, оно больше не является назначенным соединением в Microsoft сети.
Используя Microsoft пиринг, соединения переходят к общим службам по адресу Microsoft. Это означает, что после того, как соединение поступает в Microsoft центр обработки данных, текущее соединение проходит через внутреннюю общую сеть; частное соединение, предоставляемое ExpressRoute, не распространяется на весь путь до самой службы назначения конечная точка.
Частный пиринг
Частный пиринг используется для вашей частной инфраструктуры как услуги Azure (IaaS), а не напрямую службами Microsoft Power Platform. Этот тип пиринга обычно подключается к частным IP-адресам в виртуальной сети Azure.
Диаграмма, показывающая обзор сети с Microsoft пирингом и частным пирингом. Microsoft Пиринг устанавливает частное соединение от сети клиента к Microsoft краю. После достижения границы трафик маршрутизируется как обычный трафик, при этом частное подключение, предоставляемое ExpressRoute, не распространяется на саму конечную точку службы пункта назначения. Для частного пиринга Azure трафик остается частным до конечная точка созданной вами службы Azure.
Для Microsoft Power Platform, Microsoft не используются частные сервисы, к которым можно получить прямой доступ, поэтому нет необходимости настраивать частный пиринг для ExpressRoute. Если вы используете частные службы Azure отдельно, настройка частного пиринга не будет неблагоприятной, если введение дополнительных рабочих нагрузок не приведет к насыщению подключения.
ExpressRoute контролирует трафик в Microsoft сети, а не внутри нее
Когда выполняются подключения к частному ресурсу Azure — например виртуальная машина Azure — ExpressRoute связывает установленное вами подключение напрямую с вашими частными ресурсами Azure.
Для Microsoft пиринга ExpressRoute — это выделенное соединение между вашей сетью и границей Microsoft сети. Это не выделенное подключение до вашей конкретной среде Microsoft Power Platform. После того как трафик достигает Microsoft сети и определяется с помощью правил пиринга как направленный на общедоступный ресурс — либо Azure, либо Microsoft службу, такую как Microsoft 365 или Microsoft Power Platform, — конечной целью становится общая служба, поэтому сетевое подключение к ней также является общим в Microsoft сети.
Трафик между службами в Microsoft центрах обработки данных маршрутизируется внутри Microsoft сети, а не через общедоступный Интернет.
Сетевая диаграмма, показывающая отсутствие прямых связей между Azure IaaS и службами Microsoft Power Platform. В том же центре обработки данных этот трафик будет маршрутизироваться нормально.