Konfigurera ExpressRoute för Microsoft Power Platform
Microsoft Power Platform behöver inte konfigureras specifikt för ExpressRoute. Microsoft Power Platform som en tjänst använder Microsoft Azure bakom kulisserna och har introducerats för att hantera användning med ExpressRoute. Därför behöver du inte göra några specifika konfigurationer av Microsoft Power Platform miljöer för att ange att ExpressRoute används.
Microsoft I nätverket hanterar ExpressRoute trafik genom att annonsera routning för specifika IP-undernät till den specifika ExpressRoute-krets som de har konfigurerats mot. Eftersom routing annonseras över en BGP-anslutning (Border Gateway Protocol), är den vanligtvis vald som den mest effektiva anslutningen för att nå den destinationen framför routing via internet.
På kundsidan annonserar BGP-anslutningen IP-prefix för tjänsterna för varje peering-typ som är konfigurerad för ExpressRoute-kretsen.
Att bestämma vilken ytterligare nätverkskonfiguration du behöver beror på vilka interaktioner du vill dirigera via ExpressRoute.
Servertrafik
Inkommande trafik (trafik till Microsoft Power Platform tjänster)
Konfiguration för inkommande trafik kräver att du upprättar intern routning i datacentret för att föredra anslutningar via ExpressRoute-kretsen för trafik till Microsoft tjänster.
Utgående trafik (trafik från Microsoft Power Platform tjänster)
Där trafik dirigeras tillbaka genom ExpressRoute, till exempel till en lokal server, finns det inga kontroller inom ExpressRoute för att låsa ner de tjänster som gör anslutningar. Routningen görs på nätverksnivå och validerar därför inte den specifika tjänst som gör begäran innan routing trafiken.
Förfrågningar kan göras från andra tjänster till en kundtjänst. Särskilt för Microsoft Power Platform, som är en delad tjänst, är det inte möjligt att låsa förfrågningarna till en viss uppsättning maskiner. Det är nödvändigt att betrakta trafik tillbaka via ExpressRoute som kommer från en extern källa, för även om den kommer från ett Microsoft datacenter kontrollerar den inte källan till begärandena. Microsoft Andra kundtjänster kan försöka upprätta anslutningar. Alla anslutningar bör kontrolleras som om de kommer från en extern gateway.
För att dirigeras tillbaka via ExpressRoute måste alla tjänster som är anslutna till:
Ha en offentligt upptäckbar URL.
Ha en offentlig IP-adress som matchar ett undernät konfigurerat för en peer-definition för ExpressRoute-krets.
Var i samma region som den begärande tjänsten om ExpressRoute (standard) används, eller i någon region om ExpressRoute Premium används.
Denna metod är värdefull för många vanliga integrationsscenarier mellan online- och lokala tjänster.
Mål-IP-adressen för utgående trafik från en Microsoft Power Platform resurs måste vara en offentlig IP-adress som annonseras via en ExpressRoute-krets. På grund av Microsoft molntjänsternas gemensamma karaktär bör all trafik behandlas som om den kom från Internet. Så, vanligtvis bör en omvänd proxy eller applikationsgateway användas för att inspektera och kontrollera inkommande trafik från ExpressRoute.
För information om IP-undernät som används, gå till Systemkrav, gränser och konfigurationsvärden för Power Apps och IP-adresskonfiguration för Power Automate.
Klienttrafik
Användare kan använda olika klientenheter, till exempel datorer i företagsnätverket eller mobila enheter på offentliga anslutningar. Klienttrafik är vanligtvis inkommande till tjänsterna i stället för Microsoft utgående tillbaka till klienten. Du bör notera att ExpressRoute inte verkställs som den enda vägen till Microsoft Power Platform.
Om klienttrafik ska dirigeras över ExpressRoute-kretsen är utmaningen för ditt nätverksteam att dirigera trafiken internt först från klienten via LAN eller WAN till det undernät som är anslutet till ExpressRoute. Det är också ditt teams ansvar att se till att denna trafik inte av misstag "läcker ut" och ansluter via det offentliga internet.
Microsoft Power Platform blockerar inte trafik som tas emot direkt från Internet. ExpressRoute kommer inte heller att blockera svar från trafik som ursprungligen togs emot direkt från internet. Microsoft Power Platform-tjänsten annonseras fortfarande offentligt på Internet, så det finns dirigeringsvägar till tjänsten tillgängliga separat från ExpressRoute.
Korrekt trafikrutt skulle vanligtvis säkerställas genom användning av ombud inom företagsnätverket och för mobila enheter eventuellt ytterligare användning av VPN för att ansluta till företagets nätverk först, vilket säkerställer att trafiken dirigeras via företagets ExpressRoute-krets. Observera dock att detta kan medföra allmänna kostnader jämfört med direkt åtkomst till molntjänsterna genom en lokal internetavbrott.
Därför kan ExpressRoute konfigureras för att ansluta till och från Microsoft Power Platform, är det viktigt att inse att ExpressRoute:
Säkerställer inte att trafik inifrån företagsnätverket använder ExpressRoute. Proxy- och routningsreglerna i företagsnätverket bestämmer detta, och du måste ställa in dem för att säkerställa att förfrågningar från företagsnätverket använder ExpressRoute.
Hindrar inte andra anslutningar (till exempel användare på internet) från att gå direkt till Microsoft Power Platform.
Frågan om extern anslutning är ett problem där mobilanvändare är inblandade, särskilt från mobila enheter som bärbara datorer, surfplattor och telefoner. Där detta är ett problem kan du välja mellan ett antal tillvägagångssätt:
Om federerad autentisering används, se till att tillgång till Active Directory Federation Services (AD FS) endast är möjlig efter att en VPN-anslutning till företagsnätverket har upprättats.
Microsoft Entra villkorlig åtkomst och Intune kan användas för att kontrollera vilka enheter och platser som får åtkomst och för att styra enhetskonfigurationen, såsom proxyservrar, VPN och routing.
Vanliga frågor och scenarier med ExpressRoute
När du implementerar ExpressRoute är det lika viktigt att förstå vad det inte gör som vad det gör. I det här avsnittet utforskar vi några vanliga frågor och scenarier som du kan överväga.
Konfiguration av kundnätverksdirigering
Om du aktiverar ExpressRoute hanteras konfigurationen av nätverkstrafik i Microsoft nätverket, men routningen av trafik i själva kundnätverket ändras. Du måste konfigurera nätverksroutningen i nätverket för att dirigera trafik som är bunden till Microsoft molntjänster till det undernät som är anslutet till ExpressRoute och sedan över ExpressRoute-kretsen.
Vi annonserar mer specifika färdvägar Microsoft 365 över ExpressRoute än de flöden vi annonserar på det offentliga Internet. Om en kund sprider de specifika rutterna från oss till sitt nätverk dirigeras deras användartrafik till ExpressRoute på grund av den längsta regeln för matchning av prefix.
Två viktiga orsaker till att du kan stöta på utmaningar när du konfigurerar ExpressRoute är:
Din interna nätverksrutt för att dirigera trafik till ExpressRoute-anslutningspunkten är felaktigt inställd.
Du har asymmetrisk dirigering där begäran och svarstrafik dirigeras annorlunda.
Trafik dirigeras till exempel direkt till Microsoft molntjänster via Internet men returneras sedan via ExpressRoute, vilket utlöser brandväggsundantag som blockerar returtrafiken.
Resultat
ExpressRoute ensam ger vanligtvis inte betydande fördelar i prestanda jämfört med en effektiv nätverksanslutning med tillgänglig kapacitet. Det är möjligt att processen för att skapa en dedikerad och privat anslutning av din anslutningsleverantör resulterar i en mer optimerad anslutning än din delade internetanslutning.
Dataflöde till Microsoft Power Platform
När du utför dataladdningar till Microsoft Power Platform, är nätverket sällan flaskhalsen för datatrafik. Mer sannolikt är det applikationsbehandlingen som måste optimeras.
ExpressRoute är därför sällan en direkt bidragsgivare till högre dataflöde till Microsoft Power Platform. ExpressRoute kommer dock att göra trafiken mer förutsägbar och se till att data inte skickas över det offentliga internet.