规划要与 Microsoft Power Platform 结合使用的 ExpressRoute 部署
鉴于您已决定使用适用于 Microsoft Power Platform 的 ExpressRoute,请务必针对您的需要和环境规划此部署。
ExpressRoute 的先决条件
设置 ExpressRoute 需要考虑和满足多个先决条件。 这可能导致意外成本和活动,如果未针对这些成本和活动进行规划,可能影响项目和其他服务的继续运行。
外部先决条件
ExpressRoute 本身不提供物理连接,而是通过已建立的物理连接提供专用连接。 必须先由连接提供上建立物理连接。 可通过多种方法与现有 ExpressRoute 合作伙伴建立此连接。 ExpressRoute 文档详细介绍了当前选项和现有合作伙伴。
在规划阶段,您需要考虑以下事项:
地理:正如我们稍后将更详细地讨论的那样,从地理上了解需要建立一个或多个连接的地理位置将影响您的整体规划。
成本:连接提供商将对建立专用连接收费。 这笔费用可能很高,具体取决于所需连接的类型和数量。
设置时间:在某些情况下,需要设置物理硬件。 需要将这项设置时间纳入实施计划中。
配置技能和资源:大多数配置复杂性在于在网络中设置内部路由。 确保拥有技能熟练的人员做好此工作,这一点非常重要。
Microsoft 先决条件
在建立物理连接后,可以继续设置 ExpressRoute 连接本身。 这将需要:
Azure 订阅,在其中设置 ExpressRoute 线路和为其开账单。
ExpressRoute 线路的 Azure 订阅内的配置,这通过 Azure 工具完成。
为经过 ExpressRoute 的 Microsoft Power Platform 流量规划路由配置
规划 Microsoft Power Platform 流量的路由时,需要考虑各种流量,具体取决于如何配置和使用 Microsoft Power Platform。
若要了解如何配置适用于 Microsoft Power Platform 的 ExpressRoute,需要考虑 Microsoft Power Platform 的不同用法和与其之间的连接,具体取决于您所用服务和功能。
传递配置
路由配置由连接提供商或客户进行,具体取决于提供的连接类型。
虽然 ExpressRoute 连接本身位于数据中心之间,但是实际网络连接大多数来自用户的客户端设备(这些设备通常分布在宽广的 WAN 内,例如,分布式银行分支)。 这意味着连接将通过 WAN,然后通过 ExpressRoute 线路从客户端设备位置路由到数据中心。 这需要仔细配置。 必须按照下面的方式设置 WAN:
针对 ExpressRoute 配置通过网络子网的路由。
或者
相比公共 Internet(到 Microsoft Power Platform 的连接),首选故障转移线路。
因此,务必确定网络中的哪些子网应该成为主要回退边界网关协议 (BGP) 会话连接的目标,以便确保 Microsoft Power Platform 前缀首选该路由。 不必在每个端专门配置服务,因为此配置是通过此连接播发 IP 子网/前缀来完成的。 在启动请求时,路由算法会将 PC 直接连接视为要传输到与 ExpressRoute 线路相连的子网的流量的首选路由,并按此方向定向流量。
针对分布式用户群配置 ExpressRoute
ExpressRoute 旨在提供从环境到网络的 Microsoft 专用、专用且可预测的连接。 当您通过连接提供商 Microsoft建立专用的直接连接时,可以减少必须与通过连接提供商的网络共享的连接上的其他流量竞争的可能性。 应该不必使用 ExpressRoute 就可以通过连接提供商获得这种质量的连接,但是这也有助于帮助确保达成这一目的。
在下面的示例中,一位分支位置的用户的连接通过 WAN 路由到通往 ExpressRoute 的客户数据中心连接。
如果客户具有高度分布的用户网络(例如,分布在某个国家/地区的办公室分支网络),则需要从地理位置高度分散的多个位置高效连接网络流量。 这种情况下的典型模式是,将内容通过 WAN 路由到与 ExpressRoute 相连的局域网,如下图中所示。
如果客户端与 ExpressRoute 之间的连接质量低,饱和,或者在其他某个方面效率低下,ExpressRoute 将无法解决此问题,因为进入 ExpressRoute 入口点时发生的连接问题仍会影响用户体验。 在这种情况下,您应该考虑使用 ExpressRoute Direct,它使您能够直接连接到 Microsoft的全球网络。
在连接到云服务并受到 WAN 竞争连接的约束时,从本地分支建立本地 Internet 分流可能很有用。 这样就可以避免出现最慢的 WAN 连接,并利用每个连接提供商来获得到云服务的更直接连接。
可以设置来自多个位置并通过本地 Internet 分流的 ExpressRoute 线路—甚至向外到单个分支位置,如下图中所示。
通过 WAN 将分支位置连接到中央数据中心并在客户和 Microsoft 数据中心之间建立 ExpressRoute 线路的方法通常比尝试从每个分支机构位置建立 ExpressRoute 连接更可取且更实用。 如果大量位置需要前一种方法,该方法在设置和维护方面相对昂贵和复杂。
Alternative 方法是将所有分支机构和客户数据中心连接在同一 IP VPN 上,并在 ExpressRoute 位置连接 Microsoft IP VPN 服务提供商。
如果您对本地 WAN 连接有疑虑,通常最好对其进行优化—通过加大带宽或优化路由之类方法,而不是尝试建立来自每个位置的 ExpressRoute 连接。
对于分布在地理范围广泛的区域的网络,可能需要建立多个与 ExpressRoute 相连的中心来最大程度减少所需 ExpressRoute 连接数量,同时仍然为每个用户提供更近的连接点。 在此情况下,请务必确保通过每个 ExpressRoute 线路发布唯一公共 IP;这些子网中的每一个都必须是不同的,因此需要您设置与 ExpressRoute 连接一样多的,面向公众的子网。
如果不同的操作区域位于截然不同的地理区域,或者区域之间的网络连接有限,并且可以为每个区域建立更直接的连接 Microsoft ,则这一点尤其有用。
不同区域可能有不同的隐私要求,不必因为其中一个使用 ExpressRoute,其他每个区域就使用。 可能可以一些连接通过 Internet 直接路由,而其他连接则通过 ExpressRoute 路由,如下图中所示。
ExpressRoute(标准版)仅在特定地理区域内提供连接;需要 ExpressRoute 高级版才能提供从单个 ExpressRoute 连接点进行多地理位置访问。 例如,如果一位客户拥有在美国的办公室和在欧洲的办公室,并且所有办公室都使用一个 Microsoft Power Platform 环境,则与高级版有关。 如果客户的 Microsoft Power Platform 租户部署在美国,则其在欧洲的 ExpressRoute 线路需要采用 Premium SKU。 如果他们的 Microsoft Power Platform 租户位于欧洲,则其美国线路需要采用高级版。
避免非对称路由
需要注意的一个挑战是非对称路由,其中客户网络中的路由配置直接通过 Internet 将流量 Microsoft 路由到数据中心,但随后返回流量确定响应应通过 ExpressRoute 线路路由。 这通常会触发防火漆,从而拒绝流量,因为其收到响应数据包,但尚未发送请求数据包。
如果客户端的本地网络确定到 Microsoft 云服务的最有效路由是通过公共 Internet,而不是通过 WAN 路由到专用 ExpressRoute 线路,则可能会发生这种情况。 但是,如果客户端 IP 地址为公共 IP 地址或通过 NAT 映射转换为通过 ExpressRoute 播发的公共 IP 地址,则返回该 IP 的最有效路由可能是经由通过 ExpressRoute 的 BGP 会话。 可在 Internet 边缘和 ExpressRoute 边缘使用不同的 NAT IP。 返回流量采用不同的源地址,将明确返回同一个边缘。
如果为同一个客户配置了多个 ExpressRoute 线路,这些线路的出站流量通过一个线路路由,而犯规路由则通过另一个线路路由,但在后一个线路中,防火墙的检查可能阻止通过返回路径的流量,也可能发生这种情况。 若要避免出站路径和入站路径采用经过不同 ExpressRoute 线路的非对称路由,请务必确保通过每个线路发布不同的公共 IP。
如您所见,确定如何在 WAN 中管理路由并确保仔细考虑往返 Microsoft 云服务的路径非常重要。
往/返 Microsoft Power Platform 的外部连接
建立从客户位置到 Microsoft Power Platform 的连接时,可考虑多种流量类型。 这可能会导致对等互连类型和 Microsoft 专用对等互连,并且同一 ExpressRoute 线路可用于这些对等互连类型,如下图所示。
Microsoft Power Platform 服务与外部网络之间存在多种不同连接类型。 例如,使用服务器端同步的 Exchange Web Services 连接使用 ExpressRoute 将网络流量从 Microsoft 网络传递到客户网络。 Web 服务连接将 ExpressRoute 用于网络的 Microsoft 入站和出站流量。 对于 HTTPS 客户端,ExpressRoute 连接用于从客户网络到网络的访问 Microsoft 。 下图显示这些示例。
出站流量(来自 Microsoft Power Platform服务的流量)
可以将多种出站流量直接从 Microsoft Power Platform 服务传输到客户服务。 请务必注意,对于这些种类的出站流量,必须可以使用可以由 Microsoft Power Platform 通过公共 DNS 解析的公共 IP 公开对客户服务寻址。
还需要通过 ExpressRoute 播发 Microsoft 此 IP 地址,以便服务中的 Microsoft Power Platform 内部网络路由知道通过该 ExpressRoute 连接进行路由。
Microsoft Power Platform 服务不能指定哪个服务实例或客户组织可以请求哪些 IP 地址。 因此,请务必将传入到企业网络的请求视为来自 Internet,并照此保护。
下表介绍了来自 Microsoft Power Platform 服务的出站流量。
| 描述 | 流量类型和方向 | 对等互连类型 | 目的 |
|---|---|---|---|
| Web 服务 | HTTPS 从 Microsoft Power Platform 服务出站 | Microsoft 窥视 在 ExpressRoute 配置的子网内的公共 IP 地址中发布 Web 服务 |
可通过自定义插件和工作流活动进行针对外部服务的 Web 服务请求 |
| Exchange 集成:混合模式 | HTTPS 从 Microsoft Power Platform 服务出站 | Microsoft 窥视 Web 服务需要在 ExpressRoute 配置的子网内的公共 IP 地址中发布 |
为混合部署(Microsoft Power Platform 服务、Exchange 本地部署)从服务端同步的 Exchange Web 服务请求 |
| 连接符 | HTTPS 从 Microsoft Power Platform 服务入站 | Microsoft 窥视 | 来自 Microsoft Power Platform 服务,通过 Azure API Management 服务和连接器,并使用本地数据网关的请求 |
| Azure 中继 | HTTPS 从 Microsoft Power Platform 服务出站 | Microsoft 窥视 在 ExpressRoute 配置的子网内的公共 IP 地址中发布 Web 服务 |
Power Automate 云端流和桌面流之间的直接连接 |
入站流量(到 Microsoft Power Platform服务的流量)
可将以下入站流量从客户网络传输到 Microsoft Power Platform 服务。
| 描述 | 流量类型和方向 | 对等互连类型 | 目的 |
|---|---|---|---|
| 客户端连接 | HTTPS 入站到 Microsoft Power Platform 服务 | Microsoft 窥视 Azure 内容传送网络服务的静态内容的直接 Internet 连接 |
Microsoft Power Platform 服务 UI 的客户端请求 |
| Web 服务 | HTTPS 入站到 Microsoft Power Platform 服务 | Microsoft 窥视 | 通过 Web 服务 API(SOAP、Web API)对 Microsoft Power Platform 服务的请求。 来自标准客户端应用程序或自定义客户端应用程序 |
| 连接符 | HTTPS 入站到 Microsoft Power Platform 服务 | Microsoft 窥视 | 通过 APIM 和连接器使用本地数据网关返回 Microsoft Power Platform 服务的响应 |
Microsoft Power Platform 服务内的内部云连接
Microsoft Power Platform 服务使用托管在 Azure 中的其他 Microsoft 多个 Microsoft 365 在线服务并与之集成。
| 描述 | 流量类型和方向 | 目的 |
|---|---|---|
| Exchange 集成 | HTTPS 出站到 Microsoft 365 | 从服务器端同步对 Exchange Online 的 Exchange Web 服务请求 |
| SharePoint 集成 | HTTPS 出站到 Microsoft 365 | 从 Microsoft Power Platform 服务对 SharePoint Online 的 SharePoint Web 服务请求 |
| 服务总线 | HTTPS 出站到 Azure 服务总线 | 将事件作为标准事件注册或从自定义插件和工作流活动推送到 Azure 服务总线 |
| 数据同步 | HTTPS 从 Azure 入站 | 数据服务同步的入站更改跟踪请求,包括实施/脱机/客户见解 |
| 身份验证 | HTTPS 出站到 Microsoft Entra | 大多数身份验证通过被动重定向和声明令牌进行,但是部分数据直接通过 Microsoft Entra ID 同步 |
| 数据流 | HTTPS 出站到 Azure Data Lake Storage | 提供分析功能,并允许访问大数据解决方案,从而合并来自 Microsoft Power Platform 服务和其他源的数据,不仅是分析产生的见解。 |
| 连接器 | HTTPS 出站到 Azure PaaS 服务 | 到各种 Azure PaaS 服务的连接 |
| Desktop flows | HTTPS 传出到 Azure 中继 | 在 Power Automate 桌面版中创建的 Power Automate 云端流和桌面流之间的直接连接 |
这些服务(托管在客户 Azure 订阅中 Microsoft )之间的实际连接由处理 Microsoft。 ExpressRoute 不适用于与这些服务之间的连接。
如果将事件推送到该服务总线,则在内部处理 Microsoft Power Platform 服务与 Azure 之间的连接。 另外,客户可以向 Service Bus 发出请求以检索信息,这可以通过对等互连进行 Microsoft 管理。
到/来自 Microsoft Power Platform 服务的客户公共云和专用云连接
Microsoft Power Platform 服务还允许直接与公共或专用 Azure 资源集成:
从外部源,通过使用 Microsoft Dataverse Web 服务 API。
到外部源,通过使用创建的 Web 服务请求。
到外部源,通过使用连接器。
需要在 ExpressRoute 路由中考虑这项要求的影响。
| 描述 | 流量类型和方向 | 对等互连类型 | 宗旨 |
|---|---|---|---|
| 门户 | HTTPS 入站到 Azure | 在数据中心内部,除了静态内容,后者使用内容传送网络。 (ExpressRoute 不支持内容传送网络,因此静态内容将通过公共 Internet。) | 托管面向公众的服务。 可能存在下面的情况:内部员工可以访问这些资源,因此您可能希望流量经过 ExpressRoute,而不是经过公共 Internet |
| 学习路径 | HTTPS 入站到 Azure | 使用内容传送网络,其不受 ExpressRoute 支持,因此内容将通过公共 Internet | 它托管在面向公众的服务中,因为不包含专有客户数据。 为了可预测,您可能希望通过 ExpressRoute 路由 |
| 服务总线 | HTTPS 入站到 Azure 服务总线 | 数据中心内部 | 将已放置在此处的事件作为标准事件注册或从自定义插件或工作流活动从 Azure 服务总线提取 |
| Web 服务请求 | 从 Azure IaaS/PaaS 入站 | 数据中心内部 | 客户可以在 Azure 中托管自定义应用程序和请求 Microsoft Power Platform Web 服务 |
| Web 服务请求 | 出站到 Azure IaaS/PaaS | 数据中心内部 | 客户可以实施请求 Azure 托管服务的自定义插件和工作流活动 |
| 数据流 | 到 Azure Data Lake Storage 的数据连接 | 数据中心内部 | 提供分析功能,并允许访问大数据解决方案,从而合并来自 Microsoft Power Platform 服务和其他源的数据,不仅是分析产生的见解。 |
| Azure Data Lake | 到 Azure Data Lake Storage 的数据连接 | 数据中心内部 | 提供分析功能,并允许访问大数据解决方案,从而合并来自 Microsoft Power Platform 服务和其他源的数据和分析产生的见解。 |
| Azure SQL | 到 Azure SQL 服务的数据连接 | 数据中心内部 | Azure SQL 实例拥有导出到数据仓库之类功能,将更多使用 Azure SQL 实例存储 Microsoft Dataverse 数据的副本来实现报告或复制用途。 保护通过 ExpressRoute 到这些资源的连接可能非常有价值。 |
将来可能会有因为使用了其他 Azure 功能而内部连接到数据中心的其他公共服务。