将 ExpressRoute 与 Microsoft Power Platform 结合使用时的注意事项
经常会低估设置 ExpressRoute 的复杂程度。 特别是会在规划或执行时忽视以下操作和影响:
配置网络以将流量路由到与 ExpressRoute 相连的子网
避免非对称路由,即流量通过 Internet 直接传输到 Microsoft Power Platform,但是由 ExpressRoute 返回到企业网络,从而触发防火墙拒绝流量
设置 ExpressRoute 产生的总成本,包括 Microsoft Azure 服务、连接提供商设置,以及进行中的服务和内部 IT 网络路由配置
确定是否应该为分布式部署建立多个 ExpressRoute 线路
连接性能问题
LAN 连接
下面是用户可能遇到的部分常见问题:
向混合部署添加丰富浏览器应用程序之前,本地网络内的连接已饱和。
Microsoft Power Platform 将替换其中通过网络仅传输数据,而不是同时传输数据和演示文稿信息的胖客户端。
了解以下信息非常重要:浏览器应用程序虽然需要的客户端部署管理较少,但是需要的带宽比胖客户端应用程序高,因此如果增加新服务,已饱和的本地网络负担更重。
WAN 连接质量低
一种基于对到联机服务的连接的网络分析的常用模式是,网络流量在某个点遍历导致延迟显著上升的内部网络路由。 这可能是因为如下情况:
WAN 链路饱和。
代理处理,会产生更多延迟和开销。
内部路由不足(例如,在企业网络内路由,而不是提前向外路由到 Internet)。
如果 Microsoft Power Platform 流量遇到问题,客户端的性能也可能会遇到问题。
Internet 连接质量低
添加云服务可能导致额外消耗,并加载到 Internet 的企业连接。 如果满足以下条件,可能出现这种情况:
Internet 连接不足以支持更多负载。
在 Internet 服务提供商(ISP)的网络中,该流量到 Microsoft其网络的路由由 ISP 控制;该路由的效率可能会有所不同。
连接承受混合流量,这将影响连接的质量(例如,多个基于 Internet 且具有要传输到争用可用带宽的业务关键应用程序的流量的培训会话、Microsoft Stream 或 YouTube 视频)。 这总体可能足以应对流量的量,但是可能会影响需求高峰期的性能,视频流之类活动可能会产生这样的需求高峰。
可以通过增加带宽或隔离通过 ISP 的连接来解决这些问题。 特别是,建立专用于优先流量的单独连接对流量的性能和可预测性均有帮助。
此外,还需确保正确设置服务质量 (QoS)。 如果在使用 Microsoft Teams 和 Microsoft Stream,请参阅 ExpressRoute 内的 QoS 要求。
安全控制
接下来需要注意的是安全控制。 ExpressRoute 本身不会在本地加密或筛选流量(启用了 MACsec 的 ExpressRoute Direct 除外);它只是通过连接提供商直接在客户数据中心之间建立 Microsoft 专用连接,而不是共享连接。
从任何 Microsoft 联机服务或 Azure 服务到通过 ExpressRoute 线路播发的子网的任何请求都将通过该线路路由,而不管服务或客户是谁。 由于请求是在网络层路由的,因此不存在用于确定这是否是该目标服务的正确请求者的应用程序级控制。
对于服务的 Microsoft 流量,由于这些是公共共享服务,因此可以通过公共 Internet 直接访问它们。 这些服务的访问控制通过应用程序级身份验证和授权服务处理。 还在基础设施级别针对拒绝服务攻击之类入侵和威胁进一步保护它们。
对于从 Microsoft 服务到本地托管服务的流量,当通过 ExpressRoute 连接接收流量时,客户负责为其自己的服务提供类似的保护。
能够将 ExpressRoute 的使用限制为仅某些 Microsoft 服务
你可能面临的挑战之一是希望将 ExpressRoute 用于特定的 Microsoft 云服务,而不是其他云服务。 虽然不同的对等互连选项在此处提供了某种程度的控制,但对等互连本身并没有在相同对等互连类型的服务中提供粒度控制(例如,仅启用到 Azure 虚拟机的路由,而不启用到 Microsoft 365 的路由)。 但是,可以使用边界网关协议 (BGP) 连接配置仅针对特定服务的流量。
这与存在 Microsoft 365 的 Microsoft Power Platform 服务相关,其中通过 ExpressRoute 的路由可能适用于一项服务,但不适用于两者,或者仅适用于 Microsoft 365 的某些单独服务,如 Microsoft Teams。
ExpressRoute 本身现在不能直接配置要在此级别的服务粒度通过特定 ExpressRoute 线路路由的服务,但是可以使用 BGP 社区对此进行控制。
Microsoft Microsoft 使用针对地理位置和服务类型的适当 BGP 社区值标记的路由,在对等路径中通告路由。 然后可在客户的路由器中配置它们,以便通过 ExpressRoute 线路路由这些服务的流量。
您可以为 Microsoft 365 服务使用不同的标记,来仅通过 ExpressRoute 线路为这些服务路由流量,通过不同的 ExpressRoute 线路或公共 Internet 路由其余流量。
Microsoft Power Platform 特定的 BGP 社区值不能像在 Microsoft 365 服务中那样可以使用。 而是使用区域性 BGP 社区和用于各 Microsoft Power Platform 环境的对应 Microsoft Azure 区域。 由于 Microsoft Power Platform 环境使用两组数据中心,因此请务必查看区域概览以检查使用的是哪两个数据中心。 详细信息:GCC 的 BGP 社区
Microsoft 365
由于服务和服务都是通过 Microsoft Power Platform 对等互连提供的,因此 Microsoft 365 默认情况下, Microsoft 设置对等互连会跨 ExpressRoute 线路播发所有 Microsoft 服务和服务 Microsoft Power Platform 。 Microsoft 365
这样的结果是,启用 BGP 社区以路由一个服务的流量将导致两者都通过 ExpressRoute 路由。 这不一定是预期行为,但是可能产生意外结果。 例如,如果您已确定 Microsoft Power Platform 所需的网络带宽并相应地调整 ExpressRoute 连接的大小,但随后无意中还通过 ExpressRoute 路由了所有 Microsoft 365 流量,这可能会使您的网络饱和,对性能发出挑战。
虽然为 ExpressRoute Microsoft 启用对等互连将通过 ExpressRoute 连接路由所有 Microsoft Power Platform 流量 Microsoft 365 ,但可以使用 BGP 社区标记来控制路由,以便只有特定服务(例如 Microsoft Power Platform 服务,而不是其他 Microsoft 365 服务)使用 ExpressRoute 连接。 特别是,并非所有 Microsoft 365 服务都设计为与 ExpressRoute 一起使用。 目前,Microsoft Power Platform 服务没有如一些 Microsoft 365 服务一样有指定的 BGP 社区。 相反,您应该使用区域性 BPG 社区来与创建 Microsoft Power Platform 环境的区域匹配。
有关路由 Microsoft 365 的详细信息,请转到有关使用 Microsoft 365 的选择性路由的文档。
由于 Microsoft Power Platform 服务部分作为 Microsoft 365 服务的一部分工作,所以还需要很多交叉服务,如管理门户和身份验证。 无法使用 ExpressRoute 保护所有这些服务;例如,Microsoft 365 管理中心不会跨 ExpressRoute 发布。
支持主权云
需要满足政府或国家/地区特定法规的客户可以选择使用主权云。 主权云在物理上位于一个区域,以便满足这个特定政府或国家/地区的特定要求。 例如,政府社区云 (GCC) 的 Power Apps 位于美国,其满足美国特定的法规和认证,并满足达到这些要求需要遵守的规程。
请观看以下视频以了解如何提供 Microsoft Power Platform 和主权云:视频:Marty Carreras 带您了解主权云。
考虑使用主权云环境时,必须注意存在哪些限制,因为与公开云环境相比,并非所有功能均可用。 下表列出了适用于 Microsoft Power Platform 的各环境的可用情况。 有关可用性方面的其他差异,请通读有关数据中心区域的文档。
| 地区 | ExpressRoute 支持 |
|---|---|
| 美国政府社区云 (GCC) | 支持 1 |
| US Government Community Cloud High(GCC High美国政府社区云高) | 支持 1 |
| 中国 | 支持 2 |
1 客户在使用美国 GCC 或 GCC High 区域时必须使用 Azure 政府 ExpressRoute,并且不能使用 Azure 商业云 ExpressRoute。 2 在使用中国区域时,客户必须使用 Azure 中国 ExpressRoute,不能使用 Azure Commercial 云 ExpressRoute。
Azure ExpressRoute 成本
在估算 ExpressRoute 的成本时,需要注意若干因素:
Azure 成本
连接提供商成本
内部设置工作成本
在精确确定业务案例时,务必在评估适用于 Microsoft Power Platform 的 ExpressRoute 时考虑所有这些成本。 以下各部分将讨论每一种。
Azure 成本
Azure ExpressRoute 可以以不同模型购买。
记帐类型
按流量计费:入站流量不受限制,但出站流量按 GB 收费的按月基本订阅成本
不限流量:入站流量和出站流量不受限制的按月基本订阅成本
SKU / 计划
标准
使用 ExpressRoute 的基本连接
提供对单个地理区域内服务的访问
如果 ExpressRoute 线路与用户正在连接的 Microsoft Power Platform 环境位于同一个区域内,则该线路只需要 ExpressRoute 标准版
高级
用于访问从任何位置进行连接的全球地理服务
如果用户从非最终服务区域通过 ExpressRoute 线路连接,则该 ExpressRoute 线路需要 ExpressRoute 高级版。
连接提供商成本
在某些情况下,与连接提供商建立连接的成本可能会非常大。 这与 ExpressRoute 的 Azure 成本无关。
客户的内部配置网络路由工作
若要启用 ExpressRoute,必须在内部设置网络路由。
对于许多客户来说,这将导致需要向网络团队支付内部交叉费用,或需要向 IT 外包提供商支付外部成本,或至少是负责配置的内部员工的工作产生的商机成本。
对现有 Microsoft Power Platform、Microsoft 365 和正在使用的 Azure 服务的影响
启用对等互连后 Microsoft ,这会将服务和 Microsoft Power Platform Azure 的流量 Microsoft 365配置为通过 ExpressRoute 路由。
如果你已在使用 Microsoft Power Platform Dynamics 365 应用程序,或者 Microsoft 365 没有 ExpressRoute,那么在通过 ExpressRoute 启用 Microsoft 对等互连(这是默认行为)时,请务必对对这些现有服务的影响保持敏感。 可能必须通过使用 BGP 社区配置路由,以便分离到不同服务的流量。
在多个联机服务中重复使用 ExpressRoute
单个 ExpressRoute 连接可用于访问多个在线服务,例如,Microsoft Power Platform、Dynamics 365、Microsoft 365 和 Azure。
显示与 Microsoft 公共服务和 Azure 的共享 ExpressRoute 连接的图表。 Microsoft Microsoft 365 Microsoft Power PlatformDynamics 365 和 Azure 公共服务的对等互连与虚拟网络的 Azure 专用对等互连共享相同的 ExpressRoute 连接。
ExpressRoute 本身不会将不同类型的 Microsoft 服务与特定子网分开。 可以使用 BGP 社区标记控制流量通过 ExpressRoute 到特定服务的路由。 Microsoft 不会根据 BGP 社区标记有选择地跨 ExpressRoute 路由回流量。 如果需要根据服务类型以不同方式返回流量,请确保流量来自不同公共 IP 地址。 因为将在网络级别处理返回到子网的所有流量,因此仅将来自子网的一些流量配置为使用 ExpressRoute 非常危险,因为这可能导致非对称路由。