將 ExpressRoute 與 Microsoft Power Platform 搭配使用前要考慮的事項
設定 ExpressRoute 的複雜性通常會低估。 特別地,在規劃或執行過程中,以下的動作和影響經常會被忽略:
設定網路以將流量路由連接到 ExpressRoute 的子網路
避免非對稱路由,即流量透過網際網路直接進入 Microsoft Power Platform,但由 ExpressRoute 傳回到公司網路,從而觸發防火牆拒絕流量
設定 ExpressRoute 的整體成本,包括 Microsoft Azure 服務、連線提供者設定,以及持續服務和內部 IT 網路路由設定
判斷是否應為分散式部署建立多個 ExpressRoute 線路
連線效能問題
LAN 連線
使用者可能會遇到的常見問題包括:
將豐富瀏覽器應用程式新增至組合之前,區域網路中的連線已經飽和。
Microsoft Power Platform 取代了只透過網路傳輸資料的胖用戶端應用程式,而不是同時傳輸資料和呈現資訊。
瀏覽器應用程式雖然在用戶端部署管理方面的要求較少,但要求的頻寬比胖用戶端應用程式更多,了解這一點很重要,因此,隨著新服務的增加,已經飽和的區域網路將進一步受到影響。
不良的 WAN 連線
根據對線上服務的連線網路分析,常見的模式是網路流量會在某個時間點通過內部網路路由,這會讓延遲顯著增加。 這可能是因為以下情況:
WAN 連結飽和。
Proxy 處理,導致成更多延遲和負荷。
效率不佳的內部路由 (例如,在公司網路中進行路由,而不是更早路由至網際網路)。
如果 Microsoft Power Platform 流量受這些問題的影響,則用戶端的效能可能也會受到損害。
較差的網際網路連線
新增雲端服務可能會對公司連線到網際網路帶來額外的消耗和負擔。 如果出現以下情況,就可能會造成負擔:
網際網路連線不足以支援額外的負載。
在 Internet 服務提供者 (ISP) 的網路中,該流量到 Microsoft其網路的路由由 ISP 控制;該路由的效率可能會有所不同。
連線會受到混合流量的影響,這會影響連線品質 (例如,多個網際網路式訓練工作階段、Microsoft Stream 或 YouTube 影片的流量與業務關鍵型應用程式爭用可用的頻寬)。 整體流量也許是足夠的,但在需求高峰 (引入影片串流等活動) 時可能會影響效能。
這些問題可以透過 ISP 獲得額外頻寬或單獨連線來解決。 特別是,讓優先流量擁有專用獨立連線,有助於提高流量的效能和可預測性。
此外,請務必正確設定服務品質 (QoS)。 如果您使用的是 Microsoft Teams 和 Microsoft Stream,請參考 ExpressRoute 中的 QoS 需求。
安全性控制項
下一個需要考慮的事項是安全性控制項。 ExpressRoute 本身不會在本地加密或篩選流量 (啟用了 MACsec 的 ExpressRoute Direct 除外);它只是通過連接供應商直接在客戶數據中心之間建立 Microsoft 專用連接,而不是共用連接。
從任何 Microsoft 連線服務或 Azure 服務到通過 ExpressRoute 線路播發的子網的任何請求都將通過該線路路由,而不管服務或客戶是誰。 因為要求是在網路層進行路由,所以沒有應用程式層級控制項來判斷它是否為該目標服務的適當申請者。
對於服務的 Microsoft 流量,由於這些是公共共享服務,因此可以通過公共 Internet 直接存取它們。 這些服務的存取控制項是透過應用程式層級的驗證和授權服務來處理的。 其在基礎結構層級得到進一步保護,抵禦因侵入和拒絕服務攻擊等威脅。
對於從 Microsoft 服務到內部部署託管服務的流量,當通過 ExpressRoute 連接接收流量時,客戶負責為其自己的服務提供類似的保護。
能夠將 ExpressRoute 的使用限制為僅某些 Microsoft 服務
你可能面臨的挑戰之一是希望將 ExpressRoute 用於特定的 Microsoft 雲端服務,而不是其他雲服務。 雖然不同的對等選項在此提供某種層級的控制,但是對等類本身並不能提供相同對等類型之服務的精細控制 (例如,只允許將路由至 Azure 虛擬機器,而不能到 Microsoft 365)。 但是,您可以使用邊界閘道協定 (BGP) 社群,以只為特定服務設定流量。
這是與狀態為 Microsoft 365 的服務相關的 Microsoft Power Platform 服務,其中透過 ExpressRoute 的路由可能適用於一個服務,但不適用於這兩種服務,或只適用於某些單一服務 Microsoft 365,例如:Microsoft Teams。
目前 ExpressRoute 本身並未提供在此服務規模層級直接設定要透過特定 ExpressRoute 線路路由之服務的功能,但可以使用 BGP 社群來控制這項功能。
Microsoft Microsoft 使用針對地理位置和服務類型的適當 BGP 社區值標記的路由,在對等路徑中通告路由。 然後可以在客戶的路由器中設定,以透過 ExpressRoute 線路來路由這些服務的流量。
您可以使用不同的 Microsoft 365 服務標記,透過 ExpressRoute 電路僅路由這些服務的通訊,並將其餘的路由在不同的 ExpressRoute 電路或公用網際網路上。
Microsoft Power Platform 特定 BGP 群組值無法使用,就像是 Microsoft 365 服務一樣。 相反地,地區 BGP 社群與用於每個 Microsoft Power Platform 環境的相應 Microsoft Azure 區域一起使用。 由於 Microsoft Power Platform 環境使用兩組資料中心,因此請務必查看區域概述以檢查使用哪兩個資料中心。 詳細資訊:GCC 的 BGP 社群
Microsoft 365
由於服務和服務都是通過 Microsoft Power Platform 對等互連提供的,因此 Microsoft 365 預設情況下, Microsoft 設置對等互連會跨 ExpressRoute 線路播發所有 Microsoft 服務和服務 Microsoft Power Platform 。 Microsoft 365
這樣做的結果是,啟用 BGP 社群為一項服務路由流量,可能會導致兩者都透過 ExpressRoute 路由。 這可能是也可能不是您想要的,但這可能會產生不利的結果。 例如,如果您已判斷需要 Microsoft Power Platform 的網路頻寬與 ExpressRoute 連接的大小相應,但是無意中透過 ExpressRoute 路由所有的 Microsoft 365 通訊,這可能會使您的網路飽和並造成效能挑戰。
雖然為 ExpressRoute Microsoft 啟用對等互連將通過 ExpressRoute 連接路由所有 Microsoft Power Platform 流量 Microsoft 365 ,但可以使用 BGP 社區標記來控制路由,以便只有特定服務 (例如 Microsoft Power Platform 服務,而不是其他 Microsoft 365 服務) 使用 ExpressRoute 連接。 特別的是,並非所有 Microsoft 365 服務都是設計來使用 ExpressRoute。 目前,Microsoft Power Platform 服務沒有指派給某些 Microsoft 365服務的指定 BGP 群組。 相反地,您應該使用區域 BPG 社群來符合建立 Microsoft Power Platform 環境的區域。
如需路由 Microsoft 365 的詳細資訊,請移至使用 Microsoft 365 的選擇性路由相關文件。
因為服務會部分地做為服務的 Microsoft Power Platform 一部分,所以 Microsoft 365 許多跨接服務 (例如管理入口網站和驗證) 也是必要的。 您不可以使用 ExpressRoute 來保護所有這些服務;例如,Microsoft 365 管理中心不會在 ExpressRoute 上發行。
支援主權雲端
需要符合政府或國家/地區特定規章的客戶,可以選擇使用主權雲端。 主權雲端位於實體區域,以符合特定政府或國家的特定需求。 例如,用於 Government Community Cloud (GCC) 的 Power Apps 位於美國,其符合美國政府的特定法規和認證,並滿足符合那些要求的通訊協定。
觀看這段影片,以了解 Microsoft Power Platform 如何適用於主權雲端:影片:主權雲端和 Marty Carreras。
當您考慮使用主權雲端和雲端環境時,必須考慮有哪些限制,因為與公用雲端環境相比,並非所有功能都可以使用。 下表列出每個環境對 Microsoft Power Platform 的可用性。 有關可用性的其他差異,請閱讀資料中心區域文件。
| 地區 | ExpressRoute 支援 |
|---|---|
| US Government Community Cloud (GCC) | 支援 1 |
| US Government Community Cloud High (GCC High美國政府社區雲高) | 支援 1 |
| 中國 | 支援 2 |
1 客戶在使用美國 GCC 或 GCC High 區域時必須使用 Azure 政府 ExpressRoute,並且不能使用 Azure 商業雲 ExpressRoute。 2 客戶在使用中國地區時,必須使用 Azure China ExpressRoute,不能使用 Azure 商業雲端 ExpressRoute。
Azure ExpressRoute 成本
在估算 ExpressRoute 的成本時,您需要考慮幾個要素:
Azure 成本
連線提供者成本
內部設定投入成本
為了準確判斷商務案例,在評估適用於 Microsoft Power Platform 的 ExpressRoute 時,務必要考慮這些成本。 以下各節將分別討論。
Azure 成本
可以購買不同模型的 Azure ExpressRoute。
帳單類型
計量:每月的基礎訂閱成本,入站流量不受限制,但出站流量依 GB 收費
無限制:每月基礎訂閱成本,入站和出站流量無限制
SKU/方案
標準
使用 ExpressRoute 的基礎連線
在單一地理區域中提供服務存取
如果 ExpressRoute 線路與使用者連接的 Microsoft Power Platform 環境位於同一區域內,則該線路僅需要「ExpressRoute 標準」
進階
可讓您隨時隨地存取全球的地域服務
如果使用者透過與其最終服務不同區域的 ExpressRoute 線路進行連線,則需要「ExpressRoute 進階」才能使用該 ExpressRoute 線路。
連線提供者成本
在某些案例中,與連線提供者建立連線的成本可能很高。 這些成本與 ExpressRoute 的 Azure 成本是不同的。
內部客戶投入設定網路路由
若要啟用 ExpressRoute,必須在內部設定網路路由。
對於許多客戶而言,這將需要向網路團隊支付內部交叉費用或向 IT 外包供應商支付外部成本,或者至少需要內部員工專注於設應的機會成本。
使用中的現有 Microsoft Power Platform、Microsoft 365 與 Azure 服務造成影響
啟用對等互連後 Microsoft ,這會將服務和 Microsoft Power Platform Azure 的流量 Microsoft 365配置為通過 ExpressRoute 路由。
如果你已在使用 Microsoft Power Platform Dynamics 365 應用程式,或者 Microsoft 365 沒有 ExpressRoute,那麼在通過 ExpressRoute 啟用 Microsoft 對等互連 (這是預設行為) 時,請務必對對這些現有服務的影響保持敏感。 您可能需要使用 BGP 社群來設定路由,以將流量分離到不同的服務。
在多個線上服務中重複使用 ExpressRoute
單一 ExpressRoute 連接可以用來存取多個線上服務,例如 Microsoft Power Platform Dynamics 365、Microsoft 365 和 Azure。
顯示與 Microsoft 公共服務和 Azure 的共用 ExpressRoute 連接的圖表。 Microsoft Microsoft 365 Microsoft Power PlatformDynamics 365 和 Azure 公共服務的對等互連與虛擬網路的 Azure 專用對等互連共用相同的 ExpressRoute 連接。
ExpressRoute 本身不會將不同類型的 Microsoft 服務與特定子網分開。 可以使用 BGP 社區標籤來控制流量透過 ExpressRoute 路由到特定服務。 Microsoft 不會根據 BGP 社區標記有選擇地跨 ExpressRoute 路由回流量。 如果需要根據業務類型以不同方式傳回流量,請確保流量來自不同的公用 IP 位址。 由於傳回子的任何流量都將在網路層級處理,因此僅設定來自子網路的某些流量使用 ExpressRoute 是有風險的,因為這會導致非對稱路由。