Funktionsweise von ExpressRoute mit Microsoft Power Platform
Um zu verstehen, wie ExpressRoute mit der Microsoft Power Platform funktioniert, müssen Sie zunächst die Grundlagen der Funktionsweise von ExpressRoute kennen.
Eine ExpressRoute-Verbindung stellt eine logische Verbindung über einen Konnektivitätsanbieter zwischen Ihrer lokalen Infrastruktur und Microsoft Cloud-Diensten dar. Sie können mehrere ExpressRoute-Verbindungen bestellen. Jeder Stromkreis kann sich in derselben oder in verschiedenen Regionen befinden und kann über verschiedene Konnektivitätsanbieter mit Ihren Räumlichkeiten verbunden werden.
Konnektivitätsanbieter sind eine Reihe von Partnern, die Ihnen beim Einrichten von ExpressRoute helfen, damit Ihre lokale Infrastruktur und die Microsoft-Cloud verbunden werden können. Die vollständige Liste der ExpressRoute-Konnektivitätspartner finden Sie unter ExpressRoute-Konnektivitätsanbieter. Die Verfügbarkeit dieser Anbieter hängt von dem Standort ab, von dem aus Sie eine Verbindung herstellen möchten.
Eine ExpressRoute-Verbindung kann Leistungsvorteile bieten, da eine dedizierte und optimierte Verbindung direkt über die Infrastruktur des ExpressRoute-Konnektivitätsanbieters zum Edge des Microsoft-Netzwerks eingerichtet wird. Diese Verbindung kann ohne ExpressRoute optimiert werden, aber da die Internetkonnektivität normalerweise über eine Reihe von Partnerschaften und Beziehungen zwischen Telekommunikationsanbietern bereitgestellt wird, wird Ihr Netzwerkverkehr möglicherweise über suboptimale Konnektivitätspfade an sein Ziel geleitet.
Wenn Sie mit einem Konnektivitätsanbieter vereinbaren, eine dedizierte und private Verbindung einzurichten, trägt dies dazu bei, dass der Anbieter die direkte Verantwortung für die Einrichtung einer optimierten Verbindung zum Microsoft-Netzwerk übernimmt. Dieses Gefühl der Eigenverantwortung führt oft zu einem optimierten Erlebnis.
Jede Schaltung hat eine feste Bandbreite; die Bandbreitenbegrenzung ist abhängig davon, welchen Tarif Sie wählen. Diese Schaltung ist einem Konnektivitätsanbieter und einem Peering-Standort zugeordnet. Die verfügbare Bandbreite wird über die Peerings für die Schaltung geteilt. Eine Schaltung kann bis zu zwei separate Peerings haben. Diese Peerings stellen die verschiedenen verwendeten Routings dar, je nachdem, welche Art von Dienst angefordert wird:
Microsoft-Peering routet Anfragen an öffentliche Microsoft-Dienste wie z. B. Microsoft 365, Dynamics 365 oder Microsoft Power Platform-Dienste.
Privates Peering leitet Anfragen an die privaten Azure-Dienste des Kunden weiter, beispielsweise an Azure Virtual Machines.
Jedes Peering ist ein Paar unabhängiger Border Gateway Protocol (BGP)-Sitzungen, die jeweils redundant für hohe Verfügbarkeit konfiguriert sind. Um eine echte Ausfallsicherheit sicherzustellen, ist es wichtig, dafür zu sorgen, dass diese Sitzungen über physisch unterschiedliche Verbindungen übertragen werden.
Microsoft kündigt die IP-Subnetze oder Präfixe der Clouddienste im öffentlichen Internet an. Microsoft kündigt auch die IP-Präfixe für die relevanten Dienste über die ExpressRoute-BGP-Verbindung für die Dienste an, die in den für diese Verbindung definierten Peerings angegeben sind.
Interner Router-Konfigurationsdatenverkehr für Microsoft-Onlinedienste an das mit ExpressRoute verbundene Subnetz Die Routerkonfiguration leitet den Datenverkehr über die BGP-Sitzung durch die ExpressRoute-Verbindung. Nachdem der Datenverkehr den Microsoft Edge erreicht hat, leitet die interne Routingkonfiguration den Datenverkehr an den entsprechenden Dienst weiter.
Für den Datenverkehr zu Microsoft muss die interne Routing-Konfiguration im Kundennetzwerk eingerichtet werden, sie ist für Folgendesverantwortlich:
Die Route für den Datenverkehr der Microsoft-Onlinedienste über das mit ExpressRoute verbundene Subnetz im Gegensatz zur öffentlichen Internetverbindung priorisieren
Den Datenverkehr des Microsoft-Onlinedienstes vom verbundenen Subnetz über die BGP-Sitzung, die über ExpressRoute eingerichtet wurde, weiterleiten
Auf der anderen Seite ist Microsoft dann dafür verantwortlich, den Datenverkehr an den entsprechenden Dienst innerhalb des Microsoft-Rechenzentrums weiterzuleiten.
Die Anforderungen für den Datenverkehr, der von Microsoft-Onlinediensten an einen externen Dienst weitergeleitet wird, sind in der folgenden Abbildung dargestellt.
Anfragen an externe Dienste werden mit DNS abgeglichen. Wenn die IP-Adresse für eine ExpressRoute-Verbindung registriert ist, wird sie intern weitergeleitet. Datenverkehr an die für ExpressRoute registrierte IP-Adresse, der über die BGP-Sitzung durch die private Leitung des Kunden geleitet wird, wird an die ExpressRoute-Verbindung weitergeleitet. Die Routerkonfiguration leitet den Datenverkehr entsprechend intern weiter, entweder durch Verwendung der öffentlichen IP oder der Netzwerkadressenübersetzungs-IP (NAT). Zuletzt wird die Verbindung zum internen Dienst hergestellt.
In folgenden Fällen wird die Anforderung gestellt:
Sie muss über eine öffentliche URL erfolgen, die zunächst in eine öffentliche IP-Adresse aufgelöst werden muss.
Wenn die IP-Adresse für ein ExpressRoute-Peering registriert ist, wird der Datenverkehr intern weitergeleitet und über die entsprechende ExpressRoute-Verbindung gesendet.
Wenn die IP-Adresse nicht registriert ist, leitet die Routing-Konfiguration innerhalb des Onlinedienstes den Datenverkehr an das öffentliche Internet weiter.
Nachdem der Verkehr im Kundennetzwerk angekommen ist, ist das interne Routing innerhalb des Kundennetzwerks dafür verantwortlich, ihn zum endgültigen Ziel weiterzuleiten, entweder zunächst durch direktes Routing der IP-Adresse oder durch Netzwerkadressenübersetzung (NAT).
Sie dürfen sich nur von einem Subnetz mit Microsoft Cloud Services verbinden, das öffentliche IP-Adressen verwendet, die Ihnen oder Ihrem ExpressRoute-Konnektivitätsanbieter gehören. Wenn Sie in Ihrem lokalen Netzwerk private IP-Adressen verwenden, müssen Sie oder Ihr Anbieter die privaten IP-Adressen mithilfe von NAT in öffentliche IP-Adressen übersetzen, bevor Sie eine Verbindung zu ExpressRoute herstellen. Dadurch können Anforderungen von Microsoft-Diensten an den Dienstendpunkt aufgelöst und über freigegebene Netzwerksegmente durch das Netzwerk geleitet werden.
ExpressRoute-Peering
Ein kritischer Faktor ist, dass Sie mit ExpressRoute derzeit nicht direkt bestimmte Dienste konfigurieren können, die über die ExpressRoute-Verbindung transportiert werden sollen. Es ermöglicht Ihnen vielmehr Gruppen von Dienstendie als Peerings bezeichnet werden, zu transportieren.
Es gibt zwei Arten von ExpressRoute-Peerings: Microsoft und privat.
Microsoft-Peering
Für die Konfiguration von ExpressRoute für Microsoft Power Platform-Dienste ist das Microsoft-Peering erforderlich, das standardmäßig Microsoft Power Platform-Dienste und Microsoft 365 gemeinsam über ExpressRoute routet. Dies bedeutet, dass der Datenverkehr an öffentliche IP-Adressbereiche weitergeleitet wird, die von diesen Diensten verwendet werden.
Es ist möglich, BGP-Communitys zu verwenden, um das Netzwerk so zu konfigurieren, dass der Datenverkehr nur für bestimmte Dienste weitergeleitet wird, z. B. nur für Microsoft Teams oder nur SharePoint-Onlinedienste über eine ExpressRoute-Microsoft-Peering-Verbindung. Dies wird derzeit nicht für die Microsoft Power Platform unterstützt. Alternativen werden im folgenden Abschnitt erläutert.
Konnektivität zu Microsoft-Onlinediensten – wie zum Beispiel Microsoft 365 und Microsoft Power Platform-Dienste – werden über das Microsoft-Peering geroutet. Microsoft weist die URLs und IP-Adressen für Microsoft Power Platform, Dynamics 365 Customer Engagement-Anwendungen und Microsoft 365-Dienste dem Microsoft-Peering zu, sodass jeder an sie weitergeleitete Datenverkehr über das Microsoft-Peering angekündigt und aktiviert wird. Im Gegensatz zu Microsoft 365 hat Microsoft Power Platform keine ausgewiesenen BGP-Communitys. (BGP-Communitys werden hier abgedeckt .)
Datenverkehr mit Microsoft-Peering Nachdem eine Verbindung den Microsoft Edge erreicht hat, handelt es sich nicht mehr um eine designierte Verbindung innerhalb des Microsoft-Netzwerks.
Mit dem Microsoft-Peering werden Verbindungen zu freigegebenen Diensten bei Microsoft weitergeleitet. Dies bedeutet, dass nach dem Eintreffen einer Verbindung im Microsoft-Rechenzentrum die laufende Verbindung ein internes freigegebenes Netzwerk durchquert. Die von ExpressRoute bereitgestellte private Verbindung reicht nicht bis zum Dienstendpunkt des Ziels selbst.
Privates Peering
Privates Peering wird für Ihre privaten Azure Infrastructure as a Service (IaaS)-Dienste verwendet und nicht direkt von Microsoft Power Platform-Diensten. Diese Art von Peering stellt normalerweise eine Verbindung mit privaten IP-Adressen in einem virtuellen Azure-Netzwerk her.
Diagramm mit einer Netzwerkübersicht mit Microsoft-Peering und privatem Peering Microsoft Peering stellt eine private Verbindung vom Netzwerk des Kunden zum Microsoft Edge her. Nach Erreichen des Edge wird der Datenverkehr als normaler Datenverkehr weitergeleitet, wobei die von ExpressRoute bereitgestellte private Verbindung nicht bis zum Dienstendpunkt des Ziels selbst reicht. Beim privaten Azure-Peering bleibt der Datenverkehr bis zum Endpunkt des von Ihnen erstellten Azure-Dienstes privat.
Bei der Microsoft Power Platform verwendet Microsoft keine privaten Dienste, auf die Sie direkt zugreifen können, sodass es nicht erforderlich ist, privates Peering für ExpressRoute zu konfigurieren. Wenn Sie private Azure-Dienste separat verwenden, ist die Konfiguration des privaten Peerings nicht schädlich, es sei denn, durch die Einführung zusätzlicher Workloads wird die Verbindung überlastet.
ExpressRoute steuert den Datenverkehr zum Microsoft-Netzwerk, nicht innerhalb desselben
Wenn Verbindungen zu einer privaten Azure-Ressource hergestellt werden, wie ein virtueller Azure-Computer,verknüpft ExpressRoute die von Ihnen hergestellte Verbindung direkt mit Ihren privaten Azure-Ressourcen.
Beim Microsoft-Peering ist ExpressRoute eine dedizierte Verbindung zwischen Ihrem Netzwerk und dem Edge des Microsoft-Netzwerks. Es ist keine dedizierte Verbindung bis zu Ihrer spezifischen Microsoft Power Platform-Umgebung. Nachdem der Datenverkehr das Microsoft-Netzwerk erreicht hat und durch die Peeringregeln als Ziel einer öffentlichen Ressource identifiziert wird – entweder Azure oder ein Microsoft-Dienst wie Microsoft 365 oder Microsoft Power Platform – ist das Endziel ein gemeinsam genutzter Dienst, sodass die Netzwerkverbindung dazu auch innerhalb des Microsoft-Netzwerks gemeinsam genutzt wird.
Der Datenverkehr zwischen Diensten in Microsoft-Rechenzentren wird innerhalb des Microsoft-Netzwerks und nicht über das öffentliche Internet geleitet.
Netzwerkdiagramm, das zeigt, dass es keine direkten Verbindungen zwischen Azure IaaS und Microsoft Power Platform-Diensten gibt Innerhalb desselben Rechenzentrums wird dieser Datenverkehr normal geroutet.