Faktoren, die Sie berücksichtigen sollten, bevor Sie ExpressRoute mit Microsoft Power Platform verwenden
Die Komplexität der Einrichtung von ExpressRoute wird oft unterschätzt. Insbesondere die folgenden Aktionen und Auswirkungen werden oft übersehen, sei es bei der Planung oder Ausführung:
Konfigurieren Ihres Netzwerks zum Weiterleiten von Datenverkehr an das mit ExpressRoute verbundene Subnetz
Vermeidung von asymmetrischem Routing, bei dem der Datenverkehr direkt zu Microsoft Power Platform über das Internet verläuft, jedoch von ExpressRoute an das Unternehmensnetzwerk zurückgegeben wird, wodurch der Datenverkehr von der Firewall zurückgewiesen wird
Die Gesamtkosten für die Bereitstellung von ExpressRoute, einschließlich Microsoft Azure-Dienste, Bereitstellung von Konnektivitätsanbietern und laufende Dienst- und interne IT-Netzwerk-Routing-Konfiguration
Bestimmen, ob mehrere ExpressRoute-Verbindungen für verteilte Bereitstellungen eingerichtet werden sollen
Verbindungsleistungsprobleme
LAN-Konnektivität
Einige der häufigsten Probleme, die bei einem Benutzer auftreten können, sind:
Die Konnektivität innerhalb des lokalen Netzwerks ist bereits gesättigt, bevor eine reichhaltige Browseranwendung zum Mix hinzugefügt wird.
Microsoft Power Platform ersetzt eine Thick-Client-Anwendung, bei der nur die Daten über das Netzwerk übertragen wurden und nicht sowohl Daten als auch Präsentationsinformationen.
Es ist wichtig zu verstehen, dass eine Browseranwendung zwar weniger in Bezug auf die clientseitige Bereitstellungsverwaltung erfordert, jedoch eine höhere Bandbreite benötigt als eine Thick-Client-Anwendung. Daher wird ein bereits gesättigtes lokales Netzwerk durch das Hinzufügen neuer Dienste weiter leiden.
Schlechte WAN-Konnektivität
Basierend auf der Netzwerkanalyse der Konnektivität zum Onlinedienst besteht ein häufiges Muster darin, dass der Netzwerkverkehr an einem bestimmten Punkt eine interne Netzwerkroute durchquert, was zu erheblicher Latenz führt. Dies kann an Bedingungen liegen wie:
Sättigung des WAN-Links.
Proxy-Verarbeitung, die zu mehr Latenz und Overhead führt.
Ineffizientes internes Routing (z. B. Routing innerhalb des Unternehmensnetzwerks statt früher ins Internet).
Wenn der Microsoft Power Platform-Datenverkehr unter diesen Herausforderungen leidet, könnte die Leistung beim Client ebenfalls darunter leiden.
Schlechte Internetverbindung
Das Hinzufügen von Cloud-Diensten kann zusätzlichen Verbrauch verursachen und die Unternehmensverbindung zum Internet belasten. Dies kann in folgenden Fällen vorkommen:
Die Internetverbindung reicht nicht aus, um die zusätzliche Last zu tragen.
Innerhalb des Netzwerks des Internetdienstanbieters (ISP) wird die Weiterleitung dieses Datenverkehrs zum Microsoft-Netzwerk vom ISP gesteuert; die Effizienz dieses Routings kann variieren.
Die Verbindung leidet unter einer Verkehrsmischung, die sich auf die Qualität der Verbindung auswirkt (z. B. mehrere internetbasierte Schulungen, Microsoft Stream oder YouTube-Videos mit Datenverkehr zu einer geschäftskritischen Anwendung, die um die verfügbare Bandbreite konkurrieren). Dies kann insgesamt für das Verkehrsaufkommen ausreichen, kann jedoch möglicherweise die Leistung durch Nachfragespitzen beeinträchtigen, die durch Aktivitäten wie Videostreaming verursacht werden.
Diese Dinge können durch zusätzliche Bandbreite oder separate Verbindungen über den ISP behoben werden. Insbesondere eine separate Verbindung, die dem Prioritätsverkehr gewidmet ist, kann sowohl die Leistung als auch die Vorhersagbarkeit des Verkehrs verbessern.
Stellen Sie außerdem sicher, dass Sie Quality of Service (QoS) richtig eingerichtet haben. Wenn Sie Microsoft Teams und Microsoft Stream verwenden, lesen Sie die QoS-Anforderungen innerhalb von ExpressRoute.
Sicherheitskontrolle
Die nächste Konfiguration, die Sie berücksichtigen müssen, ist die Sicherheitskontrolle. ExpressRoute selbst verschlüsselt oder filtert den Datenverkehr nicht nativ (mit Ausnahme von ExpressRoute Direct mit aktiviertem MACsec). Es stellt lediglich eine private statt einer gemeinsamen Verbindung direkt zwischen Microsoft und den Kundenrechenzentren über ihren Konnektivitätsanbieter her.
Jede Anfrage von einem Microsoft-Onlinedienst oder Azure-Dienst an das über eine ExpressRoute-Verbindung beworbene Subnetz wird unabhängig vom Dienst oder Kunden über diese Verbindung weitergeleitet. Da die Anforderung auf der Netzwerkschicht weitergeleitet wird, gibt es keine Kontrolle auf Anwendungsebene, um zu bestimmen, ob dies ein geeigneter Anforderer für diesen Zieldienst ist.
Da es sich beim Datenverkehr zu Microsoft-Diensten um öffentliche freigegebene Dienste handelt, kann direkt über das öffentliche Internet darauf zugegriffen werden. Die Zugriffskontrolle auf diese Dienste erfolgt über Authentifizierungs- und Autorisierungsdienste auf Anwendungsebene. Außerdem sind sie auf Infrastrukturebene gegen Eindringlinge und Bedrohungen wie Denial-of-Service-Angriffe geschützt.
Hinsichtlich dem Datenverkehr von Microsoft-Diensten zu lokal gehosteten Diensten ist der Kunde dafür verantwortlich, einen ähnlichen Schutz für seine eigenen Dienste bereitzustellen, wenn Datenverkehr über eine ExpressRoute-Verbindung empfangen wird.
Möglichkeit, die ExpressRoute-Nutzung auf bestimmte Microsoft-Dienste zu beschränken
Eine der Herausforderungen, denen Sie möglicherweise gegenüberstehen, besteht darin, ExpressRoute für einen bestimmten Microsoft Cloud Service zu verwenden, aber nicht für andere. Obwohl die verschiedenen Peeringoptionen hier ein gewisses Maß an Kontrolle bieten, bietet das Peering selbst keine detaillierte Kontrolle innerhalb von Diensten desselben Peeringtyps (z. B. um das Routing nur zu virtuellen Azure-Computern zu ermöglichen, aber nicht zu Microsoft 365). Es ist jedoch möglich, Border Gateway Protocol (BGP)-Communitys zu verwenden, um den Datenverkehr nur für bestimmte Dienste zu konfigurieren.
Dies ist für Microsoft Power Platform-Dienste mit einer Microsoft 365-Präsenz relevant, wobei das Routing über ExpressRoute für einen Dienst wünschenswert sein kann, aber nicht für beide, oder nur für bestimmte einzelne Dienste von Microsoft 365 wie zum Beispiel Microsoft Teams.
ExpressRoute selbst bietet derzeit nicht die Möglichkeit, Dienste direkt zu konfigurieren, die über eine bestimmte ExpressRoute-Verbindung auf dieser Ebene der Dienstgranularität geleitet werden, aber BGP-Communitys können verwendet werden, um dies zu steuern.
Microsoft kündigt Routen in den Microsoft-Peeringpfaden mit Routen an, die mit entsprechenden BGP-Community-Werten für geografische Standorte und Diensttypen gekennzeichnet sind. Diese können dann in den Routern der Kunden so konfiguriert werden, dass der Datenverkehr für diese Dienste über die ExpressRoute-Verbindung geleitet wird.
Sie können verschiedene Tags für Microsoft 365-Dienste verwenden, um Datenverkehr nur für diese Dienste über die ExpressRoute-Verbindung und den Rest entweder über eine andere ExpressRoute-Verbindung oder das öffentliche Internet zu leiten.
Microsoft Power Platform-spezifische BGP-Community-Werte sind nicht so verfügbar wie Microsoft 365-Dienste. Stattdessen werden regionale BGP-Communitys mit entsprechenden Microsoft Azure-Regionen verwendet, die für jede Microsoft Power Platform-Umgebung verwendet werden. Da Microsoft Power Platform-Umgebungen zwei Rechenzentrumssätze verwenden, sehen Sie sich den Überblick zu Regionen an, um zu überprüfen, welche zwei Rechenzentren verwendet werden. Weitere Informationen: BGP-Communitys für GCC
Microsoft 365
Da Microsoft Power Platform- und Microsoft 365-Dienste beide über Microsoft-Peering angeboten werden, würde das Einrichten von Microsoft-Peering standardmäßig alle Microsoft Power Platform- und Microsoft 365-Dienste über die ExpressRoute-Verbindung ankündigen.
Dies hat zur Folge, dass die Aktivierung von BGP-Communitys zum Weiterleiten von Datenverkehr für einen Dienst dazu führen würde, dass beide über ExpressRoute geroutet werden. Dies kann wünschenswert sein oder auch nicht, kann jedoch ungünstige Folgen haben. Wenn Sie beispielsweise die benötigte Netzwerkbandbreite für Microsoft Power Platform ermittelt und die ExpressRoute-Verbindung entsprechend angepasst haben, dann aber versehentlich auch Ihren gesamten Microsoft 365-Datenverkehr über ExpressRoute routen, kann dies Ihr Netzwerk überlasten und zu Leistungsproblemen führen.
Obwohl durch das Aktivieren von ExpressRoute für Microsoft das Peering den gesamten Microsoft Power Platform- und Microsoft 365-Datenverkehr über die ExpressRoute-Verbindung routet, ist es möglich, BGP-Community-Tags zu verwenden, um das Routing so zu steuern, dass nur bestimmte Dienste wie Microsoft Power Platform Dienste aber keine anderen Microsoft 365 Dienste, die ExpressRoute-Verbindung verwenden. Insbesondere sind nicht alle Microsoft 365-Dienste für die Zusammenarbeit mit ExpressRoute konzipiert. Derzeit haben Microsoft Power Platform-Dienste keine ausgewiesene BGP-Community wie manche Microsoft 365-Dienste. Stattdessen sollten Sie regionale BPG-Communitys passend zu der Region verwenden, in der die Microsoft Power Platform-Umgebung erstellt wurde.
Weitere Informationen zum Routing von Microsoft 365 finden Sie in der Dokumentation unter selektives Routing mit Microsoft 365.
Da Microsoft Power Platform-Dienste teilweise als Teil des Microsoft 365-Dienstes, arbeiten werden auch viele sich überschneidenden Dienste, wie das Admin-Portal und die Authentifizierung, benötigt. Es ist nicht möglich, alle diese Dienste mithilfe von ExpressRoute zu schützen. Das Microsoft 365 Admin Center wird beispielsweise nicht über ExpressRoute veröffentlicht.
Unterstützung für Sovereign Clouds
Kunden, die behördliche oder länder-/regionenspezifische Vorschriften erfüllen müssen, können sich für die Nutzung einer Sovereign Cloud entscheiden. Sovereign Clouds befinden sich physisch in einer Region, um die spezifischen Anforderungen dieser bestimmten Regierung oder dieses Landes zu erfüllen. Beispielsweise befindet sich Power Apps for Government Community Cloud (GCC) in den USA und erfüllt dort die spezifischen Vorschriften und Zertifizierungen der US-Regierung und erfüllt Protokolle, um diese Anforderungen zu erfüllen.
Sehen Sie sich dieses Video an, in dem beschrieben wird, wie Microsoft Power Platform mit Sovereign Clouds erhältlich ist: Video: Sovereign Clouds mit Marty Carreras.
Wenn Sie erwägen, eine Sovereign Cloud-Umgebung zu verwenden, müssen Sie die Einschränkungen berücksichtigen, da im Vergleich zu öffentlichen Cloud-Umgebungen nicht alle Funktionen verfügbar sind. Die Verfügbarkeit nach jeder Umgebung für Microsoft Power Platform ist in der folgenden Tabelle aufgeführt. Hinsichtlich anderer Unterschiede in der Verfügbarkeit lesen Sie die Dokumentation über Rechenzentrumsregionen.
| Region | ExpressRoute-Unterstützung |
|---|---|
| US Government Community Cloud (GCC) | Unterstützt 1 |
| US Government Community Cloud High (GCC High) | Unterstützt 1 |
| China | Unterstützt 2 |
1 Kunden müssen Azure Government ExpressRoute verwenden, wenn sie die US-amerikanischen GCC- oder GCC-High-Regionen verwenden, und können Azure Commercial Cloud ExpressRoute nicht verwenden. 2 Kunden müssen Azure China ExpressRoute verwenden, wenn sie die China-Regionen verwenden, und können Azure Commercial Cloud ExpressRoute nicht verwenden.
Azure ExpressRoute-Kosten
Bei der Schätzung der Kosten für ExpressRoute müssen Sie mehrere Elemente berücksichtigen:
Azure-Kosten
Kosten des Konnektivitätsanbieters
Kosten interner Einrichtungsaufwand
Um den Geschäftsfall genau zu bestimmen, ist es wichtig, all diese Kosten bei der Bewertung von ExpressRoute für Microsoft Power Platform zu berücksichtigen. Alle werden in den nachstehenden Abschnitten diskutiert.
Azure-Kosten
Azure ExpressRoute kann in verschiedenen Modellen erworben werden.
Fakturierungstyp
Gemessen: Grundgebühr für das Abonnement pro Monat mit unbegrenztem eingehenden Datenverkehr, aber einer Gebühr pro GB für ausgehenden Datenverkehr
Unbegrenzt: Grundgebühr für das Abonnement pro Monat mit unbegrenztem ein- und ausgehenden Datenverkehr
SKU / Plan
Standard
Basisverbindung mit ExpressRoute
Bietet Zugang zu Diensten innerhalb einer einzigen geografischen Region
Wenn sich die ExpressRoute-Verbindung in derselben Region befindet wie die Microsoft Power Platform-Umgebung, mit der Benutzer eine Verbindung herstellen, ist für diese Verbindung nur der ExpressRoute-Standard erforderlich
Premium
Bietet Zugriff auf weltweite geografische Dienste von jedem Ort aus, an dem die Verbindung hergestellt wird
Wenn Benutzer eine Verbindung über eine ExpressRoute-Verbindung aus einer anderen Region als ihrem Enddienst herstellen, wird ExpressRoute Premium für diese ExpressRoute-Verbindung benötigt.
Weitere Informationen: Azure ExpressRoute Preisgestaltung
Kosten des Konnektivitätsanbieters
In einigen Fällen können die Kosten für den Verbindungsaufbau mit dem Konnektivitätsanbieter erheblich sein. Diese sind von den Azure-Kosten für ExpressRoute getrennt.
Interner Kundenaufwand zur Konfiguration des Netzwerkroutings
Um ExpressRoute zu aktivieren, muss das Netzwerkrouting intern eingerichtet werden.
Für viele Kunden erfordert dies eine interne Weiterbelastung des Netzwerkteams oder externe Kosten für einen IT-Outsourcing-Anbieter oder zumindest Opportunitätskosten für die Bemühungen des internen Personals, sich auf die Konfiguration zu konzentrieren.
Auswirkungen auf bestehende verwendete Microsoft Power Platform-, Microsoft 365- und Azure-Dienste
Wenn Microsoft-Peering aktiviert ist, konfiguriert dies den Datenverkehr so, dass Microsoft Power Platform-Dienste, Microsoft 365 und Azure über ExpressRoute weitergeleitet werden.
Wenn Sie entweder Microsoft Power Platform, Dynamics 365-Anwendungen oder Microsoft 365 ohne ExpressRoute verwenden, ist es wichtig, die Auswirkungen auf diese vorhandenen Dienste zu berücksichtigen, wenn Sie das Microsoft-Peering über ExpressRoute aktivieren (was das Standardverhalten ist). Es kann erforderlich sein, das Routing mithilfe von BGP-Communitys zu konfigurieren, um den Datenverkehr auf verschiedene Dienste zu trennen.
Wiederverwendung von ExpressRoute über mehrere Onlinedienste
Eine einzelne ExpressRoute-Verbindung kann für den Zugriff auf mehrere Onlinedienste verwendet werden, z. B. Microsoft Power Platform, Dynamics 365, Microsoft 365 und Azure.
Diagramm, das eine freigegebene ExpressRoute-Verbindung mit öffentlichen Microsoft-Diensten und Azure zeigt. Microsoft-Peering für Microsoft 365, Microsoft Power Platform, Dynamics 365 und öffentliche Azure-Dienste nutzen dieselbe ExpressRoute-Verbindung mit privatem Azure-Peering für virtuelle Netzwerke.
ExpressRoute selbst trennt nicht verschiedene Typen von Microsoft-Diensten von einem bestimmten Subnetz. Es ist möglich, BGP-Community-Tags zu verwenden, um das Routing des Datenverkehrs zu bestimmten Diensten über ExpressRoute zu steuern. Microsoft leitet Datenverkehr nicht selektiv basierend auf BGP-Community-Tags zurück über ExpressRoute. Wenn der Datenverkehr je nach Diensttyp unterschiedlich zurückgegeben werden muss, stellen Sie sicher, dass der Datenverkehr von verschiedenen öffentlichen IP-Adressen stammt. Da jeglicher Datenverkehr, der zu einem Subnetz zurückkehrt, auf Netzwerkebene verarbeitet wird, wäre es gefährlich, nur einen Teil des Datenverkehrs aus einem Subnetz für die Verwendung von ExpressRoute zu konfigurieren, da dies zu asymmetrischem Routing führen kann.