Grundlegendes zur Microsoft Power Platform-Architektur zur Verwendung mit ExpressRoute
Beim Einrichten von ExpressRoute für Microsoft Power Platform ist es wichtig, die zugrunde liegende Architektur zu kennen, um zu verstehen, was konfiguriert werden kann.
Regionen und Umgebungen
Microsoft Power Platform ist auf der Microsoft Azure-Infrastruktur aufgebaut, die in verschiedenen Regionen der Welt eingesetzt wird. Jede Bereitstellung wird als eine Umgebung bezeichnet, und diese Umgebungen sind einer bestimmten Region zugeordnet.
Jede Microsoft Power Platform-Region verfügt über zwei Rechenzentren. Das Diagramm zeigt vier verschiedene Regionen: Ozeanien, Großbritannien, Nordamerika und Europa. Jede dieser Regionen hat ein Paar. In diesem Beispiel gibt es beispielsweise in der Region Nordamerika die Rechenzentren „USA, Westen“ und „USA, Osten“. Skalierungsgruppen sind in jedem Rechenzentrum vorhanden. Es gibt mehrere Skalierungsgruppen, darunter Canary-Gruppen, Sandbox-Gruppen und Produktionsskalierungsgruppen.
Jede Umgebung ist in einer Skalengruppe enthalteneine gemeinsam genutzte Infrastruktur, die einen wartbaren und skalierbaren Infrastruktursatz bereitstellt. Eine Skalierungsgruppe hostet mehrere Kundenorganisationen, jede mit ihrer eigenen Datenbank, aber mit einer Shared-Service-Infrastruktur. Es verwendet verschiedene Azure-Dienste, einschließlich Azure SQL, Azure Virtual Machines und Azure Cache for Redis. Diese Skalierungsgruppen werden paarweise für jede vom Kunden ausgewählte Region festgelegt. Wenn Sie beispielsweise Vereinigte Staaten als Region auswählen, werden Skalengruppen in USA, Westen und USA, Osten erstellt.
Ein häufiges Missverständnis ist, ob ExpressRoute zwischen Microsoft Power Platform und Azure-Diensten eingerichtet werden kann, und die Antwort lautet nein. Wie in der vorangegangenen Diskussion über die Infrastruktur erläutert, nutzt Microsoft Power Platform eine Shared-Service-Infrastruktur. ExpressRoute ist eine Verbindung, die nur bis zum Rand des Microsoft-Rechenzentrums eingerichtet wird.
ExpressRoute ist eine Technologie, die eine private Verbindung zwischen Ihrem lokalen Netzwerk und dem „Eingang“ zum Cloud-Dienst bereitstellt. Daher kann keine Netzwerkverbindung innerhalb derselben Cloud in diesem Fall Microsoft Power Platform und Azure-Dienste mit ExpressRoute eingerichtet werden.
Da Microsoft Power Platform keine ausgewiesenen Border Gateway Protocol (BGP)-Communitys wie Microsoft 365 hat, müssen Sie zwei regionale BGP-Communitys für die ausgewählte Region verwenden.
Wenn Sie beispielsweise Europa als Region ausgewählt haben, die Sie für Ihre Microsoft Power Platform-Umgebung verwenden möchten, und Sie diese Umgebung mit ExpressRoute verbinden möchten, müssen Sie Westeuropa und Nordeuropa als die beiden regionalen BGP-Communitys auswählen. Das regionale Paar, das Sie einrichten müssen, finden Sie unter Überblick zu Power Automate-Regionen.
Konnektoren
Connectors sind eine großartige Möglichkeit, eine Verbindung zu Microsoft-Erstanbieterdiensten zusätzlich zu den Diensten von Drittanbietern mit Microsoft Power Platform herzustellen, sodass Sie sich mit über 400 verschiedenen Diensten und Apps verbinden können. Eines der Details, das Sie berücksichtigen sollten, ist, wie sich Connectors mit verschiedenen Diensten verbinden und wie sich dies auf Ihre Verbindung mit ExpressRoute auswirkt.
Connectors verwenden Azure API Management im Hintergrund, um die Anmeldeinformationen und Verbindungen jedes Benutzers zu verwalten.
Diese Verbindungen werden dann an verschiedene Datenquellen geleitet. Bei Microsoft-Connectors befinden sich die Verbindungen innerhalb des Microsoft-Rechenzentrums. Auf Connectors für Dienste, die nicht von Microsoft stammen, wird über das öffentliche Internet zugegriffen.
Lokales Datengateway
Verwenden von lokalen Datengateways ermöglicht Ihnen die Verbindung zu Ihren lokalen Diensten mit Microsoft Power Platform auf sichere Weise, indem Sie Azure hinter den Kulissen verwenden. Alle Daten, die über das lokale Datengateway übertragen werden, werden über Azure Service Bus gesendet, wie in der folgenden Abbildung gezeigt.
Der Gateway-Clouddienst verschlüsselt und speichert Details zu Datenquellen-Anmeldeinformationen und lokalen Datengateways. Er übermittelt Abfragen und Ergebnisse zwischen Clouddiensten, dem lokalen Datengateway und der Datenquelle. Azure Service Bus wird verwendet, um Daten zwischen dem Gateway-Clouddienst und dem lokalen Datengateway zu übertragen. Das lokale Datengateway entschlüsselt Datenquellen-Anmeldeinformationen und stellt eine Verbindung zu einer Datenquelle her. Es übermittelt Abfragen an die Datenquelle und gibt die Ergebnisse an den Gateway-Clouddienst zurück.
Das Gateway verwendet Transport Layer Security (TLS) 1.2 für die Kommunikation zwischen dem lokalen Datengateway und Microsoft Power Platform-Diensten.
Das lokale Datengateway stellt eine Verbindung zu einer Rechenzentrumsregion pro Gateway her. Um Latenz zu minimieren, berücksichtigen Sie beim Einrichten des Gateways das Festlegen der Rechenzentrumsregion auf die nächste Region. Weitere Informationen: Architektur lokaler Datengateways
Abhängig vom Connector, den Sie mit lokalen Systemen verwenden, bedeutet die Implementierung von ExpressRoute nicht unbedingt, dass Sie das lokale Datengateway entfernen können. Dies liegt daran, dass das lokale Datengateway Funktionen zum Konvertieren von Daten enthält. Bei SQL Server konvertiert das lokale Datengateway beispielsweise das Protokoll von OData-Anforderungen in SQL Data Manipulation Language-Anweisungen.
Daher macht die Aktivierung von ExpressRoute die Implementierung eines lokalen Datengateways nicht vollständig überflüssig. Überprüfen Sie jeden von Ihnen verwendeten Connector in der Liste der Konnektoren, um festzustellen, ob noch ein lokales Gateway erforderlich ist.
Ein lokales Datengateway wird verwendet, wenn Sie eine Verbindung zu lokalen Systemen von Microsoft Power Platform herstellen. Das Gateway verbindet lokale Systeme mit Microsoft Power Platform mithilfe von Azure Service Bus.
Content Delivery Network
Microsoft Power Platform verwendet Azure Content Delivery Network (CDN), um die Leistung und Benutzererfahrung bei der Verwendung statischer Inhalte wie Bildern und Symbolen zu optimieren. Dieser statische Inhalt, der vom Content Delivery Network bereitgestellt wird, kann nicht über ExpressRoute geroutet werden, daher wird er direkt über das öffentliche Internet geleitet. Dieser Inhalt verwendet jedoch allgemeine Plattformfunktionen, die keine Kundendaten enthalten. Daher muss der Inhalt nicht als Kandidat für den Schutz von privaten Netzwerken wie ExpressRoute betrachtet werden.
Notiz
Speziell für Canvas-Apps kann CDN mit der Einstellung Statische Standardinhalte aus dem Content Delivery Network laden bei Firewall-Einschränkungen und Problemen im Zusammenhang mit der IP-Genehmigungsliste von Systemadministratoren deaktiviert werden. Diese Einstellung gilt nicht für Modellgesteuerte Apps, da diese derzeit kein CDN verwenden. Weitere Informationen: Verhaltenseinstellungen verwalten
Azure Relay
Microsoft Power Automate verwendet Azure Relay für die direkte Konnektivität zwischen Power Automate-Cloud-Flows und Desktop-Flows in Power Automate für Desktop. Es verwendet HTTPS und die Daten werden bei der Übertragung zwischen dem Computer und der Cloud verschlüsselt. Um jedoch sicherzustellen, dass der Datenverkehr nicht über das öffentliche Internet übertragen wird, können Sie stattdessen ExpressRoute verwenden. Weitere Informationen zu den erforderlichen Netzwerkeinstellungen sowie für eine detaillierten Erklärung der Architektur finden Sie im Abschnitt über die Power Automate-Architektur.