Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La configuration d’ExpressRoute est souvent plus complexe que vous ne le pensez. Dans la planification ou dans l’exécution, il est facile de négliger ou de sous-estimer des facteurs comme ceux-ci :
Configurer votre réseau pour acheminer le trafic vers le sous-réseau qui se connecte à ExpressRoute.
Éviter le routage asymétrique, qui redirige le trafic directement vers Power Platform via Internet mais est renvoyé par ExpressRoute au réseau d’entreprise et rejeté par le pare-feu.
Déterminer si plusieurs circuits ExpressRoute doivent être établis pour les déploiements distribués.
Coûts globaux associés à l’utilisation d’ExpressRoute, y compris les services Microsoft Azure, l’approvisionnement du fournisseur de connectivité et la configuration du service continu et du routage du réseau informatique interne.
Vous devez également tenir compte de la possibilité de problèmes de performances de connectivité et de risques de sécurité. Cet article traite des problèmes qui peuvent survenir lors de l’utilisation d’ExpressRoute avec Power Platform, et de la façon de les atténuer.
Problèmes de performances de connectivité
Il est important de comprendre les problèmes de performances de connectivité qui peuvent survenir avec ExpressRoute.
Connectivité LAN médiocre : les nouveaux services peuvent mettre à rude épreuve un réseau local déjà saturé. Par exemple, votre solution Power Platform remplace une application cliente volumineuse où seules les données étaient transmises sur le réseau. Bien qu’une application de navigateur nécessite moins d’administration de déploiement côté client, elle nécessite une bande passante plus élevée pour transmettre à la fois les données et les informations de présentation.
Connectivité WAN médiocre : au niveau du réseau étendu (WAN), le trafic peut traverser le réseau d’entreprise plutôt que d’être acheminé vers Internet auparavant. Il se peut qu’il soit acheminé via un serveur proxy ou que le lien WAN soit saturé. Ces facteurs introduisent une latence qui peut affecter considérablement les performances. Si le trafic Power Platform est affecté par ces défis, les performances au niveau du client peuvent également être affectées.
Connectivité Internet médiocre : l’ajout de services cloud peut introduire une consommation et une charge supplémentaires sur la connexion de l’entreprise à Internet. La connexion Internet peut ne pas être en mesure de supporter la charge supplémentaire, en particulier pendant les périodes de pointe d’utilisation. Le fournisseur d’accès à Internet peut acheminer de manière inefficace le trafic vers le réseau de Microsoft. La connexion peut souffrir d’un mélange de trafic qui se dispute la bande passante disponible, ce qui affecte la qualité de la connexion.
Vous pouvez résoudre ces problèmes en obtenant plus de bande passante ou des connexions séparées via votre fournisseur d’accès Internet. Une connexion distincte dédiée au trafic prioritaire peut aider à améliorer à la fois les performances et la prévisibilité du trafic. Assurez-vous de configurer correctement la qualité du service (QoS). Pour en savoir plus, consultez Exigences QoS d’ExpressRoute.
Contrôle de sécurité
Le prochain aspect à prendre en compte est la sécurité. ExpressRoute ne chiffre ni ne filtre le trafic de manière native, sauf pour ExpressRoute Direct avec MACsec activé. Il établit simplement une connexion privée directement entre les centres de données de Microsoft et du client via un fournisseur de connectivité.
Toute demande d’un service en ligne Microsoft ou d’un service Azure au sous-réseau qui est annoncée via un circuit ExpressRoute est acheminée via ce circuit, quel que soit le service ou le client. Étant donné que la demande est acheminée au niveau de la couche réseau, il n’y a aucun contrôle au niveau de l’application pour vérifier si le demandeur est approprié pour le service de destination.
Le trafic à Microsoft Cloud utilise les services partagés publics, qui sont accessibles directement sur l’Internet public. L’authentification et l’autorisation au niveau de l’application contrôlent l’accès à ces services. Les protections au niveau de l’infrastructure protègent contre les intrusions et les menaces telles que les attaques par déni de service. Pour le trafic des services Microsoft vers les services hébergés locaux, vous êtes tenu de fournir une protection similaire à vos services lorsque le trafic est reçu via une connexion ExpressRoute.
Possibilité de restreindre l’utilisation d’ExpressRoute à certains services Microsoft uniquement
L’un des défis auxquels vous pourriez être confrontés est de vouloir utiliser ExpressRoute pour un service cloud Microsoft particulier mais pas pour les autres. Bien que les différentes options de peering fournissent un certain niveau de contrôle, le peering lui-même ne fournit pas de contrôle granulaire au sein des services du même type de peering ; par exemple, pour autoriser le routage vers les machines virtuelles Azure, mais pas vers Microsoft 365. Parce que les services Power Platform et Microsoft 365 sont tous deux proposés via le peering Microsoft, la configuration du peering Microsoft publie tous les services Power Platform et Microsoft 365 sur le circuit ExpressRoute par défaut.
ExpressRoute n’offre pas la possibilité de configurer directement les services à router via un circuit spécifique. Il est toutefois possible d’utiliser des balises de communauté Border Gateway Protocol (BGP) pour contrôler le routage afin que seuls des services spécifiques utilisent la connexion ExpressRoute.
Microsoft publie des itinéraires dans les chemins de peering Microsoft avec les itinéraires balisés avec des valeurs de communauté BGP appropriées pour les emplacements géographiques et les types de services. Vous pouvez configurer vos routeurs pour utiliser les balises pour les services Microsoft 365 pour acheminer le trafic uniquement pour ces services via le circuit ExpressRoute et acheminer le reste via un autre circuit ExpressRoute ou l’Internet public.
Les services Microsoft 365 ne sont pas tous conçus pour fonctionner avec ExpressRoute. Les services Power Platform n’ont pas de communauté BGP désignée comme c’est le cas pour certains services Microsoft 365. Au lieu de cela, vous devez utiliser communautés BGP régionales pour correspondre à la région où l’environnement Power Platform a été créé. Parce que les environnements Power Platform utilisent deux ensembles de centres de données, assurez-vous de consulter la Vue d’ensemble des régions pour identifier les deux centres de données utilisés.
Gardez à l’esprit qu’autoriser les communautés BGP à acheminer le trafic d’un service entraîne l’acheminement des deux via ExpressRoute, ce qui peut avoir des résultats défavorables. Par exemple, si vous déterminez la bande passante réseau nécessaire à Power Platform et dimensionné la connexion ExpressRoute en conséquence, mais acheminez par inadvertance tout le trafic Microsoft 365 via ExpressRoute, vous pouvez saturer votre réseau et entraîner des problèmes de performances.
Parce que les services Power Platform fonctionnent en partie dans le cadre du service Microsoft 365, de nombreux services croisés tels que le portail d’administration et l’authentification sont également requis. Il n’est pas possible de protéger tous ces services en utilisant ExpressRoute. Le centre d’administration Microsoft 365, par exemple, n’est pas publié sur ExpressRoute.
Pour en savoir plus, consultez Azure ExpressRoute pour Microsoft 365.
Prise en charge des clouds souverains
Les clients qui sont tenus de respecter les réglementations gouvernementales ou spécifiques à un pays/une région peuvent choisir d’utiliser un cloud souverain. Les clouds souverains sont physiquement situés dans une région pour répondre aux exigences spécifiques à un gouvernement ou à un pays/une région. Par example, Power Apps pour Government Community Cloud (GCC) est situé aux États-Unis, où il répond aux réglementations et certifications spécifiques au gouvernement américain et satisfait aux protocoles pour répondre à ces exigences.
Regardez cette vidéo pour savoir comment Power Platform est disponible avec les clouds souverains : Vidéo : Clouds souverains avec Marty Carreras.
Lorsque vous envisagez d’utiliser un environnement de cloud souverain, vous devez également tenir compte des limitations existantes. Toutes les fonctionnalités ne sont pas disponibles par rapport aux environnements de cloud public. Le tableau suivante répertorie la disponibilité d’ExpressRoute pour Power Platform par environnement. Pour en savoir plus sur les autres différences de disponibilité, consultez Vue d’ensemble des régions Power Automate.
| Région | Prise en charge d’ExpressRoute |
|---|---|
| US Government Community Cloud (GCC) | Pris en charge 1 |
| US Government Community Cloud High (GCC High) | Pris en charge 1 |
| Chine | Pris en charge 2 |
1 Vous devez utiliser ExpressRoute d’Azure Government, et non ExpressRoute du cloud Azure Commercial.
2 Vous devez utiliser ExpressRoute d’Azure China 21Vianet, et non ExpressRoute du cloud Azure Commercial.
Coûts Azure ExpressRoute
Pour déterminer avec précision l’analyse de rentabilité, n’oubliez pas d’inclure les coûts Azure, les coûts du fournisseur de connectivité et les coûts de l’effort de configuration interne lorsque vous estimez les coûts d’ExpressRoute pour Power Platform.
Coûts Azure
Azure ExpressRoute peuvent être achetés dans différents modèles. Le modèle que vous choisissez dépend du type de connexion que vous souhaitez établir et des services auxquels vous souhaitez accéder.
Type de facturation
- Paiement à l’utilisation : coût d’abonnement de base par mois avec un trafic entrant illimité mais des frais par Go pour le trafic sortant
- Illimité : coût d’abonnement de base par mois avec un trafic entrant et sortant illimité
SKU / Plan
Standard
- Connexion de base à l’aide d’ExpressRoute
- Offre un accès aux services au sein d’une même région géographique
Si le circuit ExpressRoute se trouve dans la même région que l’environnement Power Platform auquel les utilisateurs se connectent, seule la norme ExpressRoute est requise pour ce circuit.
Premium
- Offre un accès à des services géographiques dans le monde entier, quel que soit l’endroit où la connexion est établie
Si un utilisateur se connecte via un circuit ExpressRoute à partir d’une région différente de celle de son service final, ExpressRoute Premium est nécessaire pour ce circuit.
Pour en savoir plus, consultez Tarification Azure ExpressRoute.
Coûts du fournisseur de connectivité
Dans certains cas, les coûts d’établissement de la connexion avec le fournisseur de connectivité peuvent être importants. Ces coûts sont distincts des coûts Azure pour ExpressRoute.
Effort interne du client pour configurer le routage du réseau
Pour utiliser ExpressRoute, le routage réseau doit être configuré en interne. Pour de nombreux clients, cet effort nécessite des frais croisés internes à l’équipe réseau, un coût externe à un fournisseur d’externalisation informatique ou au moins un coût d’opportunité pour les efforts du personnel interne liés à la configuration.
Impacts sur les services Power Platform, Microsoft 365 et Azure existants
Lorsque vous utilisez le peering Microsoft, le trafic pour les services Power Platform, Microsoft 365 et Azure est acheminé via ExpressRoute par défaut. Si vous utilisez déjà Power Platform, les applications Dynamics 365 ou Microsoft 365 sans ExpressRoute, il est important d’être sensible à l’impact sur ces services existants lorsque vous autorisez le peering Microsoft via ExpressRoute. Il peut être nécessaire de configurer le routage en utilisant les communautés BGP pour séparer le trafic vers différents services.
Réutilisation d’ExpressRoute sur plusieurs services en ligne
Une seule connexion ExpressRoute peut être utilisée pour accéder à plusieurs services en ligne, par exemple, Power Platform, Dynamics 365, Microsoft 365 et Azure.
Diagramme montrant une connexion ExpressRoute partagée avec les services publics Microsoft et Azure. Le peering Microsoft pour Microsoft 365, Power Platform, Dynamics 365 et les services publics Azure partage la même connexion ExpressRoute avec le peering privé Azure pour les réseaux virtuels.
ExpressRoute ne sépare pas les différents types de services Microsoft d’un sous-réseau spécifique. Il est possible d’utiliser des balises de communauté BGP pour contrôler le routage du trafic vers des services particuliers sur ExpressRoute. Microsoft ne réachemine pas le trafic sur ExpressRoute de manière sélective en fonction des balises de la communauté BGP. Si le trafic doit être renvoyé différemment en fonction du type de service, assurez-vous que le trafic provient de différentes adresses IP publiques. Étant donné que le trafic renvoyé à un sous-réseau est géré au niveau du réseau, configurer uniquement une partie du trafic d’un sous-réseau pour utiliser ExpressRoute est dangereux et peut entraîner un routage asymétrique.