Comment ExpressRoute fonctionne avec Microsoft Power Platform

Pour comprendre comment ExpressRoute fonctionne avec Microsoft Power Platform, vous devez d’abord connaître les bases du fonctionnement d’ExpressRoute.

Un circuit ExpressRoute est une connexion logique entre infrastructure locale et les services de cloud computing Microsoft par le biais d’un fournisseur de connectivité. Vous pouvez commander plusieurs circuits ExpressRoute. Chaque circuit peut se trouver dans la même région ou dans des régions différentes et peut être connecté à vos locaux via différents fournisseurs de connectivité.

Les fournisseurs de connectivité sont un ensemble de partenaires qui vous aident à configurer ExpressRoute afin que votre infrastructure local et le cloud Microsoft puissent être connectés. Pour la liste complète des partenaires de connectivité ExpressRoute, rendez-vous sur Fournisseurs de connectivité ExpressRoute. La disponibilité de ces fournisseurs dépendra de l’emplacement à partir duquel vous choisissez de vous connecter.

Un circuit ExpressRoute peut offrir des avantages en termes de performances car une connexion dédiée et optimisée est configurée directement via l’infrastructure du fournisseur de connectivité ExpressRoute jusqu’à la périphérie du réseau Microsoft. Cette connexion peut être optimisée sans ExpressRoute, mais comme la connectivité Internet est généralement fournie via une série de partenariats et relations entre les fournisseurs de télécommunications, votre trafic réseau peut être acheminé via des chemins de connectivité sous-optimaux vers sa destination.

Lorsque vous vous engagez avec un fournisseur de connectivité pour configurer une connexion dédiée et privée, cela permet de garantir que le fournisseur assumera la responsabilité directe de configurer une connexion optimisée au réseau Microsoft. Ce sentiment d’appropriation conduit souvent à une expérience optimisée.

Chaque circuit a une bande passante fixe ; la limitation de la bande passante dépend du plan que vous choisissez. Ce circuit est mappé à un fournisseur de connectivité et à un emplacement d’appairage. La bande passante disponible est partagée entre les peerings pour le circuit. Un circuit peut avoir jusqu’à deux peerings distincts. Ces peerings représentent les différents routages utilisés, selon le type de service demandé :

• Peering Microsoft achemine les demandes vers les services publics Microsoft tels que les services Microsoft 365, Dynamics 365 ou Microsoft Power Platform.

• Peering privé achemine les demandes vers les services Azure privés du client, par exemple, les machines virtuelles Azure.

Chaque peering est une paire de sessions BGP (Border Gateway Protocol) indépendantes, chacune configurée de manière redondante pour une haute disponibilité. Pour garantir une véritable résilience, il est important de s’assurer que ces sessions transitent par des connexions physiquement différentes.

Microsoft annonce les sous-réseaux IP ou les préfixes des services cloud sur l’Internet public. Microsoft annonce également les préfixes IP des services concernés via la connexion ExpressRoute BGP pour les services spécifiés dans les peerings définis pour ce circuit.

Trafic de configuration de routeur interne pour les services en ligne Microsoft vers le sous-réseau connecté ExpressRoute. La configuration du routeur achemine le trafic via la session BGP via le circuit ExpressRoute. Une fois que le trafic atteint la périphérie Microsoft, la configuration de routage interne achemine le trafic vers le service approprié.

Pour le trafic vers Microsoft, la configuration du routage interne au sein du réseau client doit être configurée et est responsable de ce qui suit :

• Prioriser l’itinéraire du trafic des services en ligne Microsoft via le sous-réseau connecté à ExpressRoute, par opposition à la connexion Internet publique

• Acheminer du trafic des services en ligne Microsoft depuis le sous-réseau connecté via la session BGP établie via ExpressRoute

De l’autre côté, Microsoft est alors responsable de l’acheminement du trafic vers le service approprié au sein du centre de données Microsoft.

La configuration requise pour le trafic acheminé depuis les services en ligne Microsoft vers un service externe est illustrée dans l’image suivante.

Les demandes adressées à des services externes sont comparées au DNS. Si l’adresse IP est enregistrée sur un circuit ExpressRoute, elle est routée en interne. Le trafic vers l’adresse IP enregistrée sur ExpressRoute, acheminé via la session BGP via le circuit privé du client, est dirigé vers la connexion ExpressRoute. La configuration du routeur achemine le trafic en interne selon les besoins, soit en utilisant une adresse IP publique ou une IP traduction d’adresse réseau (NAT). Enfin, la connexion est établie avec le service interne.

Lorsque la demande est effectuée :

• Il doit être effectué via une URL publique, qui doit d’abord être résolue en une adresse IP publique.

• Si l’adresse IP est enregistrée par rapport à un peering ExpressRoute, le trafic sera acheminé en interne pour être envoyé via le circuit ExpressRoute approprié.

• Si l’adresse IP n’est pas enregistrée, la configuration de routage au sein du service en ligne acheminera le trafic vers l’Internet public.

• Une fois le trafic arrivé sur le réseau client, le routage interne au sein du réseau client est chargé de l’acheminer vers la destination finale, soit par routage direct de l’adresse IP, soit par traduction d’adresse réseau (NAT) en premier.

Vous devez vous connecter à services de cloud computing Microsoft uniquement à partir d’un sous-réseau qui utilise des adresses IP publiques qui vous appartiennent ou qui appartiennent à votre fournisseur de connectivité ExpressRoute. Si vous utilisez des adresses IP privées dans votre réseau local, vous ou votre fournisseur devez traduire les adresses IP privées en adresses IP publiques, en utilisant NAT, avant de vous connecter à ExpressRoute. Cela permet aux demandes des services Microsoft de se résoudre vers le point de terminaison de service et de les acheminer via le réseau à travers des segments de réseau partagés.

Peering ExpressRoute

Un facteur essentiel à prendre en compte est qu’ExpressRoute ne vous permet actuellement pas de configurer directement des services spécifiques à transporter sur le circuit ExpressRoute ; il vous permet plutôt d’activer des groupes de services, appelés peerings, à transporter.

Il existe deux types d’appairages ExpressRoute : Microsoft et privé.

Peering Microsoft

La configuration d’ExpressRoute pour les services Microsoft Power Platform nécessite le peering Microsoft, qui par défaut acheminera conjointement les deux services Microsoft Power Platform et Microsoft 365 via ExpressRoute. Cela signifie que le trafic sera acheminé vers les plages d’adresses IP publiques utilisées par ces services.

Il est possible d’utiliser les communautés BGP pour configurer le réseau afin d’acheminer le trafic uniquement pour certains services, comme uniquement Microsoft Teams ou uniquement les services en ligne SharePoint, via un circuit de peering Microsoft ExpressRoute. Ceci n’est actuellement pas pris en charge pour Microsoft Power Platform ; les alternatives sont expliquées dans la section suivante.

La connectivité aux services en ligne Microsoft, comme Microsoft 365 et les services Microsoft Power Platform, sera acheminée via le peering Microsoft. Microsoft attribue les URL et les adresses IP pour Microsoft Power Platform, les applications Dynamics 365 Customer Engagement et les services Microsoft 365 au peering Microsoft, de sorte que tout trafic acheminé vers eux sera annoncé et activé via le peering Microsoft. Contrairement à Microsoft 365, Microsoft Power Platform n’a pas de communautés BGP désignées. (Les communautés BGP sont couvertes ici .)

Trafic utilisant le peering Microsoft. Une fois qu’une connexion atteint la périphérie Microsoft, il ne s’agit plus d’une connexion désignée au sein du réseau Microsoft.

En utilisant le peering Microsoft, les connexions vont aux services partagés chez Microsoft. Cela signifie qu’une fois qu’une connexion arrive au centre de données Microsoft, la connexion en cours traverse un réseau partagé interne ; la connexion privée fournie par ExpressRoute ne s’étend pas jusqu’au point de terminaison de service de destination lui-même.

Peering privé

Le peering privé est utilisé pour votre infrastructure Azure privée en tant que service (IaaS) et non directement utilisé par les services Microsoft Power Platform. Ce type de peering se connecte généralement à des adresses IP privées dans un réseau virtuel Azure.

Diagramme montrant une vue d’ensemble du réseau avec le peering Microsoft et le peering privé. Le peering Microsoft établit une connexion privée entre le réseau du client et la périphérie Microsoft. Après avoir atteint la périphérie, le trafic est acheminé comme un trafic ordinaire, où la connexion privée fournie par ExpressRoute ne s’étend pas jusqu’au point de terminaison de service de destination lui-même. Pour le peering privé Azure, le trafic reste privé jusqu’au point de terminaison du service Azure que vous avez créé.

Pour Microsoft Power Platform, Microsoft n’utilise pas de services privés auxquels vous pouvez accéder directement, il n’est donc pas nécessaire de configurer le peering privé pour ExpressRoute. Si vous utilisez séparément les services privés Azure, la configuration du peering privé ne sera pas préjudiciable, à moins que l’introduction de charges de travail supplémentaires ne provoque la saturation de la connexion.

ExpressRoute contrôle le trafic vers le réseau Microsoft, pas à l’intérieur de celui-ci

Lorsque des connexions sont établies vers une ressource Azure privée, comme une machine virtuelle Azure, ExpressRoute relie la connexion que vous avez établie directement à vos ressources Azure privées.

Pour le peering Microsoft, ExpressRoute est une connexion dédiée entre votre réseau et la périphérie du réseau Microsoft. Il ne s’agit pas d’une connexion dédiée jusqu’à votre environnement Microsoft Power Platform spécifique. Une fois que le trafic a atteint le réseau Microsoft et est identifié via les règles de peering comme ciblant une ressource publique, soit Azure ou un service Microsoft comme Microsoft 365 ou Microsoft Power Platform, la cible finale étant un service partagé, la connexion réseau à celui-ci est également partagée au sein du réseau Microsoft.

Le trafic entre les services des centres de données Microsoft est acheminé au sein du réseau Microsoft plutôt que via l’Internet public.

Diagramme de réseau montrant qu’il n’y a pas de liens directs entre Azure IaaS et les services Microsoft Power Platform. Au sein d’un même centre de données, ce trafic sera acheminé normalement.

Étape suivante : Points à considérer avant d’utiliser ExpressRoute