Az ExpressRoute with Microsoft Power Platform használata előtt megfontolandó dolgok a következő eszközökkel
Az ExpressRoute beállításának összetettségét gyakran alábecsülik. Különösen a következő intézkedéseket és következményeket hagyják gyakran figyelmen kívül, akár a tervezés, akár a végrehajtás során:
A hálózat konfigurálása a forgalomnak az ExpressRoute-hoz csatlakoztatott alhálózatra történő átirányításához
Az aszimmetrikus útválasztás elkerülése, amikor a forgalom közvetlenül az Microsoft Power Platform-hez megy az interneten, de az ExpressRoute visszaküldi a vállalati hálózatra, és a tűzfal elutasítja a forgalmat
Az ExpressRoute biztosításának teljes költségei, beleértve a Microsoft Azure-szolgáltatásokat, a csatlakozási szolgáltató biztosítását, valamint a folyamatos szolgáltatási és belső informatikai hálózati útválasztási konfigurációt
Annak meghatározása, hogy több ExpressRoute áramkört kell-e létrehozni az elosztott telepítésekhez
Csatlakozási teljesítményproblémák
LAN-kapcsolat
Néhány gyakori probléma, amit a felhasználó tapasztalhat:
A helyi hálózaton belüli kapcsolat már azelőtt telített, hogy egy gazdag böngészőalkalmazást adnánk hozzá a keverékhez.
A Microsoft Power Platform egy olyan vastag kliensalkalmazást vált fel, ahol csak az adatokat továbbították a hálózaton keresztül, nem pedig az adatokat és a prezentációs információkat.
Fontos megérteni, hogy egy böngészőalkalmazás, bár kevesebb ügyféloldali telepítési adminisztrációt igényel, nagyobb sávszélességet igényel, mint egy vastag kliensalkalmazás, és ezért a már így is telített helyi hálózat tovább fog szenvedni az új szolgáltatások hozzáadásával.
Gyenge WAN-kapcsolat
Az online szolgáltatáshoz való kapcsolódás hálózati elemzése alapján gyakori minta, hogy a hálózati forgalom egy bizonyos ponton egy belső hálózati útvonalon halad át, ami jelentős késleltetést eredményez. Ez olyan körülmények miatt lehet, mint például:
A WAN-kapcsolat telítettsége.
Proxy-feldolgozás, ami több késleltetési időt és overheadet okoz.
Nem hatékony belső útválasztás (például a vállalati hálózaton belüli útválasztás, és nem az internetre történő korábbi útválasztás).
Ha a Microsoft Power Platform-forgalom szenved ezektől a kihívásoktól, az ügyfél teljesítménye is szenvedhet.
Gyenge internetkapcsolat
A felhőszolgáltatások hozzáadása további fogyasztást és terhelést jelenthet a vállalati internetkapcsolat számára. Ez akkor fordulhat elő, ha:
Az internetkapcsolat nem elegendő a további terheléshez.
Az internetszolgáltató hálózatán belül a Microsoft hálózatára irányuló forgalom továbbítását az internetszolgáltató ellenőrzi; az útválasztás hatékonysága változó lehet.
A kapcsolatot vegyes forgalom terheli, ami befolyásolja a kapcsolat minőségét (például több internetalapú képzési munkamenet, Microsoft Stream, vagy YouTube videók, amelyek egy üzletileg kritikus alkalmazás forgalmával versenyeznek a rendelkezésre álló sávszélességért). Ez összességében elegendő lehet a forgalom mennyiségéhez, de potenciálisan befolyásolhatja a teljesítményt a csúcsigények miatt, amelyeket az olyan tevékenységek, mint a videó streaming, előidéznek.
Ezek a dolgok megoldhatók további sávszélesség vagy különálló kapcsolatok beszerzésével az internetszolgáltatón keresztül. Különösen az segíthet a forgalom teljesítményében és kiszámíthatóságában, ha a kiemelt forgalom számára külön kapcsolat áll rendelkezésre.
Győződjön meg arról is, hogy helyesen állította be a szolgáltatásminőséget (QoS). Ha a Microsoft Teams és Microsoft Stream-t használja, olvassa el a QoS-követelményeket az ExpressRoute rendszerben.
Biztonsági ellenőrzés
A következő konfiguráció, amelyet figyelembe kell vennie, a biztonsági ellenőrzés. Maga az ExpressRoute nem titkosítja vagy szűri a forgalmat (kivéve az ExpressRoute Directet, ha a MACsec engedélyezve van); egyszerűen csak egy privát, nem pedig megosztott kapcsolatot hoz létre közvetlenül a Microsoft és az ügyfél adatközpontjai között a csatlakozási szolgáltatón keresztül.
Bármely Microsoft online szolgáltatás vagy Azure szolgáltatás az ExpressRoute áramkörön keresztül meghirdetett alhálózatra irányuló kérése a szolgáltatástól vagy az ügyféltől függetlenül azon az áramkörön keresztül kerül továbbításra. Mivel a kérés a hálózati szinten kerül továbbításra, nincs alkalmazásszintű ellenőrzés annak megállapítására, hogy az adott kérvényező megfelelő-e az adott célszolgáltatáshoz.
A Microsoft szolgáltatásaihoz irányuló forgalom esetében, mivel ezek nyilvános megosztott szolgáltatások, közvetlenül a nyilvános interneten keresztül érhetőek el. Az e szolgáltatásokhoz való hozzáférés ellenőrzése az alkalmazásszintű hitelesítési és engedélyezési szolgáltatásokon keresztül történik. Az infrastruktúra szintjén további védelemben részesülnek a behatolással és az olyan fenyegetésekkel szemben, mint a szolgáltatásmegtagadási támadások.
A Microsoft-szolgáltatásokból helyben hosztolt szolgáltatásokba irányuló forgalom esetében az ügyfél felelős azért, hogy hasonló védelmet biztosítson saját szolgáltatásai számára, amikor a forgalom ExpressRoute-kapcsolaton keresztül érkezik.
Az ExpressRoute használatának korlátozása csak bizonyos Microsoft-szolgáltatásokra
Az egyik kihívás, amellyel szembesülhet, hogy az ExpressRoute-t egy bizonyos Microsoft felhőszolgáltatáshoz szeretné használni, de máshoz nem. Bár a különböző társhálózat-létesítési lehetőségek bizonyos szintű ellenőrzést biztosítanak, maga a társhálózat-létesítés nem biztosít granuláris ellenőrzést az azonos típusú társhálózat-létesítési szolgáltatásokon belül (például csak az Azure virtuális gépek felé történő útválasztás engedélyezése, de a Microsoft 365 felé nem). Lehetőség van azonban a BGP (Border Gateway Protocol) közösségek használatára, hogy a forgalmat csak bizonyos szolgáltatásokra konfiguráljuk.
Ez a Microsoft 365-jelenléttel rendelkező Microsoft Power Platform-szolgáltatások esetében fontos, ahol az ExpressRoute-on keresztüli útválasztás kívánatos lehet az egyik szolgáltatás esetében, de nem mindkettőnél, vagy csak a Microsoft 365 egyes szolgáltatásai esetében (mint a Microsoft Teams).
Maga az ExpressRoute jelenleg nem kínál lehetőséget arra, hogy közvetlenül konfigurálja a szolgáltatásokat, amelyeket egy adott ExpressRoute áramkörön keresztül kell továbbítani ezen a szolgáltatási granularitási szinten, de a BGP-közösségek felhasználhatók ennek ellenőrzésére.
A Microsoft a Microsoft peering-útvonalakon a földrajzi helyeknek és szolgáltatástípusoknak megfelelő BGP-közösségi értékek használatával megjelölt útvonalakkal hirdeti az útvonalakat. Ezeket az ügyfél útválasztóiban úgy lehet konfigurálni, hogy az ExpressRoute áramkörön keresztül irányítsák az adott szolgáltatások forgalmát.
A Microsoft 365 szolgáltatásaihoz különböző címkéket használhat, hogy csak ezeknek a szolgáltatásoknak a forgalmát irányítsa át az ExpressRoute körön, a többit pedig vagy egy másik ExpressRoute-körre vagy a nyilvános interneten keresztül irányítsa.
A Microsoft Power Platform-specifikus BGP-közösségi értékek nem állnak rendelkezésre úgy, ahogy a Microsoft 365-szolgáltatások esetében. Ehelyett regionális BGP-közösségeket használnak az egyes Microsoft Power Platform-környezetekhez tartozó Microsoft Azure-régiókkal. Mivel a Microsoft Power Platform-környezetek két adatközpontot használnak, mindenképpen nézze meg a Régiók áttekintését, hogy ellenőrizze, melyik két adatközpontot használja. További információ: BGP közösségek a GCC számára
Microsoft 365
Mivel a Microsoft Power Platform-szolgáltatásokat és a Microsoft 365-szolgáltatásokat egyaránt a Microsoft társhálózat-létesítésén keresztül kínálják, a Microsoft társhálózat-létesítésének beállítása alapértelmezés szerint minden Microsoft Power Platform-szolgáltatást és Microsoft 365-szolgáltatást az ExpressRoute-körön keresztül hirdet.
Ennek az az eredménye, hogy a BGP-közösségek engedélyezése az egyik szolgáltatás forgalmának továbbítására azt eredményezi, hogy mindkettő az ExpressRoute-on keresztül kerül továbbításra. Ez lehet, hogy kívánatos, de lehet, hogy nem kívánatos, de kedvezőtlen eredményei lehetnek. Ha például meghatározta a Microsoft Power Platform számára szükséges hálózati sávszélességet, és ennek megfelelően méretezte az ExpressRoute-kapcsolatot, de véletlenül a Microsoft 365 teljes forgalmát is az ExpressRoute-on keresztül irányítja, ez telítheti a hálózatot, és teljesítményproblémákat okozhat.
Míg az ExpressRoute Microsoft társhálózat-létesítéséhez való engedélyezése az ExpressRoute-kapcsolaton keresztül irányítja az összes Microsoft Power Platform- és Microsoft 365-forgalmat, a BGP-közösségi címkékkel vezérelheti az útválasztást, hogy csak bizonyos szolgáltatások (például Microsoft Power Platform-szolgáltatások, de más Microsoft 365-szolgáltatások ne) használják az ExpressRoute-kapcsolatot. Nem minden Microsoft 365-szolgáltatást terveztek úgy, hogy együttműködjön az ExpressRoute szolgáltatással. Jelenleg a Microsoft Power Platform-szolgáltatások nem rendelkeznek kijelölt BGP-közösséggel, mint egyes Microsoft 365-szolgáltatások. Ehelyett regionális BPG közösségeket kell használnia, hogy megfeleljen annak a régiónak, ahol a Microsoft Power Platform-környezetet létrehozták.
A Microsoft 365 útválasztásával kapcsolatos további információkért tekintse meg a szelektív útválasztás a Microsoft 365-tel című dokumentációt.
Mivel a Microsoft Power Platform-szolgáltatások részben a Microsoft 365 részeként működnek, számos átjárható szolgáltatásra, például az admin portálra és hitelesítésre is szükség van. Az ExpressRoute használatával nem lehet az összes ilyen szolgáltatást megvédeni; a Microsoft 365 rendszergazdai központja például nem jelenik meg az ExpressRoute-on keresztül.
Szuverén felhők támogatása
Azok az ügyfelek, akiknek meg kell felelniük a kormányzati vagy ország-/régióspecifikus előírásoknak, dönthetnek úgy, hogy szuverén felhőt használnak. A szuverén felhők fizikailag egy régióban helyezkednek el, hogy megfeleljenek az adott kormány vagy ország sajátos követelményeinek. A Power Apps for Government Community Cloud (GCC) például az Egyesült Államokban található, ahol megfelel az amerikai kormányzat specifikus előírásainak és tanúsítványainak, valamint az ezen követelményeknek megfelelő protokolloknak.
Nézze meg ezt a videót, amely bemutatja, hogyan érhető el a Microsoft Power Platform szuverén felhőkkel: Video: szuverén felhők - Marty Carreras.
Amikor egy szuverén felhőkörnyezet használatát fontolgatja, figyelembe kell vennie, hogy milyen korlátozások vannak, mivel a nyilvános felhőkörnyezetekhez képest nem minden funkció áll rendelkezésre. Az egyes Microsoft Power Platform-környezetek elérhetőségét a következő táblázat tartalmazza. A rendelkezésre állás egyéb különbségeiről olvassa el az adatközpont régiókról szóló dokumentációt.
| Régió | ExpressRoute-támogatás |
|---|---|
| Amerikai kormányzati közösségi felhő (GCC) | Támogatott 1 |
| Amerikai kormányzati közösségi felhő magas (GCC magas) | Támogatott 1 |
| Kína | Támogatott 2 |
1 Az ügyfeleknek az Azure Government ExpressRoute szolgáltatást kell használniuk, ha az amerikai GCC vagy GCC High régiót használják; nem használhatják az Azure kereskedelmi felhő ExpressRoute szolgáltatását. 2 Az ügyfeleknek az Azure China ExpressRoute szolgáltatást kell használniuk, ha kínai régiókat használnak, és nem használhatják az Azure kereskedelmi felhő ExpressRoute szolgáltatását.
Azure ExpressRoute-költségek
Az ExpressRoute költségeinek becslésénél több elemet kell figyelembe vennie:
Azure-költségek
A csatlakozási szolgáltató költségei
Belső beállítási költségek
Az üzleti eset pontos meghatározásakor fontos az ExpressRoute for Microsoft Power Platform értékelésekor az összes költséget figyelembe venni. A következő szakaszok mindegyiket tárgyalják.
Azure-költségek
Az Azure ExpressRoute különböző modellekben vásárolható meg.
Számlázási típus
Mért: alap előfizetési költség havonta, korlátlan bejövő forgalommal, de a kimenő forgalomért GB-onként fizetendő díjjal
Korlátlan: alap előfizetési költség havonta, korlátlan bejövő és kimenő forgalommal
SKU/Csomag
Szokásos
Alapvető kapcsolat az ExpressRoute használatával
A szolgáltatásokhoz való hozzáférés biztosítása egyetlen földrajzi régión belül
Ha az ExpressRoute áramkör ugyanabban a régióban van, mint az a Microsoft Power Platform-környezet, amelyhez a felhasználók csatlakoznak, akkor csak ExpressRoute szabvány szükséges az áramkörhöz
Prémium szintű
Világméretű földrajzi szolgáltatásokhoz való hozzáférést biztosít a kapcsolat létesítésének helyétől függetlenül
Ha egy felhasználó egy ExpressRoute-áramkörön keresztül más régióból csatlakozik, mint a végszolgáltatás, akkor az ExpressRoute-áramkörhöz ExpressRoute Premium szolgáltatásra lesz szüksége.
További információk: Azure ExpressRoute árképzése
A csatlakozási szolgáltató költségei
Egyes esetekben a kapcsolatteremtés költségei a kapcsolattartási szolgáltatóval jelentősek lehetnek. Ezek az ExpressRoute Azure költségeitől elkülönülnek.
Belső ügyfél erőfeszítés a hálózati útválasztás konfigurálására
Az ExpressRoute engedélyezéséhez a hálózati útválasztást belsőleg kell beállítani.
Sok ügyfél esetében ez a hálózati csapat belső keresztköltségét, vagy egy informatikai kiszervező szolgáltató külső költségét, vagy legalábbis a belső személyzetnek a konfigurációra való összpontosításra fordított erőfeszítései miatt felmerülő alternatív költséget igényli.
A meglévő Microsoft Power Platform-, Microsoft 365- és Azure szolgáltatásokra gyakorolt hatások
Ha a Microsoft társhálózat-létesítése engedélyezve van, akkor a Microsoft Power Platform-szolgáltatások, a Microsoft 365 és az Azure forgalma az ExpressRoute-on keresztül halad.
Ha már használja a Microsoft Power Platform szolgáltatást, Dynamics 365-alkalmazásokat vagy a Microsoft 365-öt ExpressRoute nélkül, fontos, hogy figyelje a meglévő szolgáltatásokra gyakorolt hatásokat, ha engedélyezi a Microsoft társhálózat-létesítését az ExpressRoute-on keresztül (ami az alapértelmezett viselkedés). Szükség lehet az útválasztás konfigurálására BGP-közösségek használatával, hogy a különböző szolgáltatások felé irányuló forgalmat szétválassza.
Az ExpressRoute több online szolgáltatásban történő újrafelhasználása
Egyetlen ExpressRoute-kapcsolat több online szolgáltatáshoz is hozzáférhet, például a Microsoft Power Platform, a Dynamics 365, a Microsoft 365 és az Azure szolgáltatáshoz is.
A Microsoft nyilvános szolgáltatásaival és az Azure-ral megosztott ExpressRoute-kapcsolatot bemutató ábra. A Microsoft 365, a Microsoft Power Platform, a Dynamics 365 és az Azure nyilvános szolgáltatásai számára biztosított Microsoft-társhálózatlétesítés ugyanazt az ExpressRoute-kapcsolatot használja, mint az Azure virtuális hálózatok számára biztosított privát társhálózat-létesítése.
Maga az ExpressRoute nem különíti el a különböző típusú Microsoft-szolgáltatásokat egy adott alhálózattól. Lehetőség van BGP közösségi címkék használatára az ExpressRoute-on keresztül az egyes szolgáltatások felé irányuló forgalom útválasztásának vezérlésére. A Microsoft nem irányítja vissza a forgalmat az ExpressRoute-on keresztül szelektíven a BGP közösségi címkék alapján. Ha a forgalmat a szolgáltatás típusa alapján eltérő módon kell visszaküldeni, győződjön meg arról, hogy a forgalom különböző nyilvános IP-címekről érkezik. Mivel az alhálózatba visszatérő forgalmat hálózati szinten kezelik, veszélyes lenne egy alhálózatból csak bizonyos forgalmat konfigurálni az ExpressRoute használatára, mert ez aszimmetrikus útválasztáshoz vezethet.