Specjalne zagadnienia dotyczące zdarzeń usługi Stream i usługi Teams w środowiskach sieci VPN
Uwaga
Ten artykuł jest częścią zestawu artykułów dotyczących optymalizacji platformy Microsoft 365 dla użytkowników zdalnych. Poniższe punkty końcowe są specyficzne dla środowisk Globalnej Komercyjnej i Government Community Cloud (GCC). punkty końcowe wymienione w tym miejscu nie mają zastosowania do środowisk Us Government GCC High lub U.S. Government DoD.
- Aby zapoznać się z omówieniem korzystania z tunelowania podzielonego sieci VPN w celu optymalizacji łączności platformy Microsoft 365 dla użytkowników zdalnych, zobacz Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365.
- Aby uzyskać szczegółowe wskazówki dotyczące implementowania tunelowania podzielonego sieci VPN, zobacz Implementing VPN split tunneling for Microsoft 365 (Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365).
- Aby uzyskać szczegółową listę scenariuszy tunelowania podzielonego sieci VPN, zobacz Typowe scenariusze tunelowania podzielonego sieci VPN dla platformy Microsoft 365.
- Aby uzyskać wskazówki dotyczące zabezpieczania ruchu multimedialnego usługi Teams w środowiskach tunelowania podzielonego sieci VPN, zobacz Zabezpieczanie ruchu multimedialnego usługi Teams na potrzeby tunelowania podzielonego sieci VPN.
- Aby uzyskać informacje na temat optymalizacji wydajności dzierżawy platformy Microsoft 365 na całym świecie dla użytkowników w Chinach, zobacz Optymalizacja wydajności platformy Microsoft 365 dla chińskich użytkowników.
Ruch uczestników wydarzeń na żywo platformy Microsoft 365 (obejmuje uczestników wydarzeń na żywo wyprodukowanych w usłudze Teams oraz tych utworzonych za pomocą kodera zewnętrznego za pośrednictwem aplikacji Teams, Stream lub Viva Engage), ruch uczestników ratusza Microsoft Teams i ruch uczestników usługi Stream na żądanie jest obecnie klasyfikowany jako domyślny i optymalizowanyna liście adresów URL/IP dla usługi. Te punkty końcowe są klasyfikowane jako domyślne , ponieważ są hostowane w sieci CDN, które mogą być również używane przez inne usługi. Klienci zazwyczaj wolą serwer proxy tego typu ruchu i stosować wszystkie elementy zabezpieczeń zwykle wykonywane w punktach końcowych, takich jak te.
Wielu klientów poprosiło o podanie danych adresu URL/IP potrzebnych do połączenia swoich uczestników ze zdarzeniami usługi Stream lub Teams bezpośrednio z lokalnego połączenia internetowego, zamiast kierować ruch o dużej ilości i opóźnieniach za pośrednictwem infrastruktury sieci VPN. Zazwyczaj nie jest to możliwe bez dedykowanych przestrzeni nazw i dokładnych informacji o adresach IP dla punktów końcowych, które nie są udostępniane dla punktów końcowych platformy Microsoft 365 sklasyfikowanych jako domyślne.
Wykonaj poniższe kroki, aby włączyć bezpośrednią łączność dla usług zdarzeń usługi Stream lub Teams od klientów korzystających z wymuszonej sieci VPN tunelu. To rozwiązanie ma na celu zapewnienie klientom opcji unikania routingu ruchu uczestników zdarzeń przez sieć VPN, podczas gdy istnieje duży ruch sieciowy ze względu na scenariusze pracy z domu. Jeśli to możliwe, zalecamy uzyskanie dostępu do usługi za pośrednictwem serwera proxy inspekcji.
Uwaga
Korzystając z tego rozwiązania, mogą istnieć elementy usługi, które nie rozpoznają podanych adresów IP, a tym samym przechodzą przez sieć VPN, ale większość dużego ruchu, takiego jak dane przesyłane strumieniowo. Mogą istnieć inne elementy poza zakresem zdarzeń na żywo/strumienia, które są przechwytywane przez to odciążanie, ale powinny być ograniczone, ponieważ muszą spełniać zarówno nazwę FQDN, jak i dopasowanie adresu IP przed przejściem bezpośrednio.
Ważna
Zalecamy rozważenie ryzyka wysłania większego ruchu, który pomija sieć VPN w stosunku do zwiększenia wydajności zdarzeń na żywo.
Aby zaimplementować wyjątek wymuszonego tunelu dla zdarzeń usługi Teams i usługi Stream, należy zastosować następujące kroki:
1. Konfigurowanie zewnętrznego rozpoznawania nazw DNS
Klienci muszą mieć zewnętrzną, cykliczną rozdzielczość DNS, aby można było rozpoznawać następujące nazwy hostów jako adresy IP.
- *.azureedge.net
- *.media.azure.net
- *.bmc.cdn.office.net
- *.ml.cdn.office.net
*.azureedge.net jest używana na potrzeby zdarzeń usługi Stream (Konfigurowanie koderów do transmisji strumieniowej na żywo w usłudze Microsoft Stream — Microsoft Stream | Microsoft Docs).
*.media.azure.net i *.bmc.cdn.office.net są używane w przypadku wydarzeń na żywo tworzonych w usłudze Teams (zdarzeń szybkiego startu i RTMP-In obsługiwanych zdarzeń) zaplanowanych przez klienta usługi Teams.
*.media.azure.net, *.bmc.cdn.office.net i *.ml.cdn.office.net są używane do wydarzeń w ratuszu Teams.
Niektóre z tych punktów końcowych są współużytkowane z innymi elementami poza zdarzeniami usługi Stream lub Teams. Nie zalecamy tylko używania tych nazw FQDN do konfigurowania odciążania sieci VPN, nawet jeśli jest to technicznie możliwe w rozwiązaniu sieci VPN (na przykład jeśli działa ono w sieci FQDN, a nie w adresie IP).
Nazwy FQDN nie są wymagane w konfiguracji sieci VPN. Są one przeznaczone wyłącznie do użycia w plikach PAC w połączeniu z adresami IP w celu wysyłania odpowiedniego ruchu bezpośredniego.
2. Implementowanie zmian pliku PAC (jeśli jest to wymagane)
W przypadku organizacji korzystających z pliku PAC do kierowania ruchu przez serwer proxy w sieci VPN zwykle jest to osiągane przy użyciu nazw FQDN. Jednak w przypadku transmisji strumieniowej/wydarzeń na żywo/ratusza podane nazwy hostów zawierają symbole wieloznaczne, takie jak *.azureedge.net, które obejmują również inne elementy, dla których nie można podać pełnych list adresów IP. W związku z tym, jeśli żądanie jest wysyłane bezpośrednio na podstawie samego dopasowania symbolu wieloznacznego DNS, ruch do tych punktów końcowych zostanie zablokowany, ponieważ nie ma trasy przez ścieżkę bezpośrednią w kroku 3 w dalszej części tego artykułu.
Aby rozwiązać ten problem, możemy podać następujące adresy IP i używać ich w połączeniu z nazwami hostów w przykładowym pliku PAC zgodnie z opisem w kroku 1. Plik PAC sprawdza, czy adres URL jest zgodny z adresami używanymi w usłudze Stream/Live Events/Town hall, a następnie sprawdza, czy adres IP zwrócony z wyszukiwania DNS jest zgodny z adresem podanym dla usługi. Jeśli oba są zgodne, ruch jest kierowany bezpośrednio. Jeśli któryś z elementów (FQDN/IP) nie jest zgodny, ruch jest wysyłany do serwera proxy. W związku z tym konfiguracja gwarantuje, że wszystkie elementy rozpoznane jako adres IP poza zakresem zarówno adresu IP, jak i zdefiniowanych przestrzeni nazw będą normalnie przechodzić przez serwer proxy za pośrednictwem sieci VPN.
Zbieranie bieżących list punktów końcowych usługi CDN
Zdarzenia zespołów używają wielu dostawców usługi CDN do przesyłania strumieniowego do klientów w celu zapewnienia najlepszego pokrycia, jakości i odporności. Obecnie używana jest zarówno usługa Azure CDN firmy Microsoft, jak i verizon. Z biegiem czasu można to zmienić ze względu na sytuacje, takie jak dostępność regionalna. Ten artykuł jest źródłem umożliwiającym aktualizowanie zakresów adresów IP.
W przypadku usługi Azure CDN firmy Microsoft możesz pobrać listę z witryny Pobierz zakresy adresów IP platformy Azure i tagi usług — Chmura publiczna z Oficjalnego Centrum pobierania Microsoft — musisz poszukać tagu usługi AzureFrontdoor.Frontend w formacie JSON. AddressPrefixes wyświetli podsieci IPv4/IPv6. Z biegiem czasu adresy IP mogą ulec zmianie, ale lista tagów usługi jest zawsze aktualizowana, zanim zostaną użyte.
W przypadku usługi Azure CDN from Verizon (Edgecast) możesz znaleźć wyczerpującą listę przy użyciu węzłów krawędzi — lista (wybierz pozycję Wypróbuj ) — musisz wyszukać specjalnie sekcję Premium_Verizon . Należy pamiętać, że ten interfejs API pokazuje wszystkie adresy IP usługi Edgecast (origin i Anycast). Obecnie interfejs API nie ma mechanizmu rozróżniania pochodzenia i emisji Anycast.
Aby zaimplementować tę funkcję w pliku PAC, możesz użyć następującego przykładu, który wysyła bezpośredni ruch optymalizacji ruchu platformy Microsoft 365 (co jest zalecane najlepsze rozwiązanie) za pośrednictwem nazwy FQDN oraz krytyczny ruch strumienia/zdarzeń na żywo bezpośrednio za pośrednictwem kombinacji nazwy FQDN i zwróconego adresu IP. Nazwa zastępcza contoso musi być edytowana pod nazwą konkretnej dzierżawy, w której firma contoso pochodzi z contoso.onmicrosoft.com
Przykładowy plik PAC
Oto przykład sposobu generowania plików PAC:
Zapisz poniższy skrypt na lokalnym dysku twardym jako Get-TLEPacFile.ps1.
Przejdź do adresu URL verizon i pobierz wynikowy kod JSON (skopiuj go do pliku, takiego jak cdnedgenodes.json)
Umieść plik w tym samym folderze co skrypt.
W oknie programu PowerShell uruchom następujące polecenie. Jeśli chcesz mieć adresy URL SPO, zmień nazwę dzierżawy na inną. Jest to typ 2, więc optymalizuj i zezwalaj (typ 1 to tylko optymalizacja).
.\Get-TLEPacFile.ps1 -Instance Worldwide -Type 2 -TenantName <contoso> -CdnEdgeNodesFilePath .\cdnedgenodes.json -FilePath TLE.pac
Plik TLE.pac będzie zawierać wszystkie przestrzenie nazw i adresy IP (IPv4/IPv6).
Get-TLEPacFile.ps1
# Copyright (c) Microsoft Corporation. All rights reserved.
# Licensed under the MIT License.
<#PSScriptInfo
.VERSION 1.0.5
.AUTHOR Microsoft Corporation
.GUID 7f692977-e76c-4582-97d5-9989850a2529
.COMPANYNAME Microsoft
.COPYRIGHT
Copyright (c) Microsoft Corporation. All rights reserved.
Licensed under the MIT License.
.TAGS PAC Microsoft Microsoft365 365
.LICENSEURI
.PROJECTURI http://aka.ms/ipurlws
.ICONURI
.EXTERNALMODULEDEPENDENCIES
.REQUIREDSCRIPTS
.EXTERNALSCRIPTDEPENDENCIES
.RELEASENOTES
#>
<#
.SYNOPSIS
Create a PAC file for Microsoft 365 prioritized connectivity
.DESCRIPTION
This script will access updated information to create a PAC file to prioritize Microsoft 365 Urls for
better access to the service. This script will allow you to create different types of files depending
on how traffic needs to be prioritized.
.PARAMETER Instance
The service instance inside Microsoft 365.
.PARAMETER ClientRequestId
The client request id to connect to the web service to query up to date Urls.
.PARAMETER DirectProxySettings
The direct proxy settings for priority traffic.
.PARAMETER DefaultProxySettings
The default proxy settings for non priority traffic.
.PARAMETER Type
The type of prioritization to give. Valid values are 1 and 2, which are 2 different modes of operation.
Type 1 will send Optimize traffic to the direct route. Type 2 will send Optimize and Allow traffic to
the direct route.
.PARAMETER Lowercase
Flag this to include lowercase transformation into the PAC file for the host name matching.
.PARAMETER TenantName
The tenant name to replace wildcard Urls in the webservice.
.PARAMETER ServiceAreas
The service areas to filter endpoints by in the webservice.
.PARAMETER FilePath
The file to print the content to.
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type1.pac
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance China -Type 2 -DefaultProxySettings "PROXY 4.4.4.4:70" -FilePath type2.pac
.EXAMPLE
Get-TLEPacFile.ps1 -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7 -Instance WorldWide -Lowercase -TenantName tenantName -ServiceAreas Sharepoint
#>
#Requires -Version 2
[CmdletBinding(SupportsShouldProcess=$True)]
Param (
[Parameter(Mandatory = $false)]
[ValidateSet('Worldwide', 'Germany', 'China', 'USGovDoD', 'USGovGCCHigh')]
[String] $Instance = "Worldwide",
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[guid] $ClientRequestId = [Guid]::NewGuid().Guid,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[String] $DirectProxySettings = 'DIRECT',
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[String] $DefaultProxySettings = 'PROXY 10.10.10.10:8080',
[Parameter(Mandatory = $false)]
[ValidateRange(1, 2)]
[int] $Type = 1,
[Parameter(Mandatory = $false)]
[switch] $Lowercase = $false,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $TenantName,
[Parameter(Mandatory = $false)]
[ValidateSet('Exchange', 'SharePoint', 'Common', 'Skype')]
[string[]] $ServiceAreas,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $FilePath,
[Parameter(Mandatory = $false)]
[ValidateNotNullOrEmpty()]
[string] $CdnEdgeNodesFilePath
)
##################################################################################################################
### Global constants
##################################################################################################################
$baseServiceUrl = "https://endpoints.office.com/endpoints/$Instance/?ClientRequestId={$ClientRequestId}"
$directProxyVarName = "direct"
$defaultProxyVarName = "proxyServer"
$bl = "`r`n"
##################################################################################################################
### Functions to create PAC files
##################################################################################################################
function Get-PacClauses
{
param(
[Parameter(Mandatory = $false)]
[string[]] $Urls,
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[String] $ReturnVarName
)
if (!$Urls)
{
return ""
}
$clauses = (($Urls | ForEach-Object { "shExpMatch(host, `"$_`")" }) -Join "$bl || ")
@"
if($clauses)
{
return $ReturnVarName;
}
"@
}
function Get-PacString
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[array[]] $MapVarUrls
)
@"
// This PAC file will provide proxy config to Microsoft 365 services
// using data from the public web service for all endpoints
function FindProxyForURL(url, host)
{
var $directProxyVarName = "$DirectProxySettings";
var $defaultProxyVarName = "$DefaultProxySettings";
$( if ($Lowercase) { " host = host.toLowerCase();" })
$( ($MapVarUrls | ForEach-Object { Get-PACClauses -ReturnVarName $_.Item1 -Urls $_.Item2 }) -Join "$bl$bl" )
$( if (!$ServiceAreas -or $ServiceAreas.Contains('Skype')) { Get-TLEPacConfiguration })
return $defaultProxyVarName;
}
"@ -replace "($bl){3,}","$bl$bl" # Collapse more than one blank line in the PAC file so it looks better.
}
##################################################################################################################
### Functions to get and filter endpoints
##################################################################################################################
function Get-TLEPacConfiguration {
param ()
$PreBlock = @"
// Don't Proxy Teams Live Events traffic
if(shExpMatch(host, "*.azureedge.net")
|| shExpMatch(host, "*.bmc.cdn.office.net")
|| shExpMatch(host, "*.ml.cdn.office.net")
|| shExpMatch(host, "*.media.azure.net"))
{
var resolved_ip = dnsResolveEx(host);
"@
$TLESb = New-Object 'System.Text.StringBuilder'
$TLESb.Append($PreBlock) | Out-Null
if (![string]::IsNullOrEmpty($CdnEdgeNodesFilePath) -and (Test-Path -Path $CdnEdgeNodesFilePath)) {
$CdnData = Get-Content -Path $CdnEdgeNodesFilePath -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json | Select-Object -ExpandProperty value |
Where-Object { $_.name -eq 'Premium_Verizon'} | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty ipAddressGroups
$CdnData | Select-Object -ExpandProperty ipv4Addresses | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
}
$CdnData | Select-Object -ExpandProperty ipv6Addresses | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$($_.BaseIpAddress)/$($_.prefixLength)`")") | Out-Null
}
}
$AzureIPsUrl = Invoke-WebRequest -Uri "https://www.microsoft.com/en-us/download/confirmation.aspx?id=56519" -UseBasicParsing -ErrorAction SilentlyContinue |
Select-Object -ExpandProperty Links | Select-Object -ExpandProperty href |
Where-Object { $_.EndsWith('.json') -and $_ -match 'ServiceTags' } | Select-Object -First 1
if ($AzureIPsUrl) {
Invoke-RestMethod -Uri $AzureIPsUrl -ErrorAction SilentlyContinue | Select-Object -ExpandProperty values |
Where-Object { $_.name -eq 'AzureFrontDoor.Frontend' } | Select-Object -First 1 -ExpandProperty properties |
Select-Object -ExpandProperty addressPrefixes | ForEach-Object {
if ($TLESb.Length -eq $PreBlock.Length) {
$TLESb.Append(" if(") | Out-Null
}
else {
$TLESb.AppendLine() | Out-Null
$TLESb.Append(" || ") | Out-Null
}
$TLESb.Append("isInNetEx(resolved_ip, `"$_`")") | Out-Null
}
}
if ($TLESb.Length -gt $PreBlock.Length) {
$TLESb.AppendLine(")") | Out-Null
$TLESb.AppendLine(" {") | Out-Null
$TLESb.AppendLine(" return $directProxyVarName;") | Out-Null
$TLESb.AppendLine(" }") | Out-Null
}
else {
$TLESb.AppendLine(" // no addresses found for service via script") | Out-Null
}
$TLESb.AppendLine(" }") | Out-Null
return $TLESb.ToString()
}
function Get-Regex
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $Fqdn
)
return "^" + $Fqdn.Replace(".", "\.").Replace("*", ".*").Replace("?", ".?") + "$"
}
function Match-RegexList
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $ToMatch,
[Parameter(Mandatory = $false)]
[string[]] $MatchList
)
if (!$MatchList)
{
return $false
}
foreach ($regex in $MatchList)
{
if ($regex -ne $ToMatch -and $ToMatch -match (Get-Regex $regex))
{
return $true
}
}
return $false
}
function Get-Endpoints
{
$url = $baseServiceUrl
if ($TenantName)
{
$url += "&TenantName=$TenantName"
}
if ($ServiceAreas)
{
$url += "&ServiceAreas=" + ($ServiceAreas -Join ",")
}
return Invoke-RestMethod -Uri $url
}
function Get-Urls
{
param(
[Parameter(Mandatory = $false)]
[psobject[]] $Endpoints
)
if ($Endpoints)
{
return $Endpoints | Where-Object { $_.urls } | ForEach-Object { $_.urls } | Sort-Object -Unique
}
return @()
}
function Get-UrlVarTuple
{
param(
[Parameter(Mandatory = $true)]
[ValidateNotNullOrEmpty()]
[string] $VarName,
[Parameter(Mandatory = $false)]
[string[]] $Urls
)
return New-Object 'Tuple[string,string[]]'($VarName, $Urls)
}
function Get-MapVarUrls
{
Write-Verbose "Retrieving all endpoints for instance $Instance from web service."
$Endpoints = Get-Endpoints
if ($Type -eq 1)
{
$directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -eq "Optimize" })
$nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -ne "Optimize" }) | Where-Object { Match-RegexList $_ $directUrls }
return @(
Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
)
}
elseif ($Type -eq 2)
{
$directUrls = Get-Urls ($Endpoints | Where-Object { $_.category -in @("Optimize", "Allow")})
$nonDirectPriorityUrls = Get-Urls ($Endpoints | Where-Object { $_.category -notin @("Optimize", "Allow") }) | Where-Object { Match-RegexList $_ $directUrls }
return @(
Get-UrlVarTuple -VarName $defaultProxyVarName -Urls $nonDirectPriorityUrls
Get-UrlVarTuple -VarName $directProxyVarName -Urls $directUrls
)
}
}
##################################################################################################################
### Main script
##################################################################################################################
$content = Get-PacString (Get-MapVarUrls)
if ($FilePath)
{
$content | Out-File -FilePath $FilePath -Encoding ascii
}
else
{
$content
}
Skrypt automatycznie analizuje listę platformy Azure na podstawie adresu URL pobierania i kluczy z witryny AzureFrontDoor.Frontend, więc nie ma potrzeby ręcznego pobierania tej listy.
Ponownie nie zalecamy odciążania sieci VPN przy użyciu tylko nazw FQDN; Użycie zarówno nazw FQDN, jak i adresów IP w funkcji pomaga ograniczyć użycie tego odciążania do ograniczonego zestawu punktów końcowych, w tym zdarzeń na żywo/strumienia. Sposób, w jaki funkcja jest ustrukturyzowana, spowoduje, że wyszukiwanie DNS będzie wykonywane dla nazwy FQDN, która jest zgodna z tymi wymienionymi bezpośrednio przez klienta, tj. rozpoznawanie nazw DNS pozostałych przestrzeni nazw pozostaje niezmienione.
Jeśli chcesz ograniczyć ryzyko odciążania punktów końcowych niezwiązanych ze zdarzeniami usługi Teams i usługą Stream, możesz usunąć domenę *.azureedge.net z konfiguracji, w której występuje większość tego ryzyka, ponieważ jest to domena udostępniona używana dla wszystkich klientów usługi Azure CDN. Minusem tego jest to, że każde zdarzenie używające kodera zewnętrznego obsługiwanego przez usługę Stream nie zostanie zoptymalizowane, ale zdarzenia utworzone/zorganizowane w usłudze Teams będą.
3. Konfigurowanie routingu w sieci VPN w celu włączenia bezpośredniego ruchu wychodzącego
Ostatnim krokiem jest dodanie bezpośredniej trasy dla adresów IP zdarzeń usługi Teams opisanych w temacie Zbieranie bieżących list punktów końcowych usługi CDN do konfiguracji sieci VPN, aby upewnić się, że ruch nie jest wysyłany przez wymuszony tunel do sieci VPN. Szczegółowe informacje na temat tego, jak to zrobić dla punktów końcowych optymalizacji platformy Microsoft 365, można znaleźć w sekcji Implementowanie tunelowania podzielonego sieci VPN w temacie Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365. Proces jest dokładnie taki sam dla adresów IP zdarzeń usługi Stream lub Teams wymienionych w tym dokumencie.
Należy pamiętać, że tylko adresy IP (a nie nazwy FQDN) ze zbierania bieżących list punktów końcowych usługi CDN powinny być używane do konfiguracji sieci VPN.
Często zadawane pytania
Czy spowoduje to bezpośrednie wysłanie całego ruchu do usługi?
Nie. Spowoduje to bezpośrednie wysłanie ruchu przesyłania strumieniowego uwzględniającego opóźnienia dla zdarzenia usługi Teams lub strumienia wideo. Jeśli nie rozpoznają opublikowanych adresów IP, każdy inny ruch będzie nadal korzystać z tunelu SIECI VPN.
Czy muszę używać adresów IPv6?
Nie, łączność może być IPv4 tylko wtedy, gdy jest to wymagane.
Dlaczego te adresy IP nie są publikowane w usłudze adresów URL/IP platformy Microsoft 365?
Firma Microsoft ma ścisłe mechanizmy kontroli dotyczące formatu i typu informacji, które znajdują się w usłudze, aby zapewnić klientom niezawodne korzystanie z tych informacji w celu zaimplementowania bezpiecznego i optymalnego routingu w oparciu o kategorię punktu końcowego.
Kategoria Domyślny punkt końcowy nie zawiera informacji o adresie IP z wielu powodów (domyślne punkty końcowe mogą znajdować się poza kontrolą firmy Microsoft, mogą się zbyt często zmieniać lub znajdować się w blokach udostępnionych innym elementom). Z tego powodu domyślne punkty końcowe są przeznaczone do wysyłania za pośrednictwem nazwy FQDN do serwera proxy inspekcji, takiego jak normalny ruch internetowy.
W takim przypadku powyższe punkty końcowe to sieci CDN, które mogą być używane przez elementy niekontrolowane przez firmę Microsoft, inne niż zdarzenia na żywo lub usługa Stream, a zatem wysłanie bezpośredniego ruchu będzie oznaczać, że wszystkie inne rozwiązania do tych adresów IP będą również wysyłane bezpośrednio z klienta. Ze względu na unikatowy charakter obecnego globalnego kryzysu i aby zaspokoić krótkoterminowe potrzeby naszych klientów, firma Microsoft dostarczyła powyższe informacje, aby klienci mogli korzystać zgodnie z potrzebami.
Firma Microsoft pracuje nad ponownym skonfigurowaniem punktów końcowych zdarzeń usługi Teams, aby umożliwić ich uwzględnienie w kategoriach Zezwalaj/Optymalizuj punkt końcowy w przyszłości.
Czy muszę zezwolić na dostęp tylko do tych adresów IP?
Nie, dostęp do wszystkich wymaganych oznaczonych punktów końcowych w usłudze ADRESU URL/IP jest niezbędny do działania usługi. Ponadto wymagany jest dowolny opcjonalny punkt końcowy oznaczony dla usługi Stream (identyfikator 41–45).
Jakie scenariusze obejmą te porady?
- Wydarzenia na żywo utworzone w aplikacji Teams
- Wyświetlanie zawartości hostowanej w usłudze Stream
- Zdarzenia generowane przez urządzenie zewnętrzne (koder)
- Teams Ratusz
Czy ta porada obejmuje ruch prezentera?
Tak się nie dzieje; powyższa porada jest wyłącznie dla osób korzystających z usługi. Prezentacja z poziomu usługi Teams spowoduje wyświetlenie ruchu prezentera przepływającego do punktów końcowych optymalizacji oznaczonych jako UDP wymienionych w wierszu 11 usługi adresów URL/IP ze szczegółowymi poradami dotyczącymi odciążania sieci VPN opisanymi w sekcji Implementowanie tunelowania podzielonego sieci VPN w temacie Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365.
Czy ta konfiguracja stwarza ryzyko dla ruchu innego niż ratusz, wydarzenia na żywo & przesyłane bezpośrednio do usługi Stream?
Tak, ze względu na udostępnione nazwy FQDN używane dla niektórych elementów usługi jest to nieuniknione. Ten ruch jest zwykle wysyłany za pośrednictwem firmowego serwera proxy, który może zastosować inspekcję. W scenariuszu podzielonego tunelu sieci VPN użycie zarówno nazw FQDN, jak i adresów IP ograniczy to ryzyko do minimum, ale nadal będzie istnieć. Klienci mogą usunąć domenę *.azureedge.net z konfiguracji odciążania i ograniczyć to ryzyko do minimum, ale spowoduje to usunięcie odciążania zdarzeń na żywo obsługiwanych przez usługę Stream (zaplanowanych w usłudze Teams, zdarzeń kodera usługi Stream, zdarzeń Viva Engage wyprodukowanych w usłudze Teams, zdarzeń kodera strumienia zaplanowanych w usłudze Viva Engage oraz zaplanowanych zdarzeń usługi Stream lub wyświetlania na żądanie ze strumienia). Wydarzenia zaplanowane i wyprodukowane w usłudze Teams (w tym w ratuszu) nie mają wpływu.
Artykuły pokrewne
Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365
Implementowanie tunelowania podzielonego sieci VPN dla platformy Microsoft 365
Typowe scenariusze tunelowania podzielonego sieci VPN dla platformy Microsoft 365
Zabezpieczanie ruchu multimediów aplikacji Teams na potrzeby tunelowania podziału sieci VPN
Optymalizacja wydajności platformy Microsoft 365 dla chińskich użytkowników
Zasady łączności sieciowej platformy Microsoft 365
Ocena łączności sieciowej na platformie Microsoft 365
Dostrajanie sieci i wydajności platformy Microsoft 365
Uruchamianie w sieci VPN: Jak firma Microsoft utrzymuje połączenie ze swoimi zdalnymi pracownikami