Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os serviços e ambientes do Power Platform não precisam ser configurados para usar o ExpressRoute. No entanto, para usar o ExpressRoute, você deve configurar o roteamento de rede na organização para garantir que o tráfego do Power Platform seja encaminhado por meio do circuito do ExpressRoute.
Na rede da Microsoft, o ExpressRoute processa o tráfego anunciando o roteamento de sub-redes IP específicas para o circuito do ExpressRoute nas quais elas são configuradas. Como esse roteamento é anunciado em uma conexão Border Gateway Protocol (BGP), ele costuma ser escolhido como a conexão mais eficiente para alcançar esse destino em vez do roteamento pela Internet.
No lado do cliente, a conexão BGP anuncia os prefixos IP dos serviços para cada tipo de emparelhamento configurado para o circuito do ExpressRoute.
A determinação de qual configuração de rede adicional você precisa depende de quais interações você deseja rotear por meio do ExpressRoute. Este artigo descreve os diferentes tipos de tráfego que podem ser roteados por meio do ExpressRoute e como configurar o roteamento de rede para garantir que o tráfego seja roteado corretamente.
Tráfego do servidor
O tráfego do servidor é o tráfego entre os serviços do Power Platform e outros serviços, como servidores locais ou outros serviços em nuvem da Microsoft. Esse tráfego pode ser de entrada ou saída, dependendo da direção da conexão.
Tráfego de entrada (para serviços do Power Platform)
Configure o roteamento interno no data center para dar preferência a conexões por meio do circuito do ExpressRoute para tráfego até serviços Microsoft.
Tráfego de saída (dos serviços do Power Platform)
Nos casos em que o tráfego é roteado de volta pelo ExpressRoute, como para um servidor local, o ExpressRoute não oferece controles para bloquear os serviços que estabelecem conexões. Como é feito todo no nível da rede, o roteamento não valida o serviço específico que está fazendo a solicitação antes do roteamento do tráfego.
Outros serviços podem enviar solicitações para um serviço de atendimento ao consumidor. Não é possível bloquear solicitações para um determinado conjunto de máquinas. Como melhor prática, leve em consideração o tráfego por meio do ExpressRoute como proveniente de uma fonte externa. Embora venha de um datacenter Microsoft, a Microsoft não controla a origem das solicitações. Outros serviços de atendimento ao consumidor podem tentar estabelecer conexões. Controle todas as conexões como se elas viessem de um gateway externo.
Para rotear o tráfego de volta por meio do ExpressRoute, o serviço conectado deve:
- Ter um URL publicamente detectável.
- Ter um endereço IP público correspondente a uma sub-rede configurada para uma definição de emparelhamento de circuito do ExpressRoute.
- Estar na mesma região do serviço solicitante, se o ExpressRoute (padrão) for usado, ou em qualquer região, se o ExpressRoute Premium for usado.
Essa abordagem é valiosa para muitos cenários comuns de integração entre serviços online e locais.
O endereço IP de destino para o tráfego de saída de um recurso do Power Platform deve ser um endereço IP público anunciado por meio de um circuito do ExpressRoute. Como todos os serviços em nuvem da Microsoft são compartilhados, todo o tráfego deve ser tratado como se tivesse origem na Internet. Use um proxy reverso ou um gateway de aplicativo para inspecionar e controlar o tráfego do ExpressRoute.
Saiba mais sobre sub-redes IP em Requisitos do sistema, limites e valores de configuração do Power Apps e Configuração de endereço IP para o Power Automate.
Tráfego de cliente
O tráfego em dispositivos cliente, como PCs na rede corporativa ou dispositivos móveis em conexões públicas, geralmente é de entrada para serviços Microsoft em vez de saída para o cliente. O ExpressRoute não é imposto como a única rota para o Power Platform. O Power Platform não bloqueia o tráfego recebido diretamente da Internet, e o ExpressRoute não bloqueia respostas do tráfego originalmente recebido diretamente pela Internet. Como os serviços do Power Platform são anunciados publicamente na Internet, os caminhos de roteamento para o serviço estão disponíveis separadamente do ExpressRoute.
Se o tráfego de cliente precisar ser roteado pelo circuito do ExpressRoute, o desafio da equipe de rede é primeiro rotear o tráfego internamente do cliente por meio da LAN ou da WAN para a sub-rede conectada ao ExpressRoute. Também é responsabilidade da equipe garantir que esse tráfego não "vaze" acidentalmente e se conecte à Internet pública.
Use proxies na rede corporativa e, possivelmente, adicione uma VPN a dispositivos móveis para forçá-los a se conectar à rede corporativa primeiro. Essa configuração garante que o tráfego seja roteado por meio do circuito do ExpressRoute corporativo. No entanto, essa abordagem pode adicionar sobrecarga em comparação com o acesso direto aos serviços de nuvem por meio de uma fuga local da Internet.
É importante entender que o ExpressRoute não garante que o tráfego na rede corporativa use o ExpressRoute. As regras de proxy e roteamento na rede corporativa fazem isso, e você deve configurá-las para garantir que as solicitações de dentro da rede corporativa usem o ExpressRoute.
O ExpressRoute também não impede que outras conexões – por exemplo, usuários na Internet – sigam diretamente para o Power Platform.
A conectividade externa é uma preocupação que envolve os usuários de dispositivos móveis, especialmente de laptops, tablets e smartphones. Você tem algumas opções:
Se a organização usa autenticação federada, verifique se o acesso aos Serviços de Federação do Active Directory só é possível após o estabelecimento de uma conexão VPN com a rede corporativa.
Use o acesso condicional do Microsoft Entra e o Intune para controlar quais dispositivos e locais têm acesso permitido e para controlar a configuração do dispositivo, como proxies, VPN e roteamento.
Limitações do ExpressRoute
Ao levar em consideração a implementação do ExpressRoute, entender o que ele não faz é tão importante quanto entender o que faz.
Configuração de roteamento de rede do cliente
O ExpressRoute lida com a configuração do tráfego na rede Microsoft. Ele não altera o roteamento de tráfego em sua rede. Você deve configurar o roteamento de rede na rede para direcionar o tráfego vinculado a serviços em nuvem da Microsoft para a sub-rede conectada ao ExpressRoute e, em seguida, pelo circuito do ExpressRoute.
Anunciamos rotas mais específicas para o Microsoft 365 pelo ExpressRoute do que anunciamos na Internet pública. Se você propagar as rotas específicas de nós para a rede, o tráfego de usuário será roteado para o ExpressRoute por causa da regra de correspondência de prefixo mais longa.
Você pode se deparar com um ou ambos os seguintes desafios ao configurar o ExpressRoute:
O roteamento da rede interna é configurado incorretamente para rotear o tráfego até o ponto de conexão do ExpressRoute.
O seu roteamento é assimétrico, no qual os tráfegos de solicitação e resposta são roteados de maneira diferente. Por exemplo, o tráfego é roteado diretamente para serviços em nuvem da Microsoft pela Internet, mas acaba retornando por meio do ExpressRoute, disparando exceções de firewall que bloqueiam o tráfego de retorno.
Performance
Sozinho, o ExpressRoute normalmente não dá vantagens significativas de desempenho em relação a uma conexão de rede eficiente com capacidade suficiente. Uma conexão dedicada e privada por meio de seu provedor de conectividade pode resultar em conectividade mais otimizada do que uma conexão compartilhada com a Internet.
Taxa de transferência do carregamento de dados para o Power Platform
Como a rede raramente é o gargalo durante a realização das cargas de dados para o Power Platform – mais provavelmente, o processamento do aplicativo precisa ser otimizado – o ExpressRoute raramente é um colaborador direto para uma taxa de transferência mais alta de dados para o Power Platform. No entanto, o ExpressRoute deixa o tráfego mais previsível e garante que os dados não sejam enviados pela Internet pública.