Načrt uvajanja storitve ExpressRoute za uporabo s storitvijo Microsoft Power Platform
Zdaj, ko ste se odločili za uporabo storitve ExpressRoute za storitev Microsoft Power Platform, je pomembno, da uvedbo načrtujete tako, da bo ustrezala vašim potrebam in okolju.
Zahteve za storitev ExpressRoute
Pri nastavljanju storitve ExpressRoute morate upoštevati številne predpogoje, ki jih treba nastaviti. To lahko povzroči nepričakovane stroške in dejavnosti, ki lahko, če niso načrtovane, vplivajo na projekt in nadaljnje delovanje drugih storitev.
Zunanji predpogoji
Storitev ExpressRoute ne zagotavlja fizične povezave; zagotavlja pa zasebno povezavo prek že vzpostavljene fizične povezave. Fizično povezavo mora najprej nastaviti ponudnik povezljivosti. To povezavo je mogoče vzpostaviti z obstoječimi partnerji ExpressRoute na več načinov. Dokumentacija ExpressRoute vsebuje podrobna pojasnila o možnostih in partnerjih, ki so trenutno na razpolago.
V okviru načrtovanja boste morali upoštevati naslednje:
Geografija : Kot bomo podrobneje obravnavali pozneje, bo geografsko razumevanje o tem, kje je treba vzpostaviti eno ali več povezav, vplivalo na vaše splošno načrtovanje.
Stroški: Ponudnik povezljivosti bo zaračunal vzpostavitev zasebne povezave. To je lahko znaten strošek; odvisen pa je od vrste in števila potrebnih povezav.
Čas namestitve: V nekaterih primerih bo treba nastaviti fizično strojno opremo. Ta čas namestitve bo treba vključiti v načrtovanje izvedbe.
Konfiguracija znanj in virov : Razlog za zapletenost konfiguracije se v večini skriva v nastavljanju notranjega usmerjanja znotraj vašega omrežja. Bistveno je, da zagotovite, da bodo na delu usposobljeni ljudje.
predpogoji Microsoft
Ko je vzpostavljena fizična povezava, lahko nadaljujete z nastavitvijo povezav ExpressRoute. Pri tem boste potrebovali:
Naročnino na storitve Azure, v kateri je zagotovljeno in obračunano vezje ExpressRoute.
Konfiguracijo vezij ExpressRoutev v naročnini na storitve Azure, ki se izvede z orodji Azure.
Načrt za konfiguracijo usmerjanja prometa Microsoft Power Platform v vezju ExpressRoute
Pri načrtovanju usmerjanja prometa Microsoft Power Platform boste morali upoštevati različne vrste prometa, ki so odvisne od vaše konfiguracije in uporabe storitve Microsoft Power Platform.
Da bi razumeli, kako konfigurirati vezje ExpressRoute storitve Microsoft Power Platform, boste morali upoštevati različne uporabe in povezave s storitvijo Microsoft Power Platform, ki so odvisne od storitev in funkcij, ki jih uporabljate.
Konfiguracija usmerjanja
Konfiguracijo usmerjanja izvede ponudnik povezljivosti ali kupec, odvisno od vrste povezave.
Čeprav je povezava ExpressRoute med podatkovnimi središči, je dejanska omrežna povezava večinoma iz uporabnikovih odjemalskih naprav (ki bodo pogosto porazdeljene po širšem WAN-u, na primer v razdeljenih bančnih poslovalnicah). To pomeni, da so povezave usmerjene od lokacije odjemalske naprave prek omrežja WAN do podatkovnega središča in nato prek vezja ExpressRoute. To zahteva natančno konfiguracijo. WAN mora biti nastavljen tako, da:
Je pot prek podomrežja konfigurirana za storitev ExpressRoute.
or
Je vezje za preklop na drug strežnik ob izpadu izbrano pred javno internetno povezavo do storitve Microsoft Power Platform.
Zato je pomembno ugotoviti, katera podomrežja v vašem omrežju bi morale biti ciljne povezave glavne in nadomestne povezave seje Border Gateway Protocol (BGP), da zagotovite, da predpone Microsoft Power Platform izberejo to pot. Ni treba posebej konfigurirati storitev na obeh koncih, ker se ta konfiguracija opravi z oglaševanjem podomrežij / predpon IP prek te povezave. Ko se sproži zahteva, usmerjevalni algoritem vidi to neposredno povezavo BGP kot prednostno pot za promet do podomrežja, priključenega na vezje ExpressRoute, in usmerja promet na ta način.
Konfiguriranje vezja ExpressRoute za porazdeljene baze uporabnikov
Storitev ExpressRoute je zasnovana tako, da zagotavlja zasebne, namenske in zato predvidljive povezave iz vašega okolja v omrežje Microsoft. Ko imate namensko in neposredno povezavo prek ponudnika povezljivosti Microsoft, zmanjšate možnost, da se boste morali spopadati z drugim prometom na povezavah, ki jih delite prek omrežja ponudnika povezljivosti. Za doseganje te kakovosti povezave prek ponudnika povezljivosti ni treba uporabljati storitve ExpressRoute, vendar je to eden izmed načinov, s katerim lahko to zagotovite.
V naslednjem primeru ima uporabnik na lokaciji podružnice vzpostavljeno povezavo s storitvijo ExpressRoute prek WAN-a do povezave podatkovnega središča stranke.
Če ima uporabnik zelo razpršeno omrežje uporabnikov, kot je mreža poslovalnic, razporejena po državi/regiji, mora biti omrežni promet učinkovito povezan z več geografsko zelo porazdeljenih lokacij. Tipičen vzorec tega je usmerjanje elementov prek omrežja WAN v lokalno omrežje, povezano s storitvijo ExpressRoute, kot je prikazano na naslednji sliki.
Če je povezava med odjemalcem in storitvijo ExpressRoute slaba ali nasičena ali pa je kako drugače neučinkovita, storitev ExpressRoute tega ne bo mogla rešiti, ker bodo težave s povezavo pri dostopu do vstopne točke ExpressRoute še vedno vplivale na uporabniško izkušnjo. V takem primeru razmislite o uporabi storitve ExpressRoute Direct, ki vam omogoča neposredno povezavo z globalnim omrežjem Microsoft.
Ko se povezujete s storitvami v oblaku in ste omejeni z zahtevnimi povezavami WAN, je v lokalnih podružnicah morda koristno vzpostaviti lokalni izpad interneta. Tako se boste izognili počasnejši povezavi WAN in izkoristili doseg ponudnika povezljivosti in s tem neposrednejšo povezavo s storitvijo v oblaku.
Možno je nastaviti vezja ExpressRoute z več lokacij in celo do posameznih lokacij poslovalnic, in sicer prek lokalnega izpada interneta, kot je prikazano na naslednji sliki.
Pristop povezovanja lokacij podružnic z osrednjim podatkovnim središčem prek omrežja WAN in vzpostavljanja vezij ExpressRoute med stranko in podatkovnimi središči Microsoft je običajno bolj zaželen in bolj praktičen kot poskus vzpostavitve povezave ExpressRoute z vsake lokacije podružnice. To bi bilo razmeroma drago in zapleteno nastaviti in vzdrževati, če bi bilo to potrebno na mnogih lokacijah.
Alternativni pristop bi bil povezati vse podružnice in podatkovna središča strank na isti IP VPN in povezati ponudnika storitev IP VPN z omrežjem Microsoftom na lokaciji ExpressRoute.
Če imate težave z lokalno povezavo WAN, je običajno bolje, da jo optimizirate z metodami, kot sta pridobivanje dodatne pasovne širine ali optimizacija usmerjanja, namesto da bi poskušali vzpostaviti povezavo ExpressRoute z vsake lokacije.
Za omrežja, ki so razporejena po širokem geografskem območju, bi bilo koristno, če bi na storitev ExpressRoute povezali več zvezdišč, da bi zmanjšali število potrebnih povezav ExpressRoute, hkrati pa bi vsakemu uporabniku ponudili bolj lokalno točko povezave. V tem primeru je pomembno zagotoviti, da se enolični javni IP-ji objavijo prek vsakega vezja ExpressRoute; vsaka od teh podomrežij mora biti ločena, zaradi česar morate imeti isto število javnih podomrežij kot povezav ExpressRoute.
To je še posebej koristno, če se različna operativna območja nahajajo na zelo različnih geografskih območjih ali če je omrežna povezanost med območji omejena in je za vsakega mogoče vzpostaviti neposrednejšo povezavo z omrežjem Microsoft.
Mogoče je tudi, da imajo različne regije različne zahteve glede zasebnosti in ni nujno, da vsaka regija uporablja storitev ExpressRoute zgolj zato, ker to počnejo drugi. Nekatere povezave je mogoče usmerjati neposredno prek interneta, druge pa prek storitve ExpressRoute, kot je prikazano na naslednji sliki.
Storitev ExpressRoute (standard) ponuja povezavo samo znotraj določene geografske regije; Storitev ExpressRoute Premium pa ponuja dostop v več geografskih lokacijah z ene same točke povezave ExpressRoute. To bi bilo pomembno, če bi imela stranka na primer pisarne s sedežem v ZDA in pisarne v Evropi, ki bi uporabljale samo eno okolje Microsoft Power Platform. Če je najemnik stranke Microsoft Power Platform uveden v ZDA, mora biti vezje ExpressRoute v Evropi Premium SKU. Če je najemnik Microsoft Power Platform v Evropi, bi moralo biti vezje v ZDA Premium.
Izogibanje se asimetričnemu usmerjanju
Eden od izzivov, na katerega morate biti pozorni, je asimetrično usmerjanje, pri katerem konfiguracija usmerjanja znotraj odjemalskega omrežja usmerja promet v podatkovno središče Microsoft neposredno prek interneta, nato pa povratni promet določi, da je treba odzive usmerjati prek vezja ExpressRoute. To lahko pogosto sproži požarni zid, ki zavrne promet, saj prejme pakete odzivov, ne da bi poslal pakete zahtev.
To se lahko zgodi, če lokalno omrežje odjemalca ugotovi, da je najučinkovitejše usmerjanje v storitve v oblaku Microsoft prek javnega interneta in ne prek WAN-a do zasebnega vezja ExpressRoute. Če pa je naslov IP odjemalca bodisi javni naslov IP bodisi je preveden s pomočjo preslikave NAT na javni naslov IP, ki se oglašuje prek storitve ExpressRoute, je najučinkovitejša pot nazaj do tega IP-ja najverjetneje prek seje BGP in prek storitve ExpressRoute. Lahko uporabite različne IP-je NAT na vašem omrežnem robu in robu omrežja ExpressRoute. Z ločenim naslovom vira se bo povratni promet nedvoumno vrnil na isti rob.
To se lahko zgodi tudi tam, kjer je za isto stranko konfiguriranih več vezij ExpressRoute z usmerjanjem odhodnega prometa prek enega vezja, vendar s povratnim usmerjanjem prek drugega vezja, kjer lahko požarni zid blokira promet na povratni poti. Da bi se izognili asimetričnemu usmerjanju prek drugega vezja ExpressRoute za odhodno in dohodno pot, je pomembno zagotoviti, da se v vsakem vezju objavijo enolični javni IP-ji.
Kot vidite, je pomembno, da določite, kako se usmerjanje upravlja znotraj omrežja WAN, in zagotovite, da bodo poti v in iz storitev v oblaku Microsoft natančno preučene.
Zunanja povezljivost v / iz storitve Microsoft Power Platform
Pri vzpostavljanju povezav s storitvijo Microsoft Power Platform z lokacij strank je treba upoštevati več vrst prometa. To lahko privede do obeh vrst vzajemne omrežne povezave, Microsoft in zasebne vzajemne omrežne povezave, za ti vrsti vzajemne omrežne povezave pa je mogoče uporabiti isto vezje ExpressRoute, kot je prikazano na naslednji sliki.
Obstajajo različne vrste povezav med storitvami Microsoft Power Platform in zunanjim omrežjem. Povezava Exchange Web Services na primer s strežniško sinhronizacijo uporablja storitev ExpressRoute za prenos omrežnega prometa iz omrežja Microsoft v omrežje strank. Povezava spletnih storitev uporablja storitev ExpressRoute za dohodni in odhodni promet v omrežju Microsoft. Za odjemalca HTTPS se povezava ExpressRoute uporablja za dostop iz odjemalskega omrežja v omrežje Microsoft. Te primere ponazarja naslednja slika.
Odhodni promet (promet iz storitev Microsoft Power Platform)
Več vrst odhodnega prometa se lahko pojavlja neposredno iz storitev Microsoft Power Platform v storitve za stranke. Za vsakega od teh je pomembno opozoriti, da morajo imeti storitve za stranke javne naslove z javnim IP-jem, ki ga lahko prek javnega DNS razrešijo storitve Microsoft Power Platform.
Ta naslov IP je treba oglaševati Microsoftu tudi prek storitve ExpressRoute, tako da notranje omrežno usmerjanje znotraj storitve Microsoft Power Platform ve, da ga usmeri prek te povezave ExpressRoute.
Storitve Microsoft Power Platform ne morejo določiti, kateri primerek storitve ali organizacija strank lahko poda zahteve na katere naslove IP. Zato je pomembno, da se zahteve, ki prihajajo v omrežje podjetja, obravnavajo, kot da so z interneta, in se jih kot take zaščiti.
Naslednja tabela opisuje odhodni promet iz storitev Microsoft Power Platform.
| Opis | Vrsta in smer prometa | Vrsta vzajemne omrežne povezave | Namen |
|---|---|---|---|
| Spletne storitve | Odhodni HTTPS iz storitev Microsoft Power Platform | Vzajemna omrežna povezava Microsoft Objava spletnih storitev na javnih naslovih IP, ki so znotraj podomrežij, konfiguriranih za storitev ExpressRoute |
Prilagojeni vtičniki in dejavnosti poteka dela lahko zahtevajo spletne storitve za zunanje storitve |
| Exchange Integration: hibridni način | Odhodni HTTPS iz storitev Microsoft Power Platform | Vzajemna omrežna povezava Microsoft Spletne storitve morajo biti objavljene na javnih naslovih IP, ki so znotraj podomrežij, konfiguriranih za storitev ExpressRoute |
Zahteve Exchange Web Services iz strežniške sinhronizacije za hibridno uvajanje (storitve Microsoft Power Platform, Exchange na mestu uporabe) |
| Priključki | Odhodni HTTPS iz storitev Microsoft Power Platform | Vzajemna omrežna povezava Microsoft | Zahteve storitev Microsoft Power Platform prek storitve Azure API Management in prek priključkov s prehodom za podatke na mestu uporabe |
| Azure Relay | Odhodni HTTPS iz storitev Microsoft Power Platform | Vzajemna omrežna povezava Microsoft Objava spletnih storitev na javnih naslovih IP, ki so znotraj podomrežij, konfiguriranih za storitev ExpressRoute |
Neposredna povezljivost med tokovi za oblake Power Automate in tokovi za namizja |
Dohodni promet (promet v storitve Microsoft Power Platform)
Naslednji dohodni promet je mogoč v storitve Microsoft Power Platform iz omrežja strank.
| Opis | Vrsta in smer prometa | Vrsta vzajemne omrežne povezave | Namen |
|---|---|---|---|
| Povezava stranke | Odhodni HTTPS v storitve Microsoft Power Platform | Vzajemna omrežna povezava Microsoft Neposredna internetna povezava za statične vsebine, ki jih ponuja omrežje Azure Content Delivery Network |
Zahteve strank za uporabniški vmesnik storitve Microsoft Power Platform |
| Spletne storitve | Odhodni HTTPS v storitve Microsoft Power Platform | Vzajemna omrežna povezava Microsoft | Zahteve za storitve Microsoft Power Platform prek API-jev za spletne storitve (SOAP, Web API). Bodisi iz standardne aplikacije bodisi aplikacije odjemalca po meri |
| Priključki | Odhodni HTTPS v storitve Microsoft Power Platform | Vzajemna omrežna povezava Microsoft | Odzivi nazaj na storitve Microsoft Power Platform prek APIM-ov in prek priključkov s pomočjo prehoda za podatke na mestu uporabe |
Notranja povezava v oblaku znotraj storitev Microsoft Power Platform
Storitve Microsoft Power Platform uporabljajo in se integrirajo z več drugimi spletnimi storitvami Microsoft, ki jih gostijo tako storitve Microsoft 365 kot Azure.
| Opis | Vrsta in smer prometa | Namen |
|---|---|---|
| Integracija Exchange | Odhodni HTTPS v storitev Microsoft 365 | Izmenjava zahtev spletnih storitev za storitev Exchange Online iz strežniške sinhronizacije |
| Integracija s storitvijo SharePoint | Odhodni HTTPS v storitev Microsoft 365 | Zahteve spletnih storitev SharePoint za storitve SharePoint Online iz storitev Microsoft Power Platform |
| Storitveno vodilo | Odhodni HTTPS v storitve Azure Service Bus | Potisnite dogodke v storitev Azure Service Bus bodisi kot standardno registracijo dogodka bodisi iz vtičnikov po meri in dejavnosti poteka dela |
| Sinhronizacija podatkov | Dohodni HTTPS iz storitev Azure | Zahteve za sledenje vhodnim spremembam za sinhronizacijo podatkovnih storitev, vključno z vpogledom v možnosti iskanje / brez povezave / stranke |
| Preverjanje pristnosti | HTTPS odhodno v Microsoft Entra | Večina preverjanja pristnosti se izvede s pasivnimi preusmeritvami in žetoni zahtevkov, nekateri podatki pa so neposredno sinhronizirani Microsoft Entra ID |
| Podatkovni tokovi | Odhodni HTTPS v storitev Azure Data Lake Storage | Ponuja analitične zmogljivosti in omogoča dostop do rešitev za masovne podatke, ki poleg vpogleda v analitiko vključujejo podatke storitev Microsoft Power Platform in drugih virov. |
| Priključki | Odhodni HTTPS v storitve Azure PaaS | Povezave z različnimi storitvami Azure PaaS |
| Tokovi za namizje | Odhodni HTTPS v storitvi Azure Relay | Neposredna povezljivost med tokovi za oblake Power Automate in tokovi za namizja, ustvarjenimi v aplikaciji Power Automate za namizje |
Dejansko povezavo med temi storitvami, ki jih gosti Microsoft ali naročnine strank Azure, ureja Microsoft. Storitev ExpressRoute ne pride v poštev pri povezavah s temi storitvami.
Kjer so dogodki potisnjeni na storitveno vodilo, se povezava med storitvami Microsoft Power Platform in Azure obravnava interno. Stranka lahko ločeno pošlje zahteve za pridobitev informacij v storitveno vodilo, ki jih lahko upravlja vzajemna omrežna povezava Microsoft.
Povezava strank v javnem in zasebnem oblaku v / iz storitev Microsoft Power Platform
Storitve Microsoft Power Platform omogočajo tudi neposredno integracijo z javnimi ali zasebnimi viri storitev Azure:
Iz zunanjih virov z uporabo API-jev spletnih storitev Microsoft Dataverse.
V zunanje vire z uporabo zahtev spletnih storitev.
V zunanje vire z uporabo priključkov.
Te posledice je treba upoštevati pri usmerjanju ExpressRoute.
| Opis | Vrsta in smer prometa | Vrsta vzajemne omrežne povezave | Namen |
|---|---|---|---|
| Portali | Dohodni HTTPS v storitev Azure | Notranja povezava v podatkovno središče, z izjemo statične vsebine, ki uporablja omrežje Content Delivery Network. (Storitev ExpressRoute ne podpira omrežja Content Delivery Network, zato bo statična vsebina potovala po javnem internetu.) | Gostovanje javno dostopnih storitev. Morda obstajajo scenariji, ko lahko interni zaposleni dostopajo do teh virov, zato boste morda želeli, da promet potuje prek storitve ExpressRoute in ne prek javnega interneta |
| Vodeno učenje | Dohodni HTTPS v storitev Azure | Uporaba omrežja Content Delivery Network, ki pa ga storitev ExpressRoute ne podpira, zato bo statična vsebina potovala po javnem internetu | Ta gostuje v javni storitvi, ker ne vsebuje zasebnih podatkov o strankah. Zaradi predvidljivosti lahko obstajajo scenariji, ko boste želeli te podatke usmeriti prek storitve ExpressRoute |
| Storitveno vodilo | Dohodni HTTPS v storitve Azure Service Bus | Notranja povezava v podatkovno središče | Potisnite dogodke iz storitev Azure Service Bus, ki so bili tam postavljeni, bodisi kot standardno registracijo dogodka bodisi iz vtičnikov po meri ali dejavnosti poteka dela |
| Zahteve spletnih storitev | Dohodna povezava iz storitev Azure IaaS / PaaS | Notranja povezava v podatkovno središče | Stranke lahko gostijo programe po meri v storitvah Azure in podajo zahteve spletnim storitvam Microsoft Power Platform |
| Zahteve spletnih storitev | Odhodne povezave v storitve Azure IaaS / PaaS | Notranja povezava v podatkovno središče | Stranke lahko uvajajo vtičnike in potek dela po meri, ki podajajo zahteve storitvam, ki jih gosti storitev Azure |
| Podatkovni tokovi | Podatkovne povezave s storitvijo Azure Data Lake Storage | Notranja povezava v podatkovno središče | Zagotavljajo analitične zmogljivosti in omogočajo dostop do rešitev za masovne podatke, ki poleg vpogleda v analitiko vključujejo podatke storitev Microsoft Power Platform in drugih virov. |
| Azure Data Lake | Podatkovne povezave s storitvijo Azure Data Lake Storage | Notranja povezava v podatkovno središče | Zagotavlja analitične zmogljivosti in omogoča dostop do rešitev za masovne podatke, ki vključujejo podatke storitev Microsoft Power Platform in drugih virov ter vpogled v analitiko. |
| Azure SQL | Podatkovne povezave s storitvami Azure SQL | Notranja povezava v podatkovno središče | Z zmogljivostmi, kot je Export to Data Warehouse, se bo uporaba primerka Azure SQL za zadrževanje kopij podatkov Microsoft Dataverse za namene poročanja ali kopiranja povečala. Mogoče bi bilo koristno zaščititi povezave do teh virov prek storitve ExpressRoute. |
V prihodnosti se lahko pojavijo še druge javne storitve, ki se bodo interno povezale s podatkovnim središčem, saj se uporabljajo druge zmogljivosti storitve Azure.