Kaj morate upoštevati pred uporabo storitve ExpressRoute v Microsoft Power Platform
Pogosto podcenjujemo, kako zapletena je nastavitev storitve ExpressRoute. Pri načrtovanju ali izvedbi pogosto spregledamo zlasti naslednja dejanja in posledice:
Konfiguracijo omrežja za usmerjanje prometa v podomrežje, povezano z ExpressRoute
Izogibanje asimetričnemu usmerjanju, ko promet preko interneta potuje neposredno do Microsoft Power Platform, vendar ga ExpressRoute vrne v omrežje podjetja, zaradi česar požarni zid sproži zavrnitev prometa
Skupne stroške omogočanja uporabe ExpressRoute, vključno s storitvami Microsoft Azure, uporabe ponudnikov povezljivosti ter stalne konfiguracije storitev in notranjega usmerjanja omrežja IT
Ugotavljanje, ali je treba za porazdeljena uvajanja vzpostaviti več vezij ExpressRoute
Težave z delovanjem povezave
Povezava z omrežjem LAN
Nekatere pogoste težave, s katerimi se lahko sooči uporabnik, so:
Povezava znotraj lokalnega omrežja je nasičena še preden v mešanico dodate obogateno aplikacijo brskalnika.
Microsoft Power Platform nadomešča debelo odjemalsko aplikacijo, v kateri so se po omrežju prenašali samo podatki in ne tudi predstavitvene informacije.
Pomembno je, da razumemo, da bo aplikacija brskalnika, čeprav zahteva manj v smislu administracije uvajanja s strani odjemalca, zahtevala večjo pasovno širino kot debela odjemalska aplikacija, zato bo že nasičeno lokalno omrežje z dodajanjem novih storitev še dodatno trpelo.
Slaba povezava z omrežjem WAN
Na podlagi omrežne analize povezljivosti s spletno storitvijo, se pogostokrat pojavlja vzorec, ko omrežni promet v določenem trenutku prečka notranjo omrežno pot, kar pripomore k znatni zakasnitvi. Do tega lahko pride zaradi pogojev, kot so:
Nasičenost povezave z omrežjem WAN.
Obdelava strežnika proxy, ki povzroča več zakasnitev in dodatnih stroškov.
Neučinkovito notranje usmerjanje (na primer usmerjanje znotraj omrežja podjetja namesto predhodnega usmerjanja v internet).
Če promet Microsoft Power Platform trpi zaradi teh težav, ima lahko tudi stranka težave z delovanjem.
Slaba internetna povezava
Dodajanje storitev v oblaku lahko povzroči dodatno porabo in obremenitev internetne povezave podjetja. To se lahko zgodi, če:
Je internetna povezava prešibka za dodatno obremenitev.
Ponudnik internetnih storitev (ISP) v svojem omrežju upravlja usmerjanje tega prometa v Microsoftovo omrežje; prihaja lahko do odstopanj v učinkovitosti tega usmerjanja.
Povezava trpi zaradi mešanice prometa, ki vpliva na kakovost povezave (na primer, ko več internetnih usposabljanj, storitev Microsoft Stream ali video posnetki YouTube s prometom do aplikacij, ki so nujne za poslovanje, tekmujejo za razpoložljivo pasovno širino). To lahko na splošno zadostuje za obseg prometa, lahko pa vpliva na uspešnost delovanja zaradi velikega povpraševanja, ki je posledica dejavnosti, kot je pretakanje videa.
Te težave lahko odpravite, če si priskrbite dodatno pasovno širino ali ločene povezave preko ponudnika internetnih storitev. Če imate ločeno povezavo, namenjeno prednostnemu prometu, boste še posebej pripomogli k boljši uspešnosti in predvidljivosti prometa.
Prepričajte se tudi, da ste pravilno nastavili Kakovost storitve (QoS). Če uporabljate Microsoft Teams in Microsoft Stream, preberite Zahteve za QoS znotraj ExpressRoute.
Varnostni nadzor
Naslednja konfiguracija, ki jo morate upoštevati, je varnostni nadzor. ExpressRoute izvorno ne šifrira ali filtrira prometa (z izjemo ExpressRoute Direct z omogočenim MACsec); preko njihovega ponudnika povezljivosti, neposredno med Microsoftom in podatkovnimi središči strank, vzpostavi zasebno in ne skupno povezavo.
Vsaka zahteva katere koli Microsoftove spletne storitve ali storitve Azure do podomrežja, oglaševanega preko vezja ExpressRoute, bo usmerjena preko tega vezja, ne glede na storitev ali stranko. Ker je zahteva usmerjena na omrežni plasti, ni nadzora na ravni aplikacije, ki bi ugotovil, ali je to ustrezni prosilec za to ciljno storitev.
Microsoftove storitve so javne storitve v skupni rabi, zato je promet do njih dostopen neposredno prek javnega interneta. Nadzor dostopa do teh storitev se izvaja s storitvami preverjanja pristnosti in avtorizacije na ravni aplikacije. Nadaljnje so na ravni infrastrukture zaščitene pred vdori in grožnjami, kot so napadi na zavrnitev storitve.
Ko promet poteka preko povezave ExpressRoute, mora stranka za promet od Microsoftovih storitev do storitev, ki so gostovane na mestu uporabe, zagotoviti podobno zaščito kot pri lastnih storitvah.
Možnost omejitve uporabe ExpressRoute samo na nekatere Microsoftove storitve
Eden od izzivov, s katerimi se lahko soočite, je, da želite uporabiti ExpressRoute za določeno Microsoftovo storitev v oblaku, ne pa tudi za druge. Čeprav različne možnosti vzajemne omrežne povezave zagotavljajo določeno raven nadzora, sama vzajemna omrežna povezava ne zagotavlja granularnega nadzora znotraj storitev iste vrste vzajemne omrežne povezave (na primer za omogočanje usmerjanja samo na navidezne računalnike Azure, ne pa tudi na Microsoft 365). Kljub temu lahko z uporabo skupnosti protokola Border Gateway Protocol (BGP) konfigurirate promet samo za določene storitve.
To je pomembno za storitve Microsoft Power Platform s prisotnostjo Microsoft 365, pri katerih je lahko usmerjanje preko ExpressRoute zaželeno za eno storitev in ne za obe, ali pa samo za nekatere posamezne storitve Microsoft 365, kot je Microsoft Teams.
ExpressRoute sam trenutno ne ponuja možnosti neposredne konfiguracije storitev, ki bi na tej ravni granularnosti storitev bile usmerjene preko določenega vezja ExpressRoute, lahko pa za nadzor nad njimi uporabite skupnosti BGP.
Microsoft z uporabo ustreznih vrednosti skupnosti BGP za geografske lokacije in vrste storitev označuje in oglašuje poti na Microsoftovih poteh vzajemnega omrežnega povezovanja. V usmerjevalnikih stranke jih lahko konfigurirate za usmerjanje prometa teh storitev preko vezja ExpressRoute.
Uporabite lahko različne oznake za storitve Microsoft 365 za usmerjanje prometa teh storitev preko vezja ExpressRoute, preostale pa preusmerite preko drugega vezja ExpressRoute ali javnega interneta.
Za razliko od storitve Microsoft 365, določene vrednosti skupnosti BGP na portalu Microsoft Power Platform niso na voljo. Namesto tega se regionalne skupnosti BGP uporabljajo z ustreznimi regijami Microsoft Azure, ki se uporabljajo za vsako okolje Microsoft Power Platform. Ker okolja Microsoft Power Platform uporabljajo dva nabora podatkovnih središč, si oglejte Pregled regij, da preverite, kateri dve podatkovni središči se uporabljata. Več informacij: Skupnosti BGP za GCC
Microsoft 365
Ker Microsoftova vzajemna omrežna povezava ponuja tako storitve Microsoft Power Platform kot Microsoft 365, bi nastavitev Microsoftove vzajemne omrežne povezave preko vezja ExpressRoute privzeto oglaševala vse storitve Microsoft Power Platform in Microsoft 365.
Če bi torej skupnostim BGP omogočili usmerjanje prometa za eno storitev, bi prišlo do usmerjanja obeh storitev preko ExpressRoute. To bi lahko bilo zaželeno ali ne, lahko pa privede do neugodnih rezultatov. Če ste, na primer, določili omrežno pasovno širino, potrebno za Microsoft Power Platform, in ustrezno prilagodili povezavo ExpressRoute, potem pa nehote tudi ves svoj promet v sistemu Microsoft 365 usmerili preko ExpressRoute, lahko to nasiči vaše omrežje in povzroči težave z delovanjem.
Če boste omogočili storitev ExpressRoute za Microsoftovo vzajemno omrežno povezavo, bo ves promet Microsoft Power Platform in Microsoft 365 usmerjen preko povezave ExpressRoute. Lahko pa z oznakami skupnosti BGP nadzorujete usmerjanje, tako da samo določene storitve, kot na primer storitve Microsoft Power Platform, ne pa tudi druge storitve Microsoft 365, uporabljajo povezavo ExpressRoute. Natančneje, niso vse storitve Microsoft 365 zasnovane za delo z ExpressRoute. Storitve Microsoft Power Platform trenutno nimajo določene skupnosti BGP, kot jo imajo nekatere storitve Microsoft 365. Namesto tega uporabite regionalne skupnosti BGP, da se povežete z regijo, kjer je bilo ustvarjeno okolje Microsoft Power Platform.
Za več informacij o usmerjanju Microsoft 365 preberite dokumentacijo o selektivnem usmerjanju z Microsoft 365.
Ker storitve Microsoft Power Platform delujejo delno kot del storitve Microsoft 365, so potrebne tudi številne prehodne storitve, kot sta skrbniški portal in preverjanje pristnosti. Vseh teh storitev ni mogoče zaščititi z uporabo ExpressRoute; skrbniški center za Microsoft 365, na primer, ni objavljen v ExpressRoute.
Podpora državnim oblakom
Stranke, ki morajo izpolnjevati državne ali državne/regijske predpise, se lahko odločijo za uporabo suverenega oblaka. Državni oblaki se fizično nahajajo v regiji, da bi izpolnili zahteve, specifične za določeno vlado ali državo. Na primer Power Apps za vladni oblak Government Community Cloud (GCC), ki se nahaja v ZDA, ustreza posebnim predpisom ter potrdilom ameriške vlade in izpolnjuje protokole, da lahko zadovoljuje te zahteve.
Oglejte si ta video, ki opisuje, kako je v državnih oblakih na voljo storitev Microsoft Power Platform: Video: Državni oblaki z Martyjem Carrerasom.
Ko razmišljate o uporabi suverenega okolja v oblaku, morate upoštevati obstoječe omejitve, ker v primerjavi z javnimi okolji v oblaku niso na voljo vse funkcije. Razpoložljivost Microsoft Power Platform za vsako okolje je navedena v naslednji tabeli. Za druge razlike v razpoložljivosti preberite dokumentacijo o regijah podatkovnega središča.
| Regija | Podpora ExpressRoute |
|---|---|
| Ameriški vladni oblak Government Community Cloud (GCC) | Podprto 1 |
| Ameriški vladni oblak Government Community Cloud High (GCC High) | Podprto 1 |
| Kitajska | Podprto 2 |
1. Stranke morajo uporabljati vladni ExpressRoute Azure, kadar uporabljajo ameriški regiji GCC ali GCC High, in ne morejo uporabljati oblaka Azure Commercial cloud ExpressRoute. 2. Stranke morajo uporabljati kitajski ExpressRoute Azure, kadar uporabljajo kitajske regije, in ne morejo uporabljati oblaka Azure Commercial cloud ExpressRoute
Stroški Azure ExpressRoute
Pri ocenjevanju stroškov za ExpressRoute morate upoštevati več dejavnikov:
Stroške Azure
Stroške ponudnika povezljivosti
Stroške notranje namestitve
Pri natančnem določanju poslovnega primera je pomembno, da pri ocenjevanju ExpressRoute za Microsoft Power Platform upoštevate vse te stroške. Vsak od njih je obravnavan v naslednjih poglavjih.
Stroški Azure
Azure ExpressRoute lahko kupite v različnih modelih.
Vrsta obračunavanja
Izmerjeno: mesečni strošek osnovne naročnine z neomejenim vhodnim prometom, vendar z doplačilom za vsak GB za odhodni promet
Neomejeno: mesečni stroški osnovne naročnine z neomejenim vhodnim in odhodnim prometom
Inventarna številka/Načrt
Standardno
Osnovna povezava z uporabo ExpressRoute
Ponuja dostop do storitev znotraj ene geografske regije
Če je vezje ExpressRoute znotraj iste regije kot okolje Microsoft Power Platform, v katerega se uporabniki povezujejo, je za to vezje potreben samo osnovni paket ExpressRoute
Prvovrstno
Ponuja dostop do svetovnih geografskih storitev, neodvisno od mesta vzpostavitve povezave
Če se uporabnik preko vezja ExpressRoute poveže iz regije, ki je drugačna od regije njegove zaledne storitve, bo za to vezje ExpressRoute potreboval paket ExpressRoute Premium.
Več informacij: Azure ExpressRoute – cene
Stroške ponudnika povezljivosti
V nekaterih primerih se lahko pojavijo znatni stroški vzpostavitve povezave s ponudnikom povezljivosti. Ti so ločeni od stroškov Azure za ExpressRoute.
Prizadevanje notranjega kupca za konfiguracijo omrežnega usmerjanja
Če želite omogočiti storitev ExpressRoute, potrebujete notranje omrežno usmerjanje.
Za marsikatero stranko bo to pomenilo notranje navzkrižno zaračunavanje omrežni ekipi oziroma obračun zunanjih stroškov ponudniku storitev IT, ali pa vsaj oportunitetni stroški prizadevanj notranjega osebja, da se osredotoči na konfiguracijo.
Učinki na obstoječe storitve v uporabi Microsoft Power Platform, Microsoft 365 in Azure
Ko je omogočena vzajemna omrežna povezava Microsoft, bo ta konfigurirala promet za storitve Microsoft Power Platform, Microsoft 365 in Azure, ki jih je treba usmerjati preko ExpressRoute.
Če že uporabljate Microsoft Power Platform, aplikacije Dynamics 365 ali Microsoft 365 brez ExpressRoute, je pomembno, da upoštevate, kako bo omogočanje vzajemne omrežne povezave Microsoft preko ExpressRoute (kar je privzeto vedenje) vplivalo na obstoječe storitve. Morda boste morali konfigurirati usmerjanje z uporabo skupnosti BGP, da ločite promet do različnih storitev.
Ponovna uporaba ExpressRoute v več spletnih storitvah
Z eno povezavo ExpressRoute lahko dostopate do več spletnih storitev, na primer Microsoft Power Platform, Dynamics 365, Microsoft 365 in Azure.
Diagram, ki prikazuje skupno povezavo ExpressRoute z Microsoftovimi javnimi storitvami in storitvijo Azure. Javne storitve Microsoft 365, Microsoft Power Platform, Dynamics 365 in Azure si z Microsoftovo vzajemno omrežno povezavo delijo isto povezavo ExpressRoute z zasebnim vzajemnim omrežnim povezovanjem Azure za navidezna omrežja.
ExpressRoute sam ne ločuje različnih vrst Microsoftovih storitev od določenega podomrežja. Oznake skupnosti BGP lahko uporabite za nadzor usmerjanja prometa do določenih storitev preko ExpressRoute. Microsoftovo usmerjanje prometa nazaj preko ExpressRoute na podlagi oznak skupnosti BGP ni selektivno. Če je treba promet vrniti drugače glede na vrsto storitve, se prepričajte, da promet prihaja z različnih javnih naslovov IP. Ker bo vsak promet, ki se vrača v podomrežje, obravnavan na omrežni ravni, bi bilo nevarno, če bi za uporabo ExpressRoute konfigurirali le nekaj prometa iz podomrežja, ker to lahko privede do asimetričnega usmerjanja.