设置 ExpressRoute 通常比您想象的要复杂。 在计划或执行中,很容易忽略或低估以下因素:
配置网络,将流量路由到连接 ExpressRoute 的子网。
避免非对称路由,即流量通过互联网直接进入 Power Platform,但被 ExpressRoute 返回企业网络,并被防火墙拒绝。
确定是否为分布式部署建立多个 ExpressRoute 线路。
与使用 ExpressRoute 相关的总体成本,包括 Microsoft Azure 服务、连接提供程序配置、持续服务和内部 IT 网络路由配置。
您还应该考虑连接性能问题和安全风险的可能性。 本文将讨论 ExpressRoute 与 Power Platform 一起使用时可能出现的问题以及如何解决这些问题。
连接性能问题
请务必了解 ExpressRoute 可能出现的连接性能问题。
局域网连接性差:新服务可能会给已经饱和的本地网络带来压力。 例如,您的 Power Platform 解决方案取代了厚客户端应用程序,在厚客户端应用程序中,只有数据是通过网络传输的。 虽然浏览器应用对客户端部署管理的要求较低,但它需要更高的带宽来传输数据和演示信息。
广域网连接性差:在广域网 (WAN) 层面,流量可能会穿越企业网络,而不是提前路由到互联网。 它可能通过代理服务器路由,或者 WAN 链接可能已饱和。 这些因素会导致延迟,从而显著影响性能。 如果 Power Platform 流量面临这些挑战,客户端的性能也可能受到影响。
互联网连接性差:添加云服务会给企业与互联网的连接带来额外的消耗和负荷。 互联网连接可能无法支持额外的负载,尤其是在使用高峰期。 互联网提供商可能会低效地将流量路由到 Microsoft 的网络。 连接可能会受到争用可用带宽的混合流量的影响,从而影响连接质量。
您可以通过互联网提供商获得更多带宽或单独连接来解决这些问题。 专用于优先流量的独立连接有助于提高流量的性能和可预测性。 确保正确设置服务质量 (QoS)。 了解更多信息,请参阅 ExpressRoute QoS 要求。
安全控制
下一个考虑因素是安全性。 ExpressRoute 本身不对流量进行加密或过滤,启用 MACsec 的 ExpressRoute Direct 除外。 它只是通过连接提供商直接在 Microsoft 和客户数据中心之间建立专用连接。
从任何 Microsoft 在线服务或 Azure 服务到子网的任何请求,只要是通过 ExpressRoute 线路发布的,都将通过该线路路由,而与服务或客户无关。 由于请求在网络层路由,因此没有应用层控制来检查请求者是否适合目的地服务。
Microsoft Cloud 的流量使用公共共享服务,可直接通过公共互联网访问。 应用级身份验证和授权可控制对这些服务的访问。 基础架构级保护可防止入侵和拒绝服务攻击等威胁。 对于从 Microsoft 服务到内部托管服务的流量,当通过 ExpressRoute 连接接收流量时,您需要负责为您的服务提供类似的保护。
将 ExpressRoute 限制为只能用于特定 Microsoft 服务的能力
您可能面临的一个难题是,希望将 ExpressRoute 用于特定 Microsoft Cloud Service,而不用于其他服务。 虽然不同的对等互联选项提供了一定程度的控制,但对等互联本身并不能在同一对等互联类型的服务内提供细粒度控制;例如,允许路由到 Azure 虚拟机,但不允许路由到 Microsoft 365。 由于 Power Platform 和 Microsoft 365 服务都是通过 Microsoft 对等互联提供的,因此设置 Microsoft 对等互联后,所有 Power Platform 和 Microsoft 365 服务默认都会在 ExpressRoute 线路上做广告。
ExpressRoute 不提供直接配置要通过特定线路路由的服务的功能。 但是,可以使用边界网关协议(BGP)社区标记来控制路由,以便只有特定服务使用 ExpressRoute 连接。
Microsoft 在 Microsoft 对等互联路径中宣传路由时,会根据地理位置和服务类型使用适当的 BGP 社区值标记路由。 您可以将路由器配置为使用 Microsoft 365 服务标记,以便仅通过 ExpressRoute 线路路由这些服务的流量,而将其余流量通过不同的 ExpressRoute 线路或公共互联网路由。
并非所有 Microsoft 365 服务都能与 ExpressRoute 配合使用。 Power Platform 服务不像一些 Microsoft 365 服务那样有指定的 BGP 社区。 相反,您应该使用区域性 BGP 社区来与创建 Power Platform 环境的区域匹配。 由于 Power Platform 环境使用两套数据中心,因此请务必查看区域概述,以确定使用的是哪两个数据中心。
请记住,允许 BGP 社区为一种服务路由流量会导致两种服务都通过 ExpressRoute 路由,这可能会产生不利的结果。 例如,如果您确定了 Power Platform 所需的网络带宽,并据此确定了 ExpressRoute 连接的大小,但却无意中通过 ExpressRoute 路由了所有 Microsoft 365 的流量,那么您的网络就会饱和,从而导致性能挑战。
由于 Power Platform 服务部分作为 Microsoft 365 服务的一部分工作,所以还需要很多交叉服务,如管理门户和身份验证。 无法使用 ExpressRoute 保护所有这些服务。 例如,Microsoft 365 管理中心没有通过 ExpressRoute 发布。
了解更多信息,请参阅适用于 Microsoft 365 的 Azure ExpressRoute。
支持主权云
需要满足政府或国家/地区特定法规的客户可以选择使用主权云。 主权云实际位于某个地区,以满足政府或国家/地区的特定要求。 例如,政府社区云 (GCC) 的 Power Apps 位于美国,符合美国政府特定的法规和认证,并满足满足这些要求的协议。
观看此视频,了解 Power Platform 如何与主权云一起使用:视频:主权云与 Marty Carreras。
在考虑使用主权云环境时,还必须考虑存在哪些限制。 与公有云环境相比,并非所有功能都可用。 下表列出了不同环境下 ExpressRoute for Power Platform 的可用性。 在 Power Automate 地区概述中了解可用性的其他差异。
| 区域 | ExpressRoute 支持 |
|---|---|
| 美国政府社区云 (GCC) | 支持 1 |
| 美国政府社区云 High (GCC High) | 支持 1 |
| 中国 | 支持 2 |
1 必须使用 Azure 政府 ExpressRoute,而不是 Azure Commercial 云 ExpressRoute。
2 必须使用中国区 Azure 世纪互联 ExpressRoute,而不是 Azure Commercial 云 ExpressRoute。
Azure ExpressRoute 成本
为准确确定业务案例,在估算 ExpressRoute for Power Platform 的成本时,切记要包括 Azure 成本、连接提供商成本和内部设置工作成本。
Azure 成本
Azure ExpressRoute 可以以不同模型购买。 您选择的模型取决于要建立的连接类型和要访问的服务。
记帐类型
- 即用即付:每月基本订购费用,入站流量不受限制,出站流量按 GB 收费
- 无限制:每月基本订购费,入站和出站流量不受限制
SKU / 计划
Standard
- 使用 ExpressRoute 的基本连接
- 提供单一地理区域内的服务访问
如果 ExpressRoute 线路与用户连接的 Power Platform 环境位于同一区域,则该线路只需符合 ExpressRoute 标准。
高级
- 用于访问从任何位置进行连接的全球地理服务
如果用户通过 ExpressRoute 线路从不同于其终端服务的地区进行连接,则该线路需要 ExpressRoute Premium。
了解更多信息,请参阅 Azure ExpressRoute 定价。
连接提供商成本
在某些情况下,与连接提供商建立连接的成本可能会非常大。 这些费用与 ExpressRoute 的 Azure 费用是分开的。
客户的内部配置网络路由工作
要使用 ExpressRoute,必须在内部设置网络路由。 对于许多客户来说,这项工作需要向网络团队收取内部交叉费用,或向 IT 外包提供商收取外部费用,或至少需要支付内部员工专注于配置工作的机会成本。
对现有 Power Platform、Microsoft 365 和 Azure 服务的影响
使用 Microsoft 对等互联时,Power Platform 服务、Microsoft 365 和 Azure 的流量默认通过 ExpressRoute 路由。 如果您已经使用 Power Platform、Dynamics 365 应用程序或 Microsoft 365,但没有使用 ExpressRoute,那么当您允许 Microsoft 通过 ExpressRoute 进行对等互联时,一定要注意对这些现有服务的影响。 可能有必要使用 BGP 社区配置路由,以分隔不同服务的流量。
在多个在线服务中重复使用 ExpressRoute
单个 ExpressRoute 连接可用于访问多个在线服务,如 Power Platform、Dynamics 365、Microsoft 365 和 Azure。
关系图显示与 Microsoft 公共服务和 Azure 之间的 ExpressRoute 共享连接。 用于 Microsoft 365、Power Platform、Dynamics 365 和 Azure 公共服务的 Microsoft 对等互联与用于虚拟网络的 Azure 私有对等互联共享相同的 ExpressRoute 连接。
ExpressRoute 不会将不同类型的 Microsoft 服务与特定子网分开。 可以使用 BGP 社区标记控制流量通过 ExpressRoute 到特定服务的路由。 Microsoft 不会根据 MICRO 社区标记选择性地通过 ExpressRoute 将流量路由回去。 如果需要根据服务类型以不同方式返回流量,请确保流量来自不同公共 IP 地址。 由于返回子网的流量是在网络级别上处理的,因此仅将来自子网的部分流量配置为使用 ExpressRoute 是危险的,可能导致不对称路由。