Jak ExpressRoute funguje s Microsoft Power Platform
Abychom pochopili, jak ExpressRoute funguje společně Microsoft Power Platform, musíte nejprve znát základy fungování ExpressRoute.
Okruh ExpressRoute představuje logické propojení mezi vaší místní infrastrukturou a cloudovými službami společnosti Microsoft prostřednictvím poskytovatele připojení. Můžete si objednat více okruhů ExpressRoute. Každý okruh může být ve stejných nebo různých oblastech a může být připojen k vašim prostorám prostřednictvím různých poskytovatelů připojení.
Poskytovatelé připojení jsou sada partnerů, kteří vám pomohou nastavit ExpressRoute tak, aby bylo možné propojit vaši místní infrastrukturu a cloud společnosti Microsoft. Úplný seznam partnerů poskytujících připojení ExpressRoute najdete v části Poskytovatelé připojení ExpressRoute. Dostupnost těchto poskytovatelů bude záviset na umístění, ze kterého se rozhodnete připojit.
Okruh ExpressRoute může nabídnout výhody z hlediska výkonu, protože vyhrazené a optimalizované připojení je nastaveno přímo prostřednictvím infrastruktury poskytovatele připojení ExpressRoute k hraniční síti společnosti Microsoft. Toto připojení lze optimalizovat bez ExpressRoute, ale protože připojení k internetu je obvykle poskytováno prostřednictvím řady partnerství a vztahů mezi poskytovateli telekomunikačních služeb, může být váš síťový přenos směrován přes neoptimální cesty připojení k jeho cíli.
Když se dohodnete s poskytovatelem připojení na nastavení vyhrazeného a soukromého připojení, pomůže to zajistit, že poskytovatel převezme přímou odpovědnost za nastavení optimalizovaného připojení k síti společnosti Microsoft. Tento pocit vlastnictví často vede k optimalizovanému zážitku.
Každý okruh má pevnou šířku pásma. Omezení šířky pásma závisí na zvoleném plánu. Tento okruh je mapován na poskytovatele připojení a partnerské umístění. Dostupná šířka pásma je sdílena napříč peeringy pro daný okruh. Okruh může mít až dva samostatné peeringy. Tyto peeringy představují různé použité rutiny v závislosti na tom, jaký druh služby je požadován:
Peering Microsoftu směruje požadavky na veřejné služby společnosti Microsoft, jako jsou například služby Microsoft 365, Dynamics 365, nebo Microsoft Power Platform.
Soukromý peering směruje požadavky na soukromé služby Azure zákazníka, jako například Azure Virtual Machines.
Každý peering je dvojice nezávislých relací protokolu Border Gateway Protocol (BGP), z nichž každá je konfigurována redundantně za účelem zajištění vysoké dostupnosti. Pro dosažení skutečné odolnosti je důležité, aby tyto relace procházely fyzicky odlišnými připojeními.
Společnost Microsoft inzeruje podsítě IP nebo předpony cloudových služeb na veřejný internet. Společnost Microsoft také inzeruje předpony IP pro příslušné služby prostřednictvím připojení ExpressRoute BGP pro služby uvedené v peerinzích definovaných pro daný okruh.
Interní přenos konfigurace routeru pro online služby společnosti Microsoft do podsítě připojené k ExpressRoute. Konfigurace routeru směruje přenos prostřednictvím relace BGP přes okruh ExpressRoute. Poté, co přenos dosáhne hraniční sítě společnosti Microsoft, konfigurace vnitřního směrování směruje přenos na příslušnou službu.
Pro přenos do společnosti Microsoft musí konfigurace interního směrování v síti zákazníka nastavit – a odpovídat za – následující:
Upřednostnění trasy pro přenos online služeb společnosti Microsoft přes podsíť připojenou k ExpressRoute, na rozdíl od veřejného připojení k internetu
Směrování přenosu online služeb společnosti Microsoft z připojené podsítě prostřednictvím relace BGP vytvořené pomocí ExpressRoute
Na druhé straně je pak společnost Microsoft odpovědná za směrování přenosu na příslušnou službu v datovém centru společnosti Microsoft.
Na následujícím obrázku jsou zobrazeny požadavky na přenos směrovaný z online služeb společnosti Microsoft do externí služby.
Žádosti o externí služby jsou vyhledávány proti DNS. Pokud je IP adresa registrována proti okruhu ExpressRoute, je směrována interně. Přenos na IP adresu registrovanou proti ExpressRoute směrovaný přes relaci BGP prostřednictvím soukromého okruhu zákazníka přichází do připojení ExpressRoute. Konfigurace routeru směruje přenos interně podle potřeby, buď pomocí veřejné IP adresy, nebo IP adresy pro překlad síťových adres (NAT). Nakonec se provede připojení k interní službě.
Po zadání požadavku:
Musí být proveden prostřednictvím veřejné adresy URL, která musí být nejprve převedena na veřejnou IP adresu.
Pokud je IP adresa registrována proti peeringu ExpressRoute, bude přenos směrován interně a bude odeslán prostřednictvím příslušného okruhu ExpressRoute.
Pokud IP adresa není zaregistrována, konfigurace směrování v rámci online služby přesměruje přenos na veřejný internet.
Poté, co přenos dorazí do sítě zákazníka, je interní směrování v síti zákazníka odpovědné za směrování do konečného cíle, a to buď přímým směrováním IP adresy, nebo nejprve překladem síťových adres (NAT).
Ke cloudovým službám společnosti Microsoft se musíte připojit pouze z podsítě, která používá veřejné IP adresy, jež vlastníte vy nebo váš poskytovatel připojení ExpressRoute. Pokud ve své místní síti používáte soukromé IP adresy, musíte před připojením k ExpressRoute vy nebo váš poskytovatel přeložit soukromé IP adresy na veřejné IP adresy pomocí NAT. To umožňuje převést požadavky ze služeb společnosti Microsoft na koncový bod služby a směrovat přes síť napříč sdílenými segmenty sítě.
Peering ExpressRoute
Jedním z důležitých faktorů, které je třeba vzít v úvahu, je skutečnost, že ExpressRoute aktuálně neumožňuje přímo konfigurovat konkrétní služby, které mají být přeneseny přes okruh ExpressRoute. Namísto toho vám umožňuje povolit skupiny služeb – nazývané peeringy – k přenosu.
Existují dva typy peeringů ExpressRoute: Microsoft a soukromé.
Peering společnosti Microsoft
Konfigurace ExpressRoute pro služby Microsoft Power Platform vyžadují peering společnosti Microsoft, který ve výchozím nastavení směruje jak služby Microsoft Power Platform, tak Microsoft 365 přes ExpressRoute. To znamená, že přenos bude směrován tak, aby přicházel na rozsahy veřejných IP adres, které tyto služby používají.
Prostřednictvím peeringového okruhu ExpressRoute společnosti Microsoft je možné použít komunity BGP ke konfiguraci sítě za účelem směrování přenosu pouze pro určité služby, jako například pouze služby Microsoft Teams nebo pouze SharePoint Online. Toto momentálně není podporováno pro Microsoft Power Platform. Alternativy jsou vysvětleny v následující části.
Připojení k online službám společnosti Microsoft – jako jsou služby Microsoft 365 a služby Microsoft Power Platform – budou směrovány přes peering společnosti Microsoft. Microsoft přiřazuje adresy URL a IP adresy pro Microsoft Power Platform, aplikace Dynamics 365 pro zapojení zákazníků a služby Microsoft 365 na partnerský vztah společnosti Microsoft, takže veškerý provoz směrovaný na ně bude inzerován a povolen prostřednictvím peeringu společnosti Microsoft. Na rozdíl od Microsoft 365 nemá Microsoft Power Platform určené komunity BGP. (BGP komunity jsou popsány zde.)
Přenos pomocí peeringu společnosti Microsoft. Jakmile připojení dosáhne hraniční sítě společnosti Microsoft, již se nejdná o určené připojení v rámci sítě společnosti Microsoft.
Pomocí peeringu společnosti Microsoft přechází připojení ke sdíleným službám ve společnosti Microsoft. To znamená, že poté, co připojení dorazí do datového centra společnosti Microsoft, prochází aktuální připojení interní sdílenou sítí. Soukromé připojení poskytované prostřednictvím ExpressRoute se nerozšíří až k samotnému koncovému bodu cílové služby.
Soukromý peering
Soukromý peering se používá pro vaše soukromé služby Azure typu infrastruktura jako služba (IaaS) a není přímo používán službami Microsoft Power Platform. Tento typ peeringu se obvykle připojuje k soukromým IP adresám ve virtuální síti Azure.
Schéma ukazující přehled sítě s peeringem společnosti Microsoft a soukromým peeringem. Peering společnosti Microsoft vytváří soukromé připojení ze sítě zákazníka k hraniční síti společnosti Microsoft. Po dosažení hraniční sítě je přenos směrován jako běžný přenos, kde se soukromé připojení poskytované prostřednictvím ExpressRoute nerozšíří až k samotnému koncovému bodu cílové služby. U soukromého peeringu Azure zůstává přenos soukromý až do koncového bodu služby Azure, kterou jste vytvořili.
Pro Microsoft Power Platform platí, že společnost Microsoft nepoužívá soukromé služby, ke kterým máte přímý přístup, takže není nutné konfigurovat soukromý peering pro ExpressRoute. Pokud samostatně používáte soukromé služby Azure, konfigurace soukromého peeringu nebude škodlivá, jestliže zavedení dalších úloh nezpůsobí nasycení připojení.
ExpressRoute řídí přenos do sítě společnosti Microsoft, nikoli v jejím rámci
Při připojení k soukromému prostředku Azure – například virtuálnímu počítači Azure – propojuje ExpressRoute vámi provedené připojení přímo s vašimi soukromými prostředky Azure.
V případě peeringu společnosti Microsoft představuje ExpressRoute vyhrazené připojení mezi vaší sítí a okrajem sítě společnosti Microsoft. Není to vyhrazené připojení až k vašemu konkrétnímu prostředí Microsoft Power Platform. Poté, co provoz dosáhne sítě Microsoft a je identifikován prostřednictvím pravidel peeringu jako cílený na veřejný zdroj – buď Azure nebo službu Microsoft jako Microsoft 365 nebo Microsoft Power Platform – koncovým cílem je sdílená služba, takže síťové připojení k ní je také sdíleno v rámci sítě Microsoft.
Přenos mezi službami v datových centrech společnosti Microsoft je směrován v rámci sítě společnosti Microsoft namísto prostřednictvím veřejného internetu.
Síťový diagram ukazující, že neexistují žádná přímá propojení mezi Azure IaaS a službami Microsoft Power Platform. Ve stejném datovém centru bude tento přenos směrován normálně.