Konfigurere ExpressRoute til Microsoft Power Platform
Microsoft Power Platform i sig selv behøver ikke at være konfigureret specifikt til ExpressRoute. Microsoft Power Platform som en tjeneste, der bruger Microsoft Azure i baggrunden og er onboardet til supportbrug med ExpressRoute. Det er derfor ikke nødvendigt at foretage bestemte konfigurationer af selve Microsoft Power Platform-miljøerne for at angive, at ExpressRoute bruges.
ExpressRoute håndterer trafik på Microsoft-netværket ved at distribuere reklamer for bestemte IP-undernet til den expressroute,de er konfigureret i forhold til. Da der annonceres for routing via en BGP-forbindelse (Border Gateway Protocol), vælges den typisk som den mest effektive forbindelse til destinationen, frem for at distribuere via internettet.
På kundesiden reklamerer BGP-forbindelsen for IP-præfikserne for tjenesterne for hver peering-type, der er konfigureret for den pågældende ExpressRoute-rute.
Fastlæggelse af, hvilken yderligere netværkskonfiguration du skal bruge, afhænger af, hvilke interaktioner du vil distribuere via ExpressRoute.
Servertrafik
Indgående trafik (trafik til Microsoft Power Platform-tjenester)
Hvis du konfigurerer for indgående trafik, skal der oprettes intern routing i datacenteret, så du foretrækker forbindelser via ExpressRoute for trafik til Microsoft-tjenester.
Udgående trafik (trafik fra Microsoft Power Platform-tjenester)
Hvor trafik dirigeres tilbage gennem ExpressRoute, f.eks. til en det lokale miljø-server, er der ingen kontrolelementer i ExpressRoute, der kan låse de tjenester, der foretager forbindelser, ned. Al routing foretages på netværksniveau, og derfor valideres den bestemte tjeneste, der foretager forespørgslen, ikke, før der distribueres trafik.
Anmodninger kan foretages fra andre tjenester til en kundeservice. Især i forbindelse med Microsoft Power Platform, som er en delt service, er det ikke muligt at låse anmodninger til et bestemt sæt maskiner. Det er nødvendigt at overveje, om trafik tilbage gennem ExpressRoute kommer fra en ekstern kilde, for selvom den kommer fra et Microsoft-datacenter, styrer Microsoft ikke kilden til anmodningerne. I andre kundeservicer kan der gøres forsøg på at oprette forbindelse. Alle forbindelser skal kontrolleres, som om de kommer fra en ekstern gateway.
Hvis en tjeneste skal dirigeres tilbage til ExpressRoute, skal alle tjenester, der forbindes til:
Hav en webadresse, der kan registreres offentligt.
Hav en offentlig IP-adresse, der svarer til et undernet, der er konfigureret for en expressRoute-peering-definition.
Vær i det samme område som den anmodende service, hvis ExpressRoute (standard) bruges, eller i et hvilket som helst område, hvis ExpressRoute Premium bruges.
Denne fremgangsmåde er værdifuld i mange almindelige integrationsscenarier mellem online og lokale tjenester.
IP-destinationsadressen for udgående trafik fra en Microsoft Power Platform-ressource skal være en offentlig IP-adresse, der annonceres via en ExpressRoute-adresse. På grund af den delte Microsoft cloud service skal al trafik behandles, som om den stammer fra internettet. En omvendt proxy- eller program gateway skal derfor som regel bruges til at inspicere og kontrollere indgående trafik fra ExpressRoute.
Du kan finde oplysninger om de IP-undernet, der bruges, ved at gå til Systemkrav, begrænsninger og konfigurationsværdier for Power Apps og IP-adressekonfiguration for Power Automate.
Klienttrafik
Brugere kan bruge forskellige klientenheder, f.eks. pc'er på firmanetværket eller mobilenheder på offentlige forbindelser. Klienttrafik vil typisk være indgående til Microsoft-tjenesterne i stedet for udgående tilbage til klienten. Bemærk, at ExpressRoute ikke håndhæves som den eneste rute til Microsoft Power Platform.
Hvis klienttrafikken skal dirigeres hen over ExpressRoute, er udfordringen for netværksgruppen først at distribuere trafik internt fra klienten via LAN eller WAN til det undernet, der er forbundet med ExpressRoute. Det er også dit teams ansvar at sikre, at denne trafik ikke ved et uheld "fortager sig" og opretter forbindelse via det offentlige internet.
Microsoft Power Platform blokerer ikke trafik, der er modtaget direkte fra internettet. ExpressRoute blokerer heller ikke responser fra trafik, der oprindeligt er modtaget direkte fra internettet. Microsoft Power Platform-tjenesten vil stadig blive annonceret offentligt på internettet, så der vil være distributionsstier til den service, der er tilgængelige separat fra ExpressRoute.
Korrekt trafikrouting vil typisk blive udnyttet gennem brugen af proxyer i firmanetværket og - til mobilenheder - hvilket kan være en yderligere brug af VPN til først at oprette forbindelse til firmanetværket igen og sikre, at trafik dirigeres via firmaet ExpressRoute. Bemærk dog, at dette kan medføre, at du får direkte adgang til skytjenesterne via et lokalt internetudbrud.
Så selvom ExpressRoute kan konfigureres til brug ved oprettelse af forbindelse til og fra Microsoft Power Platform, er det vigtigt at være klar over, at ExpressRoute:
Ikke sikrer, at trafik fra firmanetværket bruger ExpressRoute. Proxy- og distributionsreglerne på firmanetværket bestemmer dette, og du skal konfigurere dem for at sikre, at anmodninger fra firmanetværket bruger ExpressRoute.
Ikke forhindrer, at andre forbindelser (f.eks. brugere på internettet) går direkte til Microsoft Power Platform.
Problemet med ekstern forbindelse er et problem, der bekymrer mobilbrugere, især fra mobilenheder, f.eks. bærbare computere, tablets og telefoner. Hvor dette er en fordel, kan du vælge mellem en række fremgangsmåder:
I de tilfælde hvor der bruges godkendelse i organisationsnetværket, skal du sikre, at der kun er adgang til AD FS (Active Directory Federation Services), når der er oprettet en VPN-forbindelse til firmanetværket.
Azure Active Directory betinget adgang og Intune kan bruges til at styre, hvilke enheder og placeringer der er tilladt adgang, og til at styre enhedens konfiguration, f.eks. proxyer, VPN og routing.
Almindelige spørgsmål og scenarier med ExpressRoute
Når ExpressRoute implementeres, er det vigtigt at forstå, hvad der ikke gør, som det gør. I dette afsnit gennemgår vi nogle almindelige spørgsmål og scenarier, du skal overveje.
Konfiguration af distribution af kundenetværk
Aktivering af ExpressRoute håndterer konfigurationen af netværkstrafik på Microsoft-netværket, men det ændrer ikke distributionen af trafik i selve kundenetværket. Du skal konfigurere netværksrouting i netværket til direkte trafik, der er bundet til Microsoft Cloud Services, til det undernet, der er forbundet med ExpressRoute, og derefter over ExpressRoute-ruten.
Vi annoncerer mere specifikke ruter for Microsoft 365 over ExpressRoute end de ruter, vi reklamerer med på det offentlige internet. Hvis en kunde overfører de specifikke ruter fra os til deres netværk, distribueres brugerens trafik til ExpressRoute på grund af reglen for præfikstilpasning af præfikser.
Der er to vigtigste årsager til, at du kan løbe ind i udfordringer, når du konfigurerer ExpressRoute:
Den interne netværksrouting, der bruges til at distribuere trafik til ExpressRoute-forbindelsespunktet, er forkert konfigureret.
Du har asymmetrisk routing, hvor forespørgsels- og responstrafik dirigeres forskelligt.
Trafik distribueres f.eks. direkte til Microsoft cloud service over internettet, men vender derefter tilbage via ExpressRoute, hvilket udløser firewallundtagelser, der blokerer returtrafikken.
Ydeevnen
ExpressRoute alene vil normalt ikke give større fordele i ydeevnen i forhold til en effektiv netværksforbindelse med ledig kapacitet. Det er muligt, at processen til oprettelse af en særlig og privat forbindelse fra din forbindelsesudbyder resulterer i en mere optimeret forbindelse end den delte internetforbindelse.
Gennemløb for dataindlæsning til Microsoft Power Platform
Når der udføres databelastning på Microsoft Power Platform, er netværket sjældent det samme som at arbejde med datatrafik. Mere sandsynligt er det, at programbehandling skal optimeres.
ExpressRoute er derfor sjældent en direkte bidragyder til et højere gennemløb af databelastning i Microsoft Power Platform. ExpressRoute gør dog trafik mere forudsigelig og sikrer, at data ikke sendes via det offentlige internet.