Cómo funciona ExpressRoute con Microsoft Power Platform
Para comprender cómo funciona ExpressRoute con Microsoft Power Platform, primero debe conocer los conceptos básicos de cómo funciona ExpressRoute.
Un circuito ExpressRoute representa una conexión lógica entre su infraestructura local y los servicios en la nube de Microsoft a través de un proveedor de conectividad. Puede solicitar varios circuitos ExpressRoute. Cada circuito puede estar en la misma o en diferentes regiones y se puede conectarse a sus instalaciones a través de diferentes proveedores de conectividad.
Los proveedores de conectividad son un conjunto de partners que le ayudan a configurar ExpressRoute para que su infraestructura local y la nube de Microsoft se puedan conectar. Para obtener la lista completa de partners de conectividad de ExpressRoute, vaya a Proveedores de conectividad de ExpressRoute. La disponibilidad de estos proveedores dependerá de la ubicación desde la que elija conectarse.
Un circuito de ExpressRoute puede ofrecer ventajas de rendimiento porque se configura una conexión dedicada y optimizada directamente a través de la infraestructura del proveedor de conectividad de ExpressRoute hasta el perímetro de la red de Microsoft. Esta conexión se puede optimizar sin ExpressRoute, pero debido a que la conectividad a Internet generalmente se proporciona a través de una serie de asociaciones y relaciones entre proveedores de telecomunicaciones, el tráfico de su red podría enrutarse a través de rutas de conectividad de bajo rendimiento hasta su destino.
Cuando acuerda un proveedor de conectividad la configuración de una conexión dedicada y privada, ayuda a garantizar que el proveedor asumirá la responsabilidad directa de configurar una conexión optimizada a la red de Microsoft. Este sentido de propiedad a menudo conduce a una experiencia optimizada.
Cada circuito tiene un ancho de banda fijo; la limitación del ancho de banda depende de qué plan elige. Este circuito está asignado a un proveedor de conectividad y a una ubicación de emparejamiento. El ancho de banda disponible se comparte entre los emparejamientos del circuito. Un circuito puede tener hasta dos emparejamientos separados. Estos emparejamientos representan las diferentes rutas utilizadas, según el tipo de servicio que se solicita:
El emparejamiento de Microsoft enruta las solicitudes a los servicios públicos de Microsoft, como Microsoft 365, Dynamics 365 o los servicios de Microsoft Power Platform.
El emparejamiento privado enruta las solicitudes a los servicios privados de Azure del cliente, por ejemplo, Azure Virtual Machines.
Cada emparejamiento es un pareja de sesiones de Border Gateway Protocol (BGP) independientes, cada una configurada de forma redundante para una alta disponibilidad. Para garantizar una verdadera resiliencia, es importante asegurarse de que estas sesiones transiten por conexiones físicamente diferentes.
Microsoft anuncia las subredes o los prefijos de IP de los servicios en la nube para la red pública de Internet. Microsoft también anuncia los prefijos de IP para los servicios relevantes a través de la conexión BGP de ExpressRoute para los servicios especificados en los emparejamientos definidos para ese circuito.
Tráfico de configuración del enrutador interno para los servicios en línea de Microsoft a la subred conectada de ExpressRoute. La configuración del enrutador enruta el tráfico a través de la sesión de BGP a través del circuito de ExpressRoute. Una vez que el tráfico llega al perímetro de Microsoft, la configuración de enrutamiento interna enruta el tráfico al servicio apropiado.
Para el tráfico a Microsoft, la configuración de enrutamiento interno dentro de la red del cliente debe configurar lo siguiente, de lo cual es responsable:
Priorizar la ruta para el tráfico de servicios en línea de Microsoft a través de la subred conectada a ExpressRoute, en lugar de la conexión pública a Internet
Enrutar el tráfico de los servicios en línea de Microsoft desde la subred conectada a través de la sesión de BGP establecida a través de ExpressRoute
Por otro lado, Microsoft es responsable de enrutar el tráfico al servicio apropiado dentro del centro de datos de Microsoft.
Los requisitos para el tráfico enrutado desde los servicios en línea de Microsoft a un servicio externo se muestran en la siguiente imagen.
Las solicitudes a servicios externos se comparan con DNS. Si la dirección IP está registrada en un circuito de ExpressRoute, se enruta internamente. El tráfico a la dirección IP registrada en ExpressRoute, enrutado a través de la sesión de BGP a través del circuito privado del cliente, va a la conexión de ExpressRoute. La configuración del enrutador enruta el tráfico internamente según corresponda, ya sea mediante IP pública o IP de traducción de direcciones de red (NAT). Por último, se realiza la conexión con el servicio interno.
Cuando se realiza la solicitud:
Debe realizarse a través de una URL pública, que primero debe resolverse para una dirección IP pública.
Si la dirección IP está registrada en un intercambio de tráfico de ExpressRoute, el tráfico se enrutará internamente para enviarse a través del circuito de ExpressRoute apropiado.
Si la dirección IP no está registrada, la configuración de enrutamiento dentro del servicio en línea enrutará el tráfico hacia la red pública de Internet.
Una vez que el tráfico llega a la red del cliente, el enrutamiento interno dentro de la red del cliente es responsable de enrutarlo al destino final, ya sea mediante el enrutamiento directo de la dirección IP o mediante la traducción de direcciones de red (NAT) primero.
Debe conectarse a los servicios en la nube de Microsoft solo desde una subred que utilice direcciones IP públicas que sean de su propiedad o de su proveedor de conectividad de ExpressRoute. Si está utilizando direcciones IP privadas en su red local, usted o su proveedor deben traducir las direcciones IP privadas a las direcciones IP públicas, utilizando NAT, antes de conectarse a ExpressRoute. Esto permite que las solicitudes de los servicios de Microsoft se resuelvan en el punto de conexión de servicio y se enruten a través de la red mediante segmentos de red compartidos.
Emparejamiento de ExpressRoute
Un factor crítico a considerar es que ExpressRoute actualmente no le permite configurar directamente servicios específicos para transportarlos a través del circuito de ExpressRoute; en su lugar, le permite habilitar grupos de servicios (llamados emparejamientos) para transportarlos.
Hay dos tipos de emparejamientos de ExpressRoute: Microsoft y privado.
Emparejamiento de Microsoft
Configurar ExpressRoute para los servicios de Microsoft Power Platform requiere el emparejamiento de Microsoft, que de forma predeterminada enrutará conjuntamente los servicios de Microsoft Power Platform y Microsoft 365 a través de ExpressRoute. Esto significa que el tráfico se enrutará para ir a los rangos de direcciones IP públicas que utilizan estos servicios.
Es posible usar comunidades BGP para configurar la red para enrutar el tráfico solo para ciertos servicios, como solo Microsoft Teams o solo los servicios en línea de SharePoint, a través de un circuito de emparejamiento de Microsoft y ExpressRoute. Actualmente, esto no es compatible con Microsoft Power Platform; las alternativas se explican en la siguiente sección.
Conectividad a los servicios en línea de Microsoft (como Microsoft 365 y los servicios de Microsoft Power Platform) se enrutará a través del emparejamiento de Microsoft. Microsoft asigna las URL y direcciones IP para Microsoft Power Platform, las aplicaciones de Dynamics 365 Customer Engagement y los servicios de Microsoft 365 para el emparejamiento de Microsoft, por lo que cualquier tráfico enrutado a estas direcciones se anunciará y habilitará a través del emparejamiento de Microsoft. A diferencia de Microsoft 365, Microsoft Power Platform no tiene comunidades BGP designadas. (Las comunidades de BGP se abordan aquí).
Tráfico mediante el uso del emparejamiento de Microsoft. Una vez que una conexión llega al perímetro de Microsoft, ya no es una conexión designada dentro de la red de Microsoft.
Con el emparejamiento de Microsoft, las conexiones van a los servicios compartidos de Microsoft. Esto significa que después de que llega una conexión al centro de datos de Microsoft, la conexión en curso atraviesa una red compartida interna; la conexión privada proporcionada por ExpressRoute no se extiende hasta el mismo punto de conexión de servicio de destino.
Emparejamiento privado
El emparejamiento privado se usa para sus servicios privados de infraestructura como servicio (IaaS) de Azure, y no lo usan directamente lo servicios de Microsoft Power Platform. Este tipo de emparejamiento normalmente se conecta a direcciones IP privadas en una red virtual de Azure.
Diagrama que muestra una descripción general de la red con emparejamiento de Microsoft y emparejamiento privado. El emparejamiento de Microsoft establece una conexión privada desde la red del cliente al perímetro de Microsoft. Después de llegar al perímetro, el tráfico se enruta como tráfico normal, donde la conexión privada proporcionada por ExpressRoute no se extiende hasta el mismo punto de conexión de servicio de destino. Para el emparejamiento privado de Azure, el tráfico permanece privado hasta el extremo del servicio de Azure que creó.
Para Microsoft Power Platform, Microsoft no usa servicios privados a los que puede acceder directamente, por lo que no es necesario configurar el emparejamiento privado para ExpressRoute. Si usa por separado los servicios privados de Azure, la configuración del emparejamiento privado no será perjudicial a menos que la incorporación de cargas de trabajo adicionales provoque la saturación de la conexión.
ExpressRoute controla el tráfico a la red de Microsoft, no dentro de ella
Cuando se realizan conexiones a un recurso privado de Azure, como una máquina virtual de Azure, ExpressRoute vincula la conexión que realizó directamente a sus recursos privados de Azure.
Para el emparejamiento de Microsoft, ExpressRoute es una conexión dedicada entre su red y el perímetro de la red de Microsoft. No es una conexión dedicada hasta su entorno de Microsoft Power Platform. Una vez que el tráfico llega a la red de Microsoft y se identifica a través de las reglas de emparejamiento como que va dirigido a un recurso público (ya sea Azure o un servicio de Microsoft como Microsoft 365 o Microsoft Power Platform) el destino final es un servicio compartido, por lo que la conexión de red también se comparte dentro de la red de Microsoft.
El tráfico entre servicios en los centros de datos de Microsoft se enruta dentro de la red de Microsoft en lugar de a través de la red pública de Internet.
Diagrama de red que muestra que no hay vínculos directos entre la IaaS de Azure y los servicios de Microsoft Power Platform. Dentro del mismo centro de datos, este tráfico se enrutará normalmente.