ExpressRoute をMicrosoft Power Platform で使用する前に考慮すべきこと
ExpressRoute の設定の複雑さは、しばしば過小評価されています。 特に、次のアクションと影響は、計画または実行のいずれかで見過ごされがちです。
ExpressRoute に接続されたサブネットにトラフィックをルーティングするようにネットワークを構成する
トラフィックがインターネットを介して直接 Microsoft Power Platform に送信される非対称ルーティングの回避、しかし ExpressRoute によって企業ネットワークに返され、ファイアウォールによるトラフィックの拒否をトリガーします
ExpressRoute のプロビジョニングの全体的なコスト (以下を含む) Microsoft Azure サービス、接続プロバイダーのプロビジョニング、継続的なサービスと内部 IT ネットワークルーティング構成
分散型展開用に複数の ExpressRoute 回線を確立する必要があるかどうかの決定
接続パフォーマンス上の問題
LAN 接続
ユーザーが経験する可能性のある一般的な問題のいくつかは次のとおりです。
リッチ ブラウザー アプリケーションをミックスに追加する前に、ローカル ネットワーク内の接続はすでに飽和しています。
Microsoft Power Platform は、データとプレゼンテーション情報の両方ではなく、データのみがネットワークを介して送信されるシック クライアント アプリケーションに取って代わります。
ブラウザー アプリケーションは、クライアント側の展開管理に関しては必要ではありませんが、シック クライアント アプリケーションよりも高い帯域幅を必要とするため、すでに飽和状態になっているローカル ネットワークは、新しいサービスの追加によってさらに問題が発生することを理解することが重要です。
不良な WAN 接続
オンライン サービスへの接続のネットワーク分析に基づくと、一般的なパターンは、ある時点でネットワーク トラフィックが内部ネットワーク ルートを通過するため、大幅な遅延が発生することです。 これは、次のような条件が原因である可能性があります。
WAN リンクの飽和。
待ち時間とオーバーヘッドが増加した、プロキシ処理中。
非効率的な内部ルーティング (たとえば、以前にインターネットにルーティングするのではなく、企業ネットワーク内でルーティングする)。
Microsoft Power Platform トラフィックがこれらの課題に悩まされている場合、クライアントのパフォーマンスも低下する可能性があります。
不良なインターネット接続
クラウド サービスを追加すると、インターネットへの企業接続に余分な消費と負荷がかかる可能性があります。 以下の原因が考えられます。
インターネット接続が、追加の負荷をサポートするのに十分ではない。
インターネット サービス プロバイダー (ISP) のネットワーク内では、Microsoft のネットワークへのそのトラフィックのルーティングは ISP によって制御され、そのルーティングの効率は変わる可能性があります。
接続は、接続の品質に影響を与えるトラフィックの混合に悩まされている (たとえば、複数のインターネット ベースのトレーニング セッション、利用可能な帯域幅をめぐって競合するビジネスクリティカルなアプリケーションへのトラフィックを含む Microsoft Stream ビデオ、または YouTube ビデオ)。 これはトラフィックの量に対して全体的に十分かもしれませんが、ビデオ ストリーミングのような活動がもたらす需要のピークを通じてパフォーマンスに影響を与える可能性があります。
これらの問題は、ISP を介して追加の帯域幅または個別の接続を取得することで対処できます。 特に、優先トラフィック専用の個別の接続があると、トラフィックのパフォーマンスと予測可能性の両方に役立ちます。
また、サービス品質 (QoS) が正しく設定されていることを確認してください。 Microsoft Teams と Microsoft Stream を使用している場合、ExpressRoute 内 の QoS 要件 を参照してください。
セキュリティ コントロール
考慮する必要がある次の構成は、セキュリティ制御です。 ExpressRoute 自体は、トラフィックをネイティブに暗号化またはフィルタリングしません (ただし、MACsec が有効になっている ExpressRouteDirect); これは接続プロバイダーを介して、Microsoft と顧客のデータセンター間で直接、共有ではなくプライベート接続を確立するだけです。
Microsoft オンラインサービスまたは Azure サービスから ExpressRoute 回線を介してアドバタイズされたサブネットへの要求は、サービスまたは顧客に関係なく、その回線を介してルーティングされます。 要求はネットワーク層でルーティングされるため、それがその宛先サービスの適切な要求者であるかどうかを判断するためのアプリケーション レベルの制御はありません。
Microsoft サービスへのトラフィックの場合、これらはパブリック共有サービスであるため、パブリック インターネットを介して直接アクセスできます。 これらのサービスへのアクセス制御は、アプリケーション レベルの認証および承認サービスを通じて処理されます。 これらは、インフラストラクチャ レベルで、侵入やサービス拒否攻撃などの脅威からさらに保護されます。
Microsoft サービスからオンプレミスのホストされたサービスへのトラフィックについては、顧客は、ExpressRoute 接続を介してトラフィックを受信したときに、自身のサービスに同様の保護を提供する責任があります。
ExpressRoute の使用を特定の Microsoft サービスのみに制限する機能
直面する可能性のある課題の 1 つは、特定の Microsoft Cloud Service に ExpressRoute を使用したいが、他のサービスには使用したくないということです。 ここでは、さまざまなピアリング オプションによってある程度の制御が提供されますが、ピアリング自体は、同じピアリング タイプのサービス内で詳細な制御を提供しません (たとえば、Azure 仮想マシンへのルーティングのみを有効にし、Microsoft 365 にはしないなど)。 ただし、Border Gateway Protocol (BGP) コミュニティを使用して、特定のサービスのみのトラフィックを設定することは可能です。
これは Microsoft 365 がある場合の Microsoft Power Platform サービスに関連しており、ここでは ExpressRoute を介したルーティングが 1 つのサービスには望ましいが、両方には望ましくない、または Microsoft Teams などの Microsoft 365 の特定の個々のサービスに対してのみ望ましい可能性があります。
ExpressRoute 自体は現在、このレベルのサービス粒度で特定の ExpressRoute 回線を介してルーティングされるようにサービスを直接構成する機能を提供していませんが、BGP コミュニティを使用してこれを制御できます。
Microsoft は、地理的な場所とサービスタイプに適切な BGP コミュニティ値を使用してタグ付けされたルートを使用して、Microsoft ピアリングパス内のルートをアドバタイズします。 これらは、ExpressRoute 回線を介してこれらのサービスのトラフィックをルーティングするように、顧客のルーターで構成できます。
別のMicrosoft 365 サービスのタグ を使用して、これらのサービスのトラフィックのみを ExpressRoute 回線を介してルーティングし、残りを別の ExpressRoute 回線またはパブリック インターネットを介してルーティングできます。
Microsoft Power Platform 固有の BGP コミュニティ値は、これらが Microsoft 365 サービス向けであるようには利用できません。 代わりに、地域の BGP コミュニティ が、それぞれの Microsoft Power Platform 環境に使用される対応 Microsoft Azure 地域とともに使用されます。 なぜなら Microsoft Power Platform 環境は 2 セットのデータセンターを使用しますので、必ず 地域の概要 を確認して、使用されている 2 つのデータセンターを確認してください。 詳細: GCC 用 BGP コミュニティ
Microsoft 365
Microsoft Power Platform サービスと Microsoft 365 サービスは両方とも Microsoft ピアリングを通じて提供され、Microsoft ピアリングを設定すると、規定で ExpressRoute 回線全体のすべての Microsoft Power Platform サービスと Microsoft 365 がアドバタイズされます。
この結果、BGP コミュニティが 1 つのサービスのトラフィックをルーティングできるようにすると、両方が ExpressRoute を介してルーティングされることになります。 これは望ましい場合と望ましくない場合がありますが、好ましくない結果になる可能性があります。 たとえば、Microsoft Power Platform に必要なネットワーク帯域幅を決定した場合、それに応じて ExpressRoute 接続のサイズを設定しましたが、誤ってすべてのExpressRouteを介した Microsoft 365 トラフィックもルーティングし、これによりネットワークが飽和状態になり、パフォーマンスの問題が発生する可能性があります。
ExpressRoute for Microsoft ピアリングを有効にすると、ExpressRoute 接続を介したすべての Microsoft Power Platform と Microsoft 365 のトラフィックがルーティングされ、BGP コミュニティ タグを使用してルーティングを制御し、Microsoft Power Platform サービスのような特定のサービスのみ (ExpressRoute 接続を使用した他の Microsoft 365 サービスではなく) が使用できるようにすることができます。 特に、すべての Microsoft 365 サービスが ExpressRoute で動作するように設計されているわけではありません。 現在、Microsoft Power Platform サービスには、いくつかの Microsoft 365 サービスがおこなう ような指定された BGP コミュニティはありません。 代わりに、地域の BPG コミュニティ を使用して、Microsoft Power Platform 環境 が作成された地域に合わせなければなりません。
Microsoft 365 のルーティングの詳細については、Microsoft 365 での選択的ルーティング のドキュメントに移動します。
Microsoft Power Platform サービスは Microsoft 365 サービスの一部であることから、管理ポータルや認証などの多くのクロス オーバーサービスも必要です。 ExpressRouteを使用してこれらのサービスのすべてを保護することはできません。たとえば、Microsoft 365管理センターは ExpressRoute 全体で公開されていません。
ソブリン クラウドのサポート
政府または国/地域固有の規制を満たす必要があるお客様は、ソブリン クラウドの使用を選択できます。 ソブリン クラウドは、その特定の政府または国に固有の要件を満たすために、物理的に地域に配置されています。 例えば、Power Apps for Government Community Cloud (GCC) は米国にあり、米国ではそれは米国政府特定の規制と認証、およびそれらの要件を満たすためのプロトコルを満たしています。
このビデオを見て、Microsoft Power Platform がいかにソブリン クラウドで利用可能なのかについてご覧ください: ビデオ: マーティ カレラスとのソブリン クラウド。
ソブリン クラウド環境の使用を検討するときは、パブリック クラウド環境と比較してすべての機能を利用できるわけではないため、どのような制限が存在するかを考慮する必要があります。 Microsoft Power Platform の各環境での可用性は次の表にリストされています。 可用性のその他の違いについては、データセンターの地域 に関するドキュメントをお読みください。
| リージョン | ExpressRoute のサポート |
|---|---|
| US Government Community Cloud (GCC) | サポート 1 |
| US Government Community Cloud High (GCC High) | サポート 1 |
| 中国 | サポート 2 |
1 顧客は、USGCC リージョンまたは GCC High リージョンを使用する場合は Azure Government ExpressRoute を使用する必要があり、Azure Commercial Cloud ExpressRoute を使用することはできません。 2 顧客は、中国リージョンを使用する場合は Azure China ExpressRoute を使用する必要があり、Azure Commercial Cloud ExpressRoute を使用することはできません。
Azure ExpressRoute コスト
ExpressRoute のコストを見積もるときは、いくつかの要素を考慮する必要があります。
Azure コスト
接続性プロバイダーのコスト
内部セットアップの労力コスト
ビジネス ケースを正確に決定するには、Microsoft Power Platform 向けの ExpressRoute を評価する際にこれらすべてのコストを考慮することが重要です。 それぞれについては、以降のセクションで議論します。
Azure コスト
Azure ExpressRoute はさまざまなモデルで購入できます。
請求の種類
従量制:無制限のインバウンド トラフィックを伴う月額の基本サブスクリプション コスト、ただしアウトバウンド トラフィックの GB あたりの料金
無制限: 無制限のインバウンドおよびアウトバウンド トラフィックを使用した 1 か月あたりの基本サブスクリプション コスト
SKU / プラン
標準
ExpressRoute を使用した基本的な接続
単一の地理的地域内のサービスへのアクセスを提供する
ExpressRoute 回線がユーザーが接続している Microsoft Power Platform 環境と同じリージョン内にある場合では、その回線には ExpressRoute 標準のみが必要です
Premium
接続が確立されている場所から世界中の地理的サービスへのアクセスを提供します
ユーザーがエンド サービスとは異なるリージョンから ExpressRoute 回線を介して接続する場合、その ExpressRoute 回線には ExpressRoute Premium が必要になります。
接続性プロバイダーのコスト
場合によっては、接続プロバイダーとの接続を確立するためのコストが高額になる可能性があります。 これらは、ExpressRoute の Azure のコストとは別のものです。
ネットワーク ルーティングを構成するための社内顧客の取り組み
ExpressRoute を有効にするには、ネットワーク ルーティングを内部で設定する必要があります。
多くの顧客にとって、これには、ネットワーク チームへの内部クロスチャージ、IT アウトソーシング プロバイダーへの外部コスト、または少なくとも内部スタッフが構成に集中するための機会費用が必要になります。
既存の Microsoft Power Platform、Microsoft 365、および使用中の Azure サービスへの影響
Microsoft ピアリングが有効になっている場合、これにより Microsoft Power Platform サービス、Microsoft 365、Azure のトラフィックが ExpressRoute 経由でルーティングされるように構成されます。
すでに Microsoft Power Platform、Dynamics 365 アプリケーション、または ExpressRoute なしの Microsoft 365 のいずれかを使用してる場合、ExpressRoute を介した Microsoft ピアリングを有効にするときは、これらの既存のサービスへの影響に注意することが重要です (これは既定の動作です)。 異なるサービスへのトラフィックを分離するために、BGP コミュニティを使用してルーティングを構成する必要がある場合があります。
複数のオンライン サービスで ExpressRoute を再利用する
たとえば、単一の ExpressRoute 接続を使用して、Microsoft Power Platform、Dynamics 365、Microsoft 365、Azure などの複数のオンライン サービスにアクセスできます。
Microsoft パブリック サービスおよび Azure との共有 ExpressRoute 接続を示す図。 Microsoft 365、Microsoft Power Platform、Dynamics 365、および Azure パブリック サービス向けの Microsoft ピアリングは、仮想ネットワークの Azure プライベート ピアリングと同じ ExpressRoute 接続を共有しています。
ExpressRoute 自体は、特定のサブネットからさまざまな種類の Microsoft サービスを分離しません。 BGP コミュニティタグを使用して、ExpressRoute 全体の特定のサービスへのトラフィックのルーティングを制御することができます。 Microsoft は、BGP コミュニティタグに基づいて ExpressRoute を介してトラフィックを選択的にルーティングしません。 サービスタイプに基づいてトラフィックを異なる方法で返す必要がある場合は、トラフィックが異なるパブリック IP アドレスからのものであることを確認してください。 サブネットに戻るトラフィックはネットワークレベルで処理されるため、ExpressRoute を使用するようにサブネットからの一部のトラフィックのみを構成すると、非対称ルーティングが発生する可能性があるため、危険です。