Qué tener en cuenta antes de usar ExpressRoute con Microsoft Power Platform
La complejidad de configurar ExpressRoute a menudo se subestima. En particular, las siguientes acciones e implicaciones a menudo se pasan por alto, ya sea en la planificación o en la ejecución:
Configurar la red para enrutar el tráfico a la subred conectada a ExpressRoute
Evitar el enrutamiento asimétrico, donde el tráfico va directamente a Microsoft Power Platform a través de Internet, pero ExpressRoute lo devuelve a la red corporativa, lo que provoca el rechazo del tráfico por parte del firewall
Los costes generales de aprovisionamiento de ExpressRoute, incluidos los servicios de Microsoft Azure, el aprovisionamiento del proveedor de conectividad y la configuración del enrutamiento de la red de TI interna y del servicio continuo
Determinar si se deben establecer varios circuitos ExpressRoute para implementaciones distribuidas
Problemas de rendimiento de conectividad
Conectividad de LAN
Algunos de los problemas comunes que puede experimentar un usuario son:
La conectividad dentro de la red local ya está saturada antes de agregar una aplicación de navegador enriquecida a la combinación.
Microsoft Power Platform está reemplazando una aplicación cliente pesada en la que solo se transmitían los datos a través de la red, en lugar de los datos y la información de presentación.
Es importante comprender que una aplicación de navegador, si bien requiere menos en términos de administración de implementación del lado del cliente, requerirá un mayor ancho de banda que una aplicación de cliente pesada y, por lo tanto, una red local ya saturada sufrirá aún más con la adición de nuevos servicios.
Mala conectividad de WAN
Basándose en el análisis de la red de la conectividad al servicio en línea, un patrón común es que en algún punto, el tráfico de la red atraviesa una ruta de red interna que agrega una latencia significativa. Esto puede deberse a condiciones como:
Saturación del vínculo WAN.
Procesamiento de proxy, que genera más latencia y sobrecarga.
Enrutamiento interno ineficiente (por ejemplo, enrutamiento dentro de la red corporativa en lugar de enrutar a Internet antes).
Si el tráfico de Microsoft Power Platform tiene que abordar estos problemas, el rendimiento en el cliente también puede verse afectado.
Mala conectividad a Internet
Agregar servicios en la nube puede generar un consumo y una carga adicionales en la conexión corporativa a Internet. Esto puede ocurrir si:
La conexión a Internet no es suficiente para dar soporte a la carga adicional.
Dentro de la red del proveedor de servicios de Internet (ISP), el enrutamiento de ese tráfico hacia la red está controlado por el ISP; la eficiencia de ese enrutamiento puede variar. Microsoft
La conexión sufre por la combinación de tráfico, lo que afecta a la calidad de la conexión (por ejemplo, varias sesiones de formación basadas en Internet, vídeos de Microsoft Stream o YouTube con tráfico a una aplicación crítica para el negocio que compite por el ancho de banda disponible). Esto podría ser suficiente en general para el volumen de tráfico, pero potencialmente podría afectar al rendimiento en los picos de demanda que introducirán actividades como el streaming de vídeos.
Estas cosas se pueden solucionar obteniendo más ancho de banda o conexiones separadas a través del ISP. En particular, tener una conexión separada dedicada al tráfico prioritario puede ayudar tanto con el rendimiento como con la previsibilidad del tráfico.
Además, asegúrese de configurar la Calidad de servicio (QoS) correctamente. Si usa Microsoft Teams y Microsoft Stream, consulte Requisitos de QoS dentro de ExpressRoute.
Control de seguridad
La siguiente configuración que debe considerar es el control de seguridad. ExpressRoute en sí no cifra ni filtra el tráfico de forma nativa (con la excepción de ExpressRoute Direct con MACsec habilitado); simplemente establece una conexión privada, en lugar de compartida, directamente entre los centros de datos y los del cliente a través de su proveedor de conectividad. Microsoft
Cualquier solicitud de cualquier servicio en línea o servicio de Azure a la subred anunciada a través de un circuito ExpressRoute se enrutará a través de ese circuito, independientemente del servicio o el cliente. Microsoft Debido a que la solicitud se enruta en la capa de red, no hay control a nivel de aplicación para determinar si es un solicitante adecuado para ese servicio de destino.
Para el tráfico hacia los servicios, debido a que son servicios públicos compartidos, se puede acceder a ellos directamente a través de Internet público. Microsoft El control de acceso a estos servicios se maneja a través de servicios de autorización y autenticación a nivel de aplicación. Además, están protegidos a nivel de infraestructura contra intrusiones y amenazas como ataques de denegación de servicio.
Para el tráfico desde servicios hacia servicios alojados en local, el cliente es responsable de brindar una protección similar a sus propios servicios cuando el tráfico se recibe a través de una conexión ExpressRoute. Microsoft
Capacidad de restringir el uso de ExpressRoute solo a ciertos servicios Microsoft
Uno de los desafíos que podría enfrentar es querer utilizar ExpressRoute para un servicio en la nube en particular, pero no para otros. Microsoft Aunque las diferentes opciones de emparejamiento brindan cierto nivel de control aquí, el emparejamiento en sí mismo no proporciona un control granular dentro de los servicios del mismo tipo de emparejamiento (por ejemplo, para habilitar el enrutamiento solo a máquinas virtuales de Azure pero no a Microsoft 365). Sin embargo, es posible utilizar comunidades del Protocolo de puerta de enlace de borde (BGP) para configurar el tráfico solo para servicios específicos.
Esto es relevante para servicios de Microsoft Power Platform con una presencia de Microsoft 365, donde el enrutamiento a través de ExpressRoute puede ser deseable para un servicio pero no para ambos, o solo para ciertos servicios individuales de Microsoft 365 tal como Microsoft Teams.
ExpressRoute en sí no ofrece actualmente la capacidad de configurar directamente los servicios para que se enruten a través de un circuito ExpressRoute específico en este nivel de granularidad del servicio, pero las comunidades BGP se pueden usar para controlar esto.
Microsoft anuncia rutas en las rutas de intercambio de tráfico con rutas etiquetadas utilizando valores de la comunidad BGP apropiados para ubicaciones geográficas y tipos de servicio. Microsoft Luego, esto se puede configurar en los enrutadores del cliente para enrutar el tráfico de esos servicios a través del circuito ExpressRoute.
Puede usar diferentes etiquetas para servicios de Microsoft 365 para enrutar el tráfico solo para esos servicios a través del circuito ExpressRoute y enrutar el resto a través de un circuito ExpressRoute diferente o la Internet pública.
Los valores específicos de la comunidad BGP de Microsoft Power Platform no están disponibles como lo están para servicios Microsoft 365. En su lugar, las comunidades regionales de BGP se utilizan con las regiones de Microsoft Azure correspondientes que se utilizan para cada entorno de Microsoft Power Platform. Como los entornos de Microsoft Power Platform utilizan dos conjuntos de centros de datos, asegúrese de consultar la información general de las regiones para comprobar qué dos centros de datos se utilizan. Obtenga más información aquí: Comunidades BGP para GCC
Microsoft 365
Debido a que los servicios y los servicios se ofrecen a través del peering, la configuración del peering anunciaría de manera predeterminada todos los servicios y los servicios a través del circuito ExpressRoute. Microsoft Power Platform Microsoft 365 Microsoft Microsoft Microsoft Power Platform Microsoft 365
El resultado de esto es que permitir que las comunidades BGP enruten el tráfico para un servicio conduciría a que ambos se enruten a través de ExpressRoute. Esto puede ser deseable o no, pero puede tener resultados desfavorables. Por ejemplo, si ha determinado el ancho de banda de red necesario para Microsoft Power Platform y dimensionó la conexión ExpressRoute en consecuencia, pero luego, sin darse cuenta, también enrutó todos su tráfico de Microsoft 365 a través de ExpressRoute, esto podría saturar su red y causar problemas de rendimiento.
Si bien habilitar ExpressRoute para el peering enrutará todo el tráfico a través de la conexión ExpressRoute, es posible usar etiquetas de la comunidad BGP para controlar el enrutamiento de modo que solo servicios específicos (como servicios pero no otros) usen la conexión ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365 Microsoft Power Platform Microsoft 365 En particular, no todos los servicios de Microsoft 365 están diseñados para funcionar con ExpressRoute. Actualmente, los servicios de Microsoft Power Platform no tienen una comunidad BGP designada como algunos servicios de Microsoft 365 hacen. En su lugar, debería usar comunidades regionales de BPG para que coincidan con la región donde el entorno de Microsoft Power Platform fue creado.
Para obtener más información sobre el enrutamiento de Microsoft 365, vaya a la documentación en enrutamiento selectivo con Microsoft 365.
Porque los servicios de Microsoft Power Platform funcionan parcialmente como parte del servicio Microsoft 365, también se requieren muchos servicios cruzados, como el portal de administración y la autenticación. No es posible proteger todos estos servicios mediante ExpressRoute; el centro de administración de Microsoft 365, por ejemplo, no se publica en ExpressRoute.
Soporte para nubes soberanas
Los clientes que deben cumplir con las regulaciones gubernamentales o específicas de cada país o región pueden optar por utilizar una nube soberana. Las nubes soberanas están ubicadas físicamente en una región para cumplir con los requisitos específicos de ese gobierno o país en particular. Por ejemplo, Power Apps para Government Community Cloud (GCC) se encuentra en los Estados Unidos, donde cumple las regulaciones y certificaciones específicas de la administración pública de los Estados Unidos, y cumple con los protocolos para respetar esos requisitos.
Mire este vídeo que describe cómo Microsoft Power Platform está disponible con nubes soberanas: Vídeo: Nubes soberanas con Marty Carreras.
Cuando considere utilizar un entorno de nube soberana, debe considerar las limitaciones que existen, porque no todas las funciones están disponibles en comparación con los entornos de nube pública. La disponibilidad en cada entorno de Microsoft Power Platform aparece en la siguiente tabla. Para conocer otras diferencias de disponibilidad, lea la documentación sobre regiones de centros de datos.
| Región | Soporte de ExpressRoute |
|---|---|
| US Government Community Cloud (GCC) | Admitida 1 |
| Nube comunitaria del gobierno de EE. UU. de alto nivel (GCC High) | Admitida 1 |
| China | Admitida 2 |
1 Los clientes deben usar Azure Government ExpressRoute cuando usan US GCC o regiones, y no pueden usar Azure Commercial Cloud ExpressRoute. GCC High 2 Los clientes deben usar el ExpressRoute de Azure China cuando usen las regiones de China, y no pueden usar el ExpressRoute de la nube Azure Commercial.
Costes de Azure ExpressRoute
Al estimar los costes de ExpressRoute, debe considerar varios elementos:
Costes de Azure
Costes del proveedor de conectividad
Costes de esfuerzo de configuración interna
Para determinar el caso de negocio con precisión, es importante considerar todos estos costes al evaluar ExpressRoute para Microsoft Power Platform. Cada uno se comenta en las secciones siguientes.
Costes de Azure
Azure ExpressRoute se puede adquirir en diferentes modelos.
Tipo de facturación
Medido: un coste de suscripción base por mes con tráfico entrante ilimitado pero un cargo por GB para el tráfico saliente
Ilimitado: un coste de suscripción base por mes con tráfico entrante y saliente ilimitado
SKU/Plan
Estándar
Conexión básica con ExpressRoute
Oferta de acceso a servicios dentro de una sola región geográfica
Si el circuito ExpressRoute está dentro de la misma región que el entorno de Microsoft Power Platform al que los usuarios se están conectando, solo se requiere el ExpressRoute estándar para ese circuito
Premium
Ofrece acceso a servicios geográficos en todo el mundo desde cualquier lugar donde se realice la conexión.
Si un usuario se conecta a través de un circuito ExpressRoute de una región diferente a su servicio final, necesitará ExpressRoute Premium para ese circuito ExpressRoute.
Más información: Precios de Azure ExpressRoute
Costes del proveedor de conectividad
En algunos casos, los costes de establecer la conexión con el proveedor de conectividad pueden ser significativos. Estos son independientes de los costes de Azure para ExpressRoute.
Esfuerzo del cliente interno para configurar el enrutamiento de la red
Para habilitar ExpressRoute, el enrutamiento de red debe configurarse internamente.
Para muchos clientes, esto requerirá un cargo cruzado interno para el equipo de red o un coste externo para un proveedor de subcontratación de TI, o al menos el coste de oportunidad para que los esfuerzos del personal interno se concentren en la configuración.
Afecta a los servicios de Microsoft Power Platform, Microsoft 365 y de Azure en uso
Cuando el emparejamiento está habilitado, esto configurará el tráfico para los servicios, y Azure para que se enrute a través de ExpressRoute. Microsoft Microsoft Power Platform Microsoft 365
Si ya está utilizando aplicaciones de Dynamics 365 o sin ExpressRoute, es importante tener en cuenta el impacto en estos servicios existentes cuando habilita el emparejamiento a través de ExpressRoute (que es el comportamiento predeterminado). Microsoft Power Platform Microsoft 365 Microsoft Puede ser necesario configurar el enrutamiento mediante el uso de comunidades BGP para separar el tráfico a diferentes servicios.
Reutilización de ExpressRoute en varios servicios en línea
Se puede usar una única conexión de ExpressRoute para acceder a varios servicios en línea, por ejemplo, Microsoft Power Platform, Dynamics 365, Microsoft 365 y Azure.
Diagrama que muestra una conexión ExpressRoute compartida con servicios públicos y Azure. Microsoft Microsoft El emparejamiento para Microsoft 365, Microsoft Power Platform, Dynamics 365 y los servicios públicos de Azure comparten la misma conexión ExpressRoute con el emparejamiento privado de Azure para redes virtuales.
ExpressRoute en sí no separa diferentes tipos de servicios de una subred particular. Microsoft Es posible usar etiquetas de comunidad BGP para controlar el enrutamiento del tráfico a servicios particulares a través de ExpressRoute. Microsoft no enruta el tráfico de regreso a través de ExpressRoute de forma selectiva según las etiquetas de la comunidad BGP. Si el tráfico debe devolverse de manera diferente según el tipo de servicio, asegúrese de que el tráfico provenga de diferentes direcciones IP públicas. Debido a que cualquier tráfico que regrese a una subred se manejará a nivel de red, sería peligroso configurar solo parte del tráfico de una subred para usar ExpressRoute, ya que esto puede conducir a un enrutamiento asimétrico.