Специални съображения за поточни и живи събития в VPN среда
Скриптът автоматично ще анализира списъка с Azure въз основа на URL адреса и клавишите за изтегляне Azurefrontdoor.Frontend, Така че няма нужда да го получавате ръчно.
VPN на живо
VPN (виртуална частна мрежа) осигурява сигурна и частна връзка по интернет чрез криптиране на данните, предадени между устройството на потребителя и VPN сървъра. Има няколко причини, поради които стриймърите могат да използват VPN за излъчване на своето съдържание на живо (ако е позволено от платформата за стрийминг).
Защита на потока на живо. Използването на VPN може да защити вашето видео на живо чрез криптиране на данните, предавани между вашето устройство, и сървъра на платформата за стрийминг, което затруднява всеки да прихваща или преглежда вашия видео поток без разрешение. Това може да ви помогне да се гарантира поверителността и сигурността на вашето видео на живо, особено при стрийминг в публични Wi-Fi мрежи или в региони с ограничителни интернет политики.
Необходимостта да се предават на платформи, които в момента са блокирани за потребителя. Използвайки VPN, можете да предавате на платформи, които са блокирани от държавна цензура, политики на работното място или подобни ограничения. Те ви позволяват да заобиколите тези ограничения, като се свържете със сървър, разположен в различен регион, където платформата за стрийминг не е блокирана.
VPN криптира вашите данни и ги насочва през сървъра, като изглежда, че вашият интернет трафик произхожда от това местоположение на сървъра, а не от действителното ви местоположение. Това може да ви помогне да получите достъп до блокираната платформа и да предавате на живо съдържанието си без проблеми.
Streamster Vpn
VPN функция е вградена в настолното приложение на Streamster и се предлага във всеки платен план за ценообразуване, започващ от Lite. След като се активира, целият ви интернет трафик е криптиран и преминава през сървъри на Streamster.
Моля обърнете внимание. Функцията се поддържа само в настолното приложение, така че може да се използва на компютър с инсталиран Windows OS.
Има редица предимства за използването на Streamster като ваш VPN доставчик за потока на живо:
Не е необходим допълнителен софтуер. Имате нужда само от едно приложение до Multistream и за да установите вашата защитена VPN връзка. Без допълнителни плащания. VPN услугата е включена във вашите тарифи за повторение. Висока скорост на мрежата. Висококачественият поток на живо изисква висока скорост на интернет и стабилна връзка. VPN на Streamster е проектиран специално за стрийминг на живо, така че гарантира, че можете да останете частни, докато стриймирате ефективно. Лесен за използване. Просто щракнете върху един бутон и връзката ви е защитена.
Как да използвам VPN в приложението Streamster
1. Изтеглете приложението Streamster и го инсталирайте на вашия компютър с Windows.
2. Създайте акаунта на Streamster, влезте с вашите идентификационни данни на https: // приложението.Streamster.io и изберете всеки платен план за ценообразуване.
3. Активирайте VPN, като щракнете върху превключването вдясно от плъзгача на битрета.
4. Ако е необходимо, щракнете върху VPN индикатора, за да проверите здравето на връзката ви.
Тарифните планове с наличната функция VPN
Lite
15
/ месец
Или $ 0.48 на час в план за плащане за употреба Макс. Многостепенни канали: 4 Макс. Битрейт (за всеки канал): 7000 kbps
РЕДОВЕН
30
/ месец
Или $ 0.96 на час в план за плащане за употреба Макс. Мултистремиращи канали: 6 Макс. Битрейт (за всеки канал): 10000 kbps
Професионалист
50
/ месец
Или $ 1.56 на час в план за плащане за употреба Макс. Многостепенни канали: 8 Макс. Битрейт (за всеки канал): 15000 kbps
Често задавани въпроси
Всяга ли използването на VPN качеството на моето предаване на живо?
Използването на VPN леко ще увеличи мрежовото ви натоварване (с приблизително. 5-10%). При условие че вашата мрежа може да се справи с това, качеството на вашето видео ще остане същото.
Има ли някакви ограничения за използване на VPN на стрийминг платформи?
Да, някои платформи не позволяват на стримери да използват VPN. Горещо препоръчваме да проучите правилата на всяка платформа, преди да използвате функцията VPN.
Законно ли е да се използва VPN?
Да, законно е да се използва VPN в повечето страни, включително САЩ и ЕС.
Има ли някакви ограничения за използване на Streamster VPN?
Не допускаме използването на VPN за незаконни дейности, включително използване на торенти. Ние също така си запазваме правото да спрем и/или прекратим акаунти на всички потребители, които нарушават приложимите закони, по всяко време, по наша преценка.
Колко струва услугата?
VPN е достъпен с всеки платен план на потока, започващ от Lite. Открийте всички планове за ценообразуване.
Streamster е безплатен софтуер за стрийминг на живо с облачна функция за мултистейминг и опция за използване на много устройства.
Техническото съхранение или достъп е строго необходимо за законната цел да се даде възможност за използване на конкретна услуга, изрично поискана от абоната или потребителя, или с единствената цел да извърши предаването на комуникация през електронна комуникационна мрежа.
Предпочитания предпочитания
Техническото съхранение или достъп е необходимо за законната цел да съхраняват предпочитания, които не се изискват от абонатите или потребителя.
Статистика на статистиката
Техническото съхранение или достъпът, който се използва изключително за статистически цели. Техническото съхранение или достъпът, който се използва изключително за анонимни статистически цели. Без призовка, доброволно спазване от страна на вашия доставчик на интернет услуги или допълнителни записи от трета страна, информация, съхранявана или извлечена само за тази цел, обикновено не може да се използва за идентифициране на вас.
Маркетинг маркетинг
Техническото съхранение или достъп е необходимо за създаване на потребителски профили за изпращане на реклама или за проследяване на потребителя на уебсайт или в няколко уебсайта за подобни маркетингови цели.
Специални съображения за поточни и живи събития в VPN среда
Тази статия е част от набор от статии, които адресират оптимизацията на Microsoft 365 за отдалечени потребители.
За преглед на използването на VPN Split Tunneling за оптимизиране на свързаността на Microsoft 365 за отдалечени потребители вижте Преглед: VPN Split Tunneling за Microsoft 365.
За подробни насоки относно прилагането на VPN Split Tunneling, вижте Изпълнение на VPN Split Tunneling за Microsoft 365.
За подробен списък на сценарии за тунелиране на VPN разделяне, вижте Общи сценарии за тунелиране на VPN Split за Microsoft 365.
За насоки относно осигуряването на медиен трафик на екипи в VPN Split Tunneling Environment, вижте Осигуряване на медиен трафик на екипи за VPN Split Tunneling.
За информация относно оптимизирането на Microsoft 365 световна производителност на наематели за потребителите в Китай, вижте Microsoft 365 оптимизация на производителността за потребителите на China.
Microsoft 365 Трафик на събития на живо (това включва участници в екипи, произведени на живо събития и тези, произведени с външен енкодер чрез екипи, поток или Viva Engage) и понастоящем трафикът на подаване понастоящем е категоризиран като По подразбиране срещу Оптимизирайте В списъка с URL/IP за услугата. Тези крайни точки са категоризирани като По подразбиране Тъй като те са хоствани на CDN, които могат да се използват и от други услуги. Клиентите обикновено предпочитат да проксият този тип трафик и да прилагат всички елементи за сигурност, които обикновено се правят на крайни точки като тези.
Много клиенти са поискали данни от URL/IP, необходими за свързване на своите потребители, за да предават/на живо събития директно от местната си интернет връзка, вместо да насочват трафика с голям обем и чувствителност към латентност чрез VPN инфраструктурата. Обикновено това не е възможно без специални пространства на имена, и точна IP информация за крайните точки, която не е предоставена за крайните точки на Microsoft 365, категоризирани като По подразбиране.
Използвайте следните стъпки, за да активирате директната свързаност за услугата Stream/Live Events от клиенти, като използвате принудителен тунел VPN. Това решение има за цел да предостави на клиентите опция да избягват маршрутизирането на трафика на събития на живо през VPN, докато има висок мрежов трафик поради сценарии от работа от дома. Ако е възможно, се препоръчва да получите достъп до Услугата чрез прокси за инспектиране.
Използвайки това решение, може да има сервизни елементи, които не се отнасят към предоставените IP адреси и по този начин преминават към VPN, но по-голямата част от трафика с голям обем като данни за стрийминг трябва да. Възможно е да има други елементи извън обхвата на събитията/потока на живо, които се хващат от това разтоварване, но те трябва да бъдат ограничени, тъй като трябва да отговарят и на FQDN и IP мачът, преди да отидете директно.
Клиентите се съветват да претеглят риска от изпращане на повече трафик, който заобикаля VPN заради печалбата на производителността за събития на живо.
За да се приложи изключение на принудителния тунел за събития на екипи на живо и поток, трябва да се прилагат следните стъпки:
1. Конфигурирайте външната резолюция на DNS
Клиентите се нуждаят от външна, рекурсивна резолюция на DNS, за да бъде налична, така че следните имена на хост да могат да бъдат разрешени на IP адреси.
*.Azureedge.нета
*.медия.Azure.нета
*.BMC.cdn.офис.нета
*.медия.Azure.нета и *.BMC.cdn.офис.нета се използват за събития, произведени от екипи на живо (събития за бързо стартиране, RTMP-In поддържани събития [Roadmap ID 84960]), планирани от клиента на Teams.
Някои от тези крайни точки се споделят с други елементи извън събитията на потоци/на живо, не е препоръчително просто да се използват тези FQDN за конфигуриране на VPN разтоварване, дори ако технически е възможно във вашето VPN решение (напр. Ако работи във FQDN, а не на IP).
FQDN не се изискват в VPN конфигурацията, те са чисто за използване във PAC файлове в комбинация с IPS, за да изпращат съответния трафик директно.
2. Изпълнете промени в PAC файловете (когато е необходимо)
За организации, които използват PAC файл за маршрутизиране на трафика през прокси, докато сте на VPN, това обикновено се постига с помощта на FQDNS. Въпреки това, при събития на поток/на живо, предоставените имена на хост съдържат диви карти като *.Azureedge.нета, което също обхваща други елементи, за които не е възможно да се предоставят пълни IP списъци. По този начин, ако заявката бъде изпратена директно въз основа на съвпадението на DNS Wildcard, трафикът към тези крайни точки ще бъде блокиран, тъй като няма маршрут по директния път за него в стъпка 3 по -късно в тази статия.
За да разрешим това, можем да предоставим следните IPS и да ги използваме в комбинация с имената на хоста в примерен PAC файл, както е описано в стъпка 1. PAC файлът проверява дали URL адресът съвпада с тези, използвани за поточни/живи събития и след това, ако го направи, той също така проверява дали IP се върна от DNS търсене, съвпада с тези, предоставени за услугата. Ако и двете мач, след това трафикът се пренасочва директно. Ако нито един елемент (fqdn/ip) не съвпада, трафикът се изпраща до прокси. В резултат на това конфигурацията гарантира, че всичко, което се разрешава до IP извън обхвата както на IP, така и на дефинираните пространства на имена, ще премине през проксито през VPN като нормално.
Събиране на текущите списъци на крайните точки на CDN
Събитията на живо използват множество доставчици на CDN, за да предават на клиенти, за да осигурят най -доброто покритие, качество и устойчивост. Понастоящем се използват както Azure CDN от Microsoft, така и от Verizon. С течение на времето това може да се промени поради ситуации като регионална наличност. Тази статия е източник, който да ви позволи да сте в течение на IP диапазоните.
За Azure CDN от Microsoft можете да изтеглите списъка от изтегляне на Azure IP диапазони и сервизни маркери – Public Cloud от Официален център за изтегляне на Microsoft – ще трябва да погледнете специално за сервизния маркер Azurefrontdoor.Frontend в JSON; AddressPrefixes Ще покаже IPv4/IPv6 подмрежите. С течение на времето IPS може да се промени, но списъкът с услуги за услуги винаги се актуализира, преди да се използват.
За Azure CDN от Verizon (Edgecast) можете да намерите изчерпателен списък с помощта на Edge възли – Списък (Изберете Опитай ) – ще трябва да разгледате специално Premium_verizon раздел. Обърнете внимание, че този API показва всички ips edgecast (произход и anycast). Понастоящем няма механизъм за API да прави разлика между произход и anycast.
За да внедрите това в PAC файл, можете да използвате следния пример, който изпраща Microsoft 365 Optimize Traffic Direct (който се препоръчва най -добрата практика) чрез FQDN и критичния поток/събития на живо трафик директно чрез комбинация от FQDN и върнатия IP адрес. Името на заместващия Контосо ще трябва да бъде редактиран на името на вашия конкретен наемател, където Контосо е от Контосо.onmicrosoft.com
Пример PAC файл
Ето пример за това как да генерирате PAC файловете:
Запазете скрипта по -долу на вашия локален твърд диск като Get-tlepacfile.PS1.
Отидете на URL адреса на Verizon и изтеглете получения JSON (копирайте го поставете във файл като CdnedGenodes.json)
Поставете файла в същата папка като скрипта.
В прозорец на PowerShell изпълнете следната команда. Променете името на наемателя за нещо друго, ако искате SPO URL адресите. Това е тип 2, така че Оптимизирайте и Позволява (Тип 1 е само оптимизиран).
.\ Get-tlepacfile.ps1 -инстанция по целия свят -тип 2 -tenantname -cdnedgenodesfilepath .\ cdnedgenodes.JSON -FILEPATH TLE.Pac
Скриптът автоматично ще анализира списъка с Azure въз основа на URL адреса и клавишите за изтегляне Azurefrontdoor.Frontend, Така че няма нужда да го получавате ръчно.
Отново не е препоръчително да се извършва VPN разтоварване, като се използва само FQDN; използване и двете FQDNS и IP адресите във функцията помагат да се обхване използването на това разтоварване на ограничен набор от крайни точки, включително събития на живо/поток. Начинът, по който функцията е структурирана, ще доведе до извършване на търсене на DNS за FQDN, който съвпада с изброените от клиента директно, i.E. Разделителната способност на DNS на останалите пространства от имена остава непроменена.
Ако искате да ограничите риска от разтоварване на крайните точки, които не са свързани с събития на живо и поток, можете да премахнете *.Azureedge.нета Домейн от конфигурацията, където се крие по -голямата част от този риск, тъй като това е споделен домейн, използван за всички клиенти на Azure CDN. Недостатъкът на това е, че всяко събитие, използващо външен енкодер, няма да бъде оптимизирано, но събитията, произведени/организирани в екипи, ще бъдат.
3. Конфигуриране на маршрутизиране на VPN, за да активирате директния изход
Последната стъпка е да добавите директен маршрут за IPS на живо, описани в Събиране на текущите списъци на крайните точки на CDN в конфигурацията на VPN, за да се гарантира, че трафикът не е изпратен през принудителния тунел във VPN. Подробна информация за това как да направите това за Microsoft 365 Оптимизиране на крайните точки можете да намерите в секцията за разделителни тунели за реализация на VPN за изпълнение на VPN разделен тунел за Microsoft 365. Процесът е абсолютно същият за IPS на потока/събитията на живо, изброени в този документ.
Обърнете внимание, че само IPS (не FQDN) от събирането на текущите списъци на крайните точки на CDN трябва да се използва за VPN конфигурация.
ЧЗВ
Това ще изпрати ли целия ми трафик до услугата директно?
Не, това ще изпрати чувствителния към латентност трафик за стрийминг за събитие на живо или видео директно, всеки друг трафик ще продължи да използва VPN тунела, ако не разреши към публикуваните IPS.
Трябва ли да използвам IPv6 адресите?
Не, свързаността може да бъде IPv4 само ако е необходимо.
Защо тези IPS не са публикувани в URL/IP услуга на Microsoft 365?
Microsoft има строги контроли около формата и вида информация, която е в услугата, за да гарантира, че клиентите могат надеждно да използват информацията за внедряване на защитен и оптимален маршрут въз основа на категорията на крайната точка.
The По подразбиране Категорията на крайната точка няма предоставена информация за IP по много причини (крайните точки по подразбиране могат да бъдат извън контрола на Microsoft, може да се променя твърде често или може да бъде в блокове, споделени с други елементи). Поради тази причина крайните точки по подразбиране са проектирани да бъдат изпращани чрез FQDN до прокси за инспектиране, като нормален уеб трафик.
В този случай горните крайни точки са CDN, които могат да бъдат използвани от немикрозофт контролирани елементи, различни от събития на живо или поток, и по този начин изпращането на директния трафик също ще означава всичко друго, което се разрешава на тези IPS, също ще бъде изпратено директно от клиента. Поради уникалния характер на настоящата глобална криза и за да отговори на краткосрочните нужди на нашите клиенти, Microsoft предостави информацията по-горе, която клиентите да използват, както сметнат за добре.
Microsoft работи за преконфигуриране на крайните точки на събитията на живо, за да им позволи да бъдат включени в категориите Allow/Optimize Endpoint в бъдеще.
Трябва ли само да допусна достъп до тези ips?
Не, достъп до всички Изисква се Маркираните крайни точки в URL/IP услугата са от съществено значение за експлоатацията на услугата. В допълнение, е необходима всяка незадължителна крайна точка, маркирана за поток (ID 41-45).
Какви сценарии ще обхваща този съвет?
Събития на живо, произведени в приложението Teams
Преглед на потока хоствано съдържание
Външното устройство (енкодер) произвежда събития
Дали този съвет обхваща трафика на водещия?
Това не е така, съветът по -горе е чисто за тези, които консумират услугата. Представянето на екипите ще види трафикът на водещия, който се движи към оптимизирането на маркирани крайни точки на UDP, изброени в URL/IP услуга ROW 11 с подробни съвети за разтоварване на VPN, описани в секцията за тунелиране на VPN за изпълнение на VPN за разделяне на VPN за тунелиране на Microsoft 365.
Дали този конфигурационен риск трафик, различен от събитията на живо и поток, изпращат директно?
Да, поради споделените FQDN, използвани за някои елементи на услугата, това е неизбежно. Този трафик обикновено се изпраща чрез корпоративен прокси, който може да приложи инспекция. При сценарий на VPN разделен тунел, използвайки както FQDN, така и IPS, ще обхване този риск до минимум, но той все още ще съществува. Клиентите могат да премахнат *.Azureedge.нета domain from the offload configuration and reduce this risk to a bare minimum but this will remove the offload of Stream-supported Live Events (Teams-scheduled, external encoder events, Viva Engage events produced in Teams, Viva Engage-scheduled external encoder events, and Поток планирани събития или гледане при поискване от поток). Събитията, насрочени и продуцирани в екипи, не се влияят.
VPN на живо
VPN 0 Comments
Специални съображения за поточни и живи събития в VPN среда
VPN на живо
VPN (виртуална частна мрежа) осигурява сигурна и частна връзка по интернет чрез криптиране на данните, предадени между устройството на потребителя и VPN сървъра. Има няколко причини, поради които стриймърите могат да използват VPN за излъчване на своето съдържание на живо (ако е позволено от платформата за стрийминг).
Защита на потока на живо. Използването на VPN може да защити вашето видео на живо чрез криптиране на данните, предавани между вашето устройство, и сървъра на платформата за стрийминг, което затруднява всеки да прихваща или преглежда вашия видео поток без разрешение. Това може да ви помогне да се гарантира поверителността и сигурността на вашето видео на живо, особено при стрийминг в публични Wi-Fi мрежи или в региони с ограничителни интернет политики.
Необходимостта да се предават на платформи, които в момента са блокирани за потребителя. Използвайки VPN, можете да предавате на платформи, които са блокирани от държавна цензура, политики на работното място или подобни ограничения. Те ви позволяват да заобиколите тези ограничения, като се свържете със сървър, разположен в различен регион, където платформата за стрийминг не е блокирана.
VPN криптира вашите данни и ги насочва през сървъра, като изглежда, че вашият интернет трафик произхожда от това местоположение на сървъра, а не от действителното ви местоположение. Това може да ви помогне да получите достъп до блокираната платформа и да предавате на живо съдържанието си без проблеми.
Streamster Vpn
VPN функция е вградена в настолното приложение на Streamster и се предлага във всеки платен план за ценообразуване, започващ от Lite. След като се активира, целият ви интернет трафик е криптиран и преминава през сървъри на Streamster.
Моля обърнете внимание. Функцията се поддържа само в настолното приложение, така че може да се използва на компютър с инсталиран Windows OS.
Има редица предимства за използването на Streamster като ваш VPN доставчик за потока на живо:
Не е необходим допълнителен софтуер. Имате нужда само от едно приложение до Multistream и за да установите вашата защитена VPN връзка.
Без допълнителни плащания. VPN услугата е включена във вашите тарифи за повторение.
Висока скорост на мрежата. Висококачественият поток на живо изисква висока скорост на интернет и стабилна връзка. VPN на Streamster е проектиран специално за стрийминг на живо, така че гарантира, че можете да останете частни, докато стриймирате ефективно.
Лесен за използване. Просто щракнете върху един бутон и връзката ви е защитена.
Как да използвам VPN в приложението Streamster
1. Изтеглете приложението Streamster и го инсталирайте на вашия компютър с Windows.
2. Създайте акаунта на Streamster, влезте с вашите идентификационни данни на https: // приложението.Streamster.io и изберете всеки платен план за ценообразуване.
3. Активирайте VPN, като щракнете върху превключването вдясно от плъзгача на битрета.
4. Ако е необходимо, щракнете върху VPN индикатора, за да проверите здравето на връзката ви.
Тарифните планове с наличната функция VPN
Lite
15
/ месец
Или $ 0.48 на час в план за плащане за употреба
Макс. Многостепенни канали: 4
Макс. Битрейт (за всеки канал): 7000 kbps
РЕДОВЕН
30
/ месец
Или $ 0.96 на час в план за плащане за употреба
Макс. Мултистремиращи канали: 6
Макс. Битрейт (за всеки канал): 10000 kbps
Професионалист
50
/ месец
Или $ 1.56 на час в план за плащане за употреба
Макс. Многостепенни канали: 8
Макс. Битрейт (за всеки канал): 15000 kbps
Често задавани въпроси
Всяга ли използването на VPN качеството на моето предаване на живо?
Използването на VPN леко ще увеличи мрежовото ви натоварване (с приблизително. 5-10%). При условие че вашата мрежа може да се справи с това, качеството на вашето видео ще остане същото.
Има ли някакви ограничения за използване на VPN на стрийминг платформи?
Да, някои платформи не позволяват на стримери да използват VPN. Горещо препоръчваме да проучите правилата на всяка платформа, преди да използвате функцията VPN.
Законно ли е да се използва VPN?
Да, законно е да се използва VPN в повечето страни, включително САЩ и ЕС.
Има ли някакви ограничения за използване на Streamster VPN?
Не допускаме използването на VPN за незаконни дейности, включително използване на торенти. Ние също така си запазваме правото да спрем и/или прекратим акаунти на всички потребители, които нарушават приложимите закони, по всяко време, по наша преценка.
Колко струва услугата?
VPN е достъпен с всеки платен план на потока, започващ от Lite. Открийте всички планове за ценообразуване.
Streamster е безплатен софтуер за стрийминг на живо с облачна функция за мултистейминг и опция за използване на много устройства.
© 2023 Streamster Oü. Всички права запазени.
Multistream с
настолен компютър
Mac
Смартфон
GoPro
Продукти
Приложение за стрийминг на живо
Приложение за браузър
Мобилно приложение
Бизнес студио
поддържа
Помощен център
Партньорска програма
Блог
Правила и условия
Политика за поверителност
Свържете се с нас
Изтегляния
Streamster е безплатен софтуер за стрийминг на живо, който поддържа облачно базирана мулти-разировка и използване на много устройства.
© 2023 Streamster Oü. Всички права запазени.
Управление на съгласието на бисквитките
Използваме бисквитки, за да оптимизираме нашия уебсайт и нашата услуга.
Функционален функционален винаги активен
Техническото съхранение или достъп е строго необходимо за законната цел да се даде възможност за използване на конкретна услуга, изрично поискана от абоната или потребителя, или с единствената цел да извърши предаването на комуникация през електронна комуникационна мрежа.
Предпочитания предпочитания
Техническото съхранение или достъп е необходимо за законната цел да съхраняват предпочитания, които не се изискват от абонатите или потребителя.
Статистика на статистиката
Техническото съхранение или достъпът, който се използва изключително за статистически цели. Техническото съхранение или достъпът, който се използва изключително за анонимни статистически цели. Без призовка, доброволно спазване от страна на вашия доставчик на интернет услуги или допълнителни записи от трета страна, информация, съхранявана или извлечена само за тази цел, обикновено не може да се използва за идентифициране на вас.
Маркетинг маркетинг
Техническото съхранение или достъп е необходимо за създаване на потребителски профили за изпращане на реклама или за проследяване на потребителя на уебсайт или в няколко уебсайта за подобни маркетингови цели.
Специални съображения за поточни и живи събития в VPN среда
Тази статия е част от набор от статии, които адресират оптимизацията на Microsoft 365 за отдалечени потребители.
Microsoft 365 Трафик на събития на живо (това включва участници в екипи, произведени на живо събития и тези, произведени с външен енкодер чрез екипи, поток или Viva Engage) и понастоящем трафикът на подаване понастоящем е категоризиран като По подразбиране срещу Оптимизирайте В списъка с URL/IP за услугата. Тези крайни точки са категоризирани като По подразбиране Тъй като те са хоствани на CDN, които могат да се използват и от други услуги. Клиентите обикновено предпочитат да проксият този тип трафик и да прилагат всички елементи за сигурност, които обикновено се правят на крайни точки като тези.
Много клиенти са поискали данни от URL/IP, необходими за свързване на своите потребители, за да предават/на живо събития директно от местната си интернет връзка, вместо да насочват трафика с голям обем и чувствителност към латентност чрез VPN инфраструктурата. Обикновено това не е възможно без специални пространства на имена, и точна IP информация за крайните точки, която не е предоставена за крайните точки на Microsoft 365, категоризирани като По подразбиране.
Използвайте следните стъпки, за да активирате директната свързаност за услугата Stream/Live Events от клиенти, като използвате принудителен тунел VPN. Това решение има за цел да предостави на клиентите опция да избягват маршрутизирането на трафика на събития на живо през VPN, докато има висок мрежов трафик поради сценарии от работа от дома. Ако е възможно, се препоръчва да получите достъп до Услугата чрез прокси за инспектиране.
Използвайки това решение, може да има сервизни елементи, които не се отнасят към предоставените IP адреси и по този начин преминават към VPN, но по-голямата част от трафика с голям обем като данни за стрийминг трябва да. Възможно е да има други елементи извън обхвата на събитията/потока на живо, които се хващат от това разтоварване, но те трябва да бъдат ограничени, тъй като трябва да отговарят и на FQDN и IP мачът, преди да отидете директно.
Клиентите се съветват да претеглят риска от изпращане на повече трафик, който заобикаля VPN заради печалбата на производителността за събития на живо.
За да се приложи изключение на принудителния тунел за събития на екипи на живо и поток, трябва да се прилагат следните стъпки:
1. Конфигурирайте външната резолюция на DNS
Клиентите се нуждаят от външна, рекурсивна резолюция на DNS, за да бъде налична, така че следните имена на хост да могат да бъдат разрешени на IP адреси.
*.медия.Azure.нета и *.BMC.cdn.офис.нета се използват за събития, произведени от екипи на живо (събития за бързо стартиране, RTMP-In поддържани събития [Roadmap ID 84960]), планирани от клиента на Teams.
Някои от тези крайни точки се споделят с други елементи извън събитията на потоци/на живо, не е препоръчително просто да се използват тези FQDN за конфигуриране на VPN разтоварване, дори ако технически е възможно във вашето VPN решение (напр. Ако работи във FQDN, а не на IP).
FQDN не се изискват в VPN конфигурацията, те са чисто за използване във PAC файлове в комбинация с IPS, за да изпращат съответния трафик директно.
2. Изпълнете промени в PAC файловете (когато е необходимо)
За организации, които използват PAC файл за маршрутизиране на трафика през прокси, докато сте на VPN, това обикновено се постига с помощта на FQDNS. Въпреки това, при събития на поток/на живо, предоставените имена на хост съдържат диви карти като *.Azureedge.нета, което също обхваща други елементи, за които не е възможно да се предоставят пълни IP списъци. По този начин, ако заявката бъде изпратена директно въз основа на съвпадението на DNS Wildcard, трафикът към тези крайни точки ще бъде блокиран, тъй като няма маршрут по директния път за него в стъпка 3 по -късно в тази статия.
За да разрешим това, можем да предоставим следните IPS и да ги използваме в комбинация с имената на хоста в примерен PAC файл, както е описано в стъпка 1. PAC файлът проверява дали URL адресът съвпада с тези, използвани за поточни/живи събития и след това, ако го направи, той също така проверява дали IP се върна от DNS търсене, съвпада с тези, предоставени за услугата. Ако и двете мач, след това трафикът се пренасочва директно. Ако нито един елемент (fqdn/ip) не съвпада, трафикът се изпраща до прокси. В резултат на това конфигурацията гарантира, че всичко, което се разрешава до IP извън обхвата както на IP, така и на дефинираните пространства на имена, ще премине през проксито през VPN като нормално.
Събиране на текущите списъци на крайните точки на CDN
Събитията на живо използват множество доставчици на CDN, за да предават на клиенти, за да осигурят най -доброто покритие, качество и устойчивост. Понастоящем се използват както Azure CDN от Microsoft, така и от Verizon. С течение на времето това може да се промени поради ситуации като регионална наличност. Тази статия е източник, който да ви позволи да сте в течение на IP диапазоните.
За Azure CDN от Microsoft можете да изтеглите списъка от изтегляне на Azure IP диапазони и сервизни маркери – Public Cloud от Официален център за изтегляне на Microsoft – ще трябва да погледнете специално за сервизния маркер Azurefrontdoor.Frontend в JSON; AddressPrefixes Ще покаже IPv4/IPv6 подмрежите. С течение на времето IPS може да се промени, но списъкът с услуги за услуги винаги се актуализира, преди да се използват.
За Azure CDN от Verizon (Edgecast) можете да намерите изчерпателен списък с помощта на Edge възли – Списък (Изберете Опитай ) – ще трябва да разгледате специално Premium_verizon раздел. Обърнете внимание, че този API показва всички ips edgecast (произход и anycast). Понастоящем няма механизъм за API да прави разлика между произход и anycast.
За да внедрите това в PAC файл, можете да използвате следния пример, който изпраща Microsoft 365 Optimize Traffic Direct (който се препоръчва най -добрата практика) чрез FQDN и критичния поток/събития на живо трафик директно чрез комбинация от FQDN и върнатия IP адрес. Името на заместващия Контосо ще трябва да бъде редактиран на името на вашия конкретен наемател, където Контосо е от Контосо.onmicrosoft.com
Пример PAC файл
Ето пример за това как да генерирате PAC файловете:
Get-tlepacfile.PS1
# Авторско право (в) Microsoft Corporation. Всички права запазени. # Лицензиран под лиценза MIT. #Requires -Version 2 [cmdletBinding (supportsshouldprocess = $ true)] param ([параметър (задължителен = $ false)] [validateset („Worldwide“, „Германия“, „China“, „Usgovdod“, 'Usgovgcchigh')]] [ String] $ instance = "Worldwide", [Параметър (задължителен = $ false)] [validateNotNullorEmpty ()] [guid] $ clientRequestid = [guid] :: newguid ().Guid, [параметър (задължителен = $ false)] [validateNotNullorEmpty ()] [string] $ directproxySettings = 'direct', [параметър (задължителен = $ false)] [validateNotnullorEmpty ()] [string] $ defaultproxySetsettings = 'proxy 10.10.10.10: 8080 ', [Параметър (задължителен = $ false)] [ValidaTarenge (1, 2)] [int] $ type = 1, [параметър (задължителен = $ false)] [превключвател] $ малкика = $ false, [параметър (Mandatory = $false)] [ValidateNotNullOrEmpty()] [string] $TenantName, [Parameter(Mandatory = $false)] [ValidateSet('Exchange', 'SharePoint', 'Common', 'Skype')] [string[ ]] $ServiceAreas, [Parameter(Mandatory = $false)] [ValidateNotNullOrEmpty()] [string] $FilePath, [Parameter(Mandatory = $false)] [ValidateNotNullOrEmpty()] [string] $CdnEdgeNodesFilePath ) ##### ################################################## ################################################## ######### ### Global constants #################################### ################################################## ########################### $ BaseserviceUrl = "https: // Endpoints.офис.com/крайни точки/$ екземпляр/?ClientRequestId=" $directProxyVarName = "direct" $defaultProxyVarName = "proxyServer" $bl = "`r`n" ########################## ################################################## ############################################ ### Функции за създаване на PAC файлове ##### ################################################## ################################################## ########## функция Get-Pacclauses < param( [Parameter(Mandatory = $false)] [string[]] $Urls, [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [String] $ReturnVarName ) if (!$Urls) < return "" >$ клаузи = (($ urls | foreach-object < "shExpMatch(host, `"$_`")" >) -Join "$ bl ||") @"if ($ клаузи) < return $ReturnVarName; >"@> функция get-pacstring < param( [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [array[]] $MapVarUrls ) @" // This PAC file will provide proxy config to Microsoft 365 services // using data from the public web service for all endpoints function FindProxyForURL(url, host) < var $directProxyVarName = "$DirectProxySettings"; var $defaultProxyVarName = "$DefaultProxySettings"; $( if ($Lowercase) < " host = host.toLowerCase();" >) $ (($ MapVarurls | Foreach-Object < Get-PACClauses -ReturnVarName $_.Item1 -Urls $_.Item2 >) -Join "$ bl $ bl") $ (ако (!$ Serviceareas -or $ serviceareas.Съдържа ('Skype')) < Get-TLEPacConfiguration >) return $ defaultProxyVarname; > "@ -replace" ($ bl) "," $ bl $ bl " # срив повече от един празен ред във файла PAC, така че да изглежда по -добре. > ################################################# ################################################## ############### ### Функции за получаване и филтриране на крайни точки ############################# #### ################################################## ####################################### Функция GetTlepacConfiguration < param () $PreBlock = @" // Don't Proxy Teams Live Events traffic if(shExpMatch(host, "*.azureedge.net") || shExpMatch(host, "*.bmc.cdn.office.net") || shExpMatch(host, "*.media.azure.net")) < var resolved_ip = dnsResolveEx(host); "@ $TLESb = New-Object 'System.Text.StringBuilder' $TLESb.Append($PreBlock) | Out-Null if (![string]::IsNullOrEmpty($CdnEdgeNodesFilePath) -and (Test-Path -Path $CdnEdgeNodesFilePath)) < $CdnData = Get-Content -Path $CdnEdgeNodesFilePath -Raw -ErrorAction SilentlyContinue | ConvertFrom-Json | Select-Object -ExpandProperty value | Where-Object < $_.name -eq 'Premium_Verizon'>| Select -Object -first 1 -ExpandProperty Свойства | Select -object -expandproperty ipaddressgroups $ cdndata | Select -Object -ExpandProperty IPv4Addresses | Foreach-обект < if ($TLESb.Length -eq $PreBlock.Length) < $TLESb.Append(" if(") | Out-Null >иначе < $TLESb.AppendLine() | Out-Null $TLESb.Append(" || ") | Out-Null >$ Tlesb.Допълнение ("isinnetex (drolved_ip,` "$ ($ _.Baseipaddress)/$ ($ _.Префикс -дължина) `") ") | Out-null> $ cdndata | Select -Object -ExpandProperty IPv6Addresses | Foreach-обект < if ($TLESb.Length -eq $PreBlock.Length) < $TLESb.Append(" if(") | Out-Null >иначе < $TLESb.AppendLine() | Out-Null $TLESb.Append(" || ") | Out-Null >$ Tlesb.Допълнение ("isinnetex (drolved_ip,` "$ ($ _.Baseipaddress)/$ ($ _.Префикс -дължина) `") ") | Out-null >> $ azureipsurl = invoke-webrequest -uri "https: // www.Microsoft.com/en-us/изтегляне/потвърждение.Aspx?Id = 56519 "-UsebasicParsing -ErrorAction SilentyContinue | Select -Object -ExpandProperty Връзки | Select -Object -ExpandProperty Href | Where -Object < $_.EndsWith('.json') -and $_ -match 'ServiceTags' >| SELECT -OBJECT -first 1 if ($ azureipSurl) < Invoke-RestMethod -Uri $AzureIPsUrl -ErrorAction SilentlyContinue | Select-Object -ExpandProperty values | Where-Object < $_.name -eq 'AzureFrontDoor.Frontend' >| Select -Object -first 1 -ExpandProperty Свойства | SELECT -OBJECT -EXPANDPROPERTY ADDRYPREFIXES | Foreach-обект < if ($TLESb.Length -eq $PreBlock.Length) < $TLESb.Append(" if(") | Out-Null >иначе < $TLESb.AppendLine() | Out-Null $TLESb.Append(" || ") | Out-Null >$ Tlesb.Допълнение ("isinnetex (resolved_ip,` "$ _`") ") | Външен.Дължина -gt $ preblock.Дължина) < $TLESb.AppendLine(")") | Out-Null $TLESb.AppendLine(" <") | Out-Null $TLESb.AppendLine(" return $directProxyVarName;") | Out-Null $TLESb.AppendLine(" >") | Out-null> else < $TLESb.AppendLine(" // no addresses found for service via script") | Out-Null >$ Tlesb.Appendline (">") | Външно нулево връщане $ tlesb.ToString ()> функция get-regex < param( [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [string] $Fqdn ) return "^" + $Fqdn.Replace(".", "\.").Replace("*", ".*").Replace("?", ".?") + "$" >функция съвпадение-regexlist < param( [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [string] $ToMatch, [Parameter(Mandatory = $false)] [string[]] $MatchList ) if (!$MatchList) < return $false >foreach ($ regex в $ matchlist) < if ($regex -ne $ToMatch -and $ToMatch -match (Get-Regex $regex)) < return $true >> return $ false> функция get-endpoints < $url = $baseServiceUrl if ($TenantName) < $url += "&TenantName=$TenantName" >ако ($ serviceareas) < $url += "&ServiceAreas=" + ($ServiceAreas -Join ",") >return invoke-restMethod -uri $ url> функция get-urls < param( [Parameter(Mandatory = $false)] [psobject[]] $Endpoints ) if ($Endpoints) < return $Endpoints | Where-Object < $_.urls >| Foreach-обект < $_.urls >| SORT-OBJECT -unique> return @()> функция get-urlvartuple < param( [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [string] $VarName, [Parameter(Mandatory = $false)] [string[]] $Urls ) return New-Object 'Tuple[string,string[]]'($VarName, $Urls) >функция get-mapvarurls < Write-Verbose "Retrieving all endpoints for instance $Instance from web service." $Endpoints = Get-Endpoints if ($Type -eq 1) < $directUrls = Get-Urls ($Endpoints | Where-Object < $_.category -eq "Optimize" >) $ nondirectpriorityurls = get-urls ($ endpoints | where-object < $_.category -ne "Optimize" >) | Където-обект < Match-RegexList $_ $directUrls >return @(get -urlvartuple -varname $ defaultproxyvarname -urls $ nondirectpriorityurls get -urlvartuple -varname $ directproxyvarname -urls $ directurls)> elseif ($ type -eq 2) < $directUrls = Get-Urls ($Endpoints | Where-Object < $_.category -in @("Optimize", "Allow")>) $ nondirectpriorityurls = get-urls ($ endpoints | where-object < $_.category -notin @("Optimize", "Allow") >) | Където-обект < Match-RegexList $_ $directUrls >return @(get -urlvartuple -varname $ defaultProxyVarname -urls $ nondirectriorityurls get -urlvartuple -varname $ directproxyvarname -urls $ directurls) >> ##################### ##################### #### ° С ################################################## ############################################## ### Основен скрипт ############# ### Главен скрипт #### ################################################## ################################################## ########### $ content = get-pacstring (get-mapvarurls), ако ($ filepath) < $content | Out-File -FilePath $FilePath -Encoding ascii >иначеСкриптът автоматично ще анализира списъка с Azure въз основа на URL адреса и клавишите за изтегляне Azurefrontdoor.Frontend, Така че няма нужда да го получавате ръчно.
Отново не е препоръчително да се извършва VPN разтоварване, като се използва само FQDN; използване и двете FQDNS и IP адресите във функцията помагат да се обхване използването на това разтоварване на ограничен набор от крайни точки, включително събития на живо/поток. Начинът, по който функцията е структурирана, ще доведе до извършване на търсене на DNS за FQDN, който съвпада с изброените от клиента директно, i.E. Разделителната способност на DNS на останалите пространства от имена остава непроменена.
Ако искате да ограничите риска от разтоварване на крайните точки, които не са свързани с събития на живо и поток, можете да премахнете *.Azureedge.нета Домейн от конфигурацията, където се крие по -голямата част от този риск, тъй като това е споделен домейн, използван за всички клиенти на Azure CDN. Недостатъкът на това е, че всяко събитие, използващо външен енкодер, няма да бъде оптимизирано, но събитията, произведени/организирани в екипи, ще бъдат.
3. Конфигуриране на маршрутизиране на VPN, за да активирате директния изход
Последната стъпка е да добавите директен маршрут за IPS на живо, описани в Събиране на текущите списъци на крайните точки на CDN в конфигурацията на VPN, за да се гарантира, че трафикът не е изпратен през принудителния тунел във VPN. Подробна информация за това как да направите това за Microsoft 365 Оптимизиране на крайните точки можете да намерите в секцията за разделителни тунели за реализация на VPN за изпълнение на VPN разделен тунел за Microsoft 365. Процесът е абсолютно същият за IPS на потока/събитията на живо, изброени в този документ.
Обърнете внимание, че само IPS (не FQDN) от събирането на текущите списъци на крайните точки на CDN трябва да се използва за VPN конфигурация.
ЧЗВ
Това ще изпрати ли целия ми трафик до услугата директно?
Не, това ще изпрати чувствителния към латентност трафик за стрийминг за събитие на живо или видео директно, всеки друг трафик ще продължи да използва VPN тунела, ако не разреши към публикуваните IPS.
Трябва ли да използвам IPv6 адресите?
Не, свързаността може да бъде IPv4 само ако е необходимо.
Защо тези IPS не са публикувани в URL/IP услуга на Microsoft 365?
Microsoft има строги контроли около формата и вида информация, която е в услугата, за да гарантира, че клиентите могат надеждно да използват информацията за внедряване на защитен и оптимален маршрут въз основа на категорията на крайната точка.
The По подразбиране Категорията на крайната точка няма предоставена информация за IP по много причини (крайните точки по подразбиране могат да бъдат извън контрола на Microsoft, може да се променя твърде често или може да бъде в блокове, споделени с други елементи). Поради тази причина крайните точки по подразбиране са проектирани да бъдат изпращани чрез FQDN до прокси за инспектиране, като нормален уеб трафик.
В този случай горните крайни точки са CDN, които могат да бъдат използвани от немикрозофт контролирани елементи, различни от събития на живо или поток, и по този начин изпращането на директния трафик също ще означава всичко друго, което се разрешава на тези IPS, също ще бъде изпратено директно от клиента. Поради уникалния характер на настоящата глобална криза и за да отговори на краткосрочните нужди на нашите клиенти, Microsoft предостави информацията по-горе, която клиентите да използват, както сметнат за добре.
Microsoft работи за преконфигуриране на крайните точки на събитията на живо, за да им позволи да бъдат включени в категориите Allow/Optimize Endpoint в бъдеще.
Трябва ли само да допусна достъп до тези ips?
Не, достъп до всички Изисква се Маркираните крайни точки в URL/IP услугата са от съществено значение за експлоатацията на услугата. В допълнение, е необходима всяка незадължителна крайна точка, маркирана за поток (ID 41-45).
Какви сценарии ще обхваща този съвет?
Дали този съвет обхваща трафика на водещия?
Това не е така, съветът по -горе е чисто за тези, които консумират услугата. Представянето на екипите ще види трафикът на водещия, който се движи към оптимизирането на маркирани крайни точки на UDP, изброени в URL/IP услуга ROW 11 с подробни съвети за разтоварване на VPN, описани в секцията за тунелиране на VPN за изпълнение на VPN за разделяне на VPN за тунелиране на Microsoft 365.
Дали този конфигурационен риск трафик, различен от събитията на живо и поток, изпращат директно?
Да, поради споделените FQDN, използвани за някои елементи на услугата, това е неизбежно. Този трафик обикновено се изпраща чрез корпоративен прокси, който може да приложи инспекция. При сценарий на VPN разделен тунел, използвайки както FQDN, така и IPS, ще обхване този риск до минимум, но той все още ще съществува. Клиентите могат да премахнат *.Azureedge.нета domain from the offload configuration and reduce this risk to a bare minimum but this will remove the offload of Stream-supported Live Events (Teams-scheduled, external encoder events, Viva Engage events produced in Teams, Viva Engage-scheduled external encoder events, and Поток планирани събития или гледане при поискване от поток). Събитията, насрочени и продуцирани в екипи, не се влияят.