Sdílet prostřednictvím


Vysvětlení privátního síťového konektoru Microsoft Entra

Konektory umožňují Microsoft Entra Soukromý přístup a proxy aplikací. Jsou jednoduché, snadno se nasazují a udržují a jsou supervýkonné. Tento článek popisuje, co jsou konektory, jak fungují, a některé návrhy, jak optimalizovat nasazení.

Co je privátní síťový konektor?

Konektory jsou odlehčené agenty, kteří se nacházejí v privátní síti a usnadňují odchozí připojení ke službám Microsoft Entra Soukromý přístup a proxy aplikací. Konektory musí být nainstalované na Windows Serveru, který má přístup k back-endovým prostředkům. Konektory můžete uspořádat do skupin konektorů, přičemž každá skupina zpracovává provoz do konkrétních prostředků. Další informace o proxy aplikací a diagramové reprezentaci architektury proxy aplikací najdete v tématu Použití proxy aplikací Microsoft Entra k publikování místních aplikací pro vzdálené uživatele.

Informace o konfiguraci privátního síťového konektoru Microsoft Entra najdete v tématu Konfigurace privátních síťových konektorů pro Microsoft Entra Soukromý přístup.

Konektory privátní sítě jsou odlehčené agenty nasazené místně, které usnadňují odchozí připojení ke službě proxy aplikací v cloudu. Konektory musí být nainstalované na Windows Serveru, který má přístup k back-endové aplikaci. Uživatelé se připojují ke cloudové službě proxy aplikací, která směruje provoz do aplikací prostřednictvím konektorů.

Nastavení a registrace mezi konektorem a službou proxy aplikací se provádí takto:

  1. Správce IT otevře porty 80 a 443 pro odchozí provoz a povolí přístup k několika adresám URL potřebným konektorem, službě proxy aplikací a ID Microsoft Entra.
  2. Správce se přihlásí do Centra pro správu Microsoft Entra a spustí spustitelný soubor pro instalaci konektoru na místní windows server.
  3. Konektor začne "naslouchat" službě proxy aplikací.
  4. Správce přidá místní aplikaci do MICROSOFT Entra ID a nakonfiguruje nastavení, jako jsou adresy URL, které uživatelé potřebují pro připojení ke svým aplikacím.

Doporučujeme vždy nasadit více konektorů pro redundanci a škálování. Konektory ve spojení se službou se postará o všechny úlohy s vysokou dostupností a dají se přidávat nebo odebírat dynamicky. Pokaždé, když dorazí nový požadavek, se přesměruje na jeden z dostupných konektorů. Když je konektor spuštěný, zůstane aktivní, protože se připojuje ke službě. Pokud je konektor dočasně nedostupný, nereaguje na tento provoz. Nepoužité konektory se označí jako neaktivní a odeberou se po 10 dnech nečinnosti.

Konektory se také dotazují na server a zjistěte, jestli existuje novější verze konektoru. I když můžete provést ruční aktualizaci, konektory se aktualizují automaticky, pokud je spuštěná služba Updater privátního síťového konektoru. U tenantů s více konektory cílí automatické aktualizace vždy na jeden konektor v každé skupině, aby se zabránilo výpadkům ve vašem prostředí.

Poznámka:

Můžete sledovat stránku historie verzí, abyste měli přehled o nejnovějších aktualizacích.

Každý privátní síťový konektor je přiřazen ke skupině konektorů. Konektory ve stejné skupině konektorů fungují jako jedna jednotka pro zajištění vysoké dostupnosti a vyrovnávání zatížení. Můžete vytvářet nové skupiny, přiřazovat jim konektory v Centru pro správu Microsoft Entra a pak přiřazovat konkrétní konektory pro obsluhu konkrétních aplikací. Pro zajištění vysoké dostupnosti doporučujeme mít v každé skupině konektorů aspoň dva konektory.

Skupiny konektorů jsou užitečné, když potřebujete podporovat následující scénáře:

  • Publikování geografických aplikací
  • Segmentace/izolace aplikací
  • Publikování webových aplikací běžících v cloudu nebo v místním prostředí

Další informace o volbě umístění instalace konektorů a optimalizaci sítě naleznete v tématu Důležité informace o síťové topologii při použití proxy aplikace Microsoft Entra.

Údržba

Konektory a služba se postará o všechny úlohy s vysokou dostupností. Dají se přidávat nebo odebírat dynamicky. Nové požadavky se směrují na jeden z dostupných konektorů. Pokud je konektor dočasně nedostupný, nereaguje na tento provoz.

Konektory jsou bezstavové a nemají na počítači žádná konfigurační data. Jediná uložená data jsou nastavení pro připojení služby a jeho ověřovacího certifikátu. Když se připojí ke službě, vyžádají si všechna požadovaná konfigurační data a aktualizují je každých pár minut.

Konektory se také dotazují na server a zjistěte, jestli existuje novější verze konektoru. Pokud se najde, konektory se aktualizují samy.

Konektory můžete monitorovat z počítače, na kterém běží, pomocí protokolu událostí a čítačů výkonu. Jejich stav můžete zobrazit také v Centru pro správu Microsoft Entra. Pokud chcete Microsoft Entra Soukromý přístup, přejděte do části Globální zabezpečený přístup, Připojit a vyberte Konektory. V případě proxy aplikací přejděte na Identity, Applications, Enterprise applications a vyberte aplikaci. Na stránce aplikace vyberte proxy aplikace.

Konektory, které se nepoužívají, nemusíte odstraňovat ručně. Když je konektor spuštěný, zůstane aktivní, protože se připojuje ke službě. Nepoužité konektory jsou označené jako _inactive_ a odeberou se po 10 dnech nečinnosti. Pokud ale chcete odinstalovat konektor, odinstalujte službu Connector i službu Updater ze serveru. Restartujte počítač, aby se služba úplně odebrala.

Automatické aktualizace

MICROSOFT Entra ID poskytuje automatické aktualizace pro všechny konektory, které nasadíte. Pokud je spuštěná služba aktualizátoru privátního síťového konektoru, vaše konektory se automaticky aktualizují s nejnovější hlavní verzí konektoru. Pokud na serveru nevidíte službu Connector Updater, musíte konektor přeinstalovat, abyste získali aktualizace.

Pokud nechcete čekat, až se automatická aktualizace do vašeho konektoru dostane, můžete provést ruční upgrade. Přejděte na stránku pro stažení konektoru na serveru, kde se nachází váš konektor, a vyberte Stáhnout. Tento proces zahájí upgrade místního konektoru.

U tenantů s více konektory cílí automatické aktualizace vždy na jeden konektor v každé skupině, aby se zabránilo výpadkům ve vašem prostředí.

Pokud se konektor aktualizuje, může dojít k výpadku:

  • Máte jenom jeden konektor. Druhý konektor a skupina konektorů se doporučuje zabránit výpadkům a zajistit vyšší dostupnost.
  • Konektor byl uprostřed transakce, když se aktualizace začala. I když dojde ke ztrátě počáteční transakce, prohlížeč by měl operaci opakovat automaticky nebo můžete aktualizovat stránku. Když se požadavek znovu odešle, provoz se přesměruje do záložního konektoru.

Informace o dříve vydaných verzích a o změnách, které obsahují, najdete v tématu Historie verzí proxy aplikací.

Vytváření skupin konektorů

Skupiny konektorů umožňují přiřadit konkrétní konektory pro obsluhu konkrétních aplikací. Můžete seskupit mnoho konektorů a pak přiřadit každý prostředek nebo aplikaci ke skupině.

Skupiny konektorů usnadňují správu velkých nasazení. Také zlepšují latenci pro tenanty, kteří mají prostředky a aplikace hostované v různých oblastech, protože můžete vytvářet skupiny konektorů založené na umístění, které budou sloužit pouze místním aplikacím.

Další informace oskupinách

Zabezpečení a sítě

Konektory je možné nainstalovat kdekoli v síti, které jim umožní odesílat požadavky do Microsoft Entra Soukromý přístup a služby proxy aplikací. Důležité je, že počítač, na kterém je spuštěný konektor, má také přístup k vašim aplikacím a prostředkům. Konektory můžete nainstalovat v podnikové síti nebo na virtuální počítač, který běží v cloudu. Konektory můžou běžet v rámci hraniční sítě, označované také jako demilitarizovaná zóna (DMZ), ale není to nutné, protože veškerý provoz je odchozí, takže vaše síť zůstane zabezpečená.

Konektory odesílají jenom odchozí požadavky. Odchozí provoz se odesílá do služby a do publikovaných prostředků a aplikací. Příchozí porty nemusíte otevírat, protože provoz prochází oběma způsoby, jakmile je relace vytvořena. Také nemusíte konfigurovat příchozí přístup přes brány firewall.

Další informace o konfiguraci odchozích pravidel brány firewall najdete v tématu Práce se stávajícími místními proxy servery.

Výkon a škálovatelnost

Škálování pro Microsoft Entra Soukromý přístup a služby proxy aplikací je transparentní, ale škálování je faktorem pro konektory. Potřebujete dostatek konektorů pro zpracování provozu ve špičce. Konektory jsou bezstavové a počet uživatelů nebo relací je neovlivní. Místo toho reagují na počet požadavků a jejich velikost datové části. U standardního webového provozu dokáže průměrný počítač zpracovat 2 000 požadavků za sekundu. Konkrétní kapacita závisí na přesných vlastnostech stroje.

Cpu a síť definují výkon konektoru. K šifrování a dešifrování protokolu TLS je potřeba výkon procesoru, zatímco pro zajištění rychlého připojení k aplikacím a online službě je důležité síť.

Naproti tomu paměť není pro konektory méně problém. Online služba se stará o většinu zpracování a veškerého neověřeného provozu. Všechno, co je možné udělat v cloudu, se provádí v cloudu.

Pokud konektory nebo počítače nejsou dostupné, provoz přejde do jiného konektoru ve skupině. Odolnost zajišťuje více konektorů ve skupině konektorů.

Dalším faktorem, který ovlivňuje výkon, je kvalita sítě mezi konektory, včetně:

  • Online služba: Pomalé nebo vysoce latence připojení ke službě Microsoft Entra ovlivňují výkon konektoru. Pokud chcete dosáhnout nejlepšího výkonu, připojte vaši organizaci k Microsoftu pomocí ExpressRoute. V opačném případě požádejte síťový tým, aby se připojení k Microsoftu zpracovala co nejefektivněji.
  • Back-endové aplikace: V některých případech existují další proxy servery mezi konektorem a back-endovými prostředky a aplikacemi, které můžou zpomalit nebo zabránit připojení. Pokud chcete tento scénář vyřešit, otevřete prohlížeč ze serveru konektoru a zkuste získat přístup k aplikaci nebo prostředku. Pokud konektory spouštíte v cloudu, ale aplikace jsou místní, nemusí být prostředí to, co uživatelé očekávají.
  • Řadiče domény: Pokud konektory provádějí jednotné přihlašování (SSO) pomocí omezeného delegování protokolu Kerberos, před odesláním požadavku do back-endu kontaktují řadiče domény. Konektory mají mezipaměť lístků Kerberos, ale v zaneprázdněném prostředí může rychlost odezvy řadičů domény ovlivnit výkon. Tento problém je častější u konektorů, které běží v Azure, ale komunikují s řadiči domény, které jsou místní.

Další informace o optimalizaci sítě naleznete v tématu Aspekty topologie sítě při použití proxy aplikací Microsoft Entra.

Specifikace a požadavky na rozměry

Pro každý konektor privátní sítě Entra se doporučují následující specifikace:

  • paměť : 8 GiB nebo více
  • procesor : 4 jádra procesoru nebo více

Zajistěte, aby konektory byly méně než 70% pro špičkové využití paměti a špičkové využití CPU. Pokud využití procesoru nebo paměti překračuje navrhované maximum, můžete zvážit přidání dalších konektorů pro efektivní distribuci úloh.

  • propustnost : Každý konektor nakonfigurovaný s výše uvedenými specifikacemi může podporovat až 1,5 Gb/s propustnost přes TCP na virtuálním počítači Azure. Propustnost se měří jako celkový součet příchozího i odchozího provozu. Vyšší propustnost lze dosáhnout spuštěním konektoru na virtuálních počítačích se zvýšenou pamětí, prostředky procesoru a vyšší rychlostí síťového propojení.

Další podrobnosti:

  • Výše uvedená doporučení ohledně velikosti vycházejí z testování výkonu provedeného na testovacím prostředí pomocí nástroje iPerf3 se streamy dat TCP. Skutečný výkon se může lišit v různých testovacích prostředích. Další podrobnosti o konkrétních testovacích případech budou publikovány v rámci této dokumentace v nadcházejících měsících.
  • Jakmile je konektor zaregistrovaný, vytvoří odchozí tunely TLS s infrastrukturou cloudu privátního přístupu. Tyto tunely zpracovávají veškerý provoz cesty k datům. Kromě toho máme nějaký řídicí kanál, který řídí udržovací signál, hlášení stavu, aktualizace konektorů atd. s využitím minimální šířky pásma.
  • Můžete nasadit další konektory ve stejné skupině konektorů, abyste zvýšili celkovou propustnost za předpokladu, že je k dispozici odpovídající síťové připojení a připojení k internetu. Doporučuje se udržovat minimálně dva konektory, které jsou v pořádku, aby se zajistila odolnost a konzistentní dostupnost. Osvědčené postupy týkající se vysoké dostupnosti najdete v pokynech zde.

Připojení k doméně

Konektory se můžou spouštět na počítači, který není připojený k doméně. Pokud ale chcete jednotné přihlašování (SSO) k aplikacím, které používají integrované ověřování Systému Windows (IWA), potřebujete počítač připojený k doméně. V tomto případě musí být počítače konektorů připojené k doméně, která může jménem uživatelů pro publikované aplikace provádět omezené delegování protokolu Kerberos .

Konektory je také možné připojit k doménám v doménových strukturách, které mají částečný vztah důvěryhodnosti, nebo k řadičům domény jen pro čtení.

Nasazení konektorů v posílených prostředích

Nasazení konektoru je obvykle jednoduché a nevyžaduje žádnou speciální konfiguraci.

Existuje však několik jedinečných podmínek, které by se měly zvážit:

  • Odchozí provoz vyžaduje otevření konkrétních portů. Další informace najdete v tématu konfigurace konektorů.
  • Počítače kompatibilní se standardem FIPS můžou vyžadovat změnu konfigurace, aby procesy konektoru mohly generovat a ukládat certifikáty.
  • Odchozí proxy servery můžou dvoucestné ověřování certifikátu přerušit a způsobit selhání komunikace.

Ověřování konektoru

Aby bylo možné zajistit zabezpečenou službu, musí se konektory ověřit ve službě a služba se musí ověřit vůči konektoru. Toto ověřování se provádí pomocí certifikátů klienta a serveru, když konektory zahájí připojení. Tímto způsobem se uživatelské jméno a heslo správce neukládají na počítači konektoru.

Použité certifikáty jsou specifické pro službu. Vytvoří se během počáteční registrace a automaticky se obnoví každých pár měsíců.

Po prvním úspěšném obnovení certifikátu nemá služba Microsoft Entra private network Connector service (Network Service) oprávnění k odebrání starého certifikátu z místního úložiště počítačů. Pokud platnost certifikátu vyprší nebo ho služba nepoužívá, můžete ho bezpečně odstranit.

Pokud se chcete vyhnout problémům s obnovením certifikátu, ujistěte se, že je povolená síťová komunikace z konektoru směrem k zdokumentovaným cílům .

Pokud konektor není připojený ke službě po dobu několika měsíců, můžou být jeho certifikáty zastaralé. V takovém případě odinstalujte a znovu nainstalujte konektor, aby se aktivovala registrace. Můžete spustit následující příkazy PowerShellu:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Pro státní správu použijte -EnvironmentName "AzureUSGovernment". Další informace najdete v tématu Instalace agenta pro cloud Azure Government.

Informace o ověření certifikátu a řešení potíží najdete v tématu Ověření podpory komponent počítače a back-endu pro certifikát důvěryhodnosti proxy aplikací.

Pod pokličkou

Konektory se instalují na Windows Server, takže mají většinu stejných nástrojů pro správu, včetně protokolů událostí systému Windows a čítačů výkonu Windows.

Konektory mají protokoly pro správu i relaci . Protokol správce obsahuje klíčové události a jejich chyby. Protokol relace obsahuje všechny transakce a podrobnosti o jejich zpracování.

Pokud chcete zobrazit protokoly, otevřete Prohlížeč událostí a přejděte do >> Pokud chcete protokol relace zobrazit, v nabídce Zobrazení vyberte Zobrazit analytické a ladicí protokoly. Protokol relace se obvykle používá k řešení potíží a ve výchozím nastavení je zakázaný. Povolte ho, abyste mohli začít shromažďovat události a zakázat je, když už je nepotřebujete.

Stav služby můžete prozkoumat v okně Služby. Konektor je tvořen dvěma službami Systému Windows: skutečným konektorem a aktualizátorem. Obě musí běžet pořád.

Neaktivní konektory

Běžným problémem je, že konektory se ve skupině konektorů zobrazují jako neaktivní. Běžnou příčinou neaktivních konektorů je brána firewall blokující požadované porty.

Další kroky