Sdílet prostřednictvím

Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra

  • Článek

Zjistěte, jak optimalizovat tok provozu a aspekty topologie sítě při používání proxy aplikací Microsoft Entra.

Tok provozu

Když je aplikace publikovaná prostřednictvím proxy aplikací Microsoft Entra, provoz od uživatelů do aplikací prochází třemi připojeními:

  1. Uživatel se připojí k veřejnému koncovému bodu proxy aplikace Microsoft Entra v Azure.
  2. Privátní síťový konektor se připojí ke službě proxy aplikací (odchozí)
  3. Privátní síťový konektor se připojí k cílové aplikaci.

Diagram znázorňující tok provozu od uživatele do cílové aplikace

Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací

Když si zaregistrujete tenanta Microsoft Entra, oblast vašeho tenanta se nastaví s vámi zvolenou oblastí. Výchozí instance cloudové služby proxy aplikací používají stejnou nebo nejbližší oblast jako váš tenant Microsoft Entra.

Pokud je například oblast vašeho tenanta Microsoft Entra Spojené království, přiřadí se ve výchozím nastavení všechny vaše privátní síťové konektory k používání instancí služeb v evropských datových centrech. Když uživatelé přistupují k publikovaným aplikacím, jejich provoz prochází instancemi cloudové služby proxy aplikací v tomto umístění.

Pokud máte konektory nainstalované v oblastech, které se liší od výchozí oblasti, je vhodné změnit oblast, ve které je vaše skupina konektorů optimalizovaná, aby se zlepšil přístup k těmto aplikacím. Jakmile je pro skupinu konektorů zadaná oblast, připojí se ke cloudovým službám proxy aplikací v určené oblasti.

Pokud chcete optimalizovat tok provozu a snížit latenci skupině konektorů, přiřaďte skupinu konektorů k nejbližší oblasti. Přiřazení oblasti:

Důležité

Aby bylo možné tuto funkci používat, musí konektory používat alespoň verzi 1.5.1975.0.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.

  2. Vyberte své uživatelské jméno v pravém horním rohu. Ověřte, že jste přihlášení k adresáři, který používá proxy aplikace. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikace.

  3. Přejděte na proxy aplikace podnikové aplikace>identit>>.

  4. Vyberte Novou skupinu konektorů a zadejte název skupiny konektorů.

  5. V části Upřesnit nastavení vyberte rozevírací seznam v části Optimalizovat pro konkrétní oblast a vyberte oblast, která je nejblíže konektorům, a pak vyberte Uložit.

    Nakonfigurujte novou skupinu konektorů.

  6. Vyberte konektory, které chcete přiřadit ke skupině konektorů.

    Konektory můžete přesunout jenom do skupiny konektorů, pokud jsou ve skupině konektorů pomocí výchozí oblasti. Začněte konektorem ve výchozí skupině konektorů. Pak ho přesuňte do příslušné skupiny konektorů.

    Oblast skupiny konektorů můžete změnit jenom v případě, že k ní nejsou přiřazené žádné konektory nebo aplikace.

  7. Přiřaďte ke svým aplikacím skupinu konektorů. Provoz směřuje do cloudové služby proxy aplikací v oblasti optimalizované skupiny konektorů.

Předpoklady pro snížení latence

Všechna řešení proxy serveru do vašeho síťového připojení zavádějí latenci. Bez ohledu na to, které řešení proxy serveru nebo VPN zvolíte jako řešení vzdáleného přístupu, bude vždy obsahovat sadu serverů, které umožňují připojení k vaší podnikové síti.

Organizace obvykle zahrnují koncové body serveru do hraniční sítě. S proxy aplikací Microsoft Entra ale provoz prochází přes proxy službu v cloudu, zatímco konektory se nacházejí ve vaší podnikové síti. Není vyžadována žádná hraniční síť.

Další části obsahují další návrhy, které vám pomůžou ještě více snížit latenci.

Umístění konektoru

Proxy aplikace zvolí umístění instancí za vás na základě umístění vašeho tenanta. Můžete se ale rozhodnout, kam konektor nainstalovat, abyste mohli definovat charakteristiky latence síťového provozu.

Při nastavování služby proxy aplikací položte následující otázky:

  • Kde se aplikace nachází?
  • Kde se nachází většina uživatelů, kteří přistupují k aplikaci?
  • Kde se nachází instance proxy aplikace?
  • Máte už nastavené vyhrazené síťové připojení k datovým centrům Microsoftu, jako je Azure ExpressRoute nebo podobná síť VPN?

Konektor musí komunikovat s Microsoft Entra ID i vašimi aplikacemi. Kroky 2 a 3 představují komunikaci v diagramu toku provozu. Umístění konektoru ovlivňuje latenci těchto dvou připojení. Při vyhodnocování umístění spojnice mějte na paměti tyto body.

  • Potvrďte "řádek lokality" mezi konektorem a datovým centrem pro omezené delegování protokolu Kerberos (KCD). Kromě toho musí být server konektoru připojený k doméně.
  • Nainstalujte konektor co nejblíže aplikaci.

Obecný přístup k minimalizaci latence

Minimalizujte latenci koncového provozu optimalizací jednotlivých síťových připojení.

  • Zmenšete vzdálenost mezi dvěma konci segmentu směrování.
  • Zvolte správnou síť, kterou chcete procházet. Například procházení privátní sítě místo veřejného internetu může být rychlejší kvůli vyhrazeným odkazům.

Zvažte použití vyhrazeného propojení VPN nebo ExpressRoute mezi Microsoftem a vaší podnikovou sítí.

Zaměření strategie optimalizace

K řízení připojení mezi uživateli a službou proxy aplikací můžete udělat jen málo. Uživatelé mají přístup k aplikacím z domácí sítě, z kavárny nebo z jiné oblasti. Místo toho můžete optimalizovat připojení ze služby proxy aplikací k privátním síťovým konektorům k aplikacím. Zvažte začlenění následujících vzorů do vašeho prostředí.

Model 1: Umístění konektoru blízko aplikace

Umístěte konektor blízko cílové aplikace v síti zákazníka. Tato konfigurace minimalizuje krok 3 v topografickém diagramu, protože konektor a aplikace jsou zavřené.

Pokud váš konektor potřebuje na řadič domény čáru, je tento vzor výhodný. Většina našich zákazníků tento model používá, protože funguje dobře pro většinu scénářů. Tento model lze také kombinovat se vzorem 2, který optimalizuje provoz mezi službou a konektorem.

Model 2: Využití expressRoute s partnerským vztahem Microsoftu

Pokud máte v partnerském vztahu Microsoftu nastavené ExpressRoute, můžete pro provoz mezi proxy aplikací a konektorem použít rychlejší připojení ExpressRoute. Konektor je stále ve vaší síti, blízko aplikace.

Model 3: Využití expressRoute s privátním partnerským vztahem

Pokud máte vyhrazenou síť VPN nebo ExpressRoute nastavenou s privátním partnerským vztahem mezi Azure a podnikovou sítí, máte jinou možnost. V této konfiguraci se virtuální síť v Azure obvykle považuje za rozšíření podnikové sítě. Konektor tak můžete nainstalovat do datacentra Azure a přesto splnit požadavky na nízkou latenci připojení konektoru k aplikaci.

Latence není ohrožená, protože provoz prochází přes vyhrazené připojení. Také získáte vylepšenou latenci služby proxy aplikací na konektor, protože konektor je nainstalovaný v datacentru Azure blízko umístění tenanta Microsoft Entra.

Diagram znázorňující konektor nainstalovaný v datacentru Azure

Další přístupy

I když se tento článek zaměřuje na umístění konektoru, můžete také změnit umístění aplikace, abyste získali lepší charakteristiky latence.

Organizace stále častěji přesouvají své sítě do hostovaných prostředí. Přesun jim umožňuje umístit své aplikace do hostovaného prostředí, které je také součástí podnikové sítě, a stále v doméně. V tomto případě se vzory probírané v předchozích částech dají použít na nové umístění aplikace. Pokud zvažujete tuto možnost, přečtěte si téma Microsoft Entra Domain Services.

Kromě toho zvažte uspořádání konektorů pomocí skupin konektorů do cílových aplikací, které jsou v různých umístěních a sítích.

Diagramy pro běžné případy použití

V této části si projdeme několik běžných scénářů. Předpokládejme, že tenant Microsoft Entra (a proto koncový bod proxy služby) se nachází v USA (USA). Aspekty probírané v těchto případech použití platí také pro jiné oblasti po celém světě.

V těchto scénářích voláme každé připojení "segment směrování" a očíslujeme je pro snadnější diskuzi:

  • Segment směrování 1: Uživatel do služby proxy aplikací
  • Segment směrování 2: Služba proxy aplikací do privátního síťového konektoru
  • Segment směrování 3: Konektor privátní sítě do cílové aplikace

Případ použití 1

Scénář: Aplikace je v síti organizace v USA s uživateli ve stejné oblasti. Mezi datacentrem Azure a podnikovou sítí neexistuje žádná síť ExpressRoute ani VPN.

Doporučení: Postupujte podle vzoru 1, který je vysvětlený v předchozí části. Pokud chcete zvýšit latenci, zvažte v případě potřeby použití ExpressRoute.

Optimalizujte segment směrování 3 umístěním konektoru do aplikace. Konektor se obvykle instaluje s dohledem aplikace a datacentra pro provádění operací KCD.

Diagram znázorňující uživatele, proxy server, konektor a aplikaci jsou všechny v USA

Případ použití 2

Scénář: Aplikace je v síti organizace v USA, kde se uživatelé šíří globálně. Mezi datacentrem Azure a podnikovou sítí neexistuje žádná síť ExpressRoute ani VPN.

Doporučení: Postupujte podle vzoru 1, který je vysvětlený v předchozí části.

Běžným vzorem je optimalizace segmentu směrování 3, kde umístíte konektor do blízkosti aplikace. Segment směrování 3 není obvykle nákladný, pokud je to vše ve stejné oblasti. Segment směrování 1 ale může být dražší v závislosti na tom, kde je uživatel, protože uživatelé po celém světě musí přistupovat k instanci proxy aplikací v USA. Stojí za zmínku, že jakékoli řešení proxy má podobné charakteristiky týkající se globálního šíření uživatelů.

Uživatelé se šíří globálně, ale všechno ostatní je v USA

Případ použití 3

Scénář: Aplikace je v síti organizace v USA. Mezi Azure a podnikovou sítí existuje ExpressRoute s partnerským vztahem Microsoftu.

Doporučení: Postupujte podle vzorů 1 a 2, které jsou vysvětlené v předchozí části.

Nejprve umístěte konektor co nejblíže aplikaci. Systém pak automaticky používá ExpressRoute pro segment směrování 2.

Pokud propojení ExpressRoute používá partnerský vztah Microsoftu, provoz mezi proxy serverem a konektorem prochází přes tento odkaz. Segment směrování 2 využívá optimální latenci.

Diagram znázorňující ExpressRoute mezi proxy serverem a konektorem

Případ použití 4

Scénář: Aplikace je v síti organizace v USA. ExpressRoute s privátním partnerským vztahem existuje mezi Azure a podnikovou sítí.

Doporučení: Postupujte podle vzoru 3, který je vysvětlený v předchozí části.

Umístěte konektor do datacentra Azure, které je připojené k podnikové síti prostřednictvím privátního partnerského vztahu ExpressRoute.

Konektor je možné umístit do datacentra Azure. Vzhledem k tomu, že konektor má stále přehled o aplikaci a datacentru prostřednictvím privátní sítě, segment směrování 3 zůstává optimalizovaný. Kromě toho je segment směrování 2 dále optimalizovaný.

Konektor v datacentru Azure, ExpressRoute mezi konektorem a aplikací

Případ použití 5

Scénář: Aplikace je v síti organizace v Evropě, výchozí oblast tenanta je USA s většinou uživatelů v Evropě.

Doporučení: Umístěte konektor do blízkosti aplikace. Aktualizujte skupinu konektorů tak, aby používala instance proxy aplikací Pro Evropu. Postup najdete v tématu Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací.

Vzhledem k tomu, že uživatelé Evropy přistupují k instanci proxy aplikací, která se stane ve stejné oblasti, není segment směrování 1 nákladný. Segment směrování 3 je optimalizovaný. Zvažte použití ExpressRoute k optimalizaci směrování 2.

Případ použití 6

Scénář: Aplikace je v síti organizace v Evropě, výchozí oblast tenanta je USA s většinou uživatelů v USA.

Doporučení: Umístěte konektor do blízkosti aplikace. Aktualizujte skupinu konektorů tak, aby používala instance proxy aplikací Pro Evropu. Postup najdete v tématu Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací. Segment směrování 1 může být dražší, protože všichni uživatelé USA musí přistupovat k instanci proxy aplikací v Evropě.

Můžete také zvážit použití jedné jiné varianty v této situaci. Pokud je většina uživatelů v organizaci v USA, je pravděpodobné, že se vaše síť rozšíří i do USA. Umístěte konektor do USA, pokračujte v používání výchozí oblasti USA pro vaše skupiny konektorů a použijte vyhrazenou interní podnikovou síť linku pro aplikaci v Evropě. Tímto způsobem se segmenty směrování 2 a 3 optimalizují.

Diagram znázorňuje uživatele, proxy server a konektor v USA, aplikaci v Evropě.

Další kroky