Sdílet prostřednictvím

Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra

  • Článek

Zjistěte, jak optimalizovat tok provozu a aspekty topologie sítě při používání proxy aplikací Microsoft Entra.

Tok provozu

Když je aplikace publikovaná prostřednictvím proxy aplikací Microsoft Entra, provoz od uživatelů do aplikací prochází třemi připojeními:

  1. Uživatel se připojí k veřejnému koncovému bodu proxy aplikace Microsoft Entra v Azure.
  2. Privátní síťový konektor se připojí ke službě proxy aplikací (odchozí)
  3. Privátní síťový konektor se připojí k cílové aplikaci.

Diagram znázorňující tok provozu od uživatele do cílové aplikace

Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací

Když si zaregistrujete tenanta Microsoft Entra, oblast vašeho tenanta se nastaví s vámi zvolenou oblastí. Výchozí instance cloudové služby proxy aplikací používají stejnou nebo nejbližší oblast jako váš tenant Microsoft Entra.

Pokud je například oblast vašeho tenanta Microsoft Entra Spojené království, přiřadí se ve výchozím nastavení všechny vaše privátní síťové konektory k používání instancí služeb v evropských datových centrech. Když uživatelé přistupují k publikovaným aplikacím, jejich provoz prochází instancemi cloudové služby proxy aplikací v tomto umístění.

Pokud máte konektory nainstalované v oblastech, které se liší od výchozí oblasti, je vhodné změnit oblast, ve které je vaše skupina konektorů optimalizovaná, aby se zlepšil přístup k těmto aplikacím. Jakmile je pro skupinu konektorů zadaná oblast, připojí se ke cloudovým službám proxy aplikací v určené oblasti.

Pokud chcete optimalizovat tok provozu a snížit latenci skupině konektorů, přiřaďte skupinu konektorů k nejbližší oblasti. Přiřazení oblasti:

Důležité

Aby bylo možné tuto funkci používat, musí konektory používat alespoň verzi 1.5.1975.0.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce aplikací.

  2. Vyberte své uživatelské jméno v pravém horním rohu. Ověřte, že jste přihlášení k adresáři, který používá proxy aplikace. Pokud potřebujete změnit adresáře, vyberte Přepnout adresář a zvolte adresář, který používá proxy aplikace.

  3. Přejděte na Identita>Aplikace>Podnikové aplikace>Proxy aplikace.

  4. Vyberte Novou skupinu konektorů a zadejte název skupiny konektorů.

  5. V části Upřesnit nastavení vyberte rozevírací seznam v části Optimalizovat pro konkrétní oblast a vyberte oblast, která je nejblíže konektorům, a pak vyberte Uložit.

    Nakonfigurujte novou skupinu konektorů.

  6. Vyberte konektory, které chcete přiřadit ke skupině konektorů.

    Konektory můžete přesunout do skupiny konektorů, jen pokud je tato skupina ve výchozí oblasti. Začněte konektorem ve výchozí skupině konektorů. Pak ho přesuňte do příslušné skupiny konektorů.

    Oblast skupiny konektorů můžete změnit jenom v případě, že k ní nejsou přiřazené žádné konektory nebo aplikace.

  7. Přiřaďte ke svým aplikacím skupinu konektorů. Provoz směřuje do cloudové služby proxy aplikací v oblasti optimalizované skupiny konektorů.

Předpoklady pro snížení latence

Všechna řešení proxy serveru do vašeho síťového připojení zavádějí latenci. Bez ohledu na to, které řešení proxy serveru nebo VPN zvolíte jako řešení vzdáleného přístupu, bude vždy obsahovat sadu serverů, které umožňují připojení k vaší podnikové síti.

Organizace mají tendenci zahrnovat koncové body serveru do obvodové sítě. S proxy aplikací Microsoft Entra ale provoz prochází přes proxy službu v cloudu, zatímco konektory se nacházejí ve vaší podnikové síti. Není vyžadována žádná hraniční síť.

Další části obsahují další návrhy, které vám pomůžou ještě více snížit latenci.

Umístění konektoru

Proxy aplikace zvolí umístění instancí za vás na základě umístění vašeho tenanta. Můžete se ale rozhodnout, kam konektor nainstalovat, abyste mohli definovat charakteristiky latence síťového provozu.

Při nastavování služby proxy aplikací položte následující otázky:

  • Kde se aplikace nachází?
  • Kde se nachází většina uživatelů, kteří přistupují k aplikaci?
  • Kde se nachází instance proxy aplikace?
  • Máte už nastavené vyhrazené síťové připojení k datovým centrům Microsoftu, jako je Azure ExpressRoute nebo podobná síť VPN?

Konektor musí komunikovat s Microsoft Entra ID i vašimi aplikacemi. Kroky 2 a 3 představují komunikaci v diagramu toku provozu. Umístění konektoru ovlivňuje latenci těchto dvou připojení. Při vyhodnocování umístění spojnice mějte na paměti tyto body.

  • Potvrďte "přímou viditelnost" mezi konektorem a datovým centrem pro omezené delegování Kerberosu (KCD). Kromě toho musí být server konektoru připojený k doméně.
  • Nainstalujte konektor co nejblíže aplikaci.

Obecný přístup k minimalizaci latence

Minimalizujte latenci koncového provozu optimalizací jednotlivých síťových připojení.

  • Zmenšete vzdálenost mezi dvěma konci skoku.
  • Zvolte správnou síť, kterou chcete procházet. Například procházení privátní sítě místo veřejného internetu může být rychlejší kvůli vyhrazeným odkazům.

Zvažte použití vyhrazeného propojení VPN nebo ExpressRoute mezi Microsoftem a vaší podnikovou sítí.

Zaměřte svou strategii optimalizace

K řízení připojení mezi uživateli a službou proxy aplikací můžete udělat jen málo. Uživatelé mají přístup k aplikacím z domácí sítě, z kavárny nebo z jiné oblasti. Místo toho můžete optimalizovat připojení ze služby proxy aplikací k privátním síťovým konektorům k aplikacím. Zvažte začlenění následujících vzorů do vašeho prostředí.

Model 1: Umístění konektoru blízko aplikace

Umístěte konektor blízko cílové aplikace v síti zákazníka. Tato konfigurace minimalizuje krok 3 v topografickém diagramu, protože konektor a aplikace jsou zavřené.

Pokud váš konektor potřebuje k řadiči domény přímou viditelnost, je toto uspořádání výhodné. Většina našich zákazníků tento model používá, protože funguje dobře pro většinu scénářů. Tento model lze také kombinovat se vzorem 2, který optimalizuje provoz mezi službou a konektorem.

Model 2: Využití expressRoute s partnerským vztahem Microsoftu

Pokud máte ExpressRoute nastavené s partnerským připojením Microsoftu, můžete pro přenos dat mezi proxy aplikací a konektorem použít rychlejší připojení ExpressRoute. Konektor je stále ve vaší síti, blízko aplikace.

Vzor 3: Využít ExpressRoute s privátním partnerským vztahem

Pokud máte vyhrazenou síť VPN nebo ExpressRoute nastavenou s privátním partnerským vztahem mezi Azure a podnikovou sítí, máte jinou možnost. V této konfiguraci se virtuální síť v Azure obvykle považuje za rozšíření podnikové sítě. Konektor tak můžete nainstalovat do datacentra Azure a přesto splnit požadavky na nízkou latenci připojení konektoru k aplikaci.

Latence není ohrožená, protože provoz prochází přes vyhrazené připojení. Také získáte vylepšenou latenci služby proxy aplikací na konektor, protože konektor je nainstalovaný v datacentru Azure blízko umístění tenanta Microsoft Entra.

Diagram znázorňující konektor nainstalovaný v datacentru Azure

Další přístupy

I když se tento článek zaměřuje na umístění konektoru, můžete také změnit umístění aplikace, abyste získali lepší charakteristiky latence.

Organizace stále častěji přesouvají své sítě do hostovaných prostředí. Přesun jim umožňuje umístit své aplikace do hostovaného prostředí, které je také součástí podnikové sítě, a stále v doméně. V tomto případě se vzory probírané v předchozích částech dají použít na nové umístění aplikace. Pokud zvažujete tuto možnost, přečtěte si téma Microsoft Entra Domain Services.

Kromě toho zvažte uspořádání konektorů pomocí skupin konektorů k zaměření na aplikace, které jsou v různých lokacích a sítích.

Diagramy pro běžné případy použití

V této části si projdeme několik běžných scénářů. Předpokládejme, že tenant Microsoft Entra (a proto koncový bod proxy služby) se nachází v USA (USA). Aspekty probírané v těchto případech použití platí také pro jiné oblasti po celém světě.

V těchto scénářích nazýváme každé připojení "skok" a očíslujeme je pro snadnější diskuzi.

  • Skok 1: Uživatel do proxy služby aplikace
  • Přechod 2: služba proxy aplikace k privátnímu síťovému konektoru
  • Uzlový bod 3: konektor privátní sítě k cílové aplikaci

Případ použití 1

Scénář: Aplikace je v síti organizace v USA s uživateli ve stejné oblasti. Mezi datacentrem Azure a podnikovou sítí neexistuje žádná síť ExpressRoute ani VPN.

Doporučení: Postupujte podle vzoru 1, který je vysvětlený v předchozí části. Pokud chcete zvýšit latenci, zvažte v případě potřeby použití ExpressRoute.

Optimalizujte segment směrování 3 umístěním konektoru blízko aplikace. Konektor se obvykle instaluje tak, aby měl přímou viditelnost na aplikaci a datacentrum pro provádění operací KCD.

Diagram znázorňující uživatele, proxy server, konektor a aplikaci jsou všechny v USA

Případ použití 2

Scénář: Aplikace je v síti organizace v USA, kde se uživatelé šíří globálně. Mezi datacentrem Azure a podnikovou sítí neexistuje žádná síť ExpressRoute ani VPN.

Doporučení: Postupujte podle vzoru 1, který je vysvětlený v předchozí části.

Opět je běžným modelem optimalizace třetího hopu, kde umístíte konektor blízko aplikace. Hop 3 není zpravidla drahý, pokud je celý ve stejné oblasti. Skok 1 ale může být dražší v závislosti na tom, kde je uživatel, protože uživatelé po celém světě musí přistupovat k instanci aplikačního proxy v USA. Stojí za zmínku, že jakékoli řešení proxy má podobné charakteristiky týkající se globálního šíření uživatelů.

Uživatelé se šíří globálně, ale všechno ostatní je v USA

Případ použití 3

Scénář: Aplikace je v síti organizace v USA. Mezi Azure a podnikovou sítí existuje ExpressRoute s partnerským vztahem Microsoftu.

Doporučení: Postupujte podle vzorů 1 a 2, které jsou vysvětlené v předchozí části.

Nejprve umístěte konektor co nejblíže aplikaci. Pak systém automaticky používá ExpressRoute pro hop 2.

Pokud připojení ExpressRoute používá propojování Microsoft, provoz mezi proxy a konektorem prochází přes toto připojení. Skok 2 využívá optimální latenci.

Diagram znázorňující ExpressRoute mezi proxy serverem a konektorem

Případ použití 4

Scénář: Aplikace je v síti organizace v USA. ExpressRoute s privátním partnerským vztahem existuje mezi Azure a podnikovou sítí.

Doporučení: Postupujte podle vzoru 3, který je vysvětlený v předchozí části.

Umístěte konektor do datacentra Azure, které je připojené k podnikové síti prostřednictvím privátního partnerského vztahu ExpressRoute.

Konektor je možné umístit do datacentra Azure. Vzhledem k tomu, že konektor má stále přímou viditelnost na aplikaci a datacentrum prostřednictvím privátní sítě, hop 3 zůstává optimalizovaný. Kromě toho je hop 2 dále optimalizován.

Konektor v datacentru Azure, ExpressRoute mezi konektorem a aplikací

Případ použití 5

Scénář: Aplikace je v síti organizace v Evropě, výchozí oblast tenanta je USA s většinou uživatelů v Evropě.

Doporučení: Umístěte konektor do blízkosti aplikace. Aktualizujte skupinu konektorů tak, aby používala instance proxy služby aplikací v Evropě. Postup najdete v tématu Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací.

Vzhledem k tomu, že uživatelé v Evropě přistupují k instanci proxy aplikace, která se nachází ve stejném regionu, krok 1 není nákladný. Hop 3 je optimalizovaný. Zvažte použití ExpressRoute k optimalizaci 2. skoku.

Případ použití 6

Scénář: Aplikace je v síti organizace v Evropě, výchozí oblast tenanta je USA s většinou uživatelů v USA.

Doporučení: Umístěte konektor do blízkosti aplikace. Aktualizujte skupinu konektorů tak, aby používala instance služby aplikačního proxy serveru pro Evropu. Postup najdete v tématu Optimalizace skupin konektorů tak, aby používaly nejbližší cloudovou službu proxy aplikací. Segment 1 může být dražší, protože všichni uživatelé z USA musí přistupovat k proxy instanci aplikace v Evropě.

Můžete také zvážit použití jedné jiné varianty v této situaci. Pokud je většina uživatelů v organizaci v USA, je pravděpodobné, že se vaše síť rozšíří i do USA. Umístěte konektor do USA, pokračujte v používání výchozí oblasti USA pro vaše skupiny konektorů a použijte vyhrazenou interní podnikovou linku pro připojení k aplikaci v Evropě. Tímto způsobem se optimalizují hopy 2 a 3.

Diagram znázorňuje uživatele, proxy server a konektor v USA, aplikaci v Evropě.

Další kroky