Ottimizzare il flusso del traffico con il proxy dell'applicazione Microsoft Entra

Informazioni su come ottimizzare il flusso di traffico e le considerazioni sulla topologia di rete quando si usa microsoft Entra application proxy.

Flusso del traffico

Quando un'applicazione viene pubblicata tramite il proxy dell'applicazione Microsoft Entra, il traffico dagli utenti alle applicazioni passa attraverso tre connessioni:

1. L'utente si connette all'endpoint pubblico del servizio proxy dell'applicazione Microsoft Entra in Azure
2. Il connettore di rete privata si connette al servizio proxy dell'applicazione (in uscita)
3. Il connettore di rete privata si connette all'applicazione di destinazione

Ottimizzare i gruppi di connettori per l'uso del servizio cloud proxy di applicazione più vicino

Quando si effettua l'iscrizione per un tenant di Microsoft Entra, l'area del tenant viene impostata con l'area scelta. Le istanze del servizio cloud proxy di applicazione predefinite usano la stessa area geografica o più vicina del tenant di Microsoft Entra.

Ad esempio, se l'area del tenant di Microsoft Entra è il Regno Unito, tutti i connettori di rete privati per impostazione predefinita vengono assegnati per usare le istanze del servizio nei data center europei. Quando gli utenti accedono alle applicazioni pubblicate, il traffico passa attraverso le istanze del servizio cloud proxy dell'applicazione in questa posizione.

Se sono installati connettori in aree diverse dall'area predefinita, è utile modificare l'area in cui è ottimizzato il gruppo di connettori per migliorare le prestazioni di accesso a queste applicazioni. Dopo aver specificato un'area per un gruppo di connettori, si connette ai servizi cloud proxy dell'applicazione nell'area designata.

Per ottimizzare il flusso di traffico e ridurre la latenza a un gruppo di connettori, assegnare il gruppo di connettori all'area più vicina. Per assegnare un'area:

Importante

Per usare questa funzionalità, i connettori devono usare almeno la versione 1.5.1975.0.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.

2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa l'application proxy. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.

3. Passare a Identità>Applicazioni>Applicazioni aziendali>Application Proxy.

4. Selezionare Nuovo gruppo di connettori e specificare un nome per il gruppo di connettori.

5. In Impostazioni avanzate selezionare l'elenco a discesa in Ottimizza per un'area specifica e selezionare l'area più vicina ai connettori e quindi selezionare Salva.

   

6. Selezionare i connettori da assegnare al gruppo di connettori.

   È possibile spostare i connettori nel gruppo di connettori solo se si trova in un gruppo di connettori usando l'area predefinita. Iniziare con un connettore nel gruppo di connettori predefinito . Spostarlo quindi nel gruppo di connettori appropriato.

   È possibile modificare l'area di un gruppo di connettori solo se non sono presenti connettori assegnati o app assegnate.

7. Assegnare il gruppo di connettori alle applicazioni. Il traffico passa al servizio cloud proxy dell'applicazione nell'area del gruppo di connettori ottimizzato.

Considerazioni per ridurre la latenza

Tutte le soluzioni proxy introducono latenza nella connessione di rete. Indipendentemente dalla soluzione proxy o VPN scelta per l'accesso remoto, include sempre un set di server che consente la connessione all'interno della rete aziendale.

Le organizzazioni includono in genere endpoint server nella rete perimetrale. Con il proxy dell'applicazione Microsoft Entra, tuttavia, il traffico passa attraverso il servizio proxy nel cloud mentre i connettori risiedono nella rete aziendale. Non è richiesta alcuna rete perimetrale.

Le sezioni successive contengono altri suggerimenti che consentono di ridurre ulteriormente la latenza.

Posizionamento dei connettori

Il proxy di applicazione sceglie la posizione delle istanze in base alla posizione del tenant. L'utente deve comunque decidere dove installare il connettore e, in questo modo, può definire le caratteristiche di latenza del traffico di rete.

Quando si configura il servizio proxy dell'applicazione, porre le domande seguenti:

• Dove si trova l'app?
• Dove si trova la maggior parte degli utenti che accedono all'app?
• Dove si trova l'istanza del proxy di applicazione?
• Si dispone già di una connessione di rete dedicata ai data center Microsoft configurati, ad esempio Azure ExpressRoute o una VPN simile?

Il connettore deve comunicare sia con Microsoft Entra ID che con le applicazioni. I passaggi 2 e 3 rappresentano la comunicazione nel diagramma di flusso del traffico. La posizione del connettore influisce sulla latenza di queste due connessioni. Quando si valuta la posizione del connettore, tenere presente questi punti.

• Confermare la "riga di sito" tra il connettore e il data center per la delega vincolata Kerberos.Confirm "line of site" between the connector and the data center for Kerberos Constrained Delegation (KCD). È necessario inoltre che il server del connettore sia aggiunto a un dominio.
• Installare il connettore il più vicino possibile all'applicazione.

Approccio generale per ridurre al minimo la latenza

Ridurre al minimo la latenza del traffico end-to-end ottimizzando ogni connessione di rete.

• Ridurre la distanza tra le due estremità dell'hop.
• Scegliere la rete giusta da attraversare. Ad esempio, l'attraversamento di una rete privata anziché della rete Internet pubblica potrebbe essere più veloce, a causa di collegamenti dedicati.

Prendere in considerazione l'uso di un collegamento VPN dedicato o ExpressRoute tra Microsoft e la rete aziendale.

Individuare la migliore strategia di ottimizzazione

C'è poco da fare per controllare la connessione tra gli utenti e il servizio proxy dell'applicazione. Gli utenti accedono alle app da una rete domestica, da un bar o da un'area diversa. È invece possibile ottimizzare le connessioni dal servizio proxy dell'applicazione ai connettori di rete privati alle app. È consigliabile incorporare i modelli seguenti nell'ambiente in uso.

Modello 1: Inserire il connettore vicino all'applicazione

Posizionare il connettore vicino all'applicazione di destinazione nella rete del cliente. Questa configurazione riduce al minimo il passaggio 3 nel diagramma della topografia, perché il connettore e l'applicazione sono vicini.

Se il connettore deve comunicare con il controller di dominio, questo modello è vantaggioso. Molti clienti usano questo modello poiché è adatto alla maggior parte degli scenari. Questo modello può essere combinato anche con il modello 2, in modo da ottimizzare il traffico tra il servizio e il connettore.

Modello 2: Sfruttare ExpressRoute con il peering Microsoft

Se ExpressRoute è configurato con il peering Microsoft, è possibile usare la connessione ExpressRoute più veloce per il traffico tra il proxy dell'applicazione e il connettore. Il connettore risiede ancora nella rete, vicino all'app.

Modello 3: Sfruttare ExpressRoute con peering privato

Se tra Azure e la rete aziendale è configurato un collegamento VPN o ExpressRoute dedicato con peering privato, è disponibile un'altra opzione. In questa configurazione, la rete virtuale in Azure è in genere considerata come un'estensione della rete aziendale. È quindi possibile installare il connettore nel data center di Azure soddisfacendo comunque i requisiti di bassa latenza della connessione da connettore ad app.

La latenza non viene compromessa perché il traffico scorre su una connessione dedicata. È anche possibile migliorare la latenza da servizio a connettore del proxy dell'applicazione perché il connettore è installato in un data center di Azure vicino alla posizione del tenant di Microsoft Entra.

Altri approcci

Nonostante questo articolo sia incentrato sul posizionamento del connettore, per ottenere caratteristiche di latenza migliori è anche possibile modificare il posizionamento dell'applicazione.

Le organizzazioni spostano sempre più spesso le loro reti in ambienti in hosting. Lo spostamento consente di posizionare le app in un ambiente ospitato che fa anche parte della rete aziendale e di essere ancora all'interno del dominio. In questo caso, i modelli illustrati nelle sezioni precedenti possono essere applicati alla nuova posizione dell'applicazione. Se si sta valutando questa opzione, vedere Microsoft Entra Domain Services.

È possibile anche valutare l'opportunità di organizzare i connettori usando gruppi di connettori per raggiungere le app che si trovano in posizioni e reti diverse.

Diagrammi per casi d'uso comuni

In questa sezione si esaminano alcuni scenari comuni. Si supponga che il tenant di Microsoft Entra (e quindi l'endpoint del servizio proxy) si trovi nell'Stati Uniti (Stati Uniti). Le considerazioni illustrate in questi casi d'uso si applicano anche ad altre aree nel mondo.

In questi scenari ogni connessione viene chiamata "hop" e viene numerata per semplificare la discussione:

• Hop 1: utente al servizio proxy dell'applicazione
• Hop 2: servizio proxy dell'applicazione al connettore di rete privato
• Hop 3: connettore di rete privato per l'applicazione di destinazione

Caso d'uso 1

Scenario: l'app si trova in una rete dell'organizzazione negli Stati Uniti, con utenti nella stessa area. Tra il data center di Azure e la rete aziendale non esiste alcun collegamento VPN o ExpressRoute.

Raccomandazione: seguire il modello 1 illustrato nella sezione precedente. Per migliorare la latenza, valutare la possibilità di usare ExpressRoute, se necessario.

Ottimizzare l'hop 3 posizionando il connettore vicino all'app. Il connettore viene in genere installato con la linea di vista per l'app e per il data center per eseguire operazioni KCD.

Caso d'uso 2

Scenario: l'app si trova in una rete dell'organizzazione negli Stati Uniti, con utenti distribuiti in tutto il mondo. Tra il data center di Azure e la rete aziendale non esiste alcun collegamento VPN o ExpressRoute.

Raccomandazione: seguire il modello 1 illustrato nella sezione precedente.

Anche in questo caso, il modello comune consiste nell'ottimizzare l'hop 3, posizionando il connettore vicino all'app. L'hop 3 non è in genere costoso, se è tutto all'interno della stessa area. Tuttavia, l'hop 1 può essere più costoso a seconda della posizione dell'utente, perché gli utenti in tutto il mondo devono accedere all'istanza del proxy dell'applicazione negli Stati Uniti. È opportuno notare che qualsiasi soluzione proxy presenta caratteristiche simili in relazione a utenti distribuiti in tutto il mondo.

Caso d'uso 3

Scenario: l'app si trova in una rete dell'organizzazione negli Stati Uniti. Tra Azure e la rete aziendale è presente ExpressRoute con peering Microsoft.

Raccomandazione: seguire i modelli 1 e 2 illustrati nella sezione precedente.

Per prima cosa, posizionare il connettore il più vicino possibile all'app. In questo modo, il sistema usa automaticamente ExpressRoute per l'hop 2.

Se il collegamento ExpressRoute usa il peering Microsoft, il traffico tra il proxy e il connettore viene trasmesso su tale collegamento. L'hop 2 usa una latenza ottimale.

Caso d'uso 4

Scenario: l'app si trova in una rete dell'organizzazione negli Stati Uniti. Tra Azure e la rete aziendale è presente ExpressRoute con peering privato.

Raccomandazione: seguire il modello 3 illustrato nella sezione precedente.

Posizionare il connettore nel data center di Azure connesso alla rete aziendale tramite il peering privato di ExpressRoute.

Il connettore può essere posizionato nel data center di Azure. Dato che il connettore comunica comunque con l'applicazione e il data center tramite la rete privata, l'hop 3 rimane ottimizzato. Viene anche ulteriormente ottimizzato l'hop 2.

Caso d'uso 5

Scenario: l'app si trova nella rete di un'organizzazione in Europa, l'area del tenant predefinita è usa, con la maggior parte degli utenti in Europa.

Raccomandazione: posizionare il connettore vicino all'app. Aggiornare il gruppo di connettori per usare le istanze del servizio proxy applicazione Europa. Per la procedura, vedere Ottimizzare i gruppi di connettori per usare il servizio cloud proxy applicazione più vicino.

Poiché gli utenti europei accedono a un'istanza del proxy di applicazione che si trova nella stessa area, l'hop 1 non è costoso. L'hop 3 è ottimizzato. È consigliabile usare ExpressRoute per ottimizzare l'hop 2.

Caso d'uso 6

Scenario: l'app si trova nella rete di un'organizzazione in Europa, l'area del tenant predefinita è usa, con la maggior parte degli utenti negli Stati Uniti.

Raccomandazione: posizionare il connettore vicino all'app. Aggiornare il gruppo di connettori per usare le istanze del servizio proxy applicazione Europa. Per la procedura, vedere Ottimizzare i gruppi di connettori per usare il servizio cloud proxy applicazione più vicino. L'hop 1 può essere più costoso perché tutti gli utenti degli Stati Uniti devono accedere all'istanza del proxy di applicazione in Europa.

In questa situazione è anche possibile prendere in considerazione l'uso di un'altra variante. Se la maggior parte degli utenti nell'organizzazione si trova negli Stati Uniti, la rete potrebbe estendersi anche negli Stati Uniti. Posizionare il connettore negli Stati Uniti, continuare a usare l'area stati Uniti predefinita per i gruppi di connettori e usare la riga di rete aziendale interna dedicata all'applicazione in Europa. In questo modo, gli hop 2 e 3 vengono ottimizzati.

Passaggi successivi

• Abilitare il proxy dell'applicazione
• Abilitare l'accesso Single Sign-On
• Abilitare l'accesso condizionale
• Risolvere i problemi che si verificano con Application Proxy