Zrozumienie łącznika sieci prywatnej Microsoft Entra

Łączniki umożliwiają działanie usługi Microsoft Entra Private Access i proxy aplikacji. Są one proste, łatwe do wdrożenia i konserwacji oraz bardzo wydajne. W tym artykule omówiono łączniki, sposób ich działania oraz sugestie dotyczące optymalizowania wdrożenia.

Co to jest łącznik sieci prywatnej?

Łączniki są lekkimi agentami, które znajdują się w sieci prywatnej i ułatwiają połączenie wychodzące do usług Microsoft Entra Private Access oraz proxy aplikacji. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do zasobów zaplecza. Łączniki można organizować w grupy łączników, a każda grupa obsługuje ruch do określonych zasobów. Aby uzyskać więcej informacji na temat serwera proxy aplikacji i diagramowej reprezentacji architektury serwera proxy aplikacji, zobacz Using Microsoft Entra application proxy to publish on-premises apps for remote users (Używanie serwera proxy aplikacji Firmy Microsoft Entra do publikowania aplikacji lokalnych dla użytkowników zdalnych).

Aby dowiedzieć się, jak skonfigurować łącznik sieci prywatnej firmy Microsoft Entra, zobacz Jak skonfigurować łączniki sieci prywatnej na potrzeby Dostęp Prywatny Microsoft Entra.

Łączniki sieci prywatnej to uproszczone agenty wdrożone lokalnie, które ułatwiają połączenie wychodzące z usługą serwera proxy aplikacji w chmurze. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do aplikacji zaplecza. Użytkownicy łączą się z usługą w chmurze serwera proxy aplikacji, która kieruje ruch do aplikacji za pośrednictwem łączników.

Konfiguracja i rejestracja między łącznikiem a usługą serwera proxy aplikacji odbywa się w następujący sposób:

1. Administrator IT otwiera porty 80 i 443 do ruchu wychodzącego i umożliwia dostęp do kilku adresów URL wymaganych przez łącznik, usługę serwera proxy aplikacji i identyfikator Microsoft Entra.
2. Administrator loguje się do centrum administracyjnego firmy Microsoft Entra i uruchamia plik wykonywalny w celu zainstalowania łącznika na lokalnym serwerze z systemem Windows.
3. Łącznik zaczyna "nasłuchiwać" usługi serwera proxy aplikacji.
4. Administrator dodaje lokalną aplikację do Microsoft Entra ID i konfiguruje ustawienia, takie jak adresy URL, których użytkownicy potrzebują do połączenia się z ich aplikacjami.

Zaleca się, aby zawsze wdrażać wiele łączników na potrzeby nadmiarowości i skalowania. Łączniki, w połączeniu z usługą, dbają o wszystkie zadania o wysokiej dostępności i można je dynamicznie dodawać lub usuwać. Za każdym razem, gdy pojawia się nowe żądanie, jest kierowane do jednego z dostępnych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch. Nieużywane łączniki są oznaczane jako nieaktywne i usuwane po 10 dniach braku aktywności.

Serwer również sonduje łączniki, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Chociaż można przeprowadzić ręczną aktualizację, łączniki będą aktualizowane automatycznie, o ile usługa aktualizatora łącznika sieci prywatnej jest uruchomiona. W przypadku najemców z wieloma łącznikami automatyczne aktualizacje są skierowane na jeden łącznik jednocześnie w każdej grupie, aby zapobiec przestojom w tym środowisku.

Uwaga

Możesz monitorować stronę historii wersji, aby być na bieżąco z najnowszymi aktualizacjami.

Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Łączniki w tej samej grupie łączników działają jako pojedyncza jednostka w celu zapewnienia wysokiej dostępności i równoważenia obciążenia. Możesz tworzyć nowe grupy, przypisywać do nich łączniki w centrum administracyjnym firmy Microsoft Entra, a następnie przypisywać określone łączniki do obsługi określonych aplikacji. Zaleca się posiadanie co najmniej dwóch łączników w każdej grupie łączników w celu zapewnienia wysokiej dostępności.

Grupy łączników są przydatne, gdy trzeba obsługiwać następujące scenariusze:

• Publikowanie aplikacji geograficznych
• Segmentacja/izolacja aplikacji
• Publikowanie aplikacji internetowych działających w chmurze lub lokalnie

Aby uzyskać więcej informacji na temat wybierania miejsca instalowania łączników i optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Konserwacja

Łączniki i usługa zajmują się wszystkimi zadaniami wysokiej dostępności. Można je dynamicznie dodawać lub usuwać. Nowe żądania są kierowane do jednego z dostępnych łączników. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch.

Łączniki są bezstanowe i nie mają żadnych danych konfiguracyjnych na maszynie. Jedynymi przechowywanymi danymi są ustawienia łączenia usługi i certyfikatu uwierzytelniania. Po nawiązaniu połączenia z usługą pobierają wszystkie wymagane dane konfiguracji i odświeżają je co kilka minut.

Łączniki sonduj również serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Jeśli któryś z elementów zostanie znaleziony, łączniki aktualizują się samodzielnie.

Łączniki można monitorować z maszyny, na której są uruchomione, przy użyciu dziennika zdarzeń i liczników wydajności. Możesz również wyświetlić ich stan w centrum administracyjnym firmy Microsoft Entra. W przypadku Microsoft Entra Private Access, przejdź do sekcji Globalny bezpieczny dostęp, Connect, i wybierz sekcję Łączniki. W przypadku serwera proxy aplikacji przejdź do pozycji Tożsamość, Aplikacje, Aplikacje dla przedsiębiorstw i wybierz aplikację. Na stronie aplikacji wybierz pozycję Proxy aplikacji.

Nie trzeba ręcznie usuwać nieużywanych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Nieużywane łączniki są oznaczane jako _inactive_ i usuwane po 10 dniach braku aktywności. Jeśli jednak chcesz odinstalować łącznik, odinstaluj zarówno usługę łącznika, jak i usługę Aktualizator z serwera. Uruchom ponownie komputer, aby całkowicie usunąć usługę.

Automatyczne aktualizacje

Identyfikator Entra firmy Microsoft udostępnia aktualizacje automatyczne dla wszystkich wdrożonych łączników. Jeśli usługa aktualizatora łącznika sieci prywatnej jest uruchomiona, łączniki są aktualizowane automatycznie przy użyciu najnowszej wersji głównego łącznika. Jeśli na serwerze nie widzisz usługi Aktualizatora łączników, musisz ponownie zainstalować łącznik, aby uzyskać aktualizacje.

Jeśli nie chcesz czekać na przejście automatycznej aktualizacji do łącznika, możesz wykonać uaktualnienie ręczne. Przejdź do strony pobierania łącznika na serwerze, na którym znajduje się łącznik, i wybierz pozycję Pobierz. Ten proces rozpoczyna uaktualnianie łącznika lokalnego.

W przypadku najemców z wieloma łącznikami, automatyczne aktualizacje są skierowane na jeden łącznik w każdej grupie, aby zapobiec przestojom w środowisku.

Podczas aktualizacji łącznika może wystąpić przestój, jeśli:

• Masz tylko jeden łącznik. Drugi łącznik i grupa łączników są zalecane, aby uniknąć przestojów i zapewnić wyższą dostępność.
• Łącznik znajdował się w środku transakcji, kiedy rozpoczęła się aktualizacja. Mimo że początkowa transakcja zostanie utracona, przeglądarka powinna automatycznie ponowić próbę wykonania operacji lub odświeżyć stronę. Po ponownym wysłaniu żądania ruch jest kierowany do łącznika kopii zapasowej.

Aby wyświetlić informacje o poprzednich wersjach i zawartych w nich zmianach, zobacz Application proxy - Historia wydań wersji.

Tworzenie grup łączników

Grupy łączników umożliwiają przypisywanie określonych łączników do obsługi określonych aplikacji. Można grupować wiele łączników razem, a następnie przypisywać każdy zasób lub aplikację do grupy.

Grupy łączników ułatwiają zarządzanie dużymi wdrożeniami. Poprawiają również opóźnienia dla najemców, którzy mają zasoby i aplikacje hostowane w różnych regionach, ponieważ można utworzyć lokalizacyjne grupy łączników do obsługi tylko lokalnych aplikacji.

Aby dowiedzieć się więcej o grupach łączników, zobacz Omówienie grup łączników sieci prywatnej firmy Microsoft Entra.

Bezpieczeństwo i sieć

Łączniki można instalować w dowolnym miejscu w sieci, co umożliwia wysyłanie żądań do usługi Dostęp Prywatny Microsoft Entra i serwera proxy aplikacji. Ważne jest, aby komputer z uruchomionym łącznikiem miał również dostęp do aplikacji i zasobów. Łączniki można zainstalować w sieci firmowej lub na maszynie wirtualnej działającej w chmurze. Łączniki mogą być uruchamiane w sieci perymetrycznej, znanej również jako strefa zdemilitaryzowana (DMZ), ale nie jest to konieczne, ponieważ cały ruch jest wychodzący, dzięki czemu sieć pozostaje bezpieczna.

Łączniki wysyłają tylko żądania wychodzące. Ruch wychodzący jest wysyłany do usługi i do opublikowanych zasobów i aplikacji. Nie musisz otwierać portów przychodzących, ponieważ ruch odbywa się w obie strony po ustanowieniu sesji. Nie trzeba również konfigurować dostępu przychodzącego za pośrednictwem zapór.

Aby uzyskać więcej informacji na temat konfigurowania reguł zapory dla ruchu wychodzącego, zobacz Praca z istniejącymi lokalnymi serwerami proxy.

Wydajność i skalowalność   

Skalowanie w przypadku Microsoft Entra Private Access i serwisów proxy aplikacji jest przezroczyste, ale to skalowanie jest istotnym czynnikiem dla konektorów. Musisz mieć wystarczającą ilość łączników do obsługi szczytowego ruchu. Łączniki są bezstanowe, a liczba użytkowników lub sesji nie ma na nie wpływu. Zamiast tego odpowiadają na liczbę żądań oraz rozmiar ich ładunku. W przypadku standardowego ruchu internetowego przeciętny komputer może obsłużyć 2000 żądań na sekundę. Określona pojemność zależy od dokładnej charakterystyki maszyny.

Procesor CPU i sieć definiują wydajność łącznika. Wydajność procesora CPU jest wymagana do szyfrowania i odszyfrowywania protokołu TLS, podczas gdy sieć jest ważna, aby uzyskać szybką łączność z aplikacjami i usługą online.

Z kolei pamięć jest mniej problemem dla łączników. Usługa online zajmuje się dużą częścią przetwarzania oraz całym nieuwierzytelnionym ruchem. Wszystko, co można zrobić w chmurze, odbywa się w chmurze.

Gdy łączniki lub maszyny są niedostępne, ruch przechodzi do innego łącznika w grupie. Wiele łączników w grupie łączników zapewnia odporność.

Innym czynnikiem wpływającym na wydajność jest jakość sieci między łącznikami, w tym:

• Usługa online: wolne lub duże opóźnienia połączeń z usługą Microsoft Entra wpływają na wydajność łącznika. Aby uzyskać najlepszą wydajność, połącz organizację z firmą Microsoft przy użyciu usługi Express Route. W przeciwnym razie zespół ds. sieci zapewnia, że połączenia z firmą Microsoft są obsługiwane tak wydajnie, jak to możliwe.
• Aplikacje zaplecza: W niektórych przypadkach między łącznikiem a zasobami i aplikacjami zaplecza znajdują się dodatkowe serwery proxy, które mogą spowalniać lub blokować połączenia. Aby rozwiązać ten problem, otwórz przeglądarkę z serwera łącznika i spróbuj uzyskać dostęp do aplikacji lub zasobu. Jeśli uruchamiasz łączniki w chmurze, ale aplikacje są lokalne, doświadczenie może nie odpowiadać oczekiwaniom użytkowników.
• Kontrolery domeny: jeśli łączniki wykonują logowanie jednokrotne przy użyciu ograniczonego delegowania protokołu Kerberos, skontaktują się z kontrolerami domeny przed wysłaniem żądania do zaplecza. Łączniki mają pamięć podręczną biletów Kerberos, ale w obciążonym środowisku czas reakcji kontrolerów domeny może wpływać na wydajność. Ten problem występuje częściej w przypadku łączników uruchamianych na platformie Azure, ale komunikują się z kontrolerami domeny, które są lokalne.

Aby uzyskać więcej informacji na temat optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Specyfikacje i wymagania dotyczące ustalania rozmiaru

Dla każdego łącznika sieci prywatnej Entra zalecane są następujące specyfikacje:

• Pamięć RAM : 8 GiB lub więcej
• procesor : co najmniej 4 rdzenie

Upewnij się, że łączniki są mniejsze niż 70% w przypadku szczytowego wykorzystania pamięci i szczytowego wykorzystania procesora CPU. Jeśli użycie procesora CPU lub pamięci przekracza sugerowaną wartość maksymalną, warto rozważyć efektywne dodanie kolejnych łączników w celu efektywnego dystrybuowania obciążeń.

• Przepływność: Każdy łącznik skonfigurowany przy użyciu powyższych specyfikacji może obsługiwać do 1,5 Gb/s przepływność za pośrednictwem protokołu TCP na maszynie wirtualnej platformy Azure. Przepływność jest mierzona jako suma ruchu przychodzącego i wychodzącego. Wyższą przepływność można osiągnąć, uruchamiając łącznik na maszynach wirtualnych ze zwiększoną ilością pamięci, zasobami procesora CPU i zwiększoną szybkością połączenia sieciowego.

dodatkowe szczegóły:

• Powyższe zalecenia dotyczące określania rozmiaru są oparte na testach wydajnościowych wykonywanych w dzierżawie testowej przy użyciu narzędzia iPerf3 ze strumieniami danych TCP. Rzeczywista wydajność może się różnić w różnych środowiskach testowych. Więcej szczegółów na temat konkretnych przypadków testowych zostanie opublikowanych w ramach tej dokumentacji w nadchodzących miesiącach.
• Po dokonaniu rejestracji łącznika ustanawia on wychodzące tunele TLS do infrastruktury prywatnego dostępu do chmury. Te tunele obsługują cały ruch ścieżki danych. Ponadto mamy pewien kanał płaszczyzny sterowania, co prowadzi do ciągłego utrzymywania aktywności pulsu, raportowania kondycji, uaktualnień łączników i tak dalej, wykorzystując minimalną przepustowość.
• Możesz wdrożyć dodatkowe łączniki w tej samej grupie łączników, aby zwiększyć ogólną przepływność, pod warunkiem, że dostępna jest odpowiednia sieć i łączność z Internetem. Zaleca się utrzymanie co najmniej dwóch łączników w dobrej kondycji, aby zapewnić odporność i spójną dostępność. Aby uzyskać najlepsze rozwiązania dotyczące wysokiej dostępności, zapoznaj się ze wskazówkami tutaj.

Przyłączanie do domeny

Łączniki mogą być uruchamiane na maszynie, która nie jest przyłączona do domeny. Jeśli jednak chcesz korzystać z logowania jednokrotnego (SSO) w aplikacjach korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA), potrzebujesz komputera przyłączonego do domeny. W takim przypadku maszyny łącznika muszą być przyłączone do domeny, która może wykonywać ograniczone delegowanie protokołu Kerberos w imieniu użytkowników opublikowanych aplikacji.

Łączniki mogą być również przyłączane do domen w lasach z częściowym zaufaniem lub do kontrolerów tylko do odczytu.

Wdrożenia konnektorów w odpornych środowiskach

Zazwyczaj wdrożenie łącznika jest proste i nie wymaga specjalnej konfiguracji.

Istnieją jednak pewne unikatowe warunki, które należy wziąć pod uwagę:

• Ruch wychodzący wymaga otwarcia określonych portów. Aby dowiedzieć się więcej, zobacz konfigurowanie łączników.
• Maszyny zgodne ze standardem FIPS mogą wymagać zmiany konfiguracji, aby umożliwić procesom łącznika generowanie i przechowywanie certyfikatu.
• Serwery proxy wychodzące mogą przerwać dwukierunkowe uwierzytelnianie za pomocą certyfikatu i doprowadzić do niepowodzenia komunikacji.

Uwierzytelnianie łącznika

Aby zapewnić bezpieczną usługę, łączniki muszą uwierzytelniać się w usłudze, a usługa musi uwierzytelniać się w kierunku łącznika. To uwierzytelnianie odbywa się przy użyciu certyfikatów klienta i serwera, gdy łączniki inicjują połączenie. W ten sposób nazwa użytkownika i hasło administratora nie są przechowywane na maszynie łącznika.

Używane certyfikaty są specyficzne dla usługi. Są one tworzone podczas początkowej rejestracji i automatycznie odnawiane co kilka miesięcy.

Po pierwszym pomyślnym odnowieniu certyfikatu usługa łącznika sieci prywatnej firmy Microsoft (usługa sieciowa) nie ma uprawnień do usunięcia starego certyfikatu z magazynu komputerów lokalnych. Jeśli certyfikat wygaśnie lub nie jest używany przez usługę, możesz go bezpiecznie usunąć.

Aby uniknąć problemów z odnawianiem certyfikatu, upewnij się, że komunikacja sieciowa z łącznika do udokumentowanych miejsc docelowych jest włączona.

Jeśli łącznik nie jest połączony z usługą przez kilka miesięcy, jego certyfikaty mogą być nieaktualne. W takim przypadku odinstaluj i ponownie zainstaluj łącznik, aby zainicjować rejestrację. Możesz uruchomić następujące polecenia programu PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

W przypadku rządu użyj -EnvironmentName "AzureUSGovernment". Aby uzyskać więcej informacji, zobacz Instalowanie agenta dla chmury Azure Government.

Aby dowiedzieć się, jak zweryfikować certyfikat zaufania i rozwiązywać problemy, zobacz Weryfikowanie obsługi składników maszyny i komponentów zaplecza dla certyfikatu zaufania serwera proxy aplikacji.

Pod maską (Za kulisami usługi Azure RMS — działanie)

Łączniki są instalowane w systemie Windows Server, dlatego mają większość tych samych narzędzi do zarządzania, w tym dzienniki zdarzeń systemu Windows i liczniki wydajności systemu Windows.

Konnektory mają zarówno dzienniki administratora, jak i dzienniki sesji. Dziennik administratora zawiera kluczowe zdarzenia i ich błędy. Dziennik sesji zawiera wszystkie transakcje i ich szczegóły przetwarzania.

Aby wyświetlić dzienniki, otwórz Podgląd zdarzeń i przejdź do Dzienniki aplikacji i usług>Microsoft>Microsoft Entra private network>Connector. Aby uwidocznić dziennik sesji , w menu Widok wybierz pozycję Pokaż dzienniki analityczne i debugowania. Dziennik sesji jest zwykle używany do rozwiązywania problemów i jest domyślnie wyłączony. Włącz go, aby rozpocząć zbieranie zdarzeń i wyłączyć je, gdy nie jest już potrzebne.

Stan usługi można sprawdzić w oknie Usługi. Łącznik składa się z dwóch usług systemu Windows: rzeczywistego łącznika i aktualizatora. Oba muszą być uruchamiane przez cały czas.

Łączniki nieaktywne

Typowym problemem jest to, że łączniki są wyświetlane jako nieaktywne w grupie łączników. Zapora blokująca wymagane porty jest częstą przyczyną nieaktywnych łączników.

Następne kroki

• Omówienie grup łączników sieci prywatnej firmy Microsoft Entra
• Praca z istniejącymi lokalnymi serwerami proxy
• Rozwiązywanie problemów z błędami serwera proxy i łącznika aplikacji
• Jak dyskretnie zainstalować łącznik sieci prywatnej firmy Microsoft Entra