Udostępnij za pośrednictwem

Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Firmy Microsoft Entra

  • Artykuł

Dowiedz się, jak zoptymalizować przepływ ruchu i topologię sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Przepływ ruchu

Po opublikowaniu aplikacji za pośrednictwem serwera proxy aplikacji Microsoft Entra ruch od użytkowników do aplikacji przepływa przez trzy połączenia:

  1. Użytkownik łączy się z publicznym punktem końcowym usługi proxy aplikacji Microsoft Entra na platformie Microsoft Azure.
  2. Łącznik sieci prywatnej łączy się z usługą serwera proxy aplikacji (wychodzącą)
  3. Łącznik sieci prywatnej łączy się z aplikacją docelową

Diagram przedstawiający przepływ ruchu z użytkownika do aplikacji docelowej.

Optymalizowanie grup łączników w celu korzystania z najbliższej aplikacyjnej usługi proxy w chmurze

Po zarejestrowaniu się w dzierżawie firmy Microsoft Entra region dzierżawy jest ustawiany na podstawie wybranego regionu. Domyślne wystąpienia chmurowej usługi proxy aplikacji używają tego samego lub najbliższego regionu co dzierżawa Microsoft Entra.

Jeśli na przykład region dzierżawy firmy Microsoft Entra to Wielka Brytania, wszystkie prywatne łączniki sieciowe w domyślnym są przypisywane do używania wystąpień usług w europejskich centrach danych. Gdy użytkownicy uzyskują dostęp do opublikowanych aplikacji, ich ruch przechodzi na instancje w chmurze serwera proxy aplikacji w tej lokalizacji.

Jeśli masz łączniki zainstalowane w regionach innych niż region domyślny, korzystne jest zmianę regionu, w którym grupa łączników jest zoptymalizowana pod kątem poprawy wydajności uzyskiwania dostępu do tych aplikacji. Po określeniu regionu dla grupy łączników łączy się ona z usługami w chmurze serwera proxy aplikacji w wyznaczonym regionie.

Aby zoptymalizować przepływ ruchu i zmniejszyć opóźnienie do grupy łączników, przypisz grupę łączników do najbliższego regionu. Aby przypisać region:

Ważne

Aby móc korzystać z tej funkcji, łączniki muszą używać co najmniej wersji 1.5.1975.0.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.

  2. Wybierz swoją nazwę użytkownika w prawym górnym rogu. Sprawdź, czy jesteś zalogowany do katalogu używającego proxy aplikacji. Jeśli chcesz zmienić katalog, wybierz pozycję Przełącz katalog i wybierz katalog, który korzysta z proxy aplikacji.

  3. Przejdź do Identity>Applications>Enterprise applications>Application proxy.

  4. Wybierz pozycję Nowa grupa łączników i podaj nazwę grupy łączników.

  5. W obszarze Ustawienia zaawansowane wybierz listę rozwijaną w obszarze Optymalizacja dla określonego regionu i wybierz region najbliżej łączników, a następnie wybierz pozycję Zapisz.

    Skonfiguruj nową grupę łączników.

  6. Wybierz łączniki, które mają zostać przypisane do grupy łączników.

    Można przenosić łączniki do swojej grupy łączników tylko wtedy, gdy jest ona w grupie łączników, która używa regionu domyślnego. Zacznij od łącznika w grupie łączników domyślnej. Następnie przenieś ją do odpowiedniej grupy łączników.

    Region grupy łączników można zmienić tylko wtedy, gdy nie ma do niej przypisanych żadnych łączników ani aplikacji.

  7. Przypisz grupę łączników do aplikacji. Ruch kieruje się do usługi proxy aplikacji w chmurze w regionie zoptymalizowanej grupy łączników.

Zagadnienia dotyczące zmniejszania opóźnienia

Wszystkie rozwiązania serwera proxy wprowadzają opóźnienia w połączeniu sieci. Niezależnie od tego, które rozwiązanie serwera proxy lub sieci VPN można wybrać jako rozwiązanie dostępu zdalnego, zawsze zawiera zestaw serwerów, które umożliwiają połączenie z siecią firmową.

Organizacje zazwyczaj umieszczają punkty końcowe serwerów w swojej sieci obwodowej. Jednak w przypadku serwera proxy aplikacji Entra firmy Microsoft ruch przepływa przez usługę proxy w chmurze, podczas gdy łączniki znajdują się w sieci firmowej. Nie jest wymagana żadna sieć obwodowa.

Następne sekcje zawierają więcej sugestii, które pomogą Ci jeszcze bardziej zmniejszyć opóźnienie.

Umieszczanie łącznika

Proxy aplikacji wybiera lokalizację wystąpień na podstawie lokalizacji dzierżawcy. Jednak możesz zdecydować, gdzie zainstalować łącznik, zapewniając możliwość zdefiniowania właściwości opóźnienia ruchu sieciowego.

Podczas konfigurowania usługi serwera proxy aplikacji zadaj następujące pytania:

  • Gdzie znajduje się aplikacja?
  • Gdzie znajdują się większość użytkowników, którzy uzyskują dostęp do aplikacji?
  • Gdzie znajduje się wystąpienie serwera proxy aplikacji?
  • Czy masz już skonfigurowane dedykowane połączenie sieciowe z centrami danych firmy Microsoft, takie jak usługa Azure ExpressRoute lub podobna sieć VPN?

Łącznik musi komunikować się zarówno z identyfikatorem Entra firmy Microsoft, jak i aplikacjami. Kroki 2 i 3 reprezentują komunikację na diagramie przepływu ruchu. Umieszczenie łącznika wpływa na opóźnienie tych dwóch połączeń. Podczas oceniania rozmieszczenia łącznika należy pamiętać o tych punktach.

  • Potwierdź "linię widoczności" między łącznikiem a centrum danych dla ograniczonego delegowania Kerberos (KCD). Ponadto serwer łącznika musi być przyłączony do domeny.
  • Zainstaluj łącznik tak blisko aplikacji, jak to możliwe.

Ogólne podejście w celu zminimalizowania opóźnienia

Zminimalizuj opóźnienie ruchu od końca do końca, optymalizując każde połączenie sieciowe.

  • Zmniejsz odległość między dwoma końcami przeskoku.
  • Wybierz odpowiednią sieć do przejścia. Na przykład przechodzenie przez sieć prywatną, a nie publiczny Internet, może być szybsze z powodu dedykowanych linków.

Rozważ użycie dedykowanej sieci VPN lub połączenia usługi ExpressRoute między firmą Microsoft i siecią firmową.

Skoncentruj się na strategii optymalizacji

Niewiele można zrobić, aby kontrolować połączenie między użytkownikami a usługą serwera proxy aplikacji. Użytkownicy uzyskują dostęp do aplikacji z sieci domowej, kawiarni lub innego regionu. Zamiast tego można zoptymalizować połączenia z usługi serwera proxy aplikacji do prywatnych łączników sieciowych do aplikacji. Rozważ uwzględnienie następujących wzorców w danym środowisku.

Wzorzec 1. Umieść łącznik w pobliżu aplikacji

Umieść łącznik w pobliżu aplikacji docelowej w sieci klienta. Ta konfiguracja minimalizuje krok 3 na diagramie topografii, ponieważ łącznik i aplikacja są blisko.

Jeśli łącznik potrzebuje linii widoczności do kontrolera domeny, ten wzorzec jest korzystny. Większość naszych klientów używa tego wzorca, ponieważ działa dobrze w przypadku większości scenariuszy. Ten wzorzec można również połączyć ze wzorcem 2, aby zoptymalizować ruch między usługą a łącznikiem.

Wzorzec 2: Wykorzystaj ExpressRoute z peeringiem Microsoftu

Jeśli masz skonfigurowane ExpressRoute z kierowaniem bezpośrednim do Microsoftu, możesz użyć szybszego połączenia ExpressRoute dla ruchu między serwerem proxy aplikacji oraz łącznikiem. Łącznik nadal znajduje się w sieci, blisko aplikacji.

Wzorzec 3: Wykorzystaj usługę ExpressRoute z prywatnym połączeniem równorzędnym

Jeśli masz dedykowaną sieć VPN lub usługę ExpressRoute skonfigurowaną z prywatnym łączem równorzędnym między Azure a siecią firmową, masz jeszcze jedną opcję. W tej konfiguracji sieć wirtualna na platformie Azure jest zwykle uznawana za rozszerzenie sieci firmowej. Możesz więc zainstalować łącznik w centrum danych platformy Azure i nadal spełniać wymagania dotyczące małych opóźnień połączenia łącznik-aplikacja.

Opóźnienie nie jest naruszone, ponieważ ruch przepływa przez dedykowane połączenie. Ulepszono również opóźnienie między łącznikami serwera proxy aplikacji, ponieważ łącznik jest zainstalowany w centrum danych platformy Azure w pobliżu lokalizacji dzierżawy firmy Microsoft Entra.

Diagram przedstawiający łącznik zainstalowany w centrum danych platformy Azure

Inne podejścia

Chociaż celem tego artykułu jest umieszczenie łącznika, można również zmienić położenie aplikacji, aby uzyskać lepsze właściwości opóźnienia.

Coraz częściej organizacje przenoszą swoje sieci do środowisk hostowanych. Przeniesienie umożliwia im umieszczanie aplikacji w środowisku hostowanym, które jest również częścią ich sieci firmowej, a jednocześnie pozostaje w domenie. W takim przypadku wzorce omówione w poprzednich sekcjach można zastosować do nowej lokalizacji aplikacji. Jeśli rozważasz tę opcję, zobacz Microsoft Entra Domain Services.

Ponadto rozważ zorganizowanie łączników przy użyciu grup łączników w celu kierowania aplikacji, które znajdują się w różnych lokalizacjach i sieciach.

Diagramy typowych przypadków użycia

W tej sekcji omówimy kilka typowych scenariuszy. Załóżmy, że dzierżawa Microsoft Entra (a więc punkt końcowy usługi proxy) znajduje się w Stanach Zjednoczonych (USA). Zagadnienia omówione w tych przypadkach użycia dotyczą również innych regionów na całym świecie.

W przypadku tych scenariuszy nazywamy każde połączenie "przeskokiem" i numerujemy je, dla ułatwienia dyskusji.

  • Przeskok 1: użytkownik do usługi serwera proxy aplikacji
  • Etap 2: usługa proxy aplikacji do łącznika sieci prywatnej
  • Hop 3: złącze sieci prywatnej do docelowej aplikacji

Przypadek użycia 1

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych z użytkownikami w tym samym regionie. Między centrum danych platformy Azure i siecią firmową nie istnieje żadna usługa ExpressRoute ani sieć VPN.

Zalecenie: postępuj zgodnie ze wzorcem 1, wyjaśnione w poprzedniej sekcji. W celu zwiększenia opóźnienia rozważ użycie usługi ExpressRoute, jeśli jest to konieczne.

Zoptymalizuj skok 3, umieszczając łącznik blisko aplikacji. Łącznik jest zwykle instalowany z bezpośrednim połączeniem do aplikacji i centrum danych w celu wykonywania operacji KCD.

Diagram przedstawiający użytkowników, serwer proxy, łącznik i aplikację znajdują się w Stanach Zjednoczonych.

Przypadek użycia 2

Scenariusz: aplikacja znajduje się w sieci organizacji w STANACH Zjednoczonych, a użytkownicy rozpowszechniają się globalnie. Między centrum danych platformy Azure i siecią firmową nie istnieje żadna usługa ExpressRoute ani sieć VPN.

Zalecenie: postępuj zgodnie ze wzorcem 1, wyjaśnione w poprzedniej sekcji.

Ponownie typowym wzorcem jest optymalizacja trzeciego przeskoku, w którym umieszczasz łącznik w pobliżu aplikacji. Przeskok 3 nie jest zazwyczaj kosztowny, jeśli znajduje się on w tym samym regionie. Jednak etap 1 może być droższy w zależności od tego, gdzie znajduje się użytkownik, ponieważ użytkownicy na całym świecie muszą uzyskać dostęp do instancji serwera proxy aplikacji w Stanach Zjednoczonych. Warto zauważyć, że każde rozwiązanie serwera proxy ma podobne cechy dotyczące rozpowszechniania użytkowników na całym świecie.

Użytkownicy są rozproszeni globalnie, ale wszystko inne znajduje się w Stanach Zjednoczonych

Przypadek użycia 3

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych. Usługa ExpressRoute z peeringiem Microsoft jest nawiązana między platformą Azure a siecią firmową.

Zalecenie: Postępuj zgodnie ze wzorcami 1 i 2, wyjaśnione w poprzedniej sekcji.

Najpierw umieść łącznik jak najbliżej aplikacji. Następnie system automatycznie używa usługi ExpressRoute dla przeskoku 2.

Jeśli link usługi ExpressRoute korzysta z peeringu Microsoft, ruch pomiędzy serwerem proxy a łącznikiem przepływa przez to łącze. Skok 2 wykorzystuje optymalne opóźnienie.

Diagram przedstawiający usługę ExpressRoute między serwerem proxy i łącznikiem

Przypadek użycia 4

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych. Usługa ExpressRoute z prywatnym peeringiem działa między platformą Azure a siecią firmową.

Zalecenie: postępuj zgodnie ze wzorcem 3, wyjaśnione w poprzedniej sekcji.

Umieść łącznik w centrum danych platformy Azure, które jest połączone z siecią firmową przez prywatne peering ExpressRoute.

Łącznik można umieścić w centrum danych platformy Azure. Ponieważ łącznik nadal ma widok do aplikacji i centrum danych za pośrednictwem sieci prywatnej, przeskok 3 pozostaje zoptymalizowany. Ponadto etap 2 jest dodatkowo zoptymalizowany.

Łącznik w centrum danych platformy Azure, usługa ExpressRoute między łącznikiem i aplikacją

Przypadek użycia 5

Scenariusz: Aplikacja znajduje się w sieci organizacji w Europie, domyślnym regionem dzierżawy są Stany Zjednoczone, a większość użytkowników jest w Europie.

Zalecenie: Umieść łącznik w pobliżu aplikacji. Zaktualizuj grupę łączników, aby korzystała z wystąpień usługi serwera proxy aplikacji w Europie. Aby zapoznać się z krokami, zobacz Optymalizowanie grup łączników w celu korzystania z najbliższej usługi chmury proxy aplikacji.

Ponieważ użytkownicy z Europy uzyskują dostęp do instancji serwera proxy aplikacji, która znajduje się w tym samym regionie, krok 1 nie jest kosztowny. Hop 3 jest zoptymalizowany. Rozważ użycie usługi ExpressRoute do zoptymalizowania przeskoku 2.

Przypadek użycia 6

Scenariusz: Aplikacja znajduje się w sieci organizacji w Europie, domyślnym regionem dzierżawy są Stany Zjednoczone, a większość użytkowników jest w Stanach Zjednoczonych.

Zalecenie: Umieść łącznik w pobliżu aplikacji. Zaktualizuj grupę łączników, aby korzystała z wystąpień usługi serwera proxy aplikacji w Europie. Aby uzyskać instrukcje, zobacz Optymalizowanie grup łączników w celu korzystania z najbliższej usługi chmurowej serwera proxy aplikacji. Krok 1 może być droższy, ponieważ wszyscy użytkownicy z USA muszą połączyć się z instancją serwera proxy aplikacji w Europie.

Możesz również rozważyć użycie innego wariantu w tej sytuacji. Jeśli większość użytkowników w organizacji jest w Stanach Zjednoczonych, istnieje prawdopodobieństwo, że sieć rozciąga się również na Stany Zjednoczone. Zainstaluj konektor w Stanach Zjednoczonych, kontynuuj korzystanie z regionu domyślnego USA dla grup konektorów i użyj dedykowanej wewnętrznej linii sieci korporacyjnej do aplikacji w Europie. W ten sposób etapy 2 i 3 są zoptymalizowane.

Diagram przedstawia użytkowników, serwer proxy i łącznik w Stanach Zjednoczonych oraz aplikację w Europie.

Następne kroki