Общие сведения о соединителе частной сети Microsoft Entra

Соединители — это то, что делает Частный доступ Microsoft Entra и прокси приложения возможным. Они просты в использовании, развертывании и обслуживании. К тому же они очень производительны. В этой статье объясняется, что такое соединители, как они работают, и приводится несколько рекомендаций по оптимизации развертывания.

Что такое соединитель частной сети?

Соединители — это легкие агенты, которые находятся в частной сети и обеспечивают исходящее подключение к службам Microsoft Entra Private Access и прокси приложений. Соединители должны быть установлены на сервере Windows Server с доступом к внутренним ресурсам. Соединители можно упорядочить в группы соединителей, при этом каждая группа обрабатывает трафик к определенным ресурсам. Дополнительные сведения о прокси-сервере приложения и схемном представлении архитектуры прокси приложения см. в статье "Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей".

Чтобы узнать, как настроить соединитель частной сети Microsoft Entra, см. инструкции по настройке соединителей частной сети для Частный доступ Microsoft Entra.

Соединители частной сети — это упрощенные агенты, развернутые локально, которые упрощают исходящее подключение к службе прокси приложения в облаке. Соединители необходимо установить на сервере Windows с доступом к внутреннему приложению. Пользователи подключаются к облачной службе прокси приложения, которая направляет трафик к приложениям через соединители.

Настройка и регистрация между соединителем и службой прокси приложения выполняется следующим образом:

1. ИТ-администратор открывает порты 80 и 443 для исходящего трафика и разрешает доступ к нескольким URL-адресам, необходимым соединителю, службе прокси приложения и идентификатору Microsoft Entra.
2. Администратор входит в Центр администрирования Microsoft Entra и запускает исполняемый файл для установки соединителя на локальном сервере Windows.
3. Соединитель начинает прослушивать службу прокси приложения.
4. Администратор добавляет локальное приложение в Microsoft Entra ID и настраивает такие параметры, как URL-адреса, необходимые пользователям для подключения к их приложениям.

Всегда рекомендуется развертывать несколько соединителей для надежности и масштабируемости. Соединители в сочетании со службой выполняют все задачи по обеспечению высокой доступности и могут добавляться или удаляться динамически. Когда поступает новый запрос, он перенаправляется на один из доступных соединителей. Когда соединитель работает, он остается активным, подключаясь к службе. Если соединитель временно недоступен, он перестает реагировать на трафик. Неиспользуемые соединители помечаются как неактивные и удаляются спустя 10 дней бездействия.

Соединители также опрашивают сервер, чтобы узнать, есть ли более новая версия соединителя. Хотя вы можете выполнить обновление вручную, соединители будут обновляться автоматически, пока запущена служба обновления соединителя частной сети. Для арендаторов с несколькими соединителями автоматические обновления направляются на один соединитель за раз в каждой группе соединителей, чтобы избежать простоев в вашей среде.

Примечание.

Вы можете отслеживать страницу журнала версий, чтобы оставаться в курсе последних обновлений.

Каждый соединитель частной сети назначается группе соединителей. Соединители в одной группе соединителей действуют как единый модуль в контексте обеспечения высокого уровня доступности и балансировки нагрузки. Вы можете создать новые группы, назначить соединители им в Центре администрирования Microsoft Entra, а затем назначить определенные соединители для обслуживания определенных приложений. Рекомендуется иметь по крайней мере два соединителя в каждой группе соединителей для обеспечения высокой доступности.

Группы соединителей удобны в тех случаях, когда требуется реализовать следующие сценарии:

• публикация географических приложений
• сегментация или изоляции приложений;
• публикация веб-приложений, работающих в облаке или локальной среде.

Для получения дополнительной информации о выборе места установки соединителей и оптимизации сети см. Топологические аспекты использования прокси приложения Microsoft Entra.

Обслуживание

Соединители и служба отвечают за выполнение задач по обеспечению высокой доступности. Их можно добавлять или удалять динамически. Новые запросы направляются в один из доступных соединителей. Если соединитель временно недоступен, он перестает реагировать на трафик.

Соединители являются бессостоящими и не хранят данные конфигурации на компьютере. Единственные данные, которые они хранят, — это параметры подключения к службе и ее сертификат аутентификации. При подключении к службе они извлекают все необходимые данные конфигурации и обновляют их раз в несколько минут.

Соединители также опрашивают сервер, чтобы выяснить, есть ли более новая версия соединителя. Если он будет обнаружен, соединители обновятся.

Соединители можно отслеживать с компьютера, на котором они работают, с помощью журналов событий и счетчиков производительности. Вы также можете просмотреть их состояние в Центре администрирования Microsoft Entra. Для Microsoft Entra Private Access перейдите в раздел "Global Secure Access", затем "Connect" и выберите "Connectors". Для прокси приложения перейдите к Identity, Applications, Enterprise applications и выберите приложение. На странице приложения выберите прокси приложения.

Вам не требуется вручную удалять неиспользуемые соединители. Когда соединитель работает, он остаётся активным при подключении к службе. Неиспользуемые соединители помечены как _inactive_ и удаляются через 10 дней бездействия. Если вы действительно хотите удалить соединитель, то удалите с сервера и службу соединителя, и службу обновления. Перезапустите компьютер, чтобы полностью удалить службу.

Автоматические обновления

Идентификатор Microsoft Entra предоставляет автоматические обновления для всех развернутых соединителей. Если служба обновления соединителя частной сети запущена, ваши соединители обновляются с последней крупной версией соединителя автоматически. Если на сервере не отображается служба обновления соединителя, необходимо переустановить соединитель, чтобы получить обновления.

Если вы не хотите дожидаться, когда ваш соединитель обновится автоматически, вы можете выполнить обновление вручную. Перейдите на страницу скачивания соединителя на сервере, где находится соединитель, и выберите команду Скачать. Этот процесс инициирует обновление локального соединителя.

Если арендатор имеет несколько соединителей, автоматическое обновление производится для одного соединителя за раз в каждой группе, что позволяет избежать простоев в вашей среде.

Вы можете столкнуться с простоем при обновлении соединителя, если:

• У вас только один соединитель. Второй соединитель и группа соединителей рекомендуется избежать простоя и обеспечить более высокую доступность.
• Соединитель выполнял транзакцию в момент начала обновления. Хотя исходная транзакция утеряна, браузер должен автоматически повторить операцию. Вы также можете обновить страницу. При повторном запросе трафик направляется на резервный соединитель.

Чтобы просмотреть информацию о ранее выпущенных версиях и внесенных изменениях, см. Историю выпусков версий прокси-приложения.

Создание групп соединителей

Группы соединителей позволяют назначить определенные соединители для конкретных приложений. Вы можете объединить множество соединителей, а затем назначить каждому ресурсу или приложению группе.

Группы соединителей упрощают управление крупными развертываниями. Они также повышают задержку для клиентов, имеющих ресурсы и приложения, размещенные в разных регионах, так как можно создавать группы соединителей на основе расположения для обслуживания только локальных приложений.

Дополнительные сведения о группах соединителей см. в статье "Общие сведения о группах соединителей частной сети Microsoft Entra".

Безопасность и сеть

Соединители можно установить в любой точке сети, где можно отправлять запросы в службы Частного доступа Microsoft Entra и прокси приложения. Важно, чтобы компьютер, на котором запущен соединитель, также имеет доступ к приложениям и ресурсам. Можно установить соединители в корпоративной сети или на виртуальной машине, работающей в облаке. Соединители могут работать в промежуточной подсети, также называемой демилитаризованной зоной (ДМЗ), но в этом нет необходимости, поскольку весь трафик является исходящим, сеть остается в безопасности.

Соединители отправляют только исходящие запросы. Исходящий трафик отправляется службе и опубликованным ресурсам и приложениям. Нет необходимости открывать входящие порты, так как после установления соединения трафик может двигаться в обоих направлениях. Вам также не нужно настраивать входящий доступ через брандмауэры.

Дополнительные сведения о настройке правил брандмауэра для исходящего трафика см. в статье Работа с имеющимися локальными прокси-серверами.

Производительность и масштабируемость   

Масштабирование для частного доступа Microsoft Entra и прокси-сервисов приложений осуществляется прозрачно, однако масштаб является фактором для коннекторов. Для обработки пикового трафика необходимо иметь достаточное количество соединителей. Соединители являются без отслеживания состояния, а количество пользователей или сеансов не влияет на них. Вместо этого они реагируют на количество запросов и размер полезной нагрузки. При использовании стандартного веб-трафика средний компьютер может обрабатывать 2000 запросов в секунду. Этот показатель зависит от точных характеристик компьютера.

Производительность ЦП и сети определяет производительность соединителя. Производительность ЦП необходима для шифрования и расшифровки TLS, а сеть важна для быстрого подключения к приложениям и веб-службе.

Память, напротив, меньше всего важна для соединителей. Веб-служба выполняет большую часть операций обработки и отвечает за весь трафик, не прошедший аутентификацию. Все, что можно сделать в облаке, осуществляется в облаке.

Если соединители или компьютеры недоступны, трафик переходит к другому соединителю в группе. Несколько соединителей в группе соединителей обеспечивают устойчивость.

На производительность также влияет качество сетевого подключения между соединителями, которое определяется следующими факторами.

• Онлайн-сервис: медленное или высокое время задержки подключения к службе Microsoft Entra влияет на производительность коннектора. Для повышения производительности подключите организацию к Microsoft с помощью Express Route. В противном случае, попросите вашу сетевую команду обеспечить как можно более эффективную обработку подключений к Microsoft.
• Серверные приложения: в некоторых случаях между соединителем и внутренними ресурсами и приложениями, которые могут замедлить или предотвратить подключения, существуют дополнительные прокси-серверы. Чтобы устранить эту проблему, откройте браузер с сервера соединителя и попытайтесь получить доступ к приложению или ресурсу. Если вы запускаете соединители в облаке, но приложения находятся в локальной среде, это может быть не то, что ожидают ваши пользователи.
• Контроллеры домена. Если соединители выполняют единый вход (SSO) на основе ограниченного делегирования Kerberos, они устанавливают связь с контроллерами домена перед отправкой запроса на сервер. Соединители содержат кэш билетов Kerberos, но в среде с высокой нагрузкой скорость реагирования контроллеров домена может снизить производительность. Такая проблема наиболее характерна для ситуации, когда соединители выполняются в Azure, но взаимодействуют с контроллерами домена в локальной среде.

Дополнительные сведения об оптимизации вашей сети см. в разделе об учете топологии сети при использовании прокси приложения Microsoft Entra.

Спецификации и требования к размеру

Для каждого соединителя частной сети Entra рекомендуется использовать следующие спецификации:

• Память : не менее 8 ГиБ
• ЦП: 4 ядра ЦП или более

Убедитесь, что ваши коннекторы имеют значение менее 70% для пикового использования памяти и пикового использования ЦП. Если использование ЦП или памяти превышает рекомендуемый максимум, вам может потребоваться добавить дополнительные соединители для эффективного распределения рабочих нагрузок.

• пропускная способность: каждый соединитель, настроенный с указанными выше спецификациями, может поддерживать до 1,5 Гбит/с пропускной способности по протоколу TCP на виртуальной машине Azure. Пропускная способность измеряется как сумма входящего и исходящего трафика. Более высокую пропускную способность можно достичь, запустив соединитель на виртуальных машинах с увеличенной памятью, ресурсами ЦП и расширенными скоростями сетевой связи.

дополнительные сведения:

• Приведенные выше рекомендации по размеру основаны на тестировании производительности в тестовом клиенте с помощью средства iPerf3 с потоками данных TCP. Фактическая производительность может отличаться в разных средах тестирования. Дополнительные сведения о конкретных тестовых случаях будут опубликованы в рамках этой документации в ближайшие месяцы.
• После регистрации соединителя он устанавливает исходящие туннели TLS в инфраструктуру облака частного доступа. Эти туннели обрабатывают весь трафик на пути передачи данных. Кроме того, у нас есть канал плоскости управления, управление пульсом, отчеты о работоспособности, обновление соединителя и т. д. использование минимальной пропускной способности.
• Вы можете развернуть дополнительные соединители в одной группе соединителей, чтобы увеличить общую пропускную способность, если доступна соответствующая сеть и подключение к Интернету. Рекомендуется поддерживать как минимум два здоровых соединителя, чтобы обеспечить устойчивость и согласованность доступности. Рекомендации по обеспечению высокого уровня доступности см. в руководстве здесь.

Присоединение к домену

Соединители могут работать на компьютере, который не присоединен к домену. Но если вам нужен единый вход (SSO) в приложения, использующие Встроенную проверку подлинности Windows (IWA), компьютер должен быть присоединен к домену. В этом случае компьютеры соединителя должны быть присоединены к домену, который может выполнить ограниченное делегирование Kerberos от имени пользователей для опубликованных приложений.

Соединители также могут присоединяться к доменам в лесах с частичным доверием или к контроллерам домена только для чтения.

Развертывание соединителей в средах с усиленной защитой

Развертывание соединителей обычно не вызывает сложностей и не требует дополнительной настройки.

Но для некоторых редких сценариев есть определенные условия.

• Для исходящего трафика требуется открыть определенные порты. Дополнительные сведения см. в статье о настройке соединителей.
• Компьютеры, совместимые с FIPS, могут потребовать изменения конфигурации, чтобы разрешить процессам соединителя создавать и хранить сертификат.
• Исходящие прокси-серверы могут нарушить двухстороннюю аутентификацию на основе сертификатов и привести к сбоям в связи.

Проверка подлинности соединителя

Чтобы обеспечить безопасное предоставление услуги, соединители должны аутентифицироваться перед службой, а служба должна аутентифицироваться перед соединителями. Такая аутентификация выполняется с использованием сертификатов клиента и сервера, когда соединители инициируют подключение. Таким образом имя пользователя и пароль администратора не хранятся на компьютере соединителя.

Сертификаты, используемые, предназначены для конкретной службы. Они создаются во время первоначальной регистрации и автоматически обновляются каждые пару месяцев.

После первого успешного продления сертификата служба соединителя частной сети Microsoft Entra (сетевая служба) не имеет разрешения на удаление старого сертификата из локального хранилища компьютеров. Если срок действия сертификата истекает или не используется службой, его можно удалить безопасно.

Чтобы избежать проблем с продлением сертификата, убедитесь, что сетевое подключение от соединителя к документированных назначениям включено.

Если соединитель не подключен к службе в течение нескольких месяцев, его сертификаты могут быть устаревшими. В этом случае следует удалить соединитель и установить его заново, чтобы запустить процесс регистрации. Вы можете выполнить следующие команды PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Для государственных организаций используйте -EnvironmentName "AzureUSGovernment". Дополнительные сведения см. в разделе "Агент установки" для облака Azure для государственных организаций.

Чтобы узнать, как проверить сертификат и устранить неполадки, см. Проверка поддержки компонентов машины и серверной части для сертификата доверия прокси сервера приложения.

Под капотом

Соединители устанавливаются на Windows Server, поэтому они имеют большинство средств управления, включая журналы событий Windows и счетчики производительности Windows.

Для соединений имеются журналы Администратора и Сеанса. В журнале Администратор регистрируются основные события и соответствующие ошибки. В журнале Сеанс содержатся все транзакции и подробные сведения об их обработке.

Чтобы просмотреть журналы, откройте Просмотр событий и перейдите в Журналы приложений и служб>Microsoft>Microsoft Entra private network>Connector. Чтобы сделать журнал Сеанс видимым, в меню Просмотр выберите Показать журналы аналитики и отладки. Журнал сеансов обычно используется для устранения неполадок и по умолчанию отключен. Включите его, чтобы начать сбор событий, и отключите, когда он больше не требуется.

Состояние службы можно проверить в окне "Служба". Соединитель состоит из двух служб Windows: собственно соединитель и служба обновления. Оба должны работать постоянно.

Неактивные соединители

Распространенная проблема заключается в том, что соединители отображаются как неактивные в группе соединителей. Брандмауэр блокирует необходимые порты — это распространенная причина неактивных соединителей.

Следующие шаги

• Общие сведения о группах соединителей частной сети Microsoft Entra
• Работа с имеющимися локальными прокси-серверами
• Устранение неполадок прокси приложения и соединителя
• Как автоматически установить соединитель частной сети Microsoft Entra