Vysvětlení Microsoft Entra konektorů proxy aplikací
Konektory umožňují Microsoft Entra proxy aplikací. Jsou jednoduché, snadno se nasazují a udržují a jsou velmi výkonné. Tento článek popisuje, co jsou konektory, jak fungují a některé návrhy, jak optimalizovat nasazení.
Co je konektor proxy aplikací?
Konektory jsou odlehčení agenti, kteří jsou místně a usnadňují odchozí připojení ke službě proxy aplikací. Konektory musí být nainstalované na Windows Serveru, který má přístup k back-endové aplikaci. Konektory můžete uspořádat do skupin konektorů, přičemž každá skupina zpracovává provoz do konkrétních aplikací. Další informace o proxy aplikacích a diagrammatickou reprezentaci architektury proxy aplikací najdete v tématu Použití proxy aplikací Microsoft Entra k publikování místních aplikací pro vzdálené uživatele.
Požadavky a nasazení
K úspěšnému nasazení proxy aplikací potřebujete alespoň jeden konektor, ale pro větší odolnost doporučujeme dva nebo více konektorů. Nainstalujte konektor na počítač s Windows Serverem 2012 R2 nebo novějším. Konektor musí komunikovat se službou proxy aplikací a místními aplikacemi, které publikujete.
Windows Server
Potřebujete server se systémem Windows Server 2012 R2 nebo novějším, na který můžete nainstalovat konektor proxy aplikací. Server se musí připojit ke službám proxy aplikací v Azure a k místním aplikacím, které publikujete.
Od verze 1.5.3437.0 se pro úspěšnou instalaci (upgrade) vyžaduje verze .NET 4.7.1 nebo vyšší.
Před instalací konektoru proxy aplikací musí mít server povolený protokol TLS 1.2. Povolení protokolu TLS 1.2 na serveru:
Nastavte následující klíče registru:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001Soubor
regedit, který můžete použít k nastavení těchto hodnot:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.8.4250.0] "SchUseStrongCrypto"=dword:00000001Restartování serveru
Další informace o požadavcích na síť pro server konektoru najdete v tématu Začínáme s proxy aplikací a instalace konektoru.
Údržba
Konektory a služba se starají o všechny úlohy vysoké dostupnosti. Je možné je přidávat nebo odebírat dynamicky. Pokaždé, když přijde nový požadavek, je směrován na jeden z aktuálně dostupných konektorů. Pokud konektor není dočasně dostupný, nereaguje na tento provoz.
Konektory jsou bezstavové a na počítači nemají žádná konfigurační data. Jediná data, která ukládají, jsou nastavení pro připojení služby a jejího ověřovacího certifikátu. Když se připojí ke službě, přetáhnou všechna požadovaná konfigurační data a každých pár minut je aktualizují.
Konektory se také dotazují serveru, aby zjistily, jestli existuje novější verze konektoru. Pokud se najde, konektory se samy aktualizují.
Konektory můžete monitorovat z počítače, na kterém běží, pomocí protokolu událostí a čítačů výkonu. Nebo můžete zobrazit jejich stav na stránce proxy aplikací v Centru pro správu Microsoft Entra:
Nepoužívané konektory nemusíte odstraňovat ručně. Když je konektor spuštěný, zůstane aktivní i při připojení ke službě. Nepoužívané konektory se označí jako neaktivní a po 10 dnech nečinnosti se odeberou. Pokud ale chcete konektor odinstalovat, odinstalujte ze serveru službu Connector i aktualizační službu. Restartujte počítač, aby se službě úplně odebrala.
Automatické aktualizace
Microsoft Entra ID poskytuje automatické aktualizace pro všechny konektory, které nasadíte. Pokud je služba proxy aplikací Connector Updater spuštěná, vaše konektory se automaticky aktualizují o nejnovější hlavní verzi konektoru. Pokud na serveru nevidíte službu Connector Updater, budete muset konektor přeinstalovat , abyste získali všechny aktualizace.
Pokud nechcete čekat na automatickou aktualizaci konektoru, můžete provést ruční upgrade. Přejděte na stránku pro stažení konektoru na serveru, na kterém je váš konektor umístěný, a vyberte Stáhnout. Tento proces zahájí upgrade místního konektoru.
U tenantů s více konektory cílí automatické aktualizace v každé skupině vždy po jednom konektoru, aby se zabránilo výpadkům ve vašem prostředí.
Při aktualizaci konektoru může dojít k výpadku v následujících případech:
- Pokud máte jenom jeden konektor, doporučujeme nainstalovat druhý konektor a vytvořit skupinu konektorů. Tím se vyhnete výpadkům a zajistíte vyšší dostupnost.
- Konektor byl uprostřed transakce, když aktualizace začala. I když dojde ke ztrátě počáteční transakce, měl by prohlížeč operaci automaticky opakovat, jinak můžete stránku aktualizovat. Při opětovném odeslání požadavku se provoz směruje do konektoru zálohování.
Informace o dříve vydaných verzích a jejich změnách najdete v tématu proxy aplikací – Historie verzí.
Vytváření skupin konektorů
Skupiny konektorů umožňují přiřazovat konkrétní konektory pro obsluhu konkrétních aplikací. Můžete seskupit mnoho konektorů a pak přiřadit každou aplikaci ke skupině.
Skupiny konektorů usnadňují správu velkých nasazení. Zvyšují také latenci pro tenanty, kteří mají aplikace hostované v různých oblastech, protože můžete vytvářet skupiny konektorů založených na umístění, které budou obsluhovat jenom místní aplikace.
Další informace o skupinách konektorů najdete v tématu Publikování aplikací v samostatných sítích a umístěních pomocí skupin konektorů.
Plánování kapacity
Je důležité zajistit, abyste mezi konektory naplánovali dostatečnou kapacitu pro zvládnutí očekávaného objemu provozu. Pro zajištění vysoké dostupnosti a škálování doporučujeme, aby každá skupina konektorů měl alespoň dva konektory. Mít tři konektory je optimální pro případ, že budete potřebovat obsluhovat počítač v libovolném okamžiku.
Obecně platí, že čím více uživatelů máte, tím větší počítač budete potřebovat. Níže je tabulka s přehledem objemu a očekávané latence, které můžou různé počítače zpracovat. Všimněte si, že vše je založeno na očekávaných transakcích za sekundu (TPS), nikoli podle uživatele, protože vzory použití se liší a nelze je použít k predikci zatížení. Budou také určité rozdíly v závislosti na velikosti odpovědí a době odezvy back-endové aplikace – větší velikosti odpovědí a pomalejší doby odezvy budou mít za následek nižší maximální hodnotu TPS. Doporučujeme také mít další počítače, aby distribuované zatížení na počítačích vždy poskytovalo houcenou vyrovnávací paměť. Dodatečná kapacita zajistí vysokou dostupnost a odolnost.
| Cores | Paměť RAM | Očekávaná latence (MS)-P99 | Maximální počet TPS |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* Tento počítač použil vlastní nastavení ke zvýšení některých výchozích limitů připojení nad rámec doporučených nastavení .NET. Než kontaktujete podporu, abyste tento limit pro vašeho tenanta změnili, doporučujeme spustit test s výchozím nastavením.
Poznámka
V maximálním počtu tps mezi 4, 8 a 16 jádrovými počítači není velký rozdíl. Hlavní rozdíl mezi nimi je v očekávané latenci.
Tato tabulka se také zaměřuje na očekávaný výkon konektoru na základě typu počítače, na který je nainstalovaný. To je oddělené od omezení omezení služby proxy aplikací, viz Omezení a omezení služby.
Zabezpečení a sítě
Konektory je možné nainstalovat kdekoli v síti, což jim umožňuje odesílat požadavky do služby proxy aplikací. Důležité je, že počítač s konektorem má také přístup k vašim aplikacím. Konektory můžete nainstalovat uvnitř podnikové sítě nebo na virtuální počítač, který běží v cloudu. Konektory můžou běžet v hraniční síti, označované také jako demilitarizovaná zóna (DMZ), ale není to nutné, protože veškerý provoz je odchozí, takže vaše síť zůstane zabezpečená.
Konektory odesílají jenom odchozí požadavky. Odchozí provoz se odesílá do služby proxy aplikací a do publikovaných aplikací. Příchozí porty nemusíte otevírat, protože provoz po navázání relace teče oběma směry. Také nemusíte konfigurovat příchozí přístup přes brány firewall.
Další informace o konfiguraci odchozích pravidel brány firewall najdete v tématu Práce s existujícími místními proxy servery.
Výkon a škálovatelnost
Škálování pro službu proxy aplikací je transparentní, ale faktorem pro konektory je škálování. Potřebujete mít dostatek konektorů pro zpracování provozu ve špičce. Vzhledem k tomu, že konektory jsou bezstavové, nemají vliv na počet uživatelů ani relací. Místo toho odpoví na počet požadavků a velikost datové části. Při standardním webovém provozu dokáže průměrný počítač zpracovat několik tisíc požadavků za sekundu. Konkrétní kapacita závisí na přesných vlastnostech počítače.
Výkon konektoru je vázán procesorem a sítí. Výkon procesoru je nutný pro šifrování a dešifrování tls, zatímco sítě jsou důležité pro rychlé připojení k aplikacím a online službě v Azure.
Naproti tomu paměť je menší problém pro konektory. Online služba se postará o většinu zpracování a veškerý neověřený provoz. Všechno, co je možné udělat v cloudu, se dělá v cloudu.
Pokud z nějakého důvodu přestane být tento konektor nebo počítač dostupný, provoz začne směrovat do jiného konektoru ve skupině. Tato odolnost je také důvodem, proč doporučujeme mít více konektorů.
Dalším faktorem, který ovlivňuje výkon, je kvalita sítě mezi konektory, včetně:
- Online služba: Výkon konektoru ovlivňují pomalé nebo vysoce latence připojení ke službě proxy aplikací v Azure. Pro zajištění nejlepšího výkonu připojte svoji organizaci k Azure pomocí Express Route. V opačném případě požádejte síťový tým, aby se připojení k Azure zpracovávala co nejefektivněji.
- Back-endové aplikace: V některých případech existují další proxy servery mezi konektorem a back-endovými aplikacemi, které můžou připojení zpomalit nebo zabránit. Pokud chcete tento scénář vyřešit, otevřete prohlížeč ze serveru konektoru a pokuste se o přístup k aplikaci. Pokud konektory spouštíte v Azure, ale aplikace jsou místní, nemusí to být prostředí, které vaši uživatelé očekávají.
- Řadiče domény: Pokud konektory provádějí jednotné přihlašování (SSO) pomocí omezeného delegování protokolu Kerberos, kontaktují řadiče domény před odesláním požadavku do back-endu. Konektory mají mezipaměť lístků Protokolu Kerberos, ale v zaneprázdněném prostředí může rychlost odezvy řadičů domény ovlivnit výkon. Tento problém je častější u konektorů, které běží v Azure, ale komunikují s místními řadiči domény.
Další informace o optimalizaci sítě najdete v tématu Důležité informace o topologii sítě při používání Microsoft Entra proxy aplikací.
Připojení k doméně
Konektory můžou běžet na počítači, který není připojený k doméně. Pokud ale chcete jednotné přihlašování (SSO) k aplikacím, které používají integrované ověřování Windows (IWA), potřebujete počítač připojený k doméně. V takovém případě musí být počítače konektoru připojené k doméně, která může jménem uživatelů publikovaných aplikací provádět omezené delegování protokolu Kerberos .
Konektory je také možné připojit k doménám v doménových strukturách, které mají částečný vztah důvěryhodnosti, nebo k řadičům domény jen pro čtení.
Nasazení konektorů v posílených prostředích
Nasazení konektoru je obvykle jednoduché a nevyžaduje žádnou zvláštní konfiguraci. Existuje však několik jedinečných podmínek, které byste měli vzít v úvahu:
- Organizace, které omezují odchozí provoz, musí otevřít požadované porty.
- Počítače kompatibilní se standardem FIPS mohou být potřeba změnit konfiguraci, aby procesy konektoru mohly generovat a ukládat certifikát.
- Organizace, které zamknou své prostředí na základě procesů, které vydávají síťové požadavky, musí zajistit, aby obě služby konektoru měly povolený přístup ke všem požadovaným portům a IP adresám.
- V některých případech můžou odchozí dopředné proxy servery přerušit obousměrné ověřování certifikátů a způsobit selhání komunikace.
Ověřování konektoru
Aby bylo možné poskytovat zabezpečenou službu, musí se konektory ověřit směrem ke službě a služba se musí ověřit vůči konektoru. Toto ověřování se provádí pomocí klientských a serverových certifikátů, když konektory zahájí připojení. Tímto způsobem se uživatelské jméno a heslo správce neuloží na počítači konektoru.
Používané certifikáty jsou specifické pro službu proxy aplikací. Vytvářejí se během počáteční registrace a automaticky se každých pár měsíců obnovují pomocí konektorů.
Po prvním úspěšném obnovení certifikátu nemá služba konektoru proxy aplikací (síťová služba) Microsoft Entra oprávnění k odebrání starého certifikátu z úložiště místního počítače. Pokud platnost certifikátu vypršela nebo ho už služba nepoužívá, můžete ho bezpečně odstranit.
Aby se zabránilo problémům s obnovením certifikátu, zkontrolujte, že je povolená síťová komunikace z konektoru směrem k dokumentovaným cílům.
Pokud konektor není po několik měsíců připojený ke službě, můžou být jeho certifikáty zastaralé. V takovém případě konektor odinstalujte a znovu nainstalujte, aby se aktivovala registrace. Můžete spustit následující příkazy PowerShellu:
Import-module AppProxyPSModule
Register-AppProxyConnector -EnvironmentName "AzureCloud"
Pro státní správu použijte -EnvironmentName "AzureUSGovernment". Další podrobnosti najdete v tématu Instalace agenta pro Azure Government Cloud.
Další informace o ověření certifikátu a řešení potíží najdete v tématu Ověření podpory komponent počítače a back-endu pro proxy aplikací důvěryhodný certifikát.
Pod pokličkou
Konektory jsou založené na webových proxy aplikací Windows Serveru, takže mají většinu stejných nástrojů pro správu, včetně protokolů událostí systému Windows.
a čítače výkonu Windows.
Konektory mají protokoly Správa i relace. Protokol Správa obsahuje klíčové události a jejich chyby. Protokol relace obsahuje všechny transakce a podrobnosti o jejich zpracování.
Pokud chcete zobrazit protokoly, otevřete Prohlížeč událostí a přejděte na Protokoly> aplikací a služebMicrosoft>AadApplicationProxy>Connector. Pokud chcete, aby byl protokol relací viditelný, vyberte v nabídce Zobrazitmožnost Zobrazit analytické a ladicí protokoly. Protokol relace se obvykle používá k řešení potíží a ve výchozím nastavení je zakázaný. Povolte ho, aby se začaly shromažďovat události, a když už není potřeba, zakažte ho.
Stav služby můžete zkontrolovat v okně Služby. Konektor se skládá ze dvou služeb windows: skutečného konektoru a aktualizátoru. Oba musí běžet pořád.
