Vysvětlení privátního síťového konektoru Microsoft Entra
Připojení ory umožňují Microsoft Entra Soukromý přístup a proxy aplikací. Jsou jednoduché, snadno se nasazují a udržují a jsou supervýkonné. Tento článek popisuje, co jsou konektory, jak fungují, a některé návrhy, jak optimalizovat nasazení.
Co je privátní síťový konektor?
Připojení ors jsou odlehčené agenty, kteří se nacházejí v privátní síti a usnadňují odchozí připojení ke službám Microsoft Entra Soukromý přístup a proxy aplikací. Připojení orům je nutné nainstalovat na Windows Server, který má přístup k back-endovým prostředkům. Konektory můžete uspořádat do skupin konektorů, přičemž každá skupina zpracovává provoz do konkrétních prostředků. Další informace o proxy aplikací a diagramové reprezentaci architektury proxy aplikací najdete v tématu Použití proxy aplikací Microsoft Entra k publikování místních aplikací pro vzdálené uživatele.
Informace o konfiguraci privátního síťového konektoru Microsoft Entra najdete v tématu Konfigurace privátních síťových konektorů pro Microsoft Entra Soukromý přístup.
Konektory privátní sítě jsou odlehčené agenty nasazené místně, které usnadňují odchozí připojení ke službě proxy aplikací v cloudu. Konektory musí být nainstalované na Windows Serveru, který má přístup k back-endové aplikaci. Uživatelé se připojují ke cloudové službě proxy aplikací, která směruje provoz do aplikací prostřednictvím konektorů.
Nastavení a registrace mezi konektorem a službou proxy aplikací se provádí takto:
- Správce IT otevře porty 80 a 443 pro odchozí provoz a povolí přístup k několika adresám URL potřebným konektorem, službě proxy aplikací a ID Microsoft Entra.
- Správce se přihlásí do Centra pro správu Microsoft Entra a spustí spustitelný soubor pro instalaci konektoru na místní windows server.
- Konektor začne "naslouchat" službě proxy aplikací.
- Správce přidá místní aplikaci do MICROSOFT Entra ID a nakonfiguruje nastavení, jako jsou adresy URL, které uživatelé potřebují pro připojení ke svým aplikacím.
Doporučujeme vždy nasadit více konektorů pro redundanci a škálování. Konektory ve spojení se službou se postará o všechny úlohy s vysokou dostupností a dají se přidávat nebo odebírat dynamicky. Pokaždé, když dorazí nový požadavek, se přesměruje na jeden z dostupných konektorů. Když je konektor spuštěný, zůstane aktivní, protože se připojuje ke službě. Pokud je konektor dočasně nedostupný, nereaguje na tento provoz. Nepoužité konektory se označí jako neaktivní a odeberou se po 10 dnech nečinnosti.
Připojení orům se server také dotazuje, jestli existuje novější verze konektoru. I když můžete provést ruční aktualizaci, konektory se aktualizují automaticky, pokud je spuštěná služba Updater privátního síťového konektoru. U tenantů s více konektory cílí automatické aktualizace vždy na jeden konektor v každé skupině, aby se zabránilo výpadkům ve vašem prostředí.
Poznámka:
Můžete sledovat stránku historie verzí, abyste měli přehled o nejnovějších aktualizacích.
Každý privátní síťový konektor je přiřazen ke skupině konektorů. Připojení orům ve stejné skupině konektorů slouží jako jedna jednotka pro zajištění vysoké dostupnosti a vyrovnávání zatížení. Můžete vytvářet nové skupiny, přiřazovat jim konektory v Centru pro správu Microsoft Entra a pak přiřazovat konkrétní konektory pro obsluhu konkrétních aplikací. Pro zajištění vysoké dostupnosti doporučujeme mít v každé skupině konektorů aspoň dva konektory.
skupiny Připojení orů jsou užitečné, když potřebujete podporovat následující scénáře:
- Publikování geografických aplikací
- Segmentace/izolace aplikací
- Publikování webových aplikací běžících v cloudu nebo v místním prostředí
Další informace o volbě umístění instalace konektorů a optimalizaci sítě naleznete v tématu Důležité informace o síťové topologii při použití proxy aplikace Microsoft Entra.
Údržba
Konektory a služba se postará o všechny úlohy s vysokou dostupností. Dají se přidávat nebo odebírat dynamicky. Nové požadavky se směrují na jeden z dostupných konektorů. Pokud je konektor dočasně nedostupný, nereaguje na tento provoz.
Konektory jsou bezstavové a nemají na počítači žádná konfigurační data. Jediná uložená data jsou nastavení pro připojení služby a jeho ověřovacího certifikátu. Když se připojí ke službě, vyžádají si všechna požadovaná konfigurační data a aktualizují je každých pár minut.
Připojení orům se server také dotazuje, jestli existuje novější verze konektoru. Pokud se najde, konektory se aktualizují samy.
Konektory můžete monitorovat z počítače, na kterém běží, pomocí protokolu událostí a čítačů výkonu. Další informace naleznete v tématu Monitorování a kontrola protokolů pro místní Microsoft Entra.
Jejich stav můžete zobrazit také v Centru pro správu Microsoft Entra. Pokud chcete Microsoft Entra Soukromý přístup, přejděte na Globální zabezpečený přístup (Preview), Připojení a vyberte Připojení ors. V případě proxy aplikací přejděte na Identity, Applications, Enterprise applications a vyberte aplikaci. Na stránce aplikace vyberte proxy aplikace.
Konektory, které se nepoužívají, nemusíte odstraňovat ručně. Když je konektor spuštěný, zůstane aktivní, protože se připojuje ke službě. Nepoužité konektory jsou označené jako _inactive_ a odeberou se po 10 dnech nečinnosti. Pokud ale chcete odinstalovat konektor, odinstalujte ze serveru službu Připojení or i službu Updater. Restartujte počítač, aby se služba úplně odebrala.
Automatické aktualizace
MICROSOFT Entra ID poskytuje automatické aktualizace pro všechny konektory, které nasadíte. Pokud je spuštěná služba aktualizátoru privátního síťového konektoru, vaše konektory se automaticky aktualizují s nejnovější hlavní verzí konektoru. Pokud na serveru nevidíte službu Připojení or Updater, musíte konektor přeinstalovat, abyste získali aktualizace.
Pokud nechcete čekat, až se automatická aktualizace do vašeho konektoru dostane, můžete provést ruční upgrade. Přejděte na stránku pro stažení konektoru na serveru, kde se nachází váš konektor, a vyberte Stáhnout. Tento proces zahájí upgrade místního konektoru.
U tenantů s více konektory cílí automatické aktualizace vždy na jeden konektor v každé skupině, aby se zabránilo výpadkům ve vašem prostředí.
Pokud se konektor aktualizuje, může dojít k výpadku:
- Máte jenom jeden konektor. Druhý konektor a skupina konektorů se doporučuje zabránit výpadkům a zajistit vyšší dostupnost.
- Konektor byl uprostřed transakce, když se aktualizace začala. I když dojde ke ztrátě počáteční transakce, prohlížeč by měl operaci opakovat automaticky nebo můžete aktualizovat stránku. Když se požadavek znovu odešle, provoz se přesměruje do záložního konektoru.
Informace o dříve vydaných verzích a o změnách, které obsahují, najdete v tématu Historie verzí proxy aplikací.
Vytváření skupin konektorů
skupiny Připojení or umožňují přiřadit konkrétní konektory pro obsluhu konkrétních aplikací. Můžete seskupit mnoho konektorů a pak přiřadit každý prostředek nebo aplikaci ke skupině.
skupiny Připojení or usnadňují správu velkých nasazení. Také zlepšují latenci pro tenanty, kteří mají prostředky a aplikace hostované v různých oblastech, protože můžete vytvářet skupiny konektorů založené na umístění, které budou sloužit pouze místním aplikacím.
Plánování kapacity
Naplánujte dostatečnou kapacitu mezi konektory pro zpracování očekávaného objemu provozu. Alespoň dva konektory ve skupině konektorů poskytují vysokou dostupnost a škálování. Ale jsou optimální tři konektory.
Tabulka poskytuje objem a očekávanou latenci pro různé specifikace počítačů. Data jsou založena na očekávaných transakcích za sekundu (TPS) místo podle uživatele, protože se vzory využití liší a nelze je použít k predikci zatížení. Na základě velikosti odpovědí a doby odezvy back-endové aplikace existují určité rozdíly – větší velikosti odpovědí a pomalejší doby odezvy vedou k nižšímu maximálnímu počtu tpS. Více počítačů distribuuje zatížení a poskytuje větší vyrovnávací paměť. Dodatečná kapacita zajišťuje vysokou dostupnost a odolnost.
| Cores | Paměť RAM | Očekávaná latence (MS)-P99 | Maximální počet TPS |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* Počítač použil vlastní nastavení ke zvýšení některých výchozích limitů připojení nad rámec doporučených nastavení .NET. Před kontaktováním podpory doporučujeme spustit test s výchozím nastavením, aby se tento limit pro vašeho tenanta změnil.
Poznámka:
V maximálním počtu čipů TPS mezi 4, 8 a 16 jádry není žádný rozdíl. Hlavním rozdílem je očekávaná latence.
Tabulka se zaměřuje na očekávaný výkon konektoru na základě typu počítače, na který je nainstalovaný. To je oddělené od limitů omezování služby, viz limity a omezení služby.
Zabezpečení a sítě
Připojení orům je možné nainstalovat kdekoli v síti, které jim umožní odesílat požadavky do Microsoft Entra Soukromý přístup a služby proxy aplikací. Důležité je, že počítač, na kterém je spuštěný konektor, má také přístup k vašim aplikacím a prostředkům. Konektory můžete nainstalovat v podnikové síti nebo na virtuální počítač, který běží v cloudu. Připojení orům může běžet v hraniční síti, označované také jako demilitarizovaná zóna (DMZ), ale není to nutné, protože veškerý provoz je odchozí, takže vaše síť zůstane zabezpečená.
Připojení orům se odesílají jenom odchozí požadavky. Odchozí provoz se odesílá do služby a do publikovaných prostředků a aplikací. Příchozí porty nemusíte otevírat, protože provoz prochází oběma způsoby, jakmile je relace vytvořena. Také nemusíte konfigurovat příchozí přístup přes brány firewall.
Další informace o konfiguraci odchozích pravidel brány firewall najdete v tématu Práce se stávajícími místními proxy servery.
Výkon a škálovatelnost
Škálování pro Microsoft Entra Soukromý přístup a služby proxy aplikací je transparentní, ale škálování je faktorem pro konektory. Potřebujete dostatek konektorů pro zpracování provozu ve špičce. Připojení ostavy jsou bezstavové a počet uživatelů nebo relací je neovlivní. Místo toho reagují na počet požadavků a jejich velikost datové části. U standardního webového provozu dokáže průměrný počítač zpracovat 2 000 požadavků za sekundu. Konkrétní kapacita závisí na přesných vlastnostech stroje.
Cpu a síť definují výkon konektoru. K šifrování a dešifrování protokolu TLS je potřeba výkon procesoru, zatímco pro zajištění rychlého připojení k aplikacím a online službě je důležité síť.
Naproti tomu paměť není pro konektory méně problém. Online služba se stará o většinu zpracování a veškerého neověřeného provozu. Všechno, co je možné udělat v cloudu, se provádí v cloudu.
Pokud konektory nebo počítače nejsou dostupné, provoz přejde do jiného konektoru ve skupině. Odolnost zajišťuje více konektorů ve skupině konektorů.
Dalším faktorem, který ovlivňuje výkon, je kvalita sítě mezi konektory, včetně:
- Online služba: Pomalé nebo vysoce latence připojení ke službě Microsoft Entra ovlivňují výkon konektoru. Pokud chcete dosáhnout nejlepšího výkonu, připojte vaši organizaci k Microsoftu pomocí ExpressRoute. V opačném případě požádejte síťový tým, aby se připojení k Microsoftu zpracovala co nejefektivněji.
- Back-endové aplikace: V některých případech existují další proxy servery mezi konektorem a back-endovými prostředky a aplikacemi, které můžou zpomalit nebo zabránit připojení. Pokud chcete tento scénář vyřešit, otevřete prohlížeč ze serveru konektoru a zkuste získat přístup k aplikaci nebo prostředku. Pokud konektory spouštíte v cloudu, ale aplikace jsou místní, nemusí být prostředí to, co uživatelé očekávají.
- Řadiče domény: Pokud konektory provádějí jednotné přihlašování (SSO) pomocí omezeného delegování protokolu Kerberos, před odesláním požadavku do back-endu kontaktují řadiče domény. Konektory mají mezipaměť lístků Kerberos, ale v zaneprázdněném prostředí může rychlost odezvy řadičů domény ovlivnit výkon. Tento problém je častější u konektorů, které běží v Azure, ale komunikují s řadiči domény, které jsou místní.
Další informace o optimalizaci sítě naleznete v tématu Aspekty topologie sítě při použití proxy aplikací Microsoft Entra.
Připojení k doméně
Připojení orům se dá spustit na počítači, který není připojený k doméně. Pokud ale chcete jednotné přihlašování (SSO) k aplikacím, které používají integrované ověřování Systému Windows (IWA), potřebujete počítač připojený k doméně. V tomto případě musí být počítače konektorů připojené k doméně, která může jménem uživatelů pro publikované aplikace provádět omezené delegování protokolu Kerberos .
Připojení orům je také možné připojit k doménám v doménových strukturách, které mají částečný vztah důvěryhodnosti, nebo k řadičům domény jen pro čtení.
Připojení orová nasazení v posílených prostředích
Nasazení konektoru je obvykle jednoduché a nevyžaduje žádnou speciální konfiguraci.
Existuje však několik jedinečných podmínek, které by se měly zvážit:
- Odchozí provoz vyžaduje otevření konkrétních portů. Další informace najdete v tématu konfigurace konektorů.
- Počítače kompatibilní se standardem FIPS můžou vyžadovat změnu konfigurace, aby procesy konektoru mohly generovat a ukládat certifikáty.
- Odchozí proxy servery můžou dvoucestné ověřování certifikátu přerušit a způsobit selhání komunikace.
ověřování Připojení orem
Aby bylo možné zajistit zabezpečenou službu, musí se konektory ověřit ve službě a služba se musí ověřit vůči konektoru. Toto ověřování se provádí pomocí certifikátů klienta a serveru, když konektory zahájí připojení. Tímto způsobem se uživatelské jméno a heslo správce neukládají na počítači konektoru.
Použité certifikáty jsou specifické pro službu. Vytvoří se během počáteční registrace a automaticky se obnoví každých pár měsíců.
Po prvním úspěšném obnovení certifikátu nemá služba Microsoft Entra private network Connector service (Network Service) oprávnění k odebrání starého certifikátu z místního úložiště počítačů. Pokud platnost certifikátu vyprší nebo ho služba nepoužívá, můžete ho bezpečně odstranit.
Pokud se chcete vyhnout problémům s obnovením certifikátu, ujistěte se, že je povolená síťová komunikace z konektoru směrem k zdokumentovaným cílům .
Pokud konektor není připojený ke službě po dobu několika měsíců, můžou být jeho certifikáty zastaralé. V takovém případě odinstalujte a znovu nainstalujte konektor, aby se aktivovala registrace. Můžete spustit následující příkazy PowerShellu:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Pro státní správu použijte -EnvironmentName "AzureUSGovernment". Další informace najdete v tématu Instalace agenta pro cloud Azure Government.
Informace o ověření certifikátu a řešení potíží najdete v tématu Ověření podpory komponent počítače a back-endu pro certifikát důvěryhodnosti proxy aplikací.
Pod pokličkou
Připojení orům se instalují na Windows Server, takže mají většinu stejných nástrojů pro správu, včetně protokolů událostí systému Windows a čítačů výkonu Systému Windows.
Konektory mají protokoly Správa i relace. Protokol Správa obsahuje klíčové události a jejich chyby. Protokol relace obsahuje všechny transakce a podrobnosti o jejich zpracování.
Pokud chcete zobrazit protokoly, otevřete Prohlížeč událostí a přejděte do části Protokoly>aplikací a služeb microsoft>Microsoft Entra private network> Připojení or. Pokud chcete protokol relace zobrazit, v nabídce Zobrazení vyberte Zobrazit analytické a ladicí protokoly. Protokol relace se obvykle používá k řešení potíží a ve výchozím nastavení je zakázaný. Povolte ho, abyste mohli začít shromažďovat události a zakázat je, když už je nepotřebujete.
Stav služby můžete prozkoumat v okně Služby. Konektor je tvořen dvěma službami Systému Windows: skutečným konektorem a aktualizátorem. Obě musí běžet pořád.
Neaktivní konektory
Běžným problémem je, že konektory se ve skupině konektorů zobrazují jako neaktivní. Běžnou příčinou neaktivních konektorů je brána firewall blokující požadované porty.
Podmínky užívání
Vaše používání prostředí a funkcí ve verzi Preview Microsoft Entra Soukromý přístup a Microsoft Entra Přístup k Internetu se řídí podmínkami a ujednáními online služeb ve verzi Preview, za kterých jste tyto služby získali. Verze Preview můžou podléhat omezením nebo jiným závazkům v oblasti zabezpečení, dodržování předpisů a ochrany osobních údajů, jak je dále vysvětleno v univerzálních licenčních podmínkách pro online služby a dodatcích k ochraně dat produktů a služeb Společnosti Microsoft (DÁLE jen "DPA") a veškerých dalších oznámení uvedených ve verzi Preview.