Skupiny konektorů pro privátní síť Microsoft Entra

Přehled

Pomocí skupin privátních síťových konektorů přiřaďte konektory aplikacím. Skupiny konektorů poskytují větší kontrolu a pomáhají optimalizovat nasazení.

Každý privátní síťový konektor je ve skupině konektorů. Konektory ve stejné skupině fungují jako jednotka pro zajištění vysoké dostupnosti a vyrovnávání zatížení. Pokud skupiny nevytvoříte, jsou všechny konektory ve výchozí skupině. Vytvořte nové skupiny a přiřaďte konektory v Centru pro správu Microsoft Entra.

Skupiny konektorů používejte, když aplikace běží v různých umístěních. Vytvořte skupiny podle umístění, aby každá aplikace používala blízké konektory.

Návod

Pokud máte velké nasazení proxy aplikací Microsoft Entra, nepřiřazujte aplikace do výchozí skupiny konektorů. Nové konektory nepřijímají aktuální provoz, dokud je nepřesunete do aktivní skupiny. Nečinné konektory můžete také přesunout zpět do výchozí skupiny, abyste mohli provádět údržbu, aniž by to mělo vliv na uživatele.

Požadavky

K používání skupin konektorů potřebujete více konektorů. Služba automaticky přidá nové konektory do výchozí skupiny konektorů. Informace o instalaci konektorů najdete v tématu Konfigurace privátních síťových konektorů pro privátní přístup Microsoft Entra a proxy aplikací.

Přiřazení aplikací ke skupinám konektorů

Když aplikaci publikujete, přiřaďte aplikaci ke skupině konektorů. Skupinu konektorů můžete kdykoli změnit.

Případy použití pro skupiny konektorů

Skupiny konektorů použijte v následujících scénářích.

Lokality s několika propojenými datovými centry

Velké organizace používají více datacenter. Udržujte co nejvíce provozu v datacentru, protože propojení mezi datovými centry jsou nákladná a pomalá.

Nasaďte konektory v každém datacentru, aby sloužily jenom aplikacím v daném datacentru. Tento přístup snižuje provoz mezi datovými centry a je pro uživatele transparentní.

Aplikace nainstalované v izolovaných sítích

Aplikace běží v sítích, které nejsou součástí hlavní podnikové sítě. Skupiny konektorů slouží k instalaci vyhrazených konektorů do izolovaných sítí a zachování těchto aplikací tam. Tento scénář je běžný pro dodavatele, kteří udržují konkrétní aplikaci.

Aplikace nainstalované v IaaS

U aplikací v infrastruktuře jako službě (IaaS) můžete pomocí skupin konektorů zabezpečit přístup ke všem aplikacím bez přidání závislostí podnikové sítě nebo fragmentování prostředí. Nainstalujte konektory v každém cloudovém datacentru a vymeďte je na aplikace v dané síti. Nainstalujte více konektorů pro zajištění vysoké dostupnosti.

Organizace má například několik virtuálních počítačů připojených k vlastní virtuální síti hostované IaaS. Aby zaměstnanci mohli tyto aplikace používat, jsou tyto virtuální počítače připojené k podnikové síti přes virtuální privátní síť typu site-to-site (VPN). Síť VPN typu site-to-site poskytuje místním zaměstnancům dobrý zážitek. Není ale ideální pro vzdálené zaměstnance, protože k směrování přístupu vyžaduje více místní infrastruktury, jak je znázorněno v následujícím diagramu.

Diagram znázorňující síť Microsoft Entra IaaS

Pomocí skupin privátních síťových konektorů Microsoft Entra můžete povolit společnou službu, která pomáhá zabezpečit přístup ke všem aplikacím bez přidání závislostí podnikové sítě.

Diagram znázorňující několik dodavatelů cloudu pro Microsoft Entra IaaS

Různé skupiny konektorů pro každý les v prostředí s více lesy

Jednotné přihlašování často používá omezené delegování Kerberos (KCD). Počítače konektoru se připojují k doméně, která může delegovat uživatele do aplikace. KCD podporuje scénáře napříč lesy, ale v různých prostředích s více lesy bez důvěry nemůže jeden konektor podporovat všechny lesy.

Nasazujte vyhrazené konektory na každou doménovou strukturu a omezte je na aplikace pro uživatele v této doménové struktuře. Každá skupina konektorů představuje les. Tenant a většina uživatelského zážitku jsou sjednocené a uživatele přiřadíte k jejich lesním aplikacím pomocí skupin Microsoft Entra.

Lokality zotavení po havárii

Pro lokality zotavení po havárii je potřeba zvážit dva přístupy:

  • DR lokalita běží v aktivní/aktivní režim a odpovídá nastavení sítě a služby služba Active Directory hlavní lokality. Vytvořte konektory v lokalitě zotavení po havárii ve stejné skupině konektorů jako hlavní lokalita. Microsoft Entra ID detekuje přepnutí při selhání.
  • Váš zotavovací prostor je oddělený od hlavního místa. Vytvořte tam jinou skupinu konektorů. Podle potřeby použijte zálohovací aplikace nebo ručně přesměrujte existující aplikace do skupiny DR konektorů.

Obsluha více společností z jednoho tenanta

Můžete implementovat model, ve kterém jeden poskytovatel služeb nasadí a udržuje služby související s Microsoft Entra pro více společností. Skupiny konektorů pomáhají oddělit konektory a aplikace do skupin.

Jednou z možností pro malé společnosti je použití jednoho tenanta Microsoft Entra, zatímco každá společnost uchovává vlastní název domény a sítě. Stejný přístup funguje ve scénářích a situacích, kdy jedna divize slouží několika společnostem z regulačních nebo obchodních důvodů.

Vyrovnávání zatížení konektoru

Když do skupiny konektorů přidáte více konektorů, skupina vybere, který konektor zpracovává jednotlivé požadavky.

Náhodný

Random je výchozí metoda směrování provozu. Nové požadavky na aplikaci globálního zabezpečeného přístupu se distribuují napříč dostupnými konektory ve skupině přiřazených konektorů.

Chování směrování provozu můžete změnit pro aplikaci Global Secure Access. Další informace o možnostech směrování provozu a jejich použití najdete v tématu Konfigurace přístupu pro jednotlivé aplikace pomocí aplikací globálního zabezpečeného přístupu. Podrobnosti o Microsoft Graph najdete v tématu typu prostředku onPremisesPublishing.

Ukázkové konfigurace

Zvažte tyto ukázkové konfigurace skupin konektorů.

Výchozí konfigurace: Nepoužívají se skupiny konektorů

Pokud skupiny konektorů nepoužíváte, konfigurace vypadá jako v následujícím příkladu. Výchozí skupina konektorů proxy zpracovává všechny publikované aplikace.

Snímek obrazovky s nastavením pouze s výchozí skupinou konektorů a dvěma konektory, které zpracovávají všechny publikované aplikace

Konfigurace stačí pro malá nasazení a testy. Funguje také v případě, že má vaše organizace plochou síťovou topologii.

Jedna skupina konektorů pro izolovanou síť

Tato konfigurace rozšiřuje výchozí hodnotu. Konkrétní aplikace běží v izolované síti, například ve virtuální síti IaaS. Společnost vytvořila skupinu konektorů pro tuto izolovanou síť.

Snímek obrazovky proxy aplikací, kde jedna aplikace běží v izolované virtuální síti IaaS s jednou skupinou konektorů

U velkých složitých organizací nastavte výchozí skupinu konektorů tak, aby držela nečinné nebo nově nainstalované konektory. Nepřiřazujte k nim aplikace. Obsluha všech aplikací prostřednictvím vlastních skupin konektorů

V tomto příkladu má společnost dvě datová centra (A a B). Každou lokalitu obsluhují dva konektory. Každá lokalita spouští různé aplikace.

Snímek obrazovky s doporučeným nastavením se dvěma datovými centry, dvěma konektory na lokalitu, výchozí skupinou nečinných konektorů a vlastními skupinami obsluhujícími všechny aplikace

Související obsah

  • Last updated on