Descripción del conector de red privada de Microsoft Entra
Los conectores son los que hacen posible el acceso privado y el proxy de aplicaciones de Microsoft Entra. Son simples, fáciles de implementar y mantener, y muy eficaces. En este artículo se habla de qué son los conectores, cómo funcionan, y se ofrecen algunas sugerencias para optimizar la implementación.
¿Qué es un conector de red privada?
Los conectores son agentes ligeros que se sitúan en una red privada y facilitan la conexión saliente a los servicios de acceso privado y proxy de aplicaciones de Microsoft Entra. Los conectores deben instalarse en un servidor de Windows Server con acceso a los recursos de back-end. Puede organizar los conectores en grupos; cada grupo controla el tráfico a recursos concretos. Para obtener más información sobre el proxy de aplicación y una representación en diagramas de su arquitectura, consulte el documento sobre el uso del proxy de aplicaciones de Microsoft Entra para publicar aplicaciones locales para usuarios remotos.
Para obtener información sobre cómo configurar el conector de red privada de Microsoft Entra, consulte Configuración de conectores de red privada para el acceso privado de Microsoft Entra.
Los conectores de red privada son agentes ligeros implementados en el entorno local que facilitan la conexión saliente al servicio de proxy de aplicación en la nube. Los conectores deben instalarse en un servidor de Windows Server con acceso a la aplicación de back-end. Los usuarios se conectan al servicio en la nube del proxy de aplicación que enruta el tráfico a las aplicaciones a través de los conectores.
La configuración y el registro entre un conector y el servicio del proxy aplicación se realiza de la siguiente manera:
- El administrador de TI abre los puertos 80 y 443 al tráfico de salida y permite el acceso a varias direcciones URL que son necesarias para el conector, el servicio del proxy de aplicación y Microsoft Entra ID.
- El administrador inicia sesión en el centro de administración de Microsoft Entra y ejecuta un ejecutable para instalar el conector en un servidor Windows local.
- El conector comienza a "escuchar" el servicio del proxy de aplicación.
- El administrador agrega la aplicación local a Microsoft Entra y configura parámetros como las direcciones URL que los usuarios necesitan para conectarse a las aplicaciones.
Se recomienda implementar siempre varios conectores para obtener redundancia y escalabilidad. Los conectores, junto con el servicio, se encargan de todas las tareas de alta disponibilidad y pueden agregarse o eliminarse dinámicamente. Cada vez que llega una solicitud nueva, esta se enruta a uno de los conectores que esté disponible. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Si un conector no está disponible temporalmente, no responde a este tráfico. Los conectores que no se utilizan se etiquetan como inactivos y se quitan tras 10 días de inactividad.
Los conectores también sondean al servidor para averiguar si hay una versión más reciente del conector. Aunque puede realizar una actualización manual, los conectores se actualizarán automáticamente siempre que se ejecute el servicio Updater del conector de red privado. Para los inquilinos con varios conectores, las actualizaciones automáticas se dirigen a un conector cada vez en cada grupo para evitar tiempos de inactividad en su entorno.
Nota:
Puede supervisar la página del historial de versiones para mantenerse informado sobre las actualizaciones más recientes.
Cada conector de red privada se asigna a un grupo de conectores. Los conectores del mismo grupo funcionan como una única unidad para una alta disponibilidad y equilibrio de carga. Puede crear nuevos grupos, asignar conectores a ellos en el Centro de administración de Microsoft Entra y, a continuación, asignar conectores específicos para atender aplicaciones específicas. Se recomienda tener al menos dos conectores en cada grupo de conectores para lograr una alta disponibilidad.
Los grupos de conectores son útiles cuando se necesita admitir los escenarios siguientes:
- Publicación de aplicaciones geográficas
- Aislamiento o segmentación de aplicaciones
- Publicación de aplicaciones web que se ejecutan en la nube o en el entorno local
Para más información sobre cómo elegir dónde instalar los conectores, consulte Consideraciones sobre la topología de red al utilizar Microsoft Entra Application Proxy.
Mantenimiento
Los conectores y el servicio se encargan de todas las tareas de alta disponibilidad. Se pueden agregar o quitar de forma dinámica. Las nuevas solicitudes se enrutan a uno de los conectores disponibles. Si un conector no está disponible temporalmente, no responde a este tráfico.
Los conectores no tienen estado ni datos de configuración en el equipo. Los únicos datos que almacenan son los valores de configuración para conectar el servicio y su certificado de autenticación. Cuando se conectan al servicio, extraen todos los datos de configuración requeridos y los actualizan cada dos minutos.
Los conectores también sondean al servidor para averiguar si hay una versión más reciente del conector. Si se encuentra alguna, los conectores se actualizan.
Puede supervisar los conectores desde el equipo en que se ejecutan, con el registro de eventos y los contadores de rendimiento. Para más información, consulte Supervisión y revisión de registros de Microsoft Entra local.
También puede ver su estado en el Centro de administración de Microsoft Entra. En acceso seguro de Microsoft Entra, vaya a Acceso seguro global (versión preliminar), Conectar y seleccione Conectores. Para el proxy de aplicación, vaya a Identidad, Aplicaciones, Aplicaciones empresariales y seleccione la aplicación. En la página de la aplicación, seleccione proxy de aplicación.
No es necesario que elimine manualmente los conectores que no se están utilizando. Cuando hay un conector en ejecución, este permanece activo tal y como se conecta al servicio. Los conectores que no se están usando se etiquetan como _inactive_
y se quitan tras 10 días de inactividad. No obstante, si quiere desinstalar un conector, desinstale el servicio de conector y el servicio de actualizador del servidor. Reinicie el equipo para quitar completamente el servicio.
Actualizaciones automáticas
Microsoft Entra ID proporciona actualizaciones automáticas para todos los conectores que se implementen. Siempre que se ejecute el servicio de actualización del conector de red privado, los conectores se actualizan con la versión más reciente del conector principal automáticamente. Si no ve el servicio Connector Updater en el servidor, debe volver a instalar el conector con el fin de obtener las actualizaciones.
Si no quiere esperar a que haya una actualización automática para el conector, puede realizar una actualización manual. Vaya a la página de descarga del conector en el servidor en el que se encuentra el conector y seleccione Descargar. Este proceso inicia una actualización del conector local.
Para los inquilinos con varios conectores, las actualizaciones automáticas se dirigen a un conector cada vez en cada grupo para evitar tiempos de inactividad en su entorno.
Puede experimentar un tiempo de inactividad cuando el conector se actualiza si:
- Solo tiene un conector. Se recomienda un segundo conector y un grupo de conectores para evitar tiempos de inactividad y proporcionar una mayor disponibilidad.
- Un conector estaba en medio de una transacción cuando comenzó la actualización. Aunque se pierde la transacción inicial, el explorador debería reintentar automáticamente la operación o el usuario podría actualizar la página. Cuando se vuelve a enviar la solicitud, el tráfico se enruta a un conector de copia de seguridad.
Para consultar información sobre las versiones publicadas anteriormente y qué cambios incluyen, vea Application Proxy- Version Release History (Proxy de aplicación: Historial de lanzamiento de versiones).
Creación de grupos de conectores
Los grupos de conectores permiten asignar conectores específicos para atender a aplicaciones específicas. Puede agrupar varios conectores y, a continuación, asignar cada recurso o aplicación a un grupo.
Los grupos de conectores facilitan la administración de implementaciones a gran escala. También mejoran la latencia para los inquilinos que tienen recursos o aplicaciones hospedadas en distintas regiones, porque se pueden crear grupos de conectores basados en la ubicación para atender solo a las aplicaciones locales.
Para obtener más información sobre los conectores, consulte Comprender los grupos de conectores de red privada de Microsoft Entra.
Planificación de capacidad
Planee una capacidad suficiente entre conectores para controlar el volumen de tráfico esperado. Al menos dos conectores de un grupo de conectores proporcionan alta disponibilidad y escala. Pero tres conectores son óptimos.
La tabla proporciona el volumen y la latencia esperada para las distintas especificaciones de la máquina. Los datos se basan en las transacciones por segundo (TPS) que se esperan en len lugar de en las transacciones por usuario, ya que los patrones de uso varían y no se pueden utilizar para predecir la carga. Tenga en cuenta también que hay algunas diferencias en función del tamaño de las respuestas y el tiempo de respuesta de la aplicación de back-end: cuanto mayor sea el tamaño de respuesta y menor el tiempo de respuesta, menor será el TPS máximo. Más máquinas distribuyen la carga y proporcionan un amplio búfer. La capacidad adicional garantiza una alta disponibilidad y resistencia.
Núcleos | RAM | Latencia esperada (MS)-P99 | TPS Máximo |
---|---|---|---|
2 | 8 | 325 | 586 |
4 | 16 | 320 | 1150 |
8 | 32 | 270 | 1190 |
16 | 64 | 245 | 1200* |
* La máquina usa una configuración personalizada para generar algunos de los límites de conexión predeterminados más allá de la configuración recomendada de .NET. Se recomienda ejecutar una prueba con la configuración predeterminada antes de ponerse en contacto con el equipo de soporte técnico para obtener este límite cambiado para el inquilino.
Nota:
No hay mucha diferencia en el TPS máximo entre máquinas de 4, 8 y 16 núcleos. La principal diferencia es la latencia esperada.
Esta tabla se centra en el rendimiento esperado de un conector en función del tipo de equipo en el que está instalado. Esto es independiente de los límites del servicio, consulte los límites de servicio y restricciones.
Seguridad y redes
Los conectores se pueden instalar en cualquier lugar de la red que les permita enviar solicitudes al servicio de proxy de aplicación y acceso privado de Microsoft Entra. Lo importante es que el equipo que ejecuta el conector también tenga acceso a las aplicaciones y recursos. Puede instalar conectores dentro de la red corporativa o en una máquina virtual que se ejecute en la nube. Los conectores se pueden ejecutar en una red perimetral, también conocida como zona desmilitarizada (DMZ), pero no es necesario porque todo el tráfico es saliente, por lo que la red se mantiene protegida.
Los conectores solo envían solicitudes salientes. El tráfico saliente se envía al servicio y a los recursos y aplicaciones publicados. No hay que abrir los puertos de entrada, porque una vez que se ha establecido una sesión, el tráfico fluye en ambos sentidos. Tampoco es necesario que configure el acceso de entrada en los firewalls.
Para más información sobre cómo configurar reglas de firewall de salida, vea Trabajo con servidores proxy locales existentes.
Rendimiento y escalabilidad
La escala para el acceso privado de Microsoft Entra y los servicios de proxy de aplicaciones es transparente, pero la escala es un factor para los conectores. Debe tener suficientes conectores para administrar el tráfico en sus momentos de pico. Los conectores no tienen estado y el número de usuarios o sesiones no les afecta. Más bien dependen del número de solicitudes y del tamaño de la carga. En el caso del tráfico web estándar, una máquina puede controlar en promedio unas 2000 solicitudes por segundo. La capacidad específica depende de las características exactas de la máquina.
La CPU y la red definen el rendimiento del conector. El rendimiento de la CPU es necesario para el cifrado y el descifrado TLS, mientras que las redes son importantes para conectar rápidamente con las aplicaciones y el servicio en línea.
En cambio, la memoria no supone un problema para los conectores. El servicio en línea se encarga de gran parte del procesamiento y de todo el tráfico no autenticado. Todo lo que puede realizarse en la nube se realiza en la nube.
Cuando los conectores o máquinas no están disponibles, el tráfico pasa a otro conector del grupo. Varios conectores de un grupo de conectores proporcionan resistencia.
Otro factor que incide el rendimiento es la calidad de las conexiones entre los conectores; en particular:
- El servicio en línea: conexiones de latencia lenta o alta al servicio Microsoft Entra influyen en el rendimiento del conector. Para optimizar el rendimiento, conecte la organización a Microsoft con Express Route. Si no, el equipo de redes debe asegurarse de que las conexiones a Microsoft se administren de la manera más eficaz posible.
- Las aplicaciones de back-end: en algunos casos, hay servidores proxy adicionales entre el conector y los recursos de back-end y las aplicaciones que pueden ralentizar o impedir conexiones. Para solucionar esta situación, abra un explorador desde el servidor del conector e intente acceder a la aplicación o recurso. Si ejecuta los conectores en la nube, pero las aplicaciones están en local, la experiencia podría no corresponderse a lo que esperan los usuarios.
- Los controladores de dominio: si los conectores realizan el inicio de sesión único (SSO) utilizando la delegación restringida de Kerberos, se pondrán en contacto con los controladores de dominio antes de enviar la solicitud al back-end. Los conectores tienen una memoria caché de vales Kerberos, pero en un entorno ocupado, la capacidad de respuesta de los controladores de dominio puede repercutir en el rendimiento. Este problema es más común en el caso de los conectores que se ejecutan en Azure pero se comunican con controladores de dominio que están en local.
Para obtener más información sobre la optimización de la red, consulte Consideraciones sobre la topología de red al utilizar el proxy de aplicaciones de Microsoft Entra.
Unión a dominio
Los conectores se pueden ejecutar en un equipo que no esté unido a dominio. Sin embargo, si desea usar el inicio de sesión único (SSO) para aplicaciones que usan la autenticación integrada de Windows (IWA), necesita una máquina unida a dominio. En este caso, los equipos del conector deben estar unidos a un dominio que pueda llevar a cabo la delegación limitada de kerberos en nombre de los usuarios para las aplicaciones publicadas.
Los conectores también pueden estar unidos a dominios de bosques que tengan una relación de confianza parcial o a controladores de dominio de solo lectura.
Implementaciones del conector en entornos protegidos
Por lo general, la implementación del conector es sencilla y no requiere ninguna configuración especial.
Sin embargo, hay algunas condiciones únicas que deben tenerse en cuenta:
- El tráfico saliente requiere que se abran puertos específicos. Para más información, consulte Configuración de conectores.
- Podría ser necesario que las máquinas compatibles con FIPS cambiaran su configuración para permitir que los procesos del conector generaran y almacenaran un certificado.
- Los proxy de reenvío de salida pueden interrumpir la autenticación de certificado de dos direcciones y provocar un error en la comunicación.
Autenticación de conector
Para proporcionar un servicio seguro, los conectores tienen que autenticarse hacia el servicio y el servicio tiene que autenticarse hacia el conector. Esta autenticación se lleva a cabo mediante certificados de cliente y servidor cuando los conectores inician la conexión. De este modo, el nombre de usuario y la contraseña del administrador no se almacenan en el equipo del conector.
Los certificados usados son específicos del servicio. Se crean durante el registro inicial y se renuevan automáticamente cada par de meses.
Después de la primera renovación correcta del certificado, el servicio de conector de red privada (Servicio de red) de Microsoft Entra no tiene permiso para quitar el certificado antiguo del almacén de máquinas locales. Si el servicio expira o no lo usa, puede eliminarlo de forma segura.
Para evitar problemas con la renovación de certificados, asegúrese de que la comunicación de red del conector hacia los destinos documentados está habilitada.
Si un conector no se conecta al servicio durante varios meses, puede que tenga los certificados caducados. En este caso, desinstale y vuelva a instalar el conector para provocar el registro. Puede ejecutar los siguientes comandos de PowerShell:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Para la administración pública, use -EnvironmentName "AzureUSGovernment"
. Para más información, consulte Instalación del agente para la nube de Azure Government.
Para más información acerca de cómo comprobar el certificado y solucionar problemas, consulte Comprobación de que los componentes de máquina y back-end admitan el certificado de confianza del proxy de aplicación.
En segundo plano
Los conectores se instalan en Windows Server, por lo que tienen la mayoría de las mismas herramientas de administración, incluidos los registros de eventos de Windows y los contadores de rendimiento de Windows.
Los conectores tienen registros de administración y sesión. Los registros de administración incluyen eventos importantes y sus errores. Los registros de sesión incluyen todas las transacciones y sus detalles de procesamiento.
Para ver los registros, abra el Visor de eventos y vaya a Registros de aplicaciones y servicios>Microsoft>Red privada de Microsoft Entra>Conector. Para que el registro de sesión sea visible, en el menú Ver, seleccione Mostrar registros analíticos y de depuración. El registro de sesión se usa normalmente para solucionar problemas y está deshabilitado de forma predeterminada. Habilítelo para comenzar la recopilación de eventos y deshabilítelo cuando ya no se necesite.
Puede examinar el estado del servicio en la ventana Servicios. El conector consta de dos servicios de Windows: el conector real y el actualizador. Ambos deben ejecutarse todo el tiempo.
Conectores inactivos
Un problema común es que los conectores aparecen inactivos en un grupo de conectores. Una causa común de los conectores inactivos es el bloqueo de los puertos necesarios por parte de un firewall.
Términos de uso
El uso de las experiencias y características de las versiones preliminares de Microsoft Entra Private Access and Microsoft Entra Internet Access se rige por los términos y condiciones del servicio en línea en versión preliminar de los contratos en virtud de los cuales se obtuvieron los servicios. Las vistas previas pueden estar sujetas a compromisos de seguridad, cumplimiento y privacidad reducidos o diferentes, tal y como se explica con más detalle en las Condiciones universales de licencia de los servicios en línea y en el Anexo de protección de datos ("DPA") de los productos y servicios de Microsoft, así como en cualquier otro aviso proporcionado con la Versión preliminar.