A Microsoft Entra privát hálózati összekötő csoportjainak ismertetése
A magánhálózati összekötők csoportjaival adott összekötőket rendelhet hozzá adott alkalmazásokhoz. Csatlakozás or csoportok nagyobb felügyeletet biztosítanak, és lehetővé teszik az üzemelő példányok optimalizálását.
Minden privát hálózati összekötő egy összekötőcsoporthoz van rendelve. Az ugyanahhoz az összekötőcsoporthoz tartozó összes összekötő külön egységként működik a magas rendelkezésre állás és a terheléselosztás érdekében. Minden összekötő egy összekötőcsoporthoz tartozik. Ha nem hoz létre csoportokat, akkor az összes összekötő alapértelmezett csoportban van. Új összekötőcsoportokat hozhat létre, és összekötőket rendelhet hozzá a Microsoft Entra felügyeleti központban.
Csatlakozás or csoportok akkor hasznosak, ha az alkalmazások különböző helyeken vannak üzemeltetve. Az összekötőcsoportokat a hely alapján hozhatja létre. Az alkalmazások olyan összekötőket használnak, amelyek fizikailag közel állnak hozzájuk.
Tipp.
Ha nagy alkalmazásproxy-telepítéssel rendelkezik, ne rendeljen alkalmazásokat az alapértelmezett összekötőcsoporthoz. Így az új összekötők nem kapnak élő forgalmat, amíg nem rendeli hozzá őket egy aktív összekötőcsoporthoz. Ez a konfiguráció azt is lehetővé teszi, hogy az összekötőket tétlen módban helyezze vissza az alapértelmezett csoportba, hogy a felhasználók befolyásolása nélkül elvégezhesse a karbantartást.
Előfeltételek
Az összekötőcsoportok használatához több összekötőnek kell lennie. A rendszer automatikusan új összekötőket ad hozzá az Alapértelmezett összekötő csoporthoz. Az összekötők telepítésével kapcsolatos további információkért tekintse meg az összekötőkD konfigurálását ismertető témakört.
Alkalmazások hozzárendelése összekötőcsoportokhoz
Amikor először közzéteszi, hozzárendel egy alkalmazást egy összekötőcsoporthoz. Frissítheti azt a csoportot is, amelyhez összekötő van rendelve.
Összekötőcsoportok használati esetei
A Csatlakozás or csoportok különböző helyzetekben hasznosak, például:
Több összekapcsolt adatközponttal rendelkező webhelyek
A nagy szervezetek több adatközpontot használnak. Egy adott adatközponton belül a lehető legtöbb forgalmat szeretné tartani, mert az adatközpontok közötti kapcsolatok költségesek és lassúak. Az összekötőket minden adatközpontban üzembe helyezheti, hogy csak az adatközpontban található alkalmazásokat szolgálja ki. Ez a megközelítés minimalizálja az adatközpontok közötti kapcsolatokat, és teljesen átlátható felületet biztosít a felhasználóknak.
Izolált hálózatokra telepített alkalmazások
Az alkalmazások olyan hálózatokban üzemeltethetők, amelyek nem részei a fő vállalati hálózatnak. Az összekötőcsoportok használatával dedikált összekötőket telepíthet elkülönített hálózatokra, hogy az alkalmazásokat a hálózatra is elkülönítse. Ez a forgatókönyv gyakori az adott alkalmazást karbantartó szállítók esetében.
Az infrastruktúra szolgáltatásként (IaaS) telepített alkalmazásai
Az infrastruktúra szolgáltatásként (IaaS) felhőbeli hozzáférésre telepített alkalmazásai esetében az összekötőcsoportok közös szolgáltatást biztosítanak az összes alkalmazáshoz való hozzáférés biztonságossá tételéhez. Csatlakozás csoportok nem hoznak létre további függőségeket a vállalati hálózaton, és nem törik szét az alkalmazásélményt. Csatlakozás orok minden felhőbeli adatközpontra telepítve vannak, és csak az adott hálózaton található alkalmazásokat szolgálják ki. A magas rendelkezésre állás érdekében több összekötőt is telepíthet.
Vegyük példaként azt a szervezetet, amely több virtuális géppel rendelkezik, amelyek a saját IaaS által üzemeltetett virtuális hálózathoz csatlakoznak. Annak érdekében, hogy az alkalmazottak használhassanak ilyen alkalmazásokat, ezek a magánhálózatok helyek közötti virtuális magánhálózat (VPN) használatával csatlakoznak a vállalati hálózathoz. A helyek közötti VPN jó élményt nyújt a helyszíni alkalmazottak számára. A távoli alkalmazottak számára azonban nem ideális, mert több helyszíni infrastruktúrára van szükség a hozzáférés irányításához, ahogyan az a diagramon is látható:
A Microsoft Entra privát hálózati összekötői csoportokkal lehetővé teszi, hogy egy általános szolgáltatás biztonságossá tegye az összes alkalmazáshoz való hozzáférést anélkül, hogy további függőségeket hoz létre a vállalati hálózaton:
Többerdős – különböző összekötőcsoportok minden erdőhöz
Az egyszeri bejelentkezés a Kerberos Korlátozott Delegálás (KCD) használatával érhető el. Az összekötő gépei olyan tartományhoz csatlakoznak, amely delegálhatja a felhasználókat az alkalmazásba. A KCD támogatja az erdők közötti képességeket. Azoknak a vállalatoknak azonban, amelyek különböző többerdős környezetekkel rendelkeznek, amelyek között nincs megbízhatóság, egyetlen összekötő nem használható minden erdőhöz. Ehelyett az egyes összekötők erdőnként vannak üzembe helyezve, és úgy vannak beállítva, hogy a közzétett alkalmazásokat csak az adott erdő felhasználóinak kiszolgálják. Minden összekötőcsoport egy másik erdőt jelöl. Bár a bérlő és a felhasználói élmény nagy része egységes az összes erdőhöz, a felhasználók a Microsoft Entra-csoportokkal rendelhetők hozzá az erdőalkalmazásokhoz.
Vészhelyreállítási helyek
A vészhelyreállítási (DR) helyek esetében két megközelítést kell figyelembe venni:
- A DR-webhely aktív-aktív módban van felépítve, ahol pontosan olyan, mint a fő hely. A webhelynek ugyanazok a hálózati és Active Directory-(AD-) beállításai is vannak. Az összekötőket a dr. helyen a fő helyével megegyező összekötőcsoportban hozhatja létre. A Microsoft Entra ID észleli a feladatátvételeket.
- A dr. hely külön van a fő helytől. Egy másik összekötőcsoportot hoz létre a DR-webhelyen. Rendelkezik biztonsági mentési alkalmazásokkal, vagy szükség szerint manuálisan átirányítja a meglévő alkalmazást a DR-összekötő csoportra.
Több vállalat kiszolgálása egyetlen bérlőből
Olyan modellt implementálhat, amelyben egyetlen szolgáltató több vállalat számára is üzembe helyezi és fenntartja a Microsoft Entra-hoz kapcsolódó szolgáltatásokat. Csatlakozás csoportokkal elkülönítheti az összekötőket és az alkalmazásokat különböző csoportokba. A kisvállalkozások számára az egyik lehetőség, hogy egyetlen Microsoft Entra-bérlővel rendelkezik, míg a különböző vállalatok saját tartománynévvel és hálózatokkal rendelkeznek. Ugyanez a megközelítés az egyesülési forgatókönyvekben és olyan helyzetekben is működik, amikor egyetlen részleg szabályozási vagy üzleti okokból több vállalatot is kiszolgál.
Példakonfigurációk
Vegye figyelembe ezeket a minta összekötőcsoport-konfigurációkat.
Alapértelmezett konfiguráció – nem használható összekötőcsoportokhoz
Ha nem használ összekötőcsoportokat, a konfiguráció a következőképpen fog kinézni:
A konfiguráció elegendő kis üzemelő példányokhoz és tesztekhez. Akkor is működik, ha a szervezet lapos hálózati topológiával rendelkezik.
Alapértelmezett konfiguráció és izolált hálózat
A konfiguráció az alapértelmezett fejlődés, egy adott alkalmazás egy elkülönített hálózaton, például az IaaS virtuális hálózaton fut:
Ajánlott konfiguráció – több konkrét csoport és egy alapértelmezett csoport tétlenséghez
A nagy és összetett szervezetek számára ajánlott konfiguráció az, hogy az alapértelmezett összekötőcsoport egy olyan csoport legyen, amely nem szolgál ki alkalmazásokat, és inaktív vagy újonnan telepített összekötőkhöz használatos. Minden alkalmazás testreszabott összekötőcsoportok használatával van kiszolgálva.
A példában a vállalat két adatközponttal (A és B) rendelkezik két összekötővel, amelyek az egyes helyeket szolgálják ki. Minden webhely különböző alkalmazásokkal rendelkezik, amelyek rajta futnak.
Használati feltételek
A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.