Forgalom optimalizálása a Microsoft Entra alkalmazásproxyval

  • Cikk

Megtudhatja, hogyan optimalizálhatja a forgalom és a hálózati topológia szempontjait a Microsoft Entra-alkalmazásproxy használatakor.

Forgalom

Amikor egy alkalmazást a Microsoft Entra alkalmazásproxyn keresztül tesznek közzé, a felhasználók és az alkalmazások közötti forgalom három kapcsolaton keresztül zajlik:

  1. A felhasználó csatlakozik a Microsoft Entra alkalmazásproxy nyilvános végponthoz az Azure-ban
  2. A privát hálózati összekötő csatlakozik az alkalmazásproxy szolgáltatáshoz (kimenő)
  3. A privát hálózati összekötő csatlakozik a célalkalmazáshoz

Diagram a felhasználó és a célalkalmazás közötti forgalomról.

Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára

Amikor regisztrál egy Microsoft Entra-bérlőre, a bérlő régiója a választott régióval van beállítva. Az alapértelmezett alkalmazásproxy felhőszolgáltatás-példányok ugyanazt a régiót használják, mint a Microsoft Entra-bérlő.

Ha például a Microsoft Entra-bérlő régiója az Egyesült Királyság, az összes privát hálózati összekötő alapértelmezés szerint az európai adatközpontok szolgáltatáspéldányainak használatára van hozzárendelve. Amikor a felhasználók hozzáférnek a közzétett alkalmazásokhoz, a forgalom ezen a helyen áthalad az alkalmazásproxy felhőszolgáltatás-példányain.

Ha az összekötők az alapértelmezett régiótól eltérő régiókban vannak telepítve, érdemes módosítani, hogy melyik régióra van optimalizálva az összekötőcsoport az alkalmazásokhoz való hozzáférés javítása érdekében. Miután megadta egy régiót egy összekötőcsoporthoz, a kijelölt régióban lévő alkalmazásproxy-felhőszolgáltatásokhoz csatlakozik.

A forgalom optimalizálásához és az összekötőcsoportok késésének csökkentéséhez rendelje hozzá az összekötőcsoportot a legközelebbi régióhoz. Régió hozzárendelése:

Fontos

Csatlakozás oroknak legalább 1.5.1975.0-s verziót kell használniuk a funkció használatához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.

  2. Válassza ki a felhasználónevét a jobb felső sarokban. Ellenőrizze, hogy be van-e jelentkezve egy alkalmazásproxyt használó könyvtárba. Ha módosítania kell a könyvtárakat, válassza a Címtárváltás lehetőséget, és válasszon egy alkalmazásproxyt használó könyvtárat.

  3. Keresse meg az Identity>Applications>Enterprise alkalmazásproxyt.>

  4. Válassza az Új Csatlakozás or csoportot, és adja meg az összekötőcsoport nevét.

  5. A Speciális Gépház területen válassza az Optimalizálás egy adott régióhoz csoportban lévő legördülő menüt, válassza ki az összekötőkhöz legközelebbi régiót, majd válassza a Mentés lehetőséget.

    Konfiguráljon egy új összekötőcsoportot.

  6. Válassza ki az összekötőcsoporthoz hozzárendelni kívánt összekötőket.

    Az összekötőket csak akkor helyezheti át az összekötőcsoportba, ha az az alapértelmezett régiót használó összekötőcsoportban van. Kezdje egy összekötővel az alapértelmezett összekötőcsoportban. Ezután helyezze át a megfelelő összekötőcsoportba.

    Az összekötőcsoportok régióját csak akkor módosíthatja, ha nincs hozzá hozzárendelt összekötő vagy alkalmazás.

  7. Rendelje hozzá az összekötőcsoportot az alkalmazásokhoz. A forgalom az optimalizált összekötőcsoport régiójában található alkalmazásproxy felhőszolgáltatásba kerül.

A késések csökkentésével kapcsolatos szempontok

Minden proxymegoldás késést vezet be a hálózati kapcsolatba. Függetlenül attól, hogy melyik proxy- vagy VPN-megoldást választja a távelérési megoldásként, mindig tartalmaz egy kiszolgálókészletet, amely lehetővé teszi a kapcsolatot a vállalati hálózaton belül.

A szervezetek általában kiszolgálóvégpontokat tartalmaznak a szegélyhálózatukban. A Microsoft Entra alkalmazásproxyval azonban a felhőbeli proxyszolgáltatáson keresztül áramlik a forgalom, miközben az összekötők a vállalati hálózaton találhatók. Nincs szükség szegélyhálózatra.

A következő szakaszok további javaslatokat tartalmaznak a késés további csökkentéséhez.

Csatlakozás or elhelyezése

Az alkalmazásproxy a bérlői hely alapján választja ki a példányok helyét. Azonban eldöntheti, hogy hol telepítse az összekötőt, így meghatározhatja a hálózati forgalom késési jellemzőit.

Az alkalmazásproxy szolgáltatás beállításakor tegye fel a következő kérdéseket:

  • Hol található az alkalmazás?
  • Hol található a legtöbb felhasználó, aki hozzáfér az alkalmazáshoz?
  • Hol található az alkalmazásproxy-példány?
  • Már rendelkezik dedikált hálózati kapcsolattal a Microsoft adatközpontjaihoz, például az Azure ExpressRoute-hoz vagy egy hasonló VPN-hez?

Az összekötőnek kommunikálnia kell a Microsoft Entra-val és az alkalmazásokkal. A 2. és a 3. lépés a forgalom folyamatábra kommunikációja. Az összekötő elhelyezése befolyásolja a két kapcsolat késését. Az összekötő elhelyezésének kiértékelésekor tartsa szem előtt ezeket a pontokat.

  • Erősítse meg a "helysort" az összekötő és a Kerberos Korlátozott delegálás (KCD) adatközpontja között. Emellett az összekötő-kiszolgálónak tartományhoz kell csatlakoznia.
  • Telepítse az összekötőt a lehető legközelebb az alkalmazáshoz.

Általános megközelítés a késés minimalizálásához

Az egyes hálózati kapcsolatok optimalizálásával minimalizálhatja a végpontok közötti forgalom késését.

  • Csökkentse a komló két vége közötti távolságot.
  • Válassza ki a megfelelő hálózatot a járáshoz. A privát hálózatok nyilvános internet helyett való bejárása például gyorsabb lehet a dedikált hivatkozások miatt.

Fontolja meg egy dedikált VPN- vagy ExpressRoute-kapcsolat használatát a Microsoft és a vállalati hálózat között.

Az optimalizálási stratégia összpontosítása

Keveset tehet a felhasználók és az alkalmazásproxy szolgáltatás közötti kapcsolat szabályozásához. A felhasználók egy otthoni hálózatról, egy kávézóból vagy egy másik régióból férnek hozzá az alkalmazásaihoz. Ehelyett optimalizálhatja az alkalmazásproxy szolgáltatás és a magánhálózati összekötők közötti kapcsolatokat az alkalmazásokhoz. Fontolja meg az alábbi minták beépítését a környezetbe.

1. minta: Az összekötő elhelyezése az alkalmazás közelében

Helyezze az összekötőt a célalkalmazáshoz közel az ügyfélhálózaton. Ez a konfiguráció minimalizálja a topográfiai diagram 3. lépését, mivel az összekötő és az alkalmazás közel van.

Ha az összekötőnek egy látóvonalra van szüksége a tartományvezérlőhöz, akkor ez a minta előnyös. A legtöbb ügyfelünk ezt a mintát használja, mert a legtöbb forgatókönyv esetében jól működik. Ez a minta a 2. mintával is kombinálható a szolgáltatás és az összekötő közötti forgalom optimalizálásához.

2. minta: Az ExpressRoute előnyeinek kihasználása Microsoft-társviszony-létesítéssel

Ha beállította az ExpressRoute-ot a Microsoft társviszony-létesítéssel, a gyorsabb ExpressRoute-kapcsolatot használhatja az alkalmazásproxy és az összekötő közötti forgalomhoz. Az összekötő továbbra is a hálózaton van, közel az alkalmazáshoz.

3. minta: Az ExpressRoute előnyeinek kihasználása privát társviszony-létesítéssel

Ha dedikált VPN-t vagy ExpressRoute-t állított be privát társviszony-létesítéssel az Azure és a vállalati hálózat között, másik lehetőség áll rendelkezésére. Ebben a konfigurációban az Azure-beli virtuális hálózatot általában a vállalati hálózat kiterjesztéseként tekintik. Így telepítheti az összekötőt az Azure-adatközpontban, és továbbra is megfelelhet az összekötő–alkalmazás kapcsolat alacsony késési követelményeinek.

A késés nem sérül, mert a forgalom egy dedikált kapcsolaton halad keresztül. Emellett továbbfejlesztett alkalmazásproxy szolgáltatás–összekötő késést is kaphat, mivel az összekötő a Microsoft Entra-bérlő helyéhez közeli Azure-adatközpontban van telepítve.

Egy Azure-adatközpontban telepített összekötőt bemutató ábra

Egyéb megközelítések

Bár a cikk középpontjában az összekötő elhelyezése áll, az alkalmazás elhelyezését is módosíthatja, hogy jobb késési jellemzőket kapjon.

A szervezetek egyre inkább üzemeltetett környezetekbe helyezik át hálózataikat. Az áthelyezés lehetővé teszi számukra, hogy alkalmazásaikat a vállalati hálózatuk részét képező üzemeltetett környezetben helyezzék el, és továbbra is a tartományon belül legyenek. Ebben az esetben az előző szakaszokban tárgyalt minták alkalmazhatók az új alkalmazás helyére. Ha ezt a lehetőséget fontolgatja, tekintse meg a Microsoft Entra Domain Services szolgáltatást.

Emellett fontolja meg az összekötők rendszerezését összekötőcsoportok használatával a különböző helyeken és hálózatokon található alkalmazások célként való megcélzásához.

Diagramok gyakori használati esetekhez

Ebben a szakaszban bemutatunk néhány gyakori forgatókönyvet. Tegyük fel, hogy a Microsoft Entra-bérlő (és így a proxyszolgáltatás végpontja) a Egyesült Államok (USA) területén található. Az ezekben a használati esetekben tárgyalt szempontok a világ más régióira is érvényesek.

Ezekben a forgatókönyvekben minden kapcsolatot "ugrásnak" hívunk, és számba vesszük őket a könnyebb vita érdekében:

  • 1. ugrás: Felhasználó az alkalmazásproxy szolgáltatáshoz
  • 2. ugrás: alkalmazásproxy szolgáltatás a magánhálózati összekötőhöz
  • 3. ugrás: privát hálózati összekötő a célalkalmazáshoz

Használati eset 1

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban, és a felhasználók ugyanabban a régióban találhatóak. Az Azure-adatközpont és a vállalati hálózat között nem létezik ExpressRoute vagy VPN.

Javaslat: Kövesse az előző szakaszban ismertetett 1. mintát. A nagyobb késés érdekében szükség esetén fontolja meg az ExpressRoute használatát.

Optimalizálja a 3. ugrást úgy, hogy az összekötőt az alkalmazás közelében helyezi el. Az összekötő általában az alkalmazás és az adatközpont látóvonalával van telepítve a KCD-műveletek végrehajtásához.

Az egyesült államokbeli felhasználókat, proxykat, összekötőket és alkalmazásokat bemutató diagram.

Használati eset 2

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban, és a felhasználók globálisan elterjedtek. Az Azure-adatközpont és a vállalati hálózat között nem létezik ExpressRoute vagy VPN.

Javaslat: Kövesse az előző szakaszban ismertetett 1. mintát.

A gyakori minta a 3. ugrás optimalizálása, ahol az összekötőt az alkalmazás közelében helyezi el. A 3. ugrás általában nem költséges, ha mind ugyanabban a régióban található. Az 1. ugrás azonban drágább lehet attól függően, hogy hol van a felhasználó, mivel a világ minden részén a felhasználóknak hozzá kell férniük az alkalmazásproxy-példányhoz az USA-ban. Érdemes megjegyezni, hogy minden proxymegoldás hasonló jellemzőkkel rendelkezik a felhasználók globális terjesztésére vonatkozóan.

A felhasználók globálisan elterjedtek, de minden más az USA-ban van

Használati eset 3

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban. Az ExpressRoute és a Microsoft közötti társviszony-létesítés az Azure és a vállalati hálózat között létezik.

Javaslat: Kövesse az előző szakaszban ismertetett 1. és 2. mintát.

Először helyezze az összekötőt a lehető legközelebb az alkalmazáshoz. Ezután a rendszer automatikusan az ExpressRoute-ot használja a 2. ugráshoz.

Ha az ExpressRoute-kapcsolat Microsoft-társviszony-létesítést használ, a proxy és az összekötő közötti forgalom ezen a kapcsolaton halad át. A 2. ugrás optimális késést használ.

Ábra az ExpressRoute-ról a proxy és az összekötő között

Használati eset 4

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban. A privát társviszony-létesítéssel rendelkező ExpressRoute az Azure és a vállalati hálózat között létezik.

Javaslat: Kövesse az előző szakaszban ismertetett 3. mintát.

Helyezze az összekötőt a vállalati hálózathoz csatlakoztatott Azure-adatközpontba az ExpressRoute privát társviszony-létesítésen keresztül.

Az összekötő elhelyezhető az Azure-adatközpontban. Mivel az összekötő továbbra is látható az alkalmazás és az adatközpont számára a magánhálózaton keresztül, a 3. ugrás továbbra is optimalizálva marad. Emellett a 2. ugrás tovább van optimalizálva.

Csatlakozás or az Azure datacenterben, ExpressRoute összekötő és alkalmazás között

Használati eset 5

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található Európában, az alapértelmezett bérlői régió az USA, és a felhasználók többsége Európában.

Javaslat: Helyezze az összekötőt az alkalmazás közelébe. Frissítse az összekötőcsoportot az Európa alkalmazásproxy szolgáltatáspéldányainak használatára. A lépésekért lásd: Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára.

Mivel az európai felhasználók olyan alkalmazásproxy-példányhoz férnek hozzá, amely történetesen ugyanabban a régióban található, az 1. ugrás nem költséges. A 3. ugrás optimalizálva van. Fontolja meg az ExpressRoute használatát a 2. ugrás optimalizálásához.

Használati eset 6

Forgatókönyv: Az alkalmazás egy szervezet hálózatában található Európában, az alapértelmezett bérlői régió az USA, a felhasználók többsége az USA-ban.

Javaslat: Helyezze az összekötőt az alkalmazás közelébe. Frissítse az összekötőcsoportot az Európa alkalmazásproxy szolgáltatáspéldányainak használatára. A lépésekért lásd: Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára. Az 1. ugrás drágább lehet, mivel minden amerikai felhasználónak hozzá kell férnie az alkalmazásproxy-példányhoz Európában.

Ebben a helyzetben egy másik változatot is használhat. Ha a szervezet legtöbb felhasználója az USA-ban van, akkor valószínű, hogy a hálózat az USA-ra is kiterjed. Helyezze az összekötőt az USA-ba, használja továbbra is az alapértelmezett USA-régiót az összekötőcsoportokhoz, és használja a dedikált belső vállalati hálózati vonalat az alkalmazáshoz Európában. Így a 2. és a 3. ugrás optimalizálva van.

Az ábrán a felhasználók, proxyk és összekötők láthatók az USA-ban, az európai alkalmazásokban.

Következő lépések