Az Azure AD-alkalmazásproxy összekötőinek ismertetése
Az összekötők teszik lehetővé Azure AD alkalmazásproxy. Egyszerűek, könnyen üzembe helyezhetők és karbantarthatóak, és rendkívül hatékonyak. Ez a cikk ismerteti az összekötőket, azok működését, és néhány javaslatot az üzembe helyezés optimalizálására.
Mi az a alkalmazásproxy-összekötő?
Az összekötők olyan egyszerű ügynökök, amelyek a helyszínen találhatók, és megkönnyítik a alkalmazásproxy szolgáltatás felé irányuló kimenő kapcsolatot. Az összekötőket olyan Windows Serverre kell telepíteni, amely hozzáfér a háttéralkalmazáshoz. Az összekötőket összekötőcsoportokba rendezheti, és mindegyik csoport kezeli az adott alkalmazások felé történő forgalmat. További információ az alkalmazásproxyról és az alkalmazásproxy-architektúra diagramos ábrázolásáról: Helyszíni alkalmazások közzététele távoli felhasználók számára a Azure AD alkalmazásproxy használatával
Követelmények és üzembe helyezés
A alkalmazásproxy sikeres üzembe helyezéséhez legalább egy összekötőre van szükség, de a nagyobb rugalmasság érdekében legalább kettőt ajánlunk. Telepítse az összekötőt egy Windows Server 2012 R2-t vagy újabb verziót futtató gépre. Az összekötőnek kommunikálnia kell a alkalmazásproxy szolgáltatással és a közzétett helyszíni alkalmazásokkal.
Windows Server
Olyan kiszolgálóra van szüksége, amely Windows Server 2012 R2 vagy újabb verziót futtat, amelyen telepítheti a alkalmazásproxy-összekötőt. A kiszolgálónak csatlakoznia kell az Azure alkalmazásproxy szolgáltatásaihoz és a közzétenni kívánt helyszíni alkalmazásokhoz.
A kiszolgálónak engedélyeznie kell a TLS 1.2-t a alkalmazásproxy-összekötő telepítése előtt. A TLS 1.2 engedélyezése a kiszolgálón:
Állítsa be a következő beállításkulcsokat:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Kiszolgáló újraindítása
Az összekötőkiszolgáló hálózati követelményeivel kapcsolatos további információkért lásd: Első lépések az alkalmazásproxy és összekötő telepítése.
Karbantartás
Az összekötők és a szolgáltatás elvégzik az összes magas rendelkezésre állású feladatot. Ezeket dinamikusan lehet hozzáadni vagy eltávolítani. Minden alkalommal, amikor új kérés érkezik, a rendszer a jelenleg elérhető összekötők egyikére irányítja. Ha egy összekötő átmenetileg nem érhető el, nem válaszol erre a forgalomra.
Az összekötők állapot nélküliek, és nincsenek konfigurációs adatok a gépen. Az egyetlen tárolt adat a szolgáltatás és a hitelesítési tanúsítvány csatlakoztatásának beállításai. Amikor csatlakoznak a szolgáltatáshoz, lekérik az összes szükséges konfigurációs adatot, és néhány percenként frissítik őket.
Az összekötők azt is lekérdezik a kiszolgálón, hogy van-e az összekötő újabb verziója. Ha talál ilyet, az összekötők maguk is frissülnek.
Az összekötőket az eseménynaplóval és a teljesítményszámlálókkal figyelheti az általuk futtatott gépről. Az állapotukat a Azure Portal alkalmazásproxy lapján is megtekintheti:
Nem kell manuálisan törölnie a nem használt összekötőket. Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. A nem használt összekötők inaktívként vannak megjelölve, és 10 nap inaktivitás után törlődnek. Ha mégis el szeretne távolítani egy összekötőt, távolítsa el az Összekötő szolgáltatást és az Updater szolgáltatást is a kiszolgálóról. Indítsa újra a számítógépet a szolgáltatás teljes eltávolításához.
Automatikus frissítések
Azure AD automatikus frissítéseket biztosít az összes telepített összekötőhöz. Amíg a alkalmazásproxy Connector Updater szolgáltatás fut, az összekötők automatikusan frissülnek a legújabb fő összekötő-kiadással. Ha nem látja az Összekötő-frissítő szolgáltatást a kiszolgálón, újra kell telepítenie az összekötőt a frissítések beszerzéséhez.
Ha nem szeretne megvárni, amíg az összekötő automatikusan frissül, manuális frissítést végezhet. Nyissa meg az összekötő letöltési oldalát azon a kiszolgálón, ahol az összekötő található, és válassza a Letöltés lehetőséget. Ez a folyamat elindítja a helyi összekötő frissítését.
A több összekötővel rendelkező bérlők esetében az automatikus frissítések az egyes csoportokban egyszerre egy összekötőt céloznak meg, hogy megakadályozzák az állásidőt a környezetben.
Állásidőt tapasztalhat, amikor az összekötő frissül, ha:
- Csak egy összekötővel rendelkezik, javasoljuk, hogy telepítsen egy második összekötőt, és hozzon létre egy összekötőcsoportot. Ez elkerüli az állásidőt, és magasabb rendelkezésre állást biztosít.
- Az összekötő egy tranzakció közepén volt, amikor a frissítés elkezdődött. Bár a kezdeti tranzakció elveszik, a böngészőnek automatikusan újra meg kell próbálkoznia a művelettel, vagy frissítheti az oldalt. A kérés újraküldésekor a rendszer egy biztonsági mentési összekötőre irányítja a forgalmat.
A korábban kiadott verziókról és azok módosításairól a alkalmazásproxy- Verziókiadási előzmények című témakörben olvashat.
Összekötőcsoportok létrehozása
Az összekötőcsoportok lehetővé teszik adott összekötők hozzárendelését adott alkalmazások kiszolgálásához. Számos összekötőt csoportosíthat, majd mindegyik alkalmazást hozzárendelheti egy csoporthoz.
Az összekötőcsoportok megkönnyítik a nagy méretű üzemelő példányok kezelését. Emellett a különböző régiókban üzemeltetett alkalmazásokkal rendelkező bérlők késését is növelik, mivel helyalapú összekötőcsoportokat hozhat létre, amelyek csak a helyi alkalmazásokat szolgálják ki.
Az összekötőcsoportokkal kapcsolatos további információkért lásd: Alkalmazások közzététele különálló hálózatokon és helyeken összekötőcsoportok használatával.
Kapacitástervezés
Fontos, hogy elegendő kapacitást tervezjen az összekötők között a várt forgalommennyiség kezeléséhez. Javasoljuk, hogy minden összekötőcsoportnak legalább két összekötője legyen a magas rendelkezésre állás és a skálázás biztosítása érdekében. A három összekötő optimális abban az esetben, ha bármikor szüksége lehet egy gép szervizelésére.
Általában minél több felhasználója van, annál nagyobb gépre lesz szüksége. Az alábbiakban egy táblázat ismerteti a kötetet és a várható késést, amelyet a különböző gépek képesek kezelni. Vegye figyelembe, hogy az összes a várt másodpercenkénti tranzakciókon (TPS) alapul, nem pedig felhasználónként, mivel a használati minták eltérőek, és nem használhatók a terhelés előrejelzésére. A válaszok mérete és a háttéralkalmazás válaszideje alapján is lesznek különbségek – a nagyobb válaszméretek és a lassabb válaszidők alacsonyabb maximális TPS-t eredményeznek. Azt is javasoljuk, hogy további gépekkel legyen elosztva, hogy a gépek közötti elosztott terhelés mindig bőséges puffert biztosítson. A további kapacitás biztosítja a magas rendelkezésre állást és rugalmasságot.
| Cores | RAM | Várt késés (MS)-P99 | Maximális TPS |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* Ez a gép egyéni beállítással emelt néhány alapértelmezett kapcsolati korlátot a .NET által javasolt beállításokon túl. Javasoljuk, hogy futtasson egy tesztet az alapértelmezett beállításokkal, mielőtt kapcsolatba lép az ügyfélszolgálattal, hogy ez a korlát módosuljon a bérlőre vonatkozóan.
Megjegyzés
A 4, 8 és 16 magos gépek közötti maximális TPS-ben nincs nagy különbség. A kettő közötti fő különbség a várt késésben van.
Ez a táblázat az összekötők várható teljesítményére is összpontosít a telepített gép típusa alapján. Ez eltér a alkalmazásproxy szolgáltatás szabályozási korlátaitól, lásd: Szolgáltatási korlátok és korlátozások.
Biztonság és hálózatkezelés
Az összekötők bárhol telepíthetők a hálózaton, így kéréseket küldhetnek a alkalmazásproxy szolgáltatásnak. Fontos, hogy az összekötőt futtató számítógép is hozzáférhessen az alkalmazásokhoz. Összekötőket telepíthet a vállalati hálózaton belül vagy egy felhőben futó virtuális gépre. Az összekötők egy szegélyhálózaton, más néven demilitarizált zónán (DMZ) belül is futtathatók, de ez nem szükséges, mert minden forgalom kimenő, így a hálózat biztonságos marad.
Az összekötők csak kimenő kéréseket küldenek. A kimenő forgalom a alkalmazásproxy szolgáltatásnak és a közzétett alkalmazásoknak lesz elküldve. Nem kell megnyitnia a bejövő portokat, mert a forgalom mindkét irányban halad a munkamenet létrehozása után. A tűzfalakon keresztüli bejövő hozzáférést sem kell konfigurálnia.
További információ a kimenő tűzfalszabályok konfigurálásáról: Meglévő helyszíni proxykiszolgálók használata.
Teljesítmény és méretezhetőség
A alkalmazásproxy szolgáltatás skálázása transzparens, de a skálázás az összekötők egyik tényezője. A csúcsforgalom kezeléséhez elegendő összekötőre van szükség. Mivel az összekötők állapot nélküliek, nem érinti őket a felhasználók vagy munkamenetek száma. Ehelyett válaszolnak a kérések számára és a hasznos adatok méretére. Standard webes forgalom esetén egy átlagos gép másodpercenként néhány ezer kérést képes kezelni. Az adott kapacitás a gép pontos jellemzőitől függ.
Az összekötő teljesítményét a processzor és a hálózat határozza meg. A TLS titkosításához és visszafejtéséhez processzorteljesítményre van szükség, míg a hálózatkezelés fontos az alkalmazásokhoz és az Azure online szolgáltatásához való gyors csatlakozáshoz.
Ezzel szemben a memória nem jelent problémát az összekötők esetében. Az online szolgáltatás gondoskodik a feldolgozás nagy részére és az összes nem hitelesített forgalomról. A felhőben elvégezhető összes művelet a felhőben történik.
Ha az összekötő vagy a gép bármilyen okból elérhetetlenné válik, a forgalom a csoport egy másik összekötőjéhez fog elindulni. Ezért is javasoljuk, hogy több összekötőt használjunk.
A teljesítményt befolyásoló másik tényező az összekötők közötti hálózatkezelés minősége, beleértve a következőket:
- Az online szolgáltatás: Az Azure-beli alkalmazásproxy szolgáltatás lassú vagy nagy késésű kapcsolatai befolyásolják az összekötő teljesítményét. A legjobb teljesítmény érdekében csatlakoztassa a szervezetet az Azure-hoz az ExpressRoute-tal. Ellenkező esetben gondoskodjon arról, hogy a hálózati csapat a lehető leghatékonyabban kezelje az Azure-hoz való csatlakozást.
- A háttéralkalmazások: Bizonyos esetekben az összekötő és a háttéralkalmazások között további proxyk is vannak, amelyek lelassíthatják vagy megakadályozhatják a kapcsolatokat. A forgatókönyv hibaelhárításához nyisson meg egy böngészőt az összekötő-kiszolgálóról, és próbálja meg elérni az alkalmazást. Ha az összekötőket az Azure-ban futtatja, de az alkalmazások helyszíniek, előfordulhat, hogy a felhasználói élmény nem az, amit a felhasználók elvárnak.
- A tartományvezérlők: Ha az összekötők egyszeri bejelentkezést (SSO) hajtanak végre a Kerberos által korlátozott delegálással, a kérés háttérrendszerbe való elküldése előtt kapcsolatba lépnek a tartományvezérlőkkel. Az összekötők gyorsítótárral rendelkeznek a Kerberos-jegyekhez, de forgalmas környezetben a tartományvezérlők válaszképessége befolyásolhatja a teljesítményt. Ez a probléma gyakoribb az Azure-ban futó, de a helyszíni tartományvezérlőkkel kommunikáló összekötők esetében.
A hálózat optimalizálásával kapcsolatos további információkért lásd: Hálózati topológia szempontjai az Azure Active Directory alkalmazásproxy használatakor.
Tartományhoz való csatlakozás
Az összekötők olyan gépen is futtathatók, amely nincs tartományhoz csatlakoztatva. Ha azonban az integrált Windows-hitelesítést (IWA) használó alkalmazások egyszeri bejelentkezését (SSO) szeretné használni, tartományhoz csatlakoztatott gépre van szüksége. Ebben az esetben az összekötő gépeket olyan tartományhoz kell csatlakoztatni, amely a közzétett alkalmazások felhasználói nevében kerberos korlátozott delegálást hajthat végre.
Az összekötők olyan erdők tartományaihoz is csatlakoztathatók, amelyek részleges megbízhatósági kapcsolatokkal rendelkeznek, vagy csak olvasható tartományvezérlőkhöz.
Összekötő üzembe helyezések megkeményített környezeteken
Az összekötők üzembe helyezése általában egyszerű, és nem igényel speciális konfigurációt. Van azonban néhány egyedi feltétel, amelyet figyelembe kell venni:
- A kimenő forgalmat korlátozó szervezeteknek meg kell nyitniuk a szükséges portokat.
- Előfordulhat, hogy a FIPS-kompatibilis gépeknek módosítaniuk kell a konfigurációjukat, hogy lehetővé tegyék az összekötőfolyamatok számára a tanúsítvány létrehozását és tárolását.
- Azoknak a szervezeteknek, amelyek a hálózati kéréseket kibocsátó folyamatok alapján zárolják a környezetüket, meg kell győződniük arról, hogy mindkét összekötő-szolgáltatás hozzáfér az összes szükséges porthoz és IP-címhez.
- Bizonyos esetekben a kimenő továbbítási proxyk megszakíthatják a kétirányú tanúsítványhitelesítést, és a kommunikáció meghiúsulását okozhatják.
Összekötő hitelesítése
A biztonságos szolgáltatás biztosításához az összekötőknek hitelesíteniük kell magukat a szolgáltatás felé, a szolgáltatásnak pedig az összekötő felé kell hitelesítenie magát. Ez a hitelesítés ügyfél- és kiszolgálótanúsítványokkal történik, amikor az összekötők kezdeményezik a kapcsolatot. Így a rendszergazda felhasználónevét és jelszavát nem tárolja a rendszer az összekötő gépen.
A használt tanúsítványok az alkalmazásproxy-szolgáltatásra jellemzők. A kezdeti regisztráció során jönnek létre, és az összekötők automatikusan megújítják őket néhány havonta.
Az első sikeres tanúsítványmegújítás után az Azure AD alkalmazásproxy-összekötő szolgáltatás (hálózati szolgáltatás) nem rendelkezik engedéllyel a régi tanúsítvány helyi géptárból való eltávolításához. Ha a tanúsítvány lejárt, vagy a szolgáltatás már nem fogja használni, biztonsággal törölheti.
A tanúsítványmegújítással kapcsolatos problémák elkerüléséhez győződjön meg arról, hogy az összekötőtől a dokumentált célok felé irányuló hálózati kommunikáció engedélyezve van.
Ha az összekötő több hónapig nem csatlakozik a szolgáltatáshoz, előfordulhat, hogy a tanúsítványai elavulttá válnak. Ebben az esetben távolítsa el és telepítse újra az összekötőt a regisztráció aktiválásához. A következő PowerShell-parancsokat futtathatja:
Import-module AppProxyPSModule
Register-AppProxyConnector -EnvironmentName "AzureCloud"
Kormányzati célokra használja a következőt -EnvironmentName "AzureUSGovernment": . További részletekért lásd: Ügynök telepítése a Azure Government Cloudhoz.
A tanúsítvány ellenőrzéséről és a problémák elhárításáról további információt a Alkalmazásproxy megbízhatósági tanúsítvány számítógép- és háttérösszetevőinek támogatásának ellenőrzése című témakörben talál.
technikai részletek
Az összekötők a Windows Server web alkalmazásproxy alapulnak, így a legtöbb felügyeleti eszközük, beleértve a Windows eseménynaplóit is,
és a Windows teljesítményszámlálói.
Az összekötők Rendszergazda és munkamenetnaplókkal is rendelkeznek. A Rendszergazda napló tartalmazza a legfontosabb eseményeket és azok hibáit. A munkamenetnapló tartalmazza az összes tranzakciót és azok feldolgozási részleteit.
A naplók megtekintéséhez nyissa meg a eseménymegtekintő, és lépjen az Alkalmazások és szolgáltatások naplói>Microsoft>AadApplicationProxy>Connector elemre. A Munkamenetnapló láthatóvá tétele érdekében a Nézet menüben válassza az Elemzési és hibakeresési naplók megjelenítése lehetőséget. A munkamenetnaplót általában hibaelhárításhoz használják, és alapértelmezés szerint le van tiltva. Engedélyezze az események gyűjtését, és tiltsa le, ha már nincs rá szükség.
A szolgáltatás állapotát a Szolgáltatások ablakban tekintheti meg. Az összekötő két Windows-szolgáltatásból áll: a tényleges összekötőből és a frissítőből. Mindkettőnek folyamatosan futnia kell.
