A Microsoft Entra magánhálózati összekötő ismertetése

Csatlakozás orok teszik lehetővé a Microsoft Entra privát hozzáférés és az alkalmazásproxyt. Egyszerűek, könnyen üzembe helyezhetők és karbantarthatóak, és rendkívül hatékonyak. Ez a cikk ismerteti az összekötők működését, valamint az üzembe helyezés optimalizálására vonatkozó javaslatokat.

Mi az a magánhálózati összekötő?

A Csatlakozás orok olyan egyszerű ügynökök, amelyek egy magánhálózaton ülnek, és megkönnyítik a kimenő kapcsolatot a Microsoft Entra privát hozzáférés és az alkalmazásproxy-szolgáltatásokhoz. Csatlakozás orokat olyan Windows Serverre kell telepíteni, amely hozzáfér a háttérerőforrásokhoz. Az összekötőket összekötőcsoportokba rendezheti, és mindegyik csoport kezeli az adott erőforrások felé történő forgalmat. További információ az alkalmazásproxyról és az alkalmazásproxy architektúrájának diagramos ábrázolásáról: A Microsoft Entra alkalmazásproxy használata a helyszíni alkalmazások távoli felhasználók számára való közzétételéhez.

A Microsoft Entra magánhálózati összekötő konfigurálásáról a Privát hálózati összekötők konfigurálása Microsoft Entra privát hozzáférés című témakörben olvashat.

Karbantartás

Az összekötők és a szolgáltatás gondoskodik az összes magas rendelkezésre állású feladatról. Ezeket dinamikusan lehet hozzáadni vagy eltávolítani. Az új kérések az elérhető összekötők egyikére lesznek irányítva. Ha egy összekötő átmenetileg nem érhető el, nem válaszol erre a forgalomra.

Az összekötők állapot nélküliek, és nincsenek konfigurációs adatok a gépen. Az egyetlen adat, amelyet tárolnak, a szolgáltatás és a hitelesítési tanúsítvány csatlakoztatásának beállításai. Amikor csatlakoznak a szolgáltatáshoz, lekérik az összes szükséges konfigurációs adatot, és néhány percenként frissítik őket.

Csatlakozás orok is lekérdezik a kiszolgálót, hogy megtudja, létezik-e az összekötő újabb verziója. Ha talál ilyet, az összekötők frissülnek.

Az összekötőket az általuk futtatott gépről figyelheti az eseménynapló és a teljesítményszámlálók használatával. További információ: A helyszíni Microsoft Entra naplóinak figyelése és áttekintése.

Az állapotukat a Microsoft Entra felügyeleti központban is megtekintheti. A Microsoft Entra privát hozzáférés lépjen a Global Secure Access (előzetes verzió), Csatlakozás, és válassza ki a Csatlakozás orokat. Az alkalmazásproxyhoz lépjen az Identitás, az Alkalmazások, a Nagyvállalati alkalmazások lapra, és válassza ki az alkalmazást. Az alkalmazásoldalon válassza ki az alkalmazásproxyt.

Nem kell manuálisan törölnie a nem használt összekötőket. Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. A fel nem használt összekötők 10 napos inaktivitás után címkézve _inactive_ lesznek, és el lesznek távolítva. Ha azonban el szeretne távolítani egy összekötőt, távolítsa el a Csatlakozás or szolgáltatást és az Updater szolgáltatást is a kiszolgálóról. Indítsa újra a számítógépet a szolgáltatás teljes eltávolításához.

Automatikus frissítések

A Microsoft Entra ID automatikus frissítéseket biztosít az összes üzembe helyezhető összekötőhöz. Amíg a magánhálózati összekötő-frissítő szolgáltatás fut, az összekötők automatikusan frissülnek a legújabb fő összekötők kiadásával. Ha nem látja a Csatlakozás or Updater szolgáltatást a kiszolgálón, újra kell telepítenie az összekötőt a frissítések lekéréséhez. Az összekötő frissítéseiről további információt az alkalmazásproxyval kapcsolatos gyakori kérdésekben talál.

Ha nem szeretné megvárni, amíg az összekötő automatikusan frissül, manuális frissítést végezhet. Nyissa meg az összekötő letöltési oldalát azon a kiszolgálón, ahol az összekötő található, és válassza a Letöltés lehetőséget. Ez a folyamat elindítja a helyi összekötő frissítését.

A több összekötővel rendelkező bérlők esetében az automatikus frissítések az egyes csoportokban egyszerre egy összekötőt céloznak meg, hogy megakadályozzák az állásidőt a környezetben.

Állásidőt tapasztalhat, amikor az összekötő frissül, ha:

• Csak egy összekötője van. A második összekötő és egy összekötőcsoport használata ajánlott az állásidő elkerülése és a magasabb rendelkezésre állás biztosítása érdekében.
• Egy összekötő egy tranzakció közepén volt, amikor a frissítés elkezdődött. Bár a kezdeti tranzakció elveszik, a böngészőnek automatikusan újra meg kell próbálkoznia a művelettel, vagy frissítheti az oldalt. Ha a kérés újraküldésre kerül, a rendszer egy biztonsági mentési összekötőhöz irányítja a forgalmat.

A korábban kiadott verziókról és azok módosításairól az alkalmazásproxy – Verziókiadási előzmények című témakörben tájékozódhat.

Összekötőcsoportok létrehozása

Csatlakozás or csoportok lehetővé teszik, hogy adott összekötőket rendeljen hozzá adott alkalmazások kiszolgálásához. Számos összekötőt csoportosíthat, majd hozzárendelheti az egyes erőforrásokat vagy alkalmazásokat egy csoporthoz.

Csatlakozás csoportok megkönnyítik a nagy méretű üzemelő példányok kezelését. Emellett a különböző régiókban üzemeltetett erőforrásokkal és alkalmazásokkal rendelkező bérlők késését is növelik, mivel helyalapú összekötőcsoportokat hozhat létre, amelyek csak a helyi alkalmazásokat szolgálják ki.

Az összekötőcsoportokról további információt a Microsoft Entra magánhálózati összekötőcsoportok ismertetése című témakörben talál.

Kapacitástervezés

Tervezze meg, hogy elegendő kapacitás legyen az összekötők között a várt forgalommennyiség kezeléséhez. Egy összekötőcsoport legalább két összekötője magas rendelkezésre állást és skálázást biztosít. De három összekötő optimális.

A táblázat mennyiségi és várható késést biztosít a különböző gépspecifikációkhoz. Az adatok a felhasználó által várt másodpercenkénti tranzakciókon (TPS) alapulnak, mivel a használati minták eltérőek, és nem használhatók a terhelés előrejelzésére. Vannak különbségek a válaszok mérete és a háttéralkalmazás válaszideje alapján – a nagyobb válaszméretek és a lassabb válaszidő alacsonyabb maximális TPS-t eredményeznek. Több gép osztja el a terhelést, és elegendő puffert biztosít. Az extra kapacitás magas rendelkezésre állást és rugalmasságot biztosít.

Cores	RAM	Várt késés (MS)-P99	Maximális TPS
2	8	325	586
4	16	320	1150
8	32	270	1190
16	64	245	1200*

* A gép egyéni beállítással emelt néhány alapértelmezett kapcsolati korlátot a .NET által javasolt beállításokon túl. Javasoljuk, hogy futtasson egy tesztet az alapértelmezett beállításokkal, mielőtt kapcsolatba lép a támogatási szolgálattal, hogy ez a korlát megváltozzon a bérlőjéhez.

Feljegyzés

A 4, 8 és 16 magos gépek közötti maximális TPS-ben nincs sok különbség. A fő különbség a várt késés.

A táblázat az összekötők várható teljesítményére összpontosít a telepített gép típusától függően. Ez eltér a szolgáltatás szabályozási korlátaitól, lásd a szolgáltatási korlátokat és korlátozásokat.

Biztonság és hálózatkezelés

A Csatlakozás orok bárhol telepíthetők a hálózaton, így kéréseket küldhetnek a Microsoft Entra privát hozzáférés és az alkalmazásproxy szolgáltatásnak. Fontos, hogy az összekötőt futtató számítógép is hozzáférhessen az alkalmazásokhoz és az erőforrásokhoz. Az összekötőket a vállalati hálózaton belül vagy egy felhőben futó virtuális gépen is telepítheti. Csatlakozás orok futtathatók szegélyhálózaton belül, más néven demilitarizált zónában (DMZ), de ez nem szükséges, mert minden forgalom kimenő, így a hálózat biztonságos marad.

Csatlakozás orok csak kimenő kéréseket küldenek. A kimenő forgalmat a rendszer elküldi a szolgáltatásnak, valamint a közzétett erőforrásoknak és alkalmazásoknak. Nem kell megnyitnia a bejövő portokat, mert a forgalom mindkét irányban halad a munkamenet létrehozása után. A bejövő hozzáférést sem kell konfigurálnia a tűzfalakon keresztül.

A kimenő tűzfalszabályok konfigurálásáról további információt a meglévő helyszíni proxykiszolgálók használata című témakörben talál.

Teljesítmény és skálázhatóság

Az Microsoft Entra privát hozzáférés skálázása és az alkalmazásproxy-szolgáltatások transzparensek, de a skálázás az összekötők egyik tényezője. A csúcsforgalom kezeléséhez elegendő összekötőre van szükség. Csatlakozás orok állapot nélküliek, és a felhasználók vagy munkamenetek száma nincs hatással rájuk. Ehelyett válaszolnak a kérések számára és a hasznos adatok méretére. Normál webes forgalom esetén egy átlagos gép másodpercenként 2000 kérést képes kezelni. Az adott kapacitás a gép pontos jellemzőitől függ.

A processzor és a hálózat határozza meg az összekötő teljesítményét. A TLS titkosításához és visszafejtéséhez processzorteljesítményre van szükség, míg a hálózatkezelés fontos az alkalmazásokhoz és az online szolgáltatáshoz való gyors kapcsolódáshoz.

Ezzel szemben a memória kisebb problémát jelent az összekötők esetében. Az online szolgáltatás gondoskodik a feldolgozás nagy részének és a hitelesítés nélküli forgalomról. A felhőben elvégezhető összes művelet a felhőben történik.

Ha az összekötők vagy gépek nem érhetők el, a forgalom a csoport egy másik összekötője felé halad. Egy összekötőcsoportban több összekötő biztosítja a rugalmasságot.

A teljesítményt befolyásoló másik tényező az összekötők közötti hálózatkezelés minősége, beleértve a következőket:

• Az online szolgáltatás: A Microsoft Entra szolgáltatás lassú vagy nagy késésű kapcsolatai befolyásolják az összekötő teljesítményét. A legjobb teljesítmény érdekében csatlakoztassa a szervezetet a Microsofthoz az Express Route használatával. Ellenkező esetben győződjön meg arról, hogy a hálózati csapat a lehető leghatékonyabban kezeli a Microsofttal való kapcsolatokat.
• Háttéralkalmazások: Bizonyos esetekben az összekötő és a háttérerőforrások között további proxyk vannak, amelyek lelassíthatják vagy megakadályozhatják a kapcsolatokat. A probléma elhárításához nyisson meg egy böngészőt az összekötő-kiszolgálóról, és próbálja meg elérni az alkalmazást vagy az erőforrást. Ha az összekötőket a felhőben futtatja, de az alkalmazások helyszíniek, előfordulhat, hogy a felhasználói élmény nem az, amit a felhasználók elvárnak.
• A tartományvezérlők: Ha az összekötők egyszeri bejelentkezést (SSO) hajtanak végre a Kerberos korlátozott delegálásával, a kérés háttérrendszerbe való elküldése előtt kapcsolatba lépnek a tartományvezérlőkkel. Az összekötők rendelkeznek Kerberos-jegyek gyorsítótárával, de forgalmas környezetben a tartományvezérlők válaszképessége befolyásolhatja a teljesítményt. Ez a probléma gyakoribb az Azure-ban futó, de a helyszíni tartományvezérlőkkel kommunikáló összekötők esetében.

A hálózat optimalizálásával kapcsolatos további információkért tekintse meg a Microsoft Entra alkalmazásproxy használatakor a hálózati topológia szempontjait.

Tartományhoz való csatlakozás

Csatlakozás orok nem tartományhoz csatlakoztatott gépen futtathatók. Ha azonban az integrált Windows-hitelesítést (IWA) használó alkalmazások egyszeri bejelentkezését (SSO) szeretné használni, akkor tartományhoz csatlakoztatott gépre van szüksége. Ebben az esetben az összekötő gépeket olyan tartományhoz kell csatlakoztatni, amely kerberos korlátozott delegálást hajthat végre a közzétett alkalmazások felhasználói nevében.

Csatlakozás orok olyan erdők tartományaihoz is csatlakoztathatók, amelyek részben megbízhatóak, vagy írásvédett tartományvezérlők.

Csatlakozás erősített környezetekben történő üzembe helyezés

Az összekötők üzembe helyezése általában egyszerű, és nem igényel speciális konfigurációt.

Vannak azonban egyedi feltételek, amelyeket figyelembe kell venni:

• A kimenő forgalomhoz adott portok megnyitására van szükség. További információ: Oktatóanyag: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxyn keresztül a Microsoft Entra ID-ban.
• A FIPS-kompatibilis gépek konfigurációmódosítást igényelhetnek ahhoz, hogy az összekötői folyamatok létrehozhassanak és tárolhassanak egy tanúsítványt.
• A kimenő kimenő proxyk megszakíthatják a kétirányú tanúsítványhitelesítést, és a kommunikáció meghiúsulását okozhatják.

Csatlakozás or hitelesítés

A biztonságos szolgáltatás biztosításához az összekötőknek hitelesíteniük kell magukat a szolgáltatás felé, a szolgáltatásnak pedig az összekötő felé kell hitelesítenie magát. Ez a hitelesítés ügyfél- és kiszolgálótanúsítványok használatával történik, amikor az összekötők kezdeményezik a kapcsolatot. Így a rendszergazda felhasználóneve és jelszava nem lesz tárolva az összekötő gépen.

A használt tanúsítványok a szolgáltatásra vonatkoznak. A kezdeti regisztráció során jönnek létre, és néhány havonta automatikusan megújulnak.

Az első sikeres tanúsítványmegújítás után a Microsoft Entra magánhálózati összekötő szolgáltatás (Network Service) nem rendelkezik engedéllyel a régi tanúsítvány eltávolítására a helyi géptárolóból. Ha a tanúsítvány lejár, vagy a szolgáltatás nem használja, biztonságosan törölheti.

A tanúsítványmegújítással kapcsolatos problémák elkerülése érdekében győződjön meg arról, hogy az összekötőről a dokumentált célhelyek felé irányuló hálózati kommunikáció engedélyezve van.

Ha egy összekötő több hónapig nem csatlakozik a szolgáltatáshoz, a tanúsítványai elavultak lehetnek. Ebben az esetben távolítsa el és telepítse újra az összekötőt a regisztráció aktiválásához. A következő PowerShell-parancsokat futtathatja:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Kormányzati célokra használja a következőt -EnvironmentName "AzureUSGovernment": . További információ: Ügynök telepítése az Azure Government Cloudhoz.

A tanúsítvány ellenőrzéséről és a problémák elhárításáról az alkalmazásproxy megbízhatósági tanúsítványának számítógép- és háttérösszetevők támogatásának ellenőrzése című témakörben olvashat.

Technikai részletek

A Csatlakozás orok a Windows Serverre vannak telepítve, így a legtöbb felügyeleti eszközzel rendelkeznek, beleértve a Windows eseménynaplóit és a Windows teljesítményszámlálóit.

Az összekötők Rendszergazda és munkamenetnaplókkal is rendelkeznek. A Rendszergazda napló tartalmazza a legfontosabb eseményeket és azok hibáit. A munkamenetnapló tartalmazza az összes tranzakciót és azok feldolgozási adatait.

A naplók megtekintéséhez nyissa meg a Eseménynapló, és nyissa meg az Alkalmazások és szolgáltatások naplói>Microsoft>Microsoft Entra magánhálózatot> Csatlakozás or. A Munkamenet-napló láthatóvá tétele érdekében a Nézet menüben válassza a Elemzési és hibakeresési naplók megjelenítése lehetőséget. A munkamenetnaplót általában hibaelhárításra használják, és alapértelmezés szerint le van tiltva. Engedélyezze az események gyűjtését, és tiltsa le, ha már nincs rá szükség.

A szolgáltatás állapotát a Szolgáltatások ablakban tekintheti meg. Az összekötő két Windows-szolgáltatásból áll: a tényleges összekötőből és a frissítőből. Mindkettőnek folyamatosan futnia kell.

Inaktív összekötők

Gyakori probléma, hogy az összekötők inaktívként jelennek meg egy összekötőcsoportban. Az inaktív összekötők gyakori oka a szükséges portokat blokkoló tűzfal.

Használati feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

• A Microsoft Entra privát hálózati összekötő csoportjainak ismertetése
• Meglévő helyszíni proxykiszolgálók használata
• Alkalmazásproxyval és -összekötőkkel kapcsolatos hibák elhárítása
• A Microsoft Entra magánhálózati összekötő csendes telepítése