A Microsoft Entra magánhálózati összekötő ismertetése

Az összekötők teszik lehetővé a Microsoft Entra privát hozzáférés és az alkalmazásproxyt. Egyszerűek, könnyen üzembe helyezhetők és karbantarthatóak, és rendkívül hatékonyak. Ez a cikk ismerteti az összekötők működését, valamint az üzembe helyezés optimalizálására vonatkozó javaslatokat.

Mi az a magánhálózati összekötő?

Az összekötők olyan egyszerű ügynökök, amelyek egy magánhálózaton találhatók, és megkönnyítik a kimenő kapcsolatot a Microsoft Entra privát hozzáférés és az alkalmazásproxy-szolgáltatásokhoz. Az összekötőket olyan Windows Serverre kell telepíteni, amely hozzáfér a háttérerőforrásokhoz. Az összekötőket összekötőcsoportokba rendezheti, és mindegyik csoport kezeli az adott erőforrások felé történő forgalmat. További információ az alkalmazásproxyról és az alkalmazásproxy architektúrájának diagramos ábrázolásáról: A Microsoft Entra alkalmazásproxy használata a helyszíni alkalmazások távoli felhasználók számára való közzétételéhez.

A Microsoft Entra magánhálózati összekötő konfigurálásáról a Privát hálózati összekötők konfigurálása Microsoft Entra privát hozzáférés című témakörben olvashat.

A privát hálózati összekötők a helyszínen üzembe helyezett egyszerűsített ügynökök, amelyek megkönnyítik a felhőben lévő alkalmazásproxy szolgáltatáshoz való kimenő kapcsolatot. Az összekötőket olyan Windows Serverre kell telepíteni, amely hozzáfér a háttéralkalmazáshoz. A felhasználók csatlakoznak az alkalmazásproxy felhőszolgáltatáshoz, amely az összekötőken keresztül irányítja a forgalmat az alkalmazásokhoz.

Az összekötő és az alkalmazásproxy szolgáltatás közötti beállítás és regisztráció az alábbiak szerint történik:

1. Az informatikai rendszergazda megnyitja a 80-at és a 443-at a kimenő forgalom számára, és lehetővé teszi az összekötő, az alkalmazásproxy szolgáltatás és a Microsoft Entra-azonosító által igényelt URL-címek elérését.
2. A rendszergazda bejelentkezik a Microsoft Entra felügyeleti központba, és futtat egy végrehajtható fájlt az összekötő helyszíni Windows-kiszolgálón való telepítéséhez.
3. Az összekötő elkezdi "figyelni" az alkalmazásproxy szolgáltatást.
4. A rendszergazda hozzáadja a helyszíni alkalmazást a Microsoft Entra-azonosítóhoz, és olyan beállításokat konfigurál, mint például az URL-címek, amelyeknek a felhasználóknak csatlakozniuk kell az alkalmazásukhoz.

Javasoljuk, hogy mindig több összekötőt helyezzen üzembe a redundancia és a skálázás érdekében. Az összekötők a szolgáltatással együtt gondoskodnak a magas rendelkezésre állású feladatokról, és dinamikusan hozzáadhatók vagy eltávolíthatók. Minden alkalommal, amikor új kérés érkezik, a rendszer az elérhető összekötők egyikéhez irányítja. Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. Ha egy összekötő átmenetileg nem érhető el, nem válaszol erre a forgalomra. A nem használt összekötők inaktívként vannak megjelölve, és 10 nap inaktivitás után törlődnek.

Az összekötők lekérdezik a kiszolgálót is, hogy megtudja, létezik-e az összekötő újabb verziója. Bár manuális frissítést is végezhet, az összekötők automatikusan frissülnek, amíg a magánhálózati összekötő updater szolgáltatása fut. A több összekötővel rendelkező bérlők esetében az automatikus frissítések az egyes csoportokban egyszerre egy összekötőt céloznak meg, hogy megakadályozzák az állásidőt a környezetben.

Feljegyzés

A verzióelőzmények oldalát figyelve értesülhet a legújabb frissítésekről.

Minden privát hálózati összekötő egy összekötőcsoporthoz van rendelve. Az ugyanabban az összekötőcsoportban lévő összekötők egyetlen egységként működnek a magas rendelkezésre állás és a terheléselosztás érdekében. Új csoportokat hozhat létre, összekötőket rendelhet hozzájuk a Microsoft Entra felügyeleti központban, majd adott összekötőket rendelhet hozzá adott alkalmazások kiszolgálásához. Javasoljuk, hogy a magas rendelkezésre állás érdekében minden összekötőcsoportban legalább két összekötő legyen.

Az összekötőcsoportok akkor hasznosak, ha a következő forgatókönyveket kell támogatnia:

• Földrajzi alkalmazás közzététele
• Alkalmazásszegmentáció/elkülönítés
• A felhőben vagy a helyszínen futó webalkalmazások közzététele

Az összekötők telepítésének és a hálózat optimalizálásának kiválasztásával kapcsolatos további információkért tekintse meg a Microsoft Entra alkalmazásproxy használatakor a hálózati topológia szempontjait.

Karbantartás

Az összekötők és a szolgáltatás gondoskodik az összes magas rendelkezésre állású feladatról. Ezeket dinamikusan lehet hozzáadni vagy eltávolítani. Az új kérések az elérhető összekötők egyikére lesznek irányítva. Ha egy összekötő átmenetileg nem érhető el, nem válaszol erre a forgalomra.

Az összekötők állapot nélküliek, és nincsenek konfigurációs adatok a gépen. Az egyetlen adat, amelyet tárolnak, a szolgáltatás és a hitelesítési tanúsítvány csatlakoztatásának beállításai. Amikor csatlakoznak a szolgáltatáshoz, lekérik az összes szükséges konfigurációs adatot, és néhány percenként frissítik őket.

Az összekötők lekérdezik a kiszolgálót is, hogy megtudja, létezik-e az összekötő újabb verziója. Ha talál ilyet, az összekötők frissülnek.

Az összekötőket az általuk futtatott gépről figyelheti az eseménynapló és a teljesítményszámlálók használatával. További információ: A helyszíni Microsoft Entra naplóinak figyelése és áttekintése.

Az állapotukat a Microsoft Entra felügyeleti központban is megtekintheti. A Microsoft Entra privát hozzáférés keresse meg a Globális biztonságos hozzáférést, a Csatlakozás lehetőséget, és válassza az Összekötők lehetőséget. Az alkalmazásproxyhoz lépjen az Identitás, az Alkalmazások, a Nagyvállalati alkalmazások lapra, és válassza ki az alkalmazást. Az alkalmazásoldalon válassza ki az alkalmazásproxyt.

Nem kell manuálisan törölnie a nem használt összekötőket. Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. A fel nem használt összekötők 10 napos inaktivitás után címkézve _inactive_ lesznek, és el lesznek távolítva. Ha azonban el szeretne távolítani egy összekötőt, távolítsa el az Összekötő szolgáltatást és az Updater szolgáltatást is a kiszolgálóról. Indítsa újra a számítógépet a szolgáltatás teljes eltávolításához.

Automatikus frissítések

A Microsoft Entra ID automatikus frissítéseket biztosít az összes üzembe helyezhető összekötőhöz. Amíg a magánhálózati összekötő-frissítő szolgáltatás fut, az összekötők automatikusan frissülnek a legújabb fő összekötők kiadásával. Ha nem látja az Összekötő-frissítő szolgáltatást a kiszolgálón, újra kell telepítenie az összekötőt a frissítések lekéréséhez.

Ha nem szeretné megvárni, amíg az összekötő automatikusan frissül, manuális frissítést végezhet. Nyissa meg az összekötő letöltési oldalát azon a kiszolgálón, ahol az összekötő található, és válassza a Letöltés lehetőséget. Ez a folyamat elindítja a helyi összekötő frissítését.

A több összekötővel rendelkező bérlők esetében az automatikus frissítések az egyes csoportokban egyszerre egy összekötőt céloznak meg, hogy megakadályozzák az állásidőt a környezetben.

Állásidőt tapasztalhat, amikor az összekötő frissül, ha:

• Csak egy összekötője van. A második összekötő és egy összekötőcsoport használata ajánlott az állásidő elkerülése és a magasabb rendelkezésre állás biztosítása érdekében.
• Egy összekötő egy tranzakció közepén volt, amikor a frissítés elkezdődött. Bár a kezdeti tranzakció elveszik, a böngészőnek automatikusan újra meg kell próbálkoznia a művelettel, vagy frissítheti az oldalt. Ha a kérés újraküldésre kerül, a rendszer egy biztonsági mentési összekötőhöz irányítja a forgalmat.

A korábban kiadott verziókról és azok módosításairól az alkalmazásproxy – Verziókiadási előzmények című témakörben tájékozódhat.

Összekötőcsoportok létrehozása

Az összekötőcsoportok lehetővé teszik adott összekötők hozzárendelését adott alkalmazások kiszolgálásához. Számos összekötőt csoportosíthat, majd hozzárendelheti az egyes erőforrásokat vagy alkalmazásokat egy csoporthoz.

Az összekötőcsoportok megkönnyítik a nagy üzemelő példányok kezelését. Emellett a különböző régiókban üzemeltetett erőforrásokkal és alkalmazásokkal rendelkező bérlők késését is növelik, mivel helyalapú összekötőcsoportokat hozhat létre, amelyek csak a helyi alkalmazásokat szolgálják ki.

Az összekötőcsoportokról további információt a Microsoft Entra magánhálózati összekötőcsoportok ismertetése című témakörben talál.

Biztonság és hálózatkezelés

Az összekötők bárhol telepíthetők a hálózaton, így kéréseket küldhetnek a Microsoft Entra privát hozzáférés és az alkalmazásproxy szolgáltatásnak. Fontos, hogy az összekötőt futtató számítógép is hozzáférhessen az alkalmazásokhoz és az erőforrásokhoz. Az összekötőket a vállalati hálózaton belül vagy egy felhőben futó virtuális gépen is telepítheti. Az összekötők futtathatók szegélyhálózaton belül, más néven demilitarizált zónában (DMZ), de nem szükséges, mert minden forgalom kimenő, így a hálózat biztonságos marad.

Az összekötők csak kimenő kéréseket küldenek. A kimenő forgalmat a rendszer elküldi a szolgáltatásnak, valamint a közzétett erőforrásoknak és alkalmazásoknak. Nem kell megnyitnia a bejövő portokat, mert a forgalom mindkét irányban halad a munkamenet létrehozása után. A bejövő hozzáférést sem kell konfigurálnia a tűzfalakon keresztül.

A kimenő tűzfalszabályok konfigurálásáról további információt a meglévő helyszíni proxykiszolgálók használata című témakörben talál.

Teljesítmény és skálázhatóság

Az Microsoft Entra privát hozzáférés skálázása és az alkalmazásproxy-szolgáltatások transzparensek, de a skálázás az összekötők egyik tényezője. A csúcsforgalom kezeléséhez elegendő összekötőre van szükség. Az összekötők állapot nélküliek, és a felhasználók vagy munkamenetek száma nincs hatással rájuk. Ehelyett válaszolnak a kérések számára és a hasznos adatok méretére. Normál webes forgalom esetén egy átlagos gép másodpercenként 2000 kérést képes kezelni. Az adott kapacitás a gép pontos jellemzőitől függ.

A processzor és a hálózat határozza meg az összekötő teljesítményét. A TLS titkosításához és visszafejtéséhez processzorteljesítményre van szükség, míg a hálózatkezelés fontos az alkalmazásokhoz és az online szolgáltatáshoz való gyors kapcsolódáshoz.

Ezzel szemben a memória kisebb problémát jelent az összekötők esetében. Az online szolgáltatás gondoskodik a feldolgozás nagy részének és a hitelesítés nélküli forgalomról. A felhőben elvégezhető összes művelet a felhőben történik.

Ha az összekötők vagy gépek nem érhetők el, a forgalom a csoport egy másik összekötője felé halad. Egy összekötőcsoportban több összekötő biztosítja a rugalmasságot.

A teljesítményt befolyásoló másik tényező az összekötők közötti hálózatkezelés minősége, beleértve a következőket:

• Az online szolgáltatás: A Microsoft Entra szolgáltatás lassú vagy nagy késésű kapcsolatai befolyásolják az összekötő teljesítményét. A legjobb teljesítmény érdekében csatlakoztassa a szervezetet a Microsofthoz az Express Route használatával. Ellenkező esetben győződjön meg arról, hogy a hálózati csapat a lehető leghatékonyabban kezeli a Microsofttal való kapcsolatokat.
• Háttéralkalmazások: Bizonyos esetekben az összekötő és a háttérerőforrások között további proxyk vannak, amelyek lelassíthatják vagy megakadályozhatják a kapcsolatokat. A probléma elhárításához nyisson meg egy böngészőt az összekötő-kiszolgálóról, és próbálja meg elérni az alkalmazást vagy az erőforrást. Ha az összekötőket a felhőben futtatja, de az alkalmazások helyszíniek, előfordulhat, hogy a felhasználói élmény nem az, amit a felhasználók elvárnak.
• A tartományvezérlők: Ha az összekötők egyszeri bejelentkezést (SSO) hajtanak végre a Kerberos korlátozott delegálásával, a kérés háttérrendszerbe való elküldése előtt kapcsolatba lépnek a tartományvezérlőkkel. Az összekötők rendelkeznek Kerberos-jegyek gyorsítótárával, de forgalmas környezetben a tartományvezérlők válaszképessége befolyásolhatja a teljesítményt. Ez a probléma gyakoribb az Azure-ban futó, de a helyszíni tartományvezérlőkkel kommunikáló összekötők esetében.

A hálózat optimalizálásával kapcsolatos további információkért tekintse meg a Microsoft Entra alkalmazásproxy használatakor a hálózati topológia szempontjait.

Tartományhoz való csatlakozás

Az összekötők olyan gépeken is futtathatók, amelyek nincsenek tartományhoz csatlakoztatva. Ha azonban az integrált Windows-hitelesítést (IWA) használó alkalmazások egyszeri bejelentkezését (SSO) szeretné használni, akkor tartományhoz csatlakoztatott gépre van szüksége. Ebben az esetben az összekötő gépeket olyan tartományhoz kell csatlakoztatni, amely kerberos korlátozott delegálást hajthat végre a közzétett alkalmazások felhasználói nevében.

Az összekötők olyan erdők tartományaihoz is csatlakoztathatók, amelyek részben megbízhatók, vagy írásvédett tartományvezérlők.

Összekötő üzembe helyezések megkeményített környezeteken

Az összekötők üzembe helyezése általában egyszerű, és nem igényel speciális konfigurációt.

Vannak azonban egyedi feltételek, amelyeket figyelembe kell venni:

• A kimenő forgalomhoz adott portok megnyitására van szükség. További információkért tekintse meg az összekötők konfigurálását ismertető témakört.
• A FIPS-kompatibilis gépek konfigurációmódosítást igényelhetnek ahhoz, hogy az összekötői folyamatok létrehozhassanak és tárolhassanak egy tanúsítványt.
• A kimenő kimenő proxyk megszakíthatják a kétirányú tanúsítványhitelesítést, és a kommunikáció meghiúsulását okozhatják.

Összekötő hitelesítése

A biztonságos szolgáltatás biztosításához az összekötőknek hitelesíteniük kell magukat a szolgáltatás felé, a szolgáltatásnak pedig az összekötő felé kell hitelesítenie magát. Ez a hitelesítés ügyfél- és kiszolgálótanúsítványok használatával történik, amikor az összekötők kezdeményezik a kapcsolatot. Így a rendszergazda felhasználóneve és jelszava nem lesz tárolva az összekötő gépen.

A használt tanúsítványok a szolgáltatásra vonatkoznak. A kezdeti regisztráció során jönnek létre, és néhány havonta automatikusan megújulnak.

Az első sikeres tanúsítványmegújítás után a Microsoft Entra magánhálózati összekötő szolgáltatás (Network Service) nem rendelkezik engedéllyel a régi tanúsítvány eltávolítására a helyi géptárolóból. Ha a tanúsítvány lejár, vagy a szolgáltatás nem használja, biztonságosan törölheti.

A tanúsítványmegújítással kapcsolatos problémák elkerülése érdekében győződjön meg arról, hogy az összekötőről a dokumentált célhelyek felé irányuló hálózati kommunikáció engedélyezve van.

Ha egy összekötő több hónapig nem csatlakozik a szolgáltatáshoz, a tanúsítványai elavultak lehetnek. Ebben az esetben távolítsa el és telepítse újra az összekötőt a regisztráció aktiválásához. A következő PowerShell-parancsokat futtathatja:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Kormányzati célokra használja a következőt -EnvironmentName "AzureUSGovernment": . További információ: Ügynök telepítése az Azure Government Cloudhoz.

A tanúsítvány ellenőrzéséről és a problémák elhárításáról az alkalmazásproxy megbízhatósági tanúsítványának számítógép- és háttérösszetevők támogatásának ellenőrzése című témakörben olvashat.

Technikai részletek

Az összekötők a Windows Serverre vannak telepítve, így a legtöbb felügyeleti eszközzel rendelkeznek, beleértve a Windows-eseménynaplókat és a Windows teljesítményszámlálóit.

Az összekötők rendszergazdai és munkamenetnaplókkal is rendelkeznek. A felügyeleti napló tartalmazza a legfontosabb eseményeket és azok hibáit. A munkamenetnapló tartalmazza az összes tranzakciót és azok feldolgozási adatait.

A naplók megtekintéséhez nyissa meg a Eseménynapló, és nyissa meg a Microsoft>Microsoft Entra privát hálózati>összekötő alkalmazás- és szolgáltatási naplóit.> A Munkamenet-napló láthatóvá tétele érdekében a Nézet menüben válassza a Elemzési és hibakeresési naplók megjelenítése lehetőséget. A munkamenetnaplót általában hibaelhárításra használják, és alapértelmezés szerint le van tiltva. Engedélyezze az események gyűjtését, és tiltsa le, ha már nincs rá szükség.

A szolgáltatás állapotát a Szolgáltatások ablakban tekintheti meg. Az összekötő két Windows-szolgáltatásból áll: a tényleges összekötőből és a frissítőből. Mindkettőnek folyamatosan futnia kell.

Inaktív összekötők

Gyakori probléma, hogy az összekötők inaktívként jelennek meg egy összekötőcsoportban. Az inaktív összekötők gyakori oka a szükséges portokat blokkoló tűzfal.

Használati Feltételek

A Microsoft Entra privát hozzáférés és Microsoft Entra internet-hozzáférés előzetes verziójú szolgáltatások és szolgáltatások használatára az előzetes verziójú online szolgáltatási feltételek vonatkoznak, amelyek alapján a szolgáltatásokat beszerezte. Az előzetes verziókra kisebb vagy eltérő biztonsági, megfelelőségi és adatvédelmi kötelezettségvállalások vonatkozhatnak, amint azt az online szolgáltatásokra vonatkozó általános licencfeltételek, valamint a Microsoft Termékek és szolgáltatások adatvédelmi bővítménye ("DPA") és az előzetes verzióval kapcsolatos egyéb közlemények is ismertetik.

Következő lépések

• A Microsoft Entra privát hálózati összekötő csoportjainak ismertetése
• Meglévő helyszíni proxykiszolgálók használata
• Alkalmazásproxyval és -összekötőkkel kapcsolatos hibák elhárítása
• A Microsoft Entra magánhálózati összekötő csendes telepítése