Forgalom optimalizálása a Microsoft Entra alkalmazásproxyval
Megtudhatja, hogyan optimalizálhatja a forgalom és a hálózati topológia szempontjait a Microsoft Entra-alkalmazásproxy használatakor.
Forgalom
Amikor egy alkalmazást a Microsoft Entra alkalmazásproxyn keresztül tesznek közzé, a felhasználók és az alkalmazások közötti forgalom három kapcsolaton keresztül zajlik:
- A felhasználó csatlakozik a Microsoft Entra alkalmazásproxy nyilvános végponthoz az Azure-ban
- A privát hálózati összekötő csatlakozik az alkalmazásproxy szolgáltatáshoz (kimenő)
- A privát hálózati összekötő csatlakozik a célalkalmazáshoz
Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára
Amikor regisztrál egy Microsoft Entra-bérlőre, a bérlő régiója a választott régióval van beállítva. Az alapértelmezett alkalmazásproxy felhőszolgáltatás-példányok ugyanazt a régiót használják, mint a Microsoft Entra-bérlő.
Ha például a Microsoft Entra-bérlő régiója az Egyesült Királyság, az összes privát hálózati összekötő alapértelmezés szerint az európai adatközpontok szolgáltatáspéldányainak használatára van hozzárendelve. Amikor a felhasználók hozzáférnek a közzétett alkalmazásokhoz, a forgalom ezen a helyen áthalad az alkalmazásproxy felhőszolgáltatás-példányain.
Ha az összekötők az alapértelmezett régiótól eltérő régiókban vannak telepítve, érdemes módosítani, hogy melyik régióra van optimalizálva az összekötőcsoport az alkalmazásokhoz való hozzáférés javítása érdekében. Miután megadta egy régiót egy összekötőcsoporthoz, a kijelölt régióban lévő alkalmazásproxy-felhőszolgáltatásokhoz csatlakozik.
A forgalom optimalizálásához és az összekötőcsoportok késésének csökkentéséhez rendelje hozzá az összekötőcsoportot a legközelebbi régióhoz. Régió hozzárendelése:
Fontos
Az összekötőknek legalább 1.5.1975.0-s verziót kell használniuk a funkció használatához.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásadminisztrátorként.
Válassza ki a felhasználónevét a jobb felső sarokban. Ellenőrizze, hogy be van-e jelentkezve egy alkalmazásproxyt használó könyvtárba. Ha módosítania kell a könyvtárakat, válassza a Címtárváltás lehetőséget, és válasszon egy alkalmazásproxyt használó könyvtárat.
Keresse meg az Identity>Applications>Enterprise alkalmazásproxyt.>
Válassza az Új összekötő csoport lehetőséget, és adja meg az összekötőcsoport nevét.
A Speciális beállítások területen válassza az Optimalizálás egy adott régióhoz területen, és válassza ki az összekötőkhöz legközelebb eső régiót, majd válassza a Mentés lehetőséget.
Válassza ki az összekötőcsoporthoz hozzárendelni kívánt összekötőket.
Az összekötőket csak akkor helyezheti át az összekötőcsoportba, ha az az alapértelmezett régiót használó összekötőcsoportban van. Kezdje egy összekötővel az alapértelmezett összekötőcsoportban. Ezután helyezze át a megfelelő összekötőcsoportba.
Az összekötőcsoportok régióját csak akkor módosíthatja, ha nincs hozzá hozzárendelt összekötő vagy alkalmazás.
Rendelje hozzá az összekötőcsoportot az alkalmazásokhoz. A forgalom az optimalizált összekötőcsoport régiójában található alkalmazásproxy felhőszolgáltatásba kerül.
A késések csökkentésével kapcsolatos szempontok
Minden proxymegoldás késést vezet be a hálózati kapcsolatba. Függetlenül attól, hogy melyik proxy- vagy VPN-megoldást választja a távelérési megoldásként, mindig tartalmaz egy kiszolgálókészletet, amely lehetővé teszi a kapcsolatot a vállalati hálózaton belül.
A szervezetek általában kiszolgálóvégpontokat tartalmaznak a szegélyhálózatukban. A Microsoft Entra alkalmazásproxyval azonban a felhőbeli proxyszolgáltatáson keresztül áramlik a forgalom, miközben az összekötők a vállalati hálózaton találhatók. Nincs szükség szegélyhálózatra.
A következő szakaszok további javaslatokat tartalmaznak a késés további csökkentéséhez.
Összekötő elhelyezése
Az alkalmazásproxy a bérlői hely alapján választja ki a példányok helyét. Azonban eldöntheti, hogy hol telepítse az összekötőt, így meghatározhatja a hálózati forgalom késési jellemzőit.
Az alkalmazásproxy szolgáltatás beállításakor tegye fel a következő kérdéseket:
- Hol található az alkalmazás?
- Hol található a legtöbb felhasználó, aki hozzáfér az alkalmazáshoz?
- Hol található az alkalmazásproxy-példány?
- Már rendelkezik dedikált hálózati kapcsolattal a Microsoft adatközpontjaihoz, például az Azure ExpressRoute-hoz vagy egy hasonló VPN-hez?
Az összekötőnek kommunikálnia kell a Microsoft Entra-azonosítóval és az alkalmazásokkal. A 2. és a 3. lépés a forgalom folyamatábra kommunikációja. Az összekötő elhelyezése befolyásolja a két kapcsolat késését. Az összekötő elhelyezésének kiértékelésekor tartsa szem előtt ezeket a pontokat.
- Erősítse meg a "helysort" az összekötő és a Kerberos Korlátozott delegálás (KCD) adatközpontja között. Emellett az összekötő-kiszolgálónak tartományhoz kell csatlakoznia.
- Telepítse az összekötőt a lehető legközelebb az alkalmazáshoz.
Általános megközelítés a késés minimalizálásához
Az egyes hálózati kapcsolatok optimalizálásával minimalizálhatja a végpontok közötti forgalom késését.
- Csökkentse a komló két vége közötti távolságot.
- Válassza ki a megfelelő hálózatot a járáshoz. A privát hálózatok nyilvános internet helyett való bejárása például gyorsabb lehet a dedikált hivatkozások miatt.
Fontolja meg egy dedikált VPN- vagy ExpressRoute-kapcsolat használatát a Microsoft és a vállalati hálózat között.
Az optimalizálási stratégia összpontosítása
Keveset tehet a felhasználók és az alkalmazásproxy szolgáltatás közötti kapcsolat szabályozásához. A felhasználók egy otthoni hálózatról, egy kávézóból vagy egy másik régióból férnek hozzá az alkalmazásaihoz. Ehelyett optimalizálhatja az alkalmazásproxy szolgáltatás és a magánhálózati összekötők közötti kapcsolatokat az alkalmazásokhoz. Fontolja meg az alábbi minták beépítését a környezetbe.
1. minta: Az összekötő elhelyezése az alkalmazás közelében
Helyezze az összekötőt a célalkalmazáshoz közel az ügyfélhálózaton. Ez a konfiguráció minimalizálja a topográfiai diagram 3. lépését, mivel az összekötő és az alkalmazás közel van.
Ha az összekötőnek egy látóvonalra van szüksége a tartományvezérlőhöz, akkor ez a minta előnyös. A legtöbb ügyfelünk ezt a mintát használja, mert a legtöbb forgatókönyv esetében jól működik. Ez a minta a 2. mintával is kombinálható a szolgáltatás és az összekötő közötti forgalom optimalizálásához.
2. minta: Az ExpressRoute előnyeinek kihasználása Microsoft-társviszony-létesítéssel
Ha beállította az ExpressRoute-ot a Microsoft társviszony-létesítéssel, a gyorsabb ExpressRoute-kapcsolatot használhatja az alkalmazásproxy és az összekötő közötti forgalomhoz. Az összekötő továbbra is a hálózaton van, közel az alkalmazáshoz.
3. minta: Az ExpressRoute előnyeinek kihasználása privát társviszony-létesítéssel
Ha dedikált VPN-t vagy ExpressRoute-t állított be privát társviszony-létesítéssel az Azure és a vállalati hálózat között, másik lehetőség áll rendelkezésére. Ebben a konfigurációban az Azure-beli virtuális hálózatot általában a vállalati hálózat kiterjesztéseként tekintik. Így telepítheti az összekötőt az Azure-adatközpontban, és továbbra is megfelelhet az összekötő–alkalmazás kapcsolat alacsony késési követelményeinek.
A késés nem sérül, mert a forgalom egy dedikált kapcsolaton halad keresztül. Emellett továbbfejlesztett alkalmazásproxy szolgáltatás–összekötő késést is kaphat, mivel az összekötő a Microsoft Entra-bérlő helyéhez közeli Azure-adatközpontban van telepítve.
Egyéb megközelítések
Bár a cikk középpontjában az összekötő elhelyezése áll, az alkalmazás elhelyezését is módosíthatja, hogy jobb késési jellemzőket kapjon.
A szervezetek egyre inkább üzemeltetett környezetekbe helyezik át hálózataikat. Az áthelyezés lehetővé teszi számukra, hogy alkalmazásaikat a vállalati hálózatuk részét képező üzemeltetett környezetben helyezzék el, és továbbra is a tartományon belül legyenek. Ebben az esetben az előző szakaszokban tárgyalt minták alkalmazhatók az új alkalmazás helyére. Ha ezt a lehetőséget fontolgatja, tekintse meg a Microsoft Entra Domain Services szolgáltatást.
Emellett fontolja meg az összekötők rendszerezését összekötőcsoportok használatával a különböző helyeken és hálózatokon található alkalmazások célként való megcélzásához.
Diagramok gyakori használati esetekhez
Ebben a szakaszban bemutatunk néhány gyakori forgatókönyvet. Tegyük fel, hogy a Microsoft Entra-bérlő (és így a proxyszolgáltatás végpontja) a Egyesült Államok (USA) területén található. Az ezekben a használati esetekben tárgyalt szempontok a világ más régióira is érvényesek.
Ezekben a forgatókönyvekben minden kapcsolatot "ugrásnak" hívunk, és számba vesszük őket a könnyebb vita érdekében:
- 1. ugrás: Felhasználó az alkalmazásproxy szolgáltatáshoz
- 2. ugrás: alkalmazásproxy szolgáltatás a magánhálózati összekötőhöz
- 3. ugrás: privát hálózati összekötő a célalkalmazáshoz
Használati eset 1
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban, és a felhasználók ugyanabban a régióban találhatóak. Az Azure-adatközpont és a vállalati hálózat között nem létezik ExpressRoute vagy VPN.
Javaslat: Kövesse az előző szakaszban ismertetett 1. mintát. A nagyobb késés érdekében szükség esetén fontolja meg az ExpressRoute használatát.
Optimalizálja a 3. ugrást úgy, hogy az összekötőt az alkalmazás közelében helyezi el. Az összekötő általában az alkalmazás és az adatközpont látóvonalával van telepítve a KCD-műveletek végrehajtásához.
Használati eset 2
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban, és a felhasználók globálisan elterjedtek. Az Azure-adatközpont és a vállalati hálózat között nem létezik ExpressRoute vagy VPN.
Javaslat: Kövesse az előző szakaszban ismertetett 1. mintát.
A gyakori minta a 3. ugrás optimalizálása, ahol az összekötőt az alkalmazás közelében helyezi el. A 3. ugrás általában nem költséges, ha mind ugyanabban a régióban található. Az 1. ugrás azonban drágább lehet attól függően, hogy hol van a felhasználó, mivel a világ minden részén a felhasználóknak hozzá kell férniük az alkalmazásproxy-példányhoz az USA-ban. Érdemes megjegyezni, hogy minden proxymegoldás hasonló jellemzőkkel rendelkezik a felhasználók globális terjesztésére vonatkozóan.
Használati eset 3
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban. Az ExpressRoute és a Microsoft közötti társviszony-létesítés az Azure és a vállalati hálózat között létezik.
Javaslat: Kövesse az előző szakaszban ismertetett 1. és 2. mintát.
Először helyezze az összekötőt a lehető legközelebb az alkalmazáshoz. Ezután a rendszer automatikusan az ExpressRoute-ot használja a 2. ugráshoz.
Ha az ExpressRoute-kapcsolat Microsoft-társviszony-létesítést használ, a proxy és az összekötő közötti forgalom ezen a kapcsolaton halad át. A 2. ugrás optimális késést használ.
Használati eset 4
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található az USA-ban. A privát társviszony-létesítéssel rendelkező ExpressRoute az Azure és a vállalati hálózat között létezik.
Javaslat: Kövesse az előző szakaszban ismertetett 3. mintát.
Helyezze az összekötőt a vállalati hálózathoz csatlakoztatott Azure-adatközpontba az ExpressRoute privát társviszony-létesítésen keresztül.
Az összekötő elhelyezhető az Azure-adatközpontban. Mivel az összekötő továbbra is látható az alkalmazás és az adatközpont számára a magánhálózaton keresztül, a 3. ugrás továbbra is optimalizálva marad. Emellett a 2. ugrás tovább van optimalizálva.
Használati eset 5
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található Európában, az alapértelmezett bérlői régió az USA, és a felhasználók többsége Európában.
Javaslat: Helyezze az összekötőt az alkalmazás közelébe. Frissítse az összekötőcsoportot az Európa alkalmazásproxy szolgáltatáspéldányainak használatára. A lépésekért lásd: Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára.
Mivel az európai felhasználók olyan alkalmazásproxy-példányhoz férnek hozzá, amely történetesen ugyanabban a régióban található, az 1. ugrás nem költséges. A 3. ugrás optimalizálva van. Fontolja meg az ExpressRoute használatát a 2. ugrás optimalizálásához.
Használati eset 6
Forgatókönyv: Az alkalmazás egy szervezet hálózatában található Európában, az alapértelmezett bérlői régió az USA, a felhasználók többsége az USA-ban.
Javaslat: Helyezze az összekötőt az alkalmazás közelébe. Frissítse az összekötőcsoportot az Európa alkalmazásproxy szolgáltatáspéldányainak használatára. A lépésekért lásd: Összekötőcsoportok optimalizálása a legközelebbi alkalmazásproxy felhőszolgáltatás használatára. Az 1. ugrás drágább lehet, mivel minden amerikai felhasználónak hozzá kell férnie az alkalmazásproxy-példányhoz Európában.
Ebben a helyzetben egy másik változatot is használhat. Ha a szervezet legtöbb felhasználója az USA-ban van, akkor valószínű, hogy a hálózat az USA-ra is kiterjed. Helyezze az összekötőt az USA-ba, használja továbbra is az alapértelmezett USA-régiót az összekötőcsoportokhoz, és használja a dedikált belső vállalati hálózati vonalat az alkalmazáshoz Európában. Így a 2. és a 3. ugrás optimalizálva van.