Memahami grup konektor jaringan privat Microsoft Entra
Gunakan grup konektor jaringan privat untuk menetapkan konektor tertentu ke aplikasi tertentu. Grup konektor memberi Anda lebih banyak kontrol dan memungkinkan Anda mengoptimalkan penyebaran Anda.
Setiap konektor jaringan privat ditetapkan ke grup konektor. Semua konektor yang termasuk dalam grup konektor yang sama bertindak sebagai unit terpisah untuk ketersediaan tinggi dan keseimbangan beban. Semua konektor termasuk dalam grup konektor. Jika Anda tidak membuat grup, semua konektor Anda berada dalam grup default. Anda membuat grup konektor baru dan menetapkan konektor di pusat admin Microsoft Entra.
Grup konektor berguna jika aplikasi Anda dihosting di lokasi yang berbeda. Anda membuat grup konektor berdasarkan lokasi. Aplikasi menggunakan konektor yang secara fisik dekat dengannya.
Tip
Jika Anda memiliki penyebaran proksi aplikasi besar, jangan tetapkan aplikasi apa pun ke grup konektor default. Dengan demikian, konektor baru tidak menerima lalu lintas langsung hingga Anda menetapkannya ke grup konektor aktif. Konfigurasi ini juga memungkinkan Anda untuk menempatkan konektor dalam mode idle dengan memindahkannya kembali ke grup default, sehingga Anda dapat melakukan pemeliharaan tanpa memengaruhi pengguna Anda.
Prasyarat
Anda harus memiliki beberapa konektor untuk menggunakan grup konektor. Konektor baru secara otomatis ditambahkan ke grup konektor Default . Untuk informasi selengkapnya tentang menginstal konektor, lihat mengonfigurasi connectorsD.
Menetapkan aplikasi ke grup konektor Anda
Anda menetapkan aplikasi ke grup konektor saat pertama kali menerbitkannya. Anda juga dapat memperbarui grup yang ditetapkan konektor.
Menggunakan kasus untuk grup konektor
Grup konektor berguna untuk berbagai skenario, termasuk:
Situs dengan beberapa pusat data yang saling terhubung
Organisasi besar menggunakan beberapa pusat data. Anda ingin menyimpan lalu lintas sebanyak mungkin dalam pusat data tertentu karena tautan pusat data silang mahal dan lambat. Anda menyebarkan konektor di setiap pusat data untuk hanya melayani aplikasi yang berada di dalam pusat data. Pendekatan ini meminimalkan tautan lintas pusat data dan memberikan pengalaman yang sepenuhnya transparan kepada pengguna Anda.
Aplikasi yang dipasang pada jaringan terisolasi
Aplikasi dapat dihosting di jaringan yang bukan bagian dari jaringan perusahaan utama. Anda dapat menggunakan grup konektor untuk memasang konektor khusus pada jaringan terisolasi untuk juga mengisolasi aplikasi ke jaringan. Skenario ini umum untuk vendor yang mempertahankan aplikasi tertentu.
Aplikasi yang diinstal pada Infrastruktur sebagai Layanan (IaaS)
Untuk aplikasi yang diinstal pada Infrastructure as a Service (IaaS) untuk akses cloud, grup konektor menyediakan layanan umum untuk mengamankan akses ke semua aplikasi. Grup konektor tidak membuat lebih banyak dependensi di jaringan perusahaan Anda, atau memisahkan pengalaman aplikasi. Konektor dipasang di setiap pusat data cloud dan hanya melayani aplikasi yang berada di jaringan tersebut. Anda menginstal beberapa konektor untuk mencapai ketersediaan tinggi.
Ambil contoh organisasi yang memiliki beberapa komputer virtual yang tersambung ke jaringan virtual yang dihosting infrastruktur sebagai layanan mereka sendiri. Untuk memungkinkan karyawan menggunakan aplikasi ini, jaringan privat ini terhubung ke jaringan perusahaan menggunakan Virtual Private Network (VPN) situs-ke-situs. VPN situs-ke-situs memberikan pengalaman yang baik bagi karyawan yang berada di tempat. Namun, ini tidak ideal untuk karyawan jarak jauh, karena membutuhkan lebih banyak infrastruktur lokal untuk merutekan akses, seperti yang diilustrasikan dalam diagram:
Dengan grup konektor jaringan privat Microsoft Entra, Anda mengaktifkan layanan umum untuk mengamankan akses ke semua aplikasi tanpa membuat lebih banyak dependensi di jaringan perusahaan Anda:
Multi-forest - kelompok konektor yang berbeda untuk setiap forest
Akses menyeluruh umumnya dicapai menggunakan Kerberos Constrained Delegation (KCD). Komputer konektor digabungkan ke domain yang dapat mendelegasikan pengguna ke aplikasi. KCD mendukung kemampuan lintas forest. Tetapi bagi perusahaan yang memiliki lingkungan multi-forest yang berbeda tanpa kepercayaan di antara mereka, satu konektor tidak dapat digunakan untuk semua hutan. Sebagai gantinya, konektor tertentu disebarkan per forest, dan diatur untuk melayani aplikasi yang diterbitkan untuk hanya melayani pengguna forest tertentu tersebut. Setiap kelompok konektor mewakili forest yang berbeda. Meskipun penyewa dan sebagian besar pengalaman disatukan untuk semua forest, pengguna dapat ditetapkan ke aplikasi forest mereka menggunakan grup Microsoft Entra.
Situs Pemulihan Bencana
Ada dua pendekatan yang perlu dipertimbangkan untuk situs pemulihan bencana (DR):
- Situs DR Anda dibangun dalam mode aktif-aktif di mana situs tersebut persis seperti situs utama. Situs ini juga memiliki pengaturan jaringan dan Direktori Aktif (AD) yang sama. Anda dapat membuat konektor di situs DR di grup konektor yang sama dengan situs utama. MICROSOFT Entra ID mendeteksi failover untuk Anda.
- Situs DR Anda terpisah dari situs utama. Anda membuat grup konektor yang berbeda di situs DR. Anda memiliki aplikasi cadangan, atau mengalihkan aplikasi yang ada secara manual ke grup konektor DR sesuai kebutuhan.
Melayani beberapa perusahaan dari satu tenant
Anda dapat menerapkan model di mana satu penyedia layanan menyebarkan dan memelihara layanan terkait Microsoft Entra untuk beberapa perusahaan. Grup konektor membantu Anda memisahkan konektor dan aplikasi ke dalam grup yang berbeda. Salah satu cara, yang cocok untuk perusahaan kecil, adalah memiliki satu penyewa Microsoft Entra sementara perusahaan yang berbeda memiliki nama domain dan jaringan mereka sendiri. Pendekatan yang sama berfungsi untuk skenario dan situasi penggabungan di mana satu divisi melayani beberapa perusahaan karena alasan peraturan atau bisnis.
Sampel konfigurasi
Pertimbangkan contoh konfigurasi grup konektor ini.
Konfigurasi default – tidak ada gunanya untuk grup konektor
Jika Anda tidak menggunakan grup konektor, konfigurasi Anda akan terlihat seperti ini:
Konfigurasi ini cukup untuk penyebaran dan pengujian kecil. Ini juga berfungsi jika organisasi Anda memiliki topologi jaringan datar.
Konfigurasi default dan jaringan yang terisolasi
Konfigurasi adalah evolusi default, aplikasi tertentu berjalan di jaringan terisolasi seperti jaringan virtual IaaS:
Konfigurasi yang disarankan – beberapa grup tertentu dan grup default untuk idle
Konfigurasi yang direkomendasikan untuk organisasi besar dan kompleks adalah memiliki grup konektor default sebagai grup yang tidak melayani aplikasi apa pun dan digunakan untuk konektor idle atau baru dipasang. Semua aplikasi dilayani menggunakan grup konektor yang disesuaikan.
Dalam contoh, perusahaan memiliki dua pusat data, A, dan B, dengan dua konektor yang melayani setiap situs. Setiap situs memiliki aplikasi berbeda yang berjalan di atasnya.