Mengoptimalkan arus lalu lintas dengan proksi aplikasi Microsoft Entra
Pelajari cara mengoptimalkan arus lalu lintas dan pertimbangan topologi jaringan saat menggunakan proksi aplikasi Microsoft Entra.
Arus lalu lintas
Saat aplikasi diterbitkan melalui proksi aplikasi Microsoft Entra, lalu lintas dari pengguna ke aplikasi mengalir melalui tiga koneksi:
- Pengguna tersambung ke titik akhir publik layanan proksi aplikasi Microsoft Entra di Azure
- Konektor jaringan privat terhubung ke layanan proksi aplikasi (keluar)
- Konektor jaringan privat terhubung ke aplikasi target
Mengoptimalkan grup konektor untuk menggunakan layanan cloud proksi aplikasi terdekat
Saat Anda mendaftar untuk penyewa Microsoft Entra, wilayah penyewa Anda diatur dengan wilayah yang Anda pilih. Instans layanan cloud proksi aplikasi default menggunakan wilayah yang sama, atau terdekat dengan penyewa Microsoft Entra Anda.
Misalnya, jika wilayah penyewa Microsoft Entra Anda adalah Inggris Raya, semua konektor jaringan privat Anda secara default ditetapkan untuk menggunakan instans layanan di pusat data Eropa. Saat pengguna Anda mengakses aplikasi yang diterbitkan, lalu lintas mereka melewati instans layanan cloud proksi aplikasi di lokasi ini.
Jika Anda memiliki konektor yang diinstal di wilayah yang berbeda dari wilayah default Anda, sebaiknya ubah wilayah mana yang dioptimalkan grup konektor Anda untuk meningkatkan performa mengakses aplikasi ini. Setelah wilayah ditentukan untuk grup konektor, wilayah tersebut terhubung ke layanan cloud proksi aplikasi di wilayah yang ditunjuk.
Untuk mengoptimalkan arus lalu lintas dan mengurangi latensi ke grup konektor, tetapkan grup konektor ke wilayah terdekat. Cara menetapkan wilayah:
Penting
Konektor harus menggunakan setidaknya versi 1.5.1975.0 untuk menggunakan kemampuan ini.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.
Pilih nama pengguna Anda di sudut kanan atas. Verifikasi bahwa Anda masuk ke direktori yang menggunakan proksi aplikasi. Jika Anda perlu mengubah direktori, pilih Beralih direktori dan pilih direktori yang menggunakan proksi aplikasi.
Telusuri ke proksi Aplikasi>Perusahaan Aplikasi Aplikasi Identity>Applications.>
Pilih Grup Konektor Baru dan berikan Nama untuk grup konektor.
Di bawah Pengaturan Tingkat Lanjut, pilih menu drop-down di bawah Optimalkan untuk wilayah tertentu dan pilih wilayah yang paling dekat dengan konektor lalu pilih Simpan.
Pilih konektor yang akan ditetapkan ke grup konektor.
Anda hanya dapat memindahkan konektor ke grup konektor jika konektor tersebut berada dalam grup konektor yang menggunakan wilayah default. Mulailah dengan konektor di grup konektor default . Kemudian pindahkan ke grup konektor yang sesuai.
Anda hanya dapat mengubah wilayah grup konektor jika tidak ada konektor atau aplikasi yang ditetapkan ke wilayah grup konektor tersebut.
Tetapkan grup konektor ke aplikasi Anda. Lalu lintas masuk ke layanan cloud proksi aplikasi di wilayah grup konektor yang dioptimalkan.
Pertimbangan untuk mengurangi latensi
Semua solusi proksi memasukkan latensi ke koneksi jaringan Anda. Apa pun solusi proksi atau VPN yang Anda pilih sebagai solusi akses jarak jauh, solusi ini selalu menyertakan serangkaian server yang memungkinkan koneksi ke dalam jaringan perusahaan Anda.
Organisasi biasanya menyertakan titik akhir server di jaringan perimeter mereka. Namun, dengan proksi aplikasi Microsoft Entra, lalu lintas mengalir melalui layanan proksi di cloud saat konektor berada di jaringan perusahaan Anda. Tidak diperlukan jaringan perimeter.
Bagian berikutnya berisi lebih banyak saran untuk membantu Anda mengurangi latensi lebih lanjut.
Penempatan konektor
Proksi aplikasi memilih lokasi instans untuk Anda, berdasarkan lokasi penyewa Anda. Namun, Anda harus memutuskan di mana Anda akan menginstal konektor, yang memberi Anda kekuatan untuk menentukan karakteristik latensi lalu lintas jaringan Anda.
Saat menyiapkan layanan proksi aplikasi, ajukan pertanyaan berikut:
- Di mana lokasi aplikasi?
- Di manakah lokasi sebagian besar pengguna yang mengakses aplikasi?
- Di mana instans proksi aplikasi berada?
- Apakah Anda sudah menyiapkan koneksi jaringan khusus ke pusat data Microsoft, seperti Azure ExpressRoute atau VPN serupa?
Konektor harus berkomunikasi dengan ID Microsoft Entra dan aplikasi Anda. Langkah 2 dan 3 mewakili komunikasi dalam diagram arus lalu lintas. Penempatan konektor memengaruhi latensi kedua koneksi tersebut. Saat mengevaluasi penempatan konektor, ingatlah poin-poin ini.
- Konfirmasi "baris situs" antara konektor dan pusat data untuk Delegasi Yang Dibatasi Kerberos (KCD). Selain itu, server konektor harus bergabung dengan domain.
- Instal konektor sedekat mungkin dengan aplikasi.
Pendekatan umum untuk meminimalkan latensi
Minimalkan latensi lalu lintas end-to-end dengan mengoptimalkan setiap koneksi jaringan.
- Kurangi jarak antara dua ujung hop.
- Pilih jaringan yang tepat untuk dilalui. Misalnya, melintasi jaringan privat daripada internet publik bisa lebih cepat, karena tautan khusus.
Pertimbangkan untuk menggunakan tautan VPN atau ExpressRoute khusus antara Microsoft dan jaringan perusahaan Anda.
Memfokuskan strategi pengoptimalan
Ada sedikit yang dapat Anda lakukan untuk mengontrol koneksi antara pengguna Anda dan layanan proksi aplikasi. Pengguna mengakses aplikasi Anda dari jaringan rumah, kedai kopi, atau wilayah lain. Sebagai gantinya, Anda dapat mengoptimalkan koneksi dari layanan proksi aplikasi ke konektor jaringan privat ke aplikasi. Pertimbangkan untuk memasukkan pola berikut di lingkungan Anda.
Pola 1: Dekatkan konektor ke aplikasi
Tempatkan konektor dekat dengan aplikasi target di jaringan pelanggan. Konfigurasi ini akan meminimalkan langkah 3 pada diagram topografi, karena konektor dan aplikasi berdekatan.
Jika konektor Anda memerlukan garis pandang ke pengendali domain, maka pola ini menguntungkan. Sebagian besar pelanggan kami menggunakan pola ini, karena pola ini berfungsi dengan baik untuk sebagian besar skenario. Pola ini juga dapat dikombinasikan dengan pola 2 untuk mengoptimalkan lalu lintas antara layanan dan konektor.
Pola 2: Manfaatkan ExpressRoute dengan peering Microsoft
Jika Anda telah menyiapkan ExpressRoute dengan peering Microsoft, Anda dapat menggunakan koneksi ExpressRoute yang lebih cepat untuk lalu lintas antara proksi aplikasi dan konektor. Konektor masih di jaringan Anda, di dekat dengan aplikasi.
Pola 3: Manfaatkan ExpressRoute dengan peering Microsoft
Anda memiliki opsi lain jika Anda memiliki VPN atau ExpressRoute khusus yang diatur dengan peering privat antara Azure dan jaringan perusahaan Anda. Dalam konfigurasi ini, jaringan virtual di Azure biasanya dianggap sebagai perpanjangan dari jaringan perusahaan. Jadi Anda dapat menginstal konektor di pusat data Azure dan masih memenuhi persyaratan latensi rendah koneksi dari konektor-ke-aplikasi.
Latensi tidak disusupi karena lalu lintas mengalir melalui koneksi khusus. Anda juga mendapatkan latensi layanan ke konektor proksi aplikasi yang ditingkatkan karena konektor diinstal di pusat data Azure yang dekat dengan lokasi penyewa Microsoft Entra Anda.
Pendekatan lain
Meskipun fokus artikel ini adalah penempatan konektor, Anda juga dapat mengubah penempatan aplikasi untuk mendapatkan karakteristik latensi yang lebih baik.
Semakin banyak organisasi yang memindahkan jaringan mereka ke lingkungan yang dihosting. Pemindahan ini memungkinkan mereka menempatkan aplikasi mereka di lingkungan yang dihosting yang juga merupakan bagian dari jaringan perusahaan mereka, dan masih berada dalam domain. Dalam hal ini, pola yang dibahas di bagian sebelumnya dapat diterapkan ke lokasi aplikasi baru. Jika Anda mempertimbangkan opsi ini, lihat Microsoft Entra Domain Services.
Selain itu, pertimbangkan untuk mengatur konektor Anda menggunakan grup konektor untuk menargetkan aplikasi yang berada di lokasi dan jaringan yang berbeda.
Diagram untuk kasus penggunaan umum
Di bagian ini, kami akan membahas beberapa skenario umum. Asumsikan bahwa penyewa Microsoft Entra (dan oleh karena itu titik akhir layanan proksi) terletak di Amerika Serikat (AS). Pertimbangan yang dibahas dalam kasus penggunaan ini juga berlaku untuk wilayah lain di seluruh dunia.
Untuk skenario ini, kami menyebut setiap koneksi sebagai "hop" dan menomori mereka untuk diskusi yang lebih mudah:
- Hop 1: Pengguna ke layanan proksi aplikasi
- Hop 2: layanan proksi aplikasi ke konektor jaringan privat
- Hop 3: konektor jaringan privat ke aplikasi target
Kasus penggunaan 1
Skenario: Aplikasi ini berada di jaringan organisasi di AS dengan pengguna di wilayah yang sama. Tidak ada ExpressRoute atau VPN antara pusat data Azure dan jaringan perusahaan.
Rekomendasi: Ikuti pola 1 yang sudah dijelaskan di bagian sebelumnya. Untuk peningkatan latensi, pertimbangkan untuk menggunakan ExpressRoute, jika diperlukan.
Optimalkan hop 3 dengan menempatkan konektor di dekat aplikasi. Konektor biasanya diinstal dengan garis pandang ke aplikasi dan ke pusat data untuk melakukan operasi KCD.
Kasus penggunaan 2
Skenario: Aplikasi ini berada dalam jaringan organisasi di AS dengan pengguna yang tersebar secara global. Tidak ada ExpressRoute atau VPN antara pusat data Azure dan jaringan perusahaan.
Rekomendasi: Ikuti pola 1 yang sudah dijelaskan di bagian sebelumnya.
Sekali lagi, pola umum adalah untuk mengoptimalkan hop 3, tempat Anda meletakkan konektor di dekat aplikasi. Hop 3 biasanya tidak mahal, jika semuanya berada dalam wilayah yang sama. Namun, hop 1 bisa lebih mahal tergantung di mana pengguna berada, karena pengguna di seluruh dunia harus mengakses instans proksi aplikasi di AS. Perlu dicatat bahwa solusi proksi apa pun akan memiliki karakteristik yang serupa sehubungan dengan pengguna yang tersebar secara global.
Kasus penggunaan 3
Skenario: Aplikasi berada dalam jaringan organisasi di AS. ExpressRoute dengan peering Microsoft ada di antara Azure dan jaringan perusahaan.
Rekomendasi: Ikuti pola 1 dan 2 yang sudah dijelaskan di bagian sebelumnya.
Pertama, letakkan konektor sedekat mungkin dengan aplikasi. Kemudian, sistem secara otomatis akan menggunakan ExpressRoute untuk hop 2.
Jika tautan ExpressRoute menggunakan peering Microsoft, lalu lintas antara proksi dan konektor akan mengalir melalui tautan tersebut. Hop 2 menggunakan latensi optimal.
Kasus penggunaan 4
Skenario: Aplikasi berada dalam jaringan organisasi di AS. ExpressRoute dengan peering privat ada di antara Azure dan jaringan perusahaan.
Rekomendasi: Ikuti pola 3 yang sudah dijelaskan di bagian sebelumnya.
Tempatkan konektor di pusat data Azure yang terhubung ke jaringan perusahaan melalui peering privat ExpressRoute.
Konektor dapat ditempatkan di pusat data Azure. Karena konektor masih memiliki garis pandang ke aplikasi dan pusat data melalui jaringan privat, hop 3 tetap akan dioptimalkan. Selain itu, hop 2 akan lebih dioptimalkan.
Kasus penggunaan 5
Skenario: Aplikasi ini berada di jaringan organisasi di Eropa, wilayah penyewa default adalah AS, dengan sebagian besar pengguna di Eropa.
Rekomendasi: Tempatkan konektor di dekat aplikasi. Perbarui grup konektor untuk menggunakan instans layanan proksi aplikasi Eropa. Untuk langkah-langkahnya, lihat Mengoptimalkan grup konektor untuk menggunakan layanan cloud proksi aplikasi terdekat.
Karena pengguna Eropa mengakses instans proksi aplikasi yang kebetulan berada di wilayah yang sama, hop 1 tidak mahal. Hop 3 dioptimalkan. Pertimbangkan untuk menggunakan ExpressRoute untuk mengoptimalkan hop 2.
Kasus penggunaan 6
Skenario: Aplikasi ini berada di jaringan organisasi di Eropa, wilayah penyewa default adalah AS, dengan sebagian besar pengguna di AS.
Rekomendasi: Tempatkan konektor di dekat aplikasi. Perbarui grup konektor untuk menggunakan instans layanan proksi aplikasi Eropa. Untuk langkah-langkahnya, lihat Mengoptimalkan grup konektor untuk menggunakan layanan cloud proksi aplikasi terdekat. Hop 1 bisa lebih mahal karena semua pengguna AS harus mengakses instans proksi aplikasi di Eropa.
Anda juga dapat mempertimbangkan untuk menggunakan satu varian lain dalam situasi ini. Jika sebagian besar pengguna dalam organisasi berada di AS, kemungkinan besar jaringan Anda juga meluas ke AS. Tempatkan konektor di AS, terus gunakan wilayah AS default untuk grup konektor Anda, dan gunakan jalur jaringan korporat internal khusus untuk aplikasi di Eropa. Dengan cara ini hop 2 dan 3 akan dioptimalkan.