Omówienie łącznika sieci prywatnej firmy Microsoft Entra

Połączenie or to, co umożliwia Dostęp Prywatny Microsoft Entra i serwer proxy aplikacji. Są one proste, łatwe do wdrożenia i konserwacji oraz bardzo wydajne. W tym artykule omówiono łączniki, sposób ich działania oraz sugestie dotyczące optymalizowania wdrożenia.

Co to jest łącznik sieci prywatnej?

Połączenie or są lekkimi agentami, którzy znajdują się w sieci prywatnej i ułatwiają połączenie wychodzące z usługami Dostęp Prywatny Microsoft Entra i serwerem proxy aplikacji. Połączenie or muszą być zainstalowane w systemie Windows Server, który ma dostęp do zasobów zaplecza. Łączniki można organizować w grupy łączników, a każda grupa obsługuje ruch do określonych zasobów. Aby uzyskać więcej informacji na temat serwera proxy aplikacji i diagramowej reprezentacji architektury serwera proxy aplikacji, zobacz Using Microsoft Entra application proxy to publish on-premises apps for remote users (Używanie serwera proxy aplikacji Firmy Microsoft Entra do publikowania aplikacji lokalnych dla użytkowników zdalnych).

Aby dowiedzieć się, jak skonfigurować łącznik sieci prywatnej firmy Microsoft Entra, zobacz Jak skonfigurować łączniki sieci prywatnej na potrzeby Dostęp Prywatny Microsoft Entra.

Łączniki sieci prywatnej to uproszczone agenty wdrożone lokalnie, które ułatwiają połączenie wychodzące z usługą serwera proxy aplikacji w chmurze. Łączniki muszą być zainstalowane w systemie Windows Server, który ma dostęp do aplikacji zaplecza. Użytkownicy łączą się z usługą w chmurze serwera proxy aplikacji, która kieruje ruch do aplikacji za pośrednictwem łączników.

Konfiguracja i rejestracja między łącznikiem a usługą serwera proxy aplikacji odbywa się w następujący sposób:

1. Administrator IT otwiera porty 80 i 443 do ruchu wychodzącego i umożliwia dostęp do kilku adresów URL wymaganych przez łącznik, usługę serwera proxy aplikacji i identyfikator Microsoft Entra.
2. Administrator loguje się do centrum administracyjnego firmy Microsoft Entra i uruchamia plik wykonywalny w celu zainstalowania łącznika na lokalnym serwerze z systemem Windows.
3. Łącznik zaczyna "nasłuchiwać" usługi serwera proxy aplikacji.
4. Administrator dodaje aplikację lokalną do identyfikatora Entra firmy Microsoft i konfiguruje ustawienia, takie jak adresy URL, które użytkownicy muszą łączyć się z aplikacjami.

Zaleca się, aby zawsze wdrażać wiele łączników na potrzeby nadmiarowości i skalowania. Łączniki, w połączeniu z usługą, dbają o wszystkie zadania o wysokiej dostępności i można je dynamicznie dodawać lub usuwać. Za każdym razem, gdy pojawia się nowe żądanie, jest kierowane do jednego z dostępnych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch. Nieużywane łączniki są oznaczane jako nieaktywne i usuwane po 10 dniach braku aktywności.

Połączenie ors sonduj również serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Chociaż można przeprowadzić ręczną aktualizację, łączniki będą aktualizowane automatycznie, o ile usługa updater łącznika sieci prywatnej jest uruchomiona. W przypadku dzierżaw z wieloma łącznikami automatyczne aktualizacje są przeznaczone dla jednego łącznika jednocześnie w każdej grupie, aby zapobiec przestojom w środowisku.

Uwaga

Możesz monitorować stronę historii wersji, aby być na bieżąco z najnowszymi aktualizacjami.

Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Połączenie ory w tej samej grupie łączników działają jako pojedyncza jednostka w celu zapewnienia wysokiej dostępności i równoważenia obciążenia. Możesz tworzyć nowe grupy, przypisywać do nich łączniki w centrum administracyjnym firmy Microsoft Entra, a następnie przypisywać określone łączniki do obsługi określonych aplikacji. Zaleca się posiadanie co najmniej dwóch łączników w każdej grupie łączników w celu zapewnienia wysokiej dostępności.

grupy Połączenie or są przydatne, gdy musisz obsługiwać następujące scenariusze:

• Publikowanie aplikacji geograficznych
• Segmentacja/izolacja aplikacji
• Publikowanie aplikacji internetowych działających w chmurze lub lokalnie

Aby uzyskać więcej informacji na temat wybierania miejsca instalowania łączników i optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Konserwacja

Łączniki i usługa zajmują się wszystkimi zadaniami wysokiej dostępności. Można je dynamicznie dodawać lub usuwać. Nowe żądania są kierowane do jednego z dostępnych łączników. Jeśli łącznik jest tymczasowo niedostępny, nie odpowiada na ten ruch.

Łączniki są bezstanowe i nie mają żadnych danych konfiguracyjnych na maszynie. Jedynymi przechowywanymi danymi są ustawienia łączenia usługi i certyfikatu uwierzytelniania. Po nawiązaniu połączenia z usługą pobierają wszystkie wymagane dane konfiguracji i odświeżają je co kilka minut.

Połączenie ors również sondować serwer, aby dowiedzieć się, czy istnieje nowsza wersja łącznika. Jeśli zostanie znaleziony, łączniki są aktualizowane samodzielnie.

Łączniki można monitorować z maszyny, na której są uruchomione, przy użyciu dziennika zdarzeń i liczników wydajności. Aby uzyskać więcej informacji, zobacz Monitorowanie i przeglądanie dzienników dla lokalnej firmy Microsoft Entra.

Możesz również wyświetlić ich stan w centrum administracyjnym firmy Microsoft Entra. W przypadku Dostęp Prywatny Microsoft Entra przejdź do pozycji Globalny bezpieczny dostęp (wersja zapoznawcza), Połączenie i wybierz pozycję Połączenie ors. W przypadku serwera proxy aplikacji przejdź do pozycji Tożsamość, Aplikacje, Aplikacje dla przedsiębiorstw i wybierz aplikację. Na stronie aplikacji wybierz pozycję Serwer proxy aplikacji.

Nie trzeba ręcznie usuwać nieużywanych łączników. Gdy łącznik jest uruchomiony, pozostaje aktywny podczas nawiązywania połączenia z usługą. Nieużywane łączniki są oznaczane jako _inactive_ i usuwane po 10 dniach braku aktywności. Jeśli jednak chcesz odinstalować łącznik, odinstaluj zarówno usługę Połączenie or, jak i usługę Aktualizator z serwera. Uruchom ponownie komputer, aby całkowicie usunąć usługę.

Automatyczne aktualizacje

Identyfikator Entra firmy Microsoft udostępnia aktualizacje automatyczne dla wszystkich wdrożonych łączników. Jeśli usługa aktualizatora łącznika sieci prywatnej jest uruchomiona, łączniki są aktualizowane automatycznie przy użyciu najnowszej wersji głównego łącznika. Jeśli na serwerze nie widzisz usługi aktualizatora Połączenie or, musisz ponownie zainstalować łącznik, aby uzyskać aktualizacje.

Jeśli nie chcesz czekać na przejście automatycznej aktualizacji do łącznika, możesz wykonać uaktualnienie ręczne. Przejdź do strony pobierania łącznika na serwerze, na którym znajduje się łącznik, i wybierz pozycję Pobierz. Ten proces rozpoczyna uaktualnianie łącznika lokalnego.

W przypadku dzierżaw z wieloma łącznikami automatyczne aktualizacje są przeznaczone dla jednego łącznika jednocześnie w każdej grupie, aby zapobiec przestojom w środowisku.

Podczas aktualizacji łącznika może wystąpić przestój, jeśli:

• Masz tylko jeden łącznik. Drugi łącznik i grupa łączników są zalecane, aby uniknąć przestojów i zapewnić wyższą dostępność.
• Łącznik znajdował się w środku transakcji, kiedy rozpoczęła się aktualizacja. Mimo że początkowa transakcja zostanie utracona, przeglądarka powinna automatycznie ponowić próbę wykonania operacji lub odświeżyć stronę. Po ponownym wysłaniu żądania ruch jest kierowany do łącznika kopii zapasowej.

Aby wyświetlić informacje o poprzednich wersjach i zmianach, które zawierają, zobacz Application proxy- Version Release History (Historia wersji serwera proxy aplikacji— historia wersji).

Tworzenie grup łączników

grupy Połączenie or umożliwiają przypisywanie określonych łączników do obsługi określonych aplikacji. Można grupować wiele łączników razem, a następnie przypisywać każdy zasób lub aplikację do grupy.

grupy Połączenie or ułatwiają zarządzanie dużymi wdrożeniami. Zwiększają one również opóźnienia dzierżaw, które mają zasoby i aplikacje hostowane w różnych regionach, ponieważ można utworzyć grupy łączników oparte na lokalizacji w celu obsługi tylko aplikacji lokalnych.

Aby dowiedzieć się więcej o grupach łączników, zobacz Omówienie grup łączników sieci prywatnej firmy Microsoft Entra.

Planowanie zdolności produkcyjnych

Zaplanuj wystarczającą pojemność między łącznikami, aby obsłużyć oczekiwany ruch. Co najmniej dwa łączniki w grupie łączników zapewniają wysoką dostępność i skalę. Jednak trzy łączniki są optymalne.

Tabela zawiera wolumin i oczekiwane opóźnienie dla różnych specyfikacji maszyn. Dane są oparte na oczekiwanych transakcjach na sekundę (TPS), a nie na podstawie użytkownika, ponieważ wzorce użycia różnią się i nie mogą być używane do przewidywania obciążenia. Istnieją pewne różnice w zależności od rozmiaru odpowiedzi i czasu odpowiedzi aplikacji zaplecza — większe rozmiary odpowiedzi i wolniejsze czasy odpowiedzi powodują niższy maksymalny moduł TPS. Więcej maszyn dystrybuuje obciążenie i zapewnia bardzo dużym buforem. Dodatkowa pojemność zapewnia wysoką dostępność i odporność.

Rdzenie	Pamięć	Oczekiwane opóźnienie (MS)-P99	Maksymalna liczba modułów TPS
2	8	325	586
100	16	320	1150
8	32	270	1190
16	64	245	1200*

* Maszyna użyła ustawienia niestandardowego, aby podnieść niektóre domyślne limity połączeń poza zalecanymi ustawieniami platformy .NET. Zalecamy uruchomienie testu z ustawieniami domyślnymi przed skontaktowaniem się z pomocą techniczną w celu zmiany tego limitu dla dzierżawy.

Uwaga

Nie ma większej różnicy w maksymalnym module TPS między 4, 8 i 16 rdzeniami. Główną różnicą jest oczekiwane opóźnienie.

Tabela koncentruje się na oczekiwanej wydajności łącznika na podstawie typu zainstalowanej maszyny. Jest to oddzielone od limitów ograniczania przepustowości usługi, zobacz Limity i ograniczenia usługi.

Zabezpieczenia i sieć

Połączenie or można zainstalować w dowolnym miejscu w sieci, co umożliwia wysyłanie żądań do usługi Dostęp Prywatny Microsoft Entra i serwera proxy aplikacji. Ważne jest, aby komputer z uruchomionym łącznikiem miał również dostęp do aplikacji i zasobów. Łączniki można zainstalować w sieci firmowej lub na maszynie wirtualnej działającej w chmurze. Połączenie ory mogą działać w sieci obwodowej, znanej również jako strefa zdemilitaryzowana (DMZ), ale nie jest to konieczne, ponieważ cały ruch jest wychodzący, więc sieć pozostaje bezpieczna.

Połączenie ors wysyłają tylko żądania wychodzące. Ruch wychodzący jest wysyłany do usługi i do opublikowanych zasobów i aplikacji. Nie musisz otwierać portów przychodzących, ponieważ ruch przepływa na oba sposoby po ustanowieniu sesji. Nie trzeba również konfigurować dostępu przychodzącego za pośrednictwem zapór.

Aby uzyskać więcej informacji na temat konfigurowania reguł zapory dla ruchu wychodzącego, zobacz Praca z istniejącymi lokalnymi serwerami proxy.

Wydajność i skalowalność   

Skalowanie dla Dostęp Prywatny Microsoft Entra i usług serwera proxy aplikacji jest przezroczyste, ale skalowanie jest czynnikiem dla łączników. Musisz mieć wystarczającą ilość łączników do obsługi szczytowego ruchu. Połączenie orów są bezstanowe, a liczba użytkowników lub sesji nie ma na nie wpływu. Zamiast tego odpowiadają na liczbę żądań i ich rozmiar ładunku. W przypadku standardowego ruchu internetowego przeciętny komputer może obsłużyć 2000 żądań na sekundę. Określona pojemność zależy od dokładnej charakterystyki maszyny.

Procesor CPU i sieć definiują wydajność łącznika. Wydajność procesora CPU jest wymagana do szyfrowania i odszyfrowywania protokołu TLS, podczas gdy sieć jest ważna, aby uzyskać szybką łączność z aplikacjami i usługą online.

Z kolei pamięć jest mniej problemem dla łączników. Usługa online zajmuje się dużą częścią przetwarzania i całego nieuwierzytelnionego ruchu. Wszystko, co można zrobić w chmurze, odbywa się w chmurze.

Gdy łączniki lub maszyny są niedostępne, ruch przechodzi do innego łącznika w grupie. Wiele łączników w grupie łączników zapewnia odporność.

Innym czynnikiem wpływającym na wydajność jest jakość sieci między łącznikami, w tym:

• Usługa online: wolne lub duże opóźnienia połączeń z usługą Microsoft Entra wpływają na wydajność łącznika. Aby uzyskać najlepszą wydajność, połącz organizację z firmą Microsoft przy użyciu usługi Express Route. W przeciwnym razie zespół ds. sieci zapewnia, że połączenia z firmą Microsoft są obsługiwane tak wydajnie, jak to możliwe.
• Aplikacje zaplecza: w niektórych przypadkach istnieją dodatkowe serwery proxy między łącznikiem a zasobami zaplecza i aplikacjami, które mogą spowalniać lub blokować połączenia. Aby rozwiązać ten problem, otwórz przeglądarkę z serwera łącznika i spróbuj uzyskać dostęp do aplikacji lub zasobu. Jeśli uruchamiasz łączniki w chmurze, ale aplikacje są lokalne, środowisko może nie być oczekiwane przez użytkowników.
• Kontrolery domeny: jeśli łączniki wykonują logowanie jednokrotne przy użyciu ograniczonego delegowania protokołu Kerberos, skontaktują się z kontrolerami domeny przed wysłaniem żądania do zaplecza. Łączniki mają pamięć podręczną biletów Protokołu Kerberos, ale w środowisku zajętym czas reakcji kontrolerów domeny może mieć wpływ na wydajność. Ten problem występuje częściej w przypadku łączników uruchamianych na platformie Azure, ale komunikują się z kontrolerami domeny, które są lokalne.

Aby uzyskać więcej informacji na temat optymalizowania sieci, zobacz Zagadnienia dotyczące topologii sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Przyłączanie do domeny

Połączenie ors mogą działać na maszynie, która nie jest przyłączona do domeny. Jeśli jednak chcesz korzystać z logowania jednokrotnego (SSO) w aplikacjach korzystających ze zintegrowanego uwierzytelniania systemu Windows (IWA), potrzebujesz komputera przyłączonego do domeny. W takim przypadku maszyny łącznika muszą być przyłączone do domeny, która może wykonywać ograniczone delegowanie protokołu Kerberos w imieniu użytkowników opublikowanych aplikacji.

Połączenie ory mogą być również przyłączone do domen w lasach, które mają częściowe zaufanie lub kontrolery domeny tylko do odczytu.

wdrożenia Połączenie or w środowiskach ze wzmocnionymi zabezpieczeniami

Zazwyczaj wdrożenie łącznika jest proste i nie wymaga specjalnej konfiguracji.

Istnieją jednak pewne unikatowe warunki, które należy wziąć pod uwagę:

• Ruch wychodzący wymaga otwarcia określonych portów. Aby dowiedzieć się więcej, zobacz konfigurowanie łączników.
• Maszyny zgodne ze standardem FIPS mogą wymagać zmiany konfiguracji, aby umożliwić procesom łącznika generowanie i przechowywanie certyfikatu.
• Wychodzące serwery proxy przesyłania dalej mogą przerwać uwierzytelnianie certyfikatu dwukierunkowego i spowodować niepowodzenie komunikacji.

Uwierzytelnianie Połączenie or

Aby zapewnić bezpieczną usługę, łączniki muszą uwierzytelniać się w usłudze, a usługa musi uwierzytelniać się w kierunku łącznika. To uwierzytelnianie odbywa się przy użyciu certyfikatów klienta i serwera, gdy łączniki inicjują połączenie. W ten sposób nazwa użytkownika i hasło administratora nie są przechowywane na maszynie łącznika.

Używane certyfikaty są specyficzne dla usługi. Są one tworzone podczas początkowej rejestracji i automatycznie odnawiane co kilka miesięcy.

Po pierwszym pomyślnym odnowieniu certyfikatu usługa łącznika sieci prywatnej firmy Microsoft (usługa sieciowa) nie ma uprawnień do usunięcia starego certyfikatu z magazynu komputerów lokalnych. Jeśli certyfikat wygaśnie lub nie jest używany przez usługę, możesz go bezpiecznie usunąć.

Aby uniknąć problemów z odnawianiem certyfikatu, upewnij się, że komunikacja sieciowa z łącznika do udokumentowanych miejsc docelowych jest włączona.

Jeśli łącznik nie jest połączony z usługą przez kilka miesięcy, jego certyfikaty mogą być nieaktualne. W takim przypadku odinstaluj i ponownie zainstaluj łącznik, aby wyzwolić rejestrację. Możesz uruchomić następujące polecenia programu PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

W przypadku instytucji rządowych użyj polecenia -EnvironmentName "AzureUSGovernment". Aby uzyskać więcej informacji, zobacz Instalowanie agenta dla chmury Azure Government.

Aby dowiedzieć się, jak zweryfikować certyfikat i rozwiązywać problemy, zobacz Weryfikowanie obsługi składników maszyny i zaplecza dla certyfikatu zaufania serwera proxy aplikacji.

Under the hood (Za kulisami usługi Azure RMS — działanie)

Połączenie ory są zainstalowane w systemie Windows Server, dlatego mają większość tych samych narzędzi do zarządzania, w tym dzienniki zdarzeń systemu Windows i liczniki wydajności systemu Windows.

Łączniki mają dzienniki Administracja i sesji. Dziennik Administracja zawiera kluczowe zdarzenia i ich błędy. Dziennik sesji zawiera wszystkie transakcje i ich szczegóły przetwarzania.

Aby wyświetlić dzienniki, otwórz Podgląd zdarzeń i przejdź do pozycji Dzienniki aplikacji i usług Microsoft>>Entra private network> Połączenie or. Aby uwidocznić dziennik sesji , w menu Widok wybierz pozycję Pokaż dzienniki analityczne i debugowania. Dziennik sesji jest zwykle używany do rozwiązywania problemów i jest domyślnie wyłączony. Włącz go, aby rozpocząć zbieranie zdarzeń i wyłączyć je, gdy nie jest już potrzebne.

Stan usługi można sprawdzić w oknie Usługi. Łącznik składa się z dwóch usług systemu Windows: rzeczywistego łącznika i aktualizatora. Oba muszą być uruchamiane przez cały czas.

Łączniki nieaktywne

Typowym problemem jest to, że łączniki są wyświetlane jako nieaktywne w grupie łączników. Zapora blokująca wymagane porty jest częstą przyczyną nieaktywnych łączników.

Warunki użytkowania

Korzystanie z Dostęp Prywatny Microsoft Entra i Dostęp do Internetu Microsoft Entra wersji zapoznawczej oraz funkcji podlega warunkom i warunkom korzystania z usług online w wersji zapoznawczej umów, na podstawie których zostały uzyskane usługi. Wersje zapoznawcze mogą podlegać ograniczeniom lub różnym zobowiązaniom w zakresie zabezpieczeń, zgodności i prywatności, jak wyjaśniono w postanowieniach dotyczących uniwersalnych postanowień licencyjnych dotyczących usług online oraz dodatku ochrony danych produktów i usług firmy Microsoft ("DPA") oraz wszelkich innych powiadomień udostępnianych w wersji zapoznawczej.

Następne kroki

• Omówienie grup łączników sieci prywatnej firmy Microsoft Entra
• Praca z istniejącymi lokalnymi serwerami proxy
• Rozwiązywanie problemów z błędami serwera proxy i łącznika aplikacji
• Jak dyskretnie zainstalować łącznik sieci prywatnej firmy Microsoft Entra