Publikowanie aplikacji w oddzielnych sieciach i lokalizacjach przy użyciu grup łączników

Użyj grup łączników serwera proxy aplikacji, aby przypisać określone łączniki do określonych aplikacji. grupy Połączenie or zapewniają większą kontrolę i umożliwiają optymalizowanie wdrożeń.

Każdy łącznik serwera proxy aplikacji jest przypisywany do grupy łączników. Wszystkie łączniki należące do tej samej grupy łączników działają jako oddzielna jednostka na potrzeby wysokiej dostępności i równoważenia obciążenia. Wszystkie łączniki należą do grupy łączników. Jeśli nie utworzysz grup, wszystkie łączniki znajdują się w grupie domyślnej. Nowe grupy łączników można tworzyć i przypisywać łączniki w centrum administracyjnym firmy Microsoft Entra.

grupy Połączenie or są przydatne, jeśli aplikacje są hostowane w różnych lokalizacjach. Grupy łączników są tworzone na podstawie lokalizacji. Aplikacje używają łączników, które są fizycznie blisko nich.

Napiwek

Jeśli masz duże wdrożenie serwera proxy aplikacji, nie przypisz żadnych aplikacji do domyślnej grupy łączników. Dzięki temu nowe łączniki nie odbierają żadnego ruchu na żywo, dopóki nie przypiszesz ich do aktywnej grupy łączników. Ta konfiguracja umożliwia również umieszczenie łączników w trybie bezczynności, przenosząc je z powrotem do grupy domyślnej, dzięki czemu można wykonywać konserwację bez wpływu na użytkowników.

Wymagania wstępne

Aby używać grup łączników, musisz mieć wiele łączników. Nowe łączniki są automatycznie dodawane do grupy Łącznik domyślny . Aby uzyskać więcej informacji na temat instalowania łączników, zobacz Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji w usłudze Microsoft Entra ID.

Tworzenie grup łączników

Aby utworzyć grupę łączników:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Przejdź do serwera proxy aplikacji dla przedsiębiorstw usługi>Identity>Applications.>

  3. Wybierz pozycję Nowa grupa łączników.

    Shows the screen to select a new connector group

  4. Nadaj nowej grupie łączników nazwę, a następnie użyj menu rozwijanego, aby wybrać łączniki należące do grupy.

  5. Wybierz pozycję Zapisz.

Przypisywanie aplikacji do grup łączników

Podczas pierwszego publikowania aplikacji przypisujesz aplikację do grupy łączników. Możesz również zaktualizować grupę, do której jest przypisany łącznik. Aby zaktualizować grupę, w programie znajduje się łącznik:

  1. Na pulpicie nawigacyjnym zarządzania dla katalogu wybierz pozycję Aplikacje dla przedsiębiorstw Wszystkie aplikacje>>, które mają zostać przypisane do serwera proxy aplikacji grupy >łączników.
  2. Użyj menu rozwijanego grupa Połączenie or, aby wybrać grupę, której aplikacja ma używać.
  3. Wybierz pozycję Zapisz , aby zastosować zmianę.

Przypadki użycia grup łączników

grupy Połączenie or są przydatne w różnych scenariuszach, w tym:

Lokacje z wieloma połączonymi centrami danych

Duże organizacje używają wielu centrów danych. Chcesz zachować jak najwięcej ruchu w określonym centrum danych, ponieważ linki między centrami danych są kosztowne i powolne. Łączniki są wdrażane w każdym centrum danych, aby obsługiwać tylko aplikacje znajdujące się w centrum danych. Takie podejście minimalizuje linki między centrami danych i zapewnia użytkownikom całkowicie przejrzyste środowisko.

Aplikacje zainstalowane w sieciach izolowanych

Aplikacje mogą być hostowane w sieciach, które nie są częścią głównej sieci firmowej. Grupy łączników umożliwiają zainstalowanie dedykowanych łączników w izolowanych sieciach w celu odizolowania aplikacji do sieci. Scenariusz jest typowy dla dostawców, którzy utrzymują określoną aplikację.

Aplikacje zainstalowane w infrastrukturze jako usłudze (IaaS)

W przypadku aplikacji zainstalowanych w infrastrukturze jako usługa (IaaS) na potrzeby dostępu do chmury grupy łączników zapewniają wspólną usługę zabezpieczania dostępu do wszystkich aplikacji. grupy Połączenie or nie tworzą większej liczby zależności w sieci firmowej ani nie fragmentują środowiska aplikacji. Połączenie ory są instalowane w każdym centrum danych w chmurze i obsługują tylko aplikacje znajdujące się w tej sieci. Aby uzyskać wysoką dostępność, należy zainstalować kilka łączników.

Przykładem może być organizacja, która ma kilka maszyn wirtualnych połączonych z własną siecią wirtualną hostowaną przez usługę IaaS. Aby umożliwić pracownikom korzystanie z tych aplikacji, te sieci prywatne są połączone z siecią firmową przy użyciu wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja. Sieć VPN typu lokacja-lokacja zapewnia dobre środowisko dla pracowników, którzy znajdują się lokalnie. Nie jest to jednak idealne rozwiązanie dla pracowników zdalnych, ponieważ wymaga więcej infrastruktury lokalnej do kierowania dostępu, jak pokazano na diagramie:

Diagram that illustrates the Microsoft Entra IaaS network

Dzięki grupom łączników serwera proxy aplikacji Firmy Microsoft można włączyć wspólną usługę w celu zabezpieczenia dostępu do wszystkich aplikacji bez tworzenia większej liczby zależności w sieci firmowej:

Microsoft Entra IaaS Multiple Cloud Vendors

Wiele lasów — różne grupy łączników dla każdego lasu

Logowanie jednokrotne jest często osiągane przy użyciu ograniczonego delegowania protokołu Kerberos (KCD). Maszyny łącznika są przyłączone do domeny, która może delegować użytkowników do aplikacji. Funkcja KCD obsługuje możliwości między lasami. Jednak w przypadku firm, które mają różne środowiska z wieloma lasami bez zaufania między nimi, nie można używać jednego łącznika dla wszystkich lasów. Zamiast tego określone łączniki są wdrażane dla każdego lasu i mają obsługiwać aplikacje publikowane tak, aby obsługiwały tylko użytkowników tego konkretnego lasu. Każda grupa łączników reprezentuje inny las. Chociaż dzierżawa i większość środowiska są ujednolicone dla wszystkich lasów, użytkownicy mogą być przypisywani do swoich aplikacji lasu przy użyciu grup Firmy Microsoft Entra.

Lokacje odzyskiwania po awarii

Istnieją dwa podejścia do rozważenia w przypadku lokacji odzyskiwania po awarii:

  • Witryna odzyskiwania po awarii jest wbudowana w tryb aktywny-aktywny, w którym jest dokładnie podobna do lokacji głównej. Lokacja ma również te same ustawienia sieci i usługi Active Directory (AD). Łączniki można utworzyć w lokacji odzyskiwania po awarii w tej samej grupie łączników co lokacja główna. Identyfikator Entra firmy Microsoft wykrywa tryb failover dla Ciebie.
  • Witryna odzyskiwania po awarii jest oddzielona od witryny głównej. W lokacji odzyskiwania po awarii utworzysz inną grupę łączników. Aplikacje do tworzenia kopii zapasowych lub ręczne przekierowanie istniejącej aplikacji do grupy łączników odzyskiwania po awarii zgodnie z potrzebami.

Obsługa wielu firm z jednej dzierżawy

Można zaimplementować model, w którym jeden dostawca usług wdraża i obsługuje usługi związane z firmą Microsoft Entra dla wielu firm. grupy Połączenie or ułatwiają segregowanie łączników i aplikacji w różnych grupach. Jednym ze sposobów, które są odpowiednie dla małych firm, jest posiadanie jednej dzierżawy firmy Microsoft Entra, podczas gdy różne firmy mają własną nazwę domeny i sieci. Takie samo podejście działa w przypadku scenariuszy fuzji i sytuacji, w których pojedynczy dział obsługuje kilka firm ze względów regulacyjnych lub biznesowych.

Przykładowe konfiguracje

Rozważmy te przykładowe konfiguracje grup łączników.

Konfiguracja domyślna — brak użycia dla grup łączników

Jeśli nie używasz grup łączników, konfiguracja będzie wyglądać następująco:

Example without connector groups

Konfiguracja jest wystarczająca dla małych wdrożeń i testów. Działa również, jeśli organizacja ma płaską topologię sieci.

Domyślna konfiguracja i izolowana sieć

Konfiguracja jest ewolucją domyślnej, określonej aplikacji jest uruchamiana w izolowanej sieci, takiej jak sieć wirtualna IaaS:

Example Microsoft Entra without connector groups on an isolated network

Zalecaną konfiguracją dla dużych i złożonych organizacji jest posiadanie domyślnej grupy łączników jako grupy, która nie obsługuje żadnych aplikacji i jest używana dla bezczynnych lub nowo zainstalowanych łączników. Wszystkie aplikacje są obsługiwane przy użyciu dostosowanych grup łączników.

W tym przykładzie firma ma dwa centra danych, A i B, z dwoma łącznikami obsługującymi każdą lokację. Każda witryna ma różne aplikacje, które są na niej uruchamiane.

Example of company with 2 datacenters and 2 connectors

Następne kroki