Omówienie grup łączników sieci prywatnej firmy Microsoft Entra
Użyj grup łączników sieci prywatnej, aby przypisać określone łączniki do określonych aplikacji. Grupy łączników zapewniają większą kontrolę i umożliwiają optymalizowanie wdrożeń.
Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Wszystkie łączniki należące do tej samej grupy łączników działają jako oddzielna jednostka na potrzeby wysokiej dostępności i równoważenia obciążenia. Wszystkie łączniki należą do grupy łączników. Jeśli nie utworzysz grup, wszystkie łączniki znajdują się w grupie domyślnej. Nowe grupy łączników można tworzyć i przypisywać łączniki w centrum administracyjnym firmy Microsoft Entra.
Grupy łączników są przydatne, jeśli aplikacje są hostowane w różnych lokalizacjach. Grupy łączników są tworzone na podstawie lokalizacji. Aplikacje używają łączników, które są fizycznie blisko nich.
Napiwek
Jeśli masz duże wdrożenie serwera proxy aplikacji, nie przypisz żadnych aplikacji do domyślnej grupy łączników. Dzięki temu nowe łączniki nie odbierają żadnego ruchu na żywo, dopóki nie przypiszesz ich do aktywnej grupy łączników. Ta konfiguracja umożliwia również umieszczenie łączników w trybie bezczynności, przenosząc je z powrotem do grupy domyślnej, dzięki czemu można wykonywać konserwację bez wpływu na użytkowników.
Wymagania wstępne
Aby używać grup łączników, musisz mieć wiele łączników. Nowe łączniki są automatycznie dodawane do grupy Łącznik domyślny . Aby uzyskać więcej informacji na temat instalowania łączników, zobacz konfigurowanie łącznikówD.
Przypisywanie aplikacji do grup łączników
Podczas pierwszego publikowania aplikacji przypisujesz aplikację do grupy łączników. Możesz również zaktualizować grupę, do której jest przypisany łącznik.
Przypadki użycia grup łączników
Grupy łączników są przydatne w różnych scenariuszach, w tym:
Lokacje z wieloma połączonymi centrami danych
Duże organizacje używają wielu centrów danych. Chcesz zachować jak najwięcej ruchu w określonym centrum danych, ponieważ linki między centrami danych są kosztowne i powolne. Łączniki są wdrażane w każdym centrum danych, aby obsługiwać tylko aplikacje znajdujące się w centrum danych. Takie podejście minimalizuje linki między centrami danych i zapewnia użytkownikom całkowicie przejrzyste środowisko.
Aplikacje zainstalowane w sieciach izolowanych
Aplikacje mogą być hostowane w sieciach, które nie są częścią głównej sieci firmowej. Grupy łączników umożliwiają zainstalowanie dedykowanych łączników w izolowanych sieciach w celu odizolowania aplikacji do sieci. Scenariusz jest typowy dla dostawców, którzy utrzymują określoną aplikację.
Aplikacje zainstalowane w infrastrukturze jako usłudze (IaaS)
W przypadku aplikacji zainstalowanych w infrastrukturze jako usługa (IaaS) na potrzeby dostępu do chmury grupy łączników zapewniają wspólną usługę zabezpieczania dostępu do wszystkich aplikacji. Grupy łączników nie tworzą większej liczby zależności w sieci firmowej ani nie fragmentują środowiska aplikacji. Łączniki są instalowane w każdym centrum danych w chmurze i obsługują tylko aplikacje znajdujące się w tej sieci. Aby uzyskać wysoką dostępność, należy zainstalować kilka łączników.
Przykładem może być organizacja, która ma kilka maszyn wirtualnych połączonych z własną siecią wirtualną hostowaną przez usługę IaaS. Aby umożliwić pracownikom korzystanie z tych aplikacji, te sieci prywatne są połączone z siecią firmową przy użyciu wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja. Sieć VPN typu lokacja-lokacja zapewnia dobre środowisko dla pracowników, którzy znajdują się lokalnie. Nie jest to jednak idealne rozwiązanie dla pracowników zdalnych, ponieważ wymaga więcej infrastruktury lokalnej do kierowania dostępu, jak pokazano na diagramie:
Dzięki grupom łączników sieci prywatnej firmy Microsoft Entra można włączyć wspólną usługę w celu zabezpieczenia dostępu do wszystkich aplikacji bez tworzenia większej liczby zależności w sieci firmowej:
Wiele lasów — różne grupy łączników dla każdego lasu
Logowanie jednokrotne jest często osiągane przy użyciu ograniczonego delegowania protokołu Kerberos (KCD). Maszyny łącznika są przyłączone do domeny, która może delegować użytkowników do aplikacji. Funkcja KCD obsługuje możliwości między lasami. Jednak w przypadku firm, które mają różne środowiska z wieloma lasami bez zaufania między nimi, nie można używać jednego łącznika dla wszystkich lasów. Zamiast tego określone łączniki są wdrażane dla każdego lasu i mają obsługiwać aplikacje publikowane tak, aby obsługiwały tylko użytkowników tego konkretnego lasu. Każda grupa łączników reprezentuje inny las. Chociaż dzierżawa i większość środowiska są ujednolicone dla wszystkich lasów, użytkownicy mogą być przypisywani do swoich aplikacji lasu przy użyciu grup Firmy Microsoft Entra.
Lokacje odzyskiwania po awarii
Istnieją dwa podejścia do rozważenia w przypadku lokacji odzyskiwania po awarii:
- Witryna odzyskiwania po awarii jest wbudowana w tryb aktywny-aktywny, w którym jest dokładnie podobna do lokacji głównej. Lokacja ma również te same ustawienia sieci i usługi Active Directory (AD). Łączniki można utworzyć w lokacji odzyskiwania po awarii w tej samej grupie łączników co lokacja główna. Identyfikator Entra firmy Microsoft wykrywa tryb failover dla Ciebie.
- Witryna odzyskiwania po awarii jest oddzielona od witryny głównej. W lokacji odzyskiwania po awarii utworzysz inną grupę łączników. Aplikacje do tworzenia kopii zapasowych lub ręczne przekierowanie istniejącej aplikacji do grupy łączników odzyskiwania po awarii zgodnie z potrzebami.
Obsługa wielu firm z jednej dzierżawy
Można zaimplementować model, w którym jeden dostawca usług wdraża i obsługuje usługi związane z firmą Microsoft Entra dla wielu firm. Grupy łączników ułatwiają segregowanie łączników i aplikacji do różnych grup. Jednym ze sposobów, które są odpowiednie dla małych firm, jest posiadanie jednej dzierżawy firmy Microsoft Entra, podczas gdy różne firmy mają własną nazwę domeny i sieci. Takie samo podejście działa w przypadku scenariuszy fuzji i sytuacji, w których pojedynczy dział obsługuje kilka firm ze względów regulacyjnych lub biznesowych.
Przykładowe konfiguracje
Rozważmy te przykładowe konfiguracje grup łączników.
Konfiguracja domyślna — brak użycia dla grup łączników
Jeśli nie używasz grup łączników, konfiguracja będzie wyglądać następująco:
Konfiguracja jest wystarczająca dla małych wdrożeń i testów. Działa również, jeśli organizacja ma płaską topologię sieci.
Domyślna konfiguracja i izolowana sieć
Konfiguracja jest ewolucją domyślnej, określonej aplikacji jest uruchamiana w izolowanej sieci, takiej jak sieć wirtualna IaaS:
Zalecana konfiguracja — kilka określonych grup i domyślna grupa w przypadku bezczynności
Zalecaną konfiguracją dla dużych i złożonych organizacji jest posiadanie domyślnej grupy łączników jako grupy, która nie obsługuje żadnych aplikacji i jest używana dla bezczynnych lub nowo zainstalowanych łączników. Wszystkie aplikacje są obsługiwane przy użyciu dostosowanych grup łączników.
W tym przykładzie firma ma dwa centra danych, A i B, z dwoma łącznikami obsługującymi każdą lokację. Każda witryna ma różne aplikacje, które są na niej uruchamiane.