Otimize o fluxo de tráfego com o proxy de aplicativo Microsoft Entra
Saiba como otimizar o fluxo de tráfego e as considerações de topologia de rede ao usar o proxy de aplicativo Microsoft Entra.
Fluxo de tráfego
Quando um aplicativo é publicado por meio do proxy de aplicativo Microsoft Entra, o tráfego dos usuários para os aplicativos flui através de três conexões:
- O usuário se conecta ao ponto de extremidade público do serviço de proxy de aplicativo Microsoft Entra no Azure
- O conector de rede privada se conecta ao serviço de proxy de aplicativo (saída)
- O conector de rede privada se conecta ao aplicativo de destino
Otimizar grupos de conectores para usar o serviço de nuvem de proxy de aplicativo mais próximo
Quando você se inscreve para um locatário do Microsoft Entra, a região do seu locatário é definida com a região escolhida. As instâncias de serviço de nuvem de proxy de aplicativo padrão usam a mesma região, ou a mais próxima, que seu locatário do Microsoft Entra.
Por exemplo, se a região do locatário do Microsoft Entra for o Reino Unido, todos os conectores de rede privada padrão serão atribuídos para usar instâncias de serviço em data centers europeus. Quando os usuários acessam aplicativos publicados, o tráfego deles passa pelas instâncias do serviço de nuvem de proxy de aplicativo nesse local.
Se você tiver conectores instalados em regiões diferentes da sua região padrão, é benéfico alterar para qual região seu grupo de conectores está otimizado para melhorar o desempenho acessando esses aplicativos. Depois que uma região é especificada para um grupo de conectores, ela se conecta aos serviços de nuvem de proxy de aplicativo na região designada.
Para otimizar o fluxo de tráfego e reduzir a latência para um grupo de conectores, atribua o grupo de conectores à região mais próxima. Para atribuir uma região:
Importante
Os conectores devem estar usando pelo menos a versão 1.5.1975.0 para usar esse recurso.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
Selecione seu nome de usuário no canto superior direito. Verifique se você está conectado a um diretório que usa proxy de aplicativo. Se você precisar alterar diretórios, selecione Alternar diretório e escolha um diretório que use proxy de aplicativo.
Navegue até Identity>Applications>Enterprise applications>Application proxy.
Selecione Novo Grupo de Conectores e forneça um Nome para o grupo de conectores.
Em Configurações avançadas, selecione a lista suspensa em Otimizar para uma região específica, selecione a região mais próxima dos conectores e, em seguida, selecione Salvar.
Selecione os conectores a serem atribuídos ao grupo de conectores.
Você só pode mover conectores para seu grupo de conectores se ele estiver em um grupo de conectores usando a região padrão. Comece com um conector no grupo de conectores padrão . Em seguida, mova-o para o grupo de conectores apropriado.
Você só pode alterar a região de um grupo de conectores se não houver conectores atribuídos a ele ou aplicativos atribuídos a ele.
Atribua o grupo de conectores aos seus aplicativos. O tráfego vai para o serviço de nuvem de proxy de aplicativo na região do grupo de conectores otimizados.
Considerações para reduzir a latência
Todas as soluções de proxy introduzem latência na sua conexão de rede. Não importa qual proxy ou solução VPN você escolha como sua solução de acesso remoto, ela sempre inclui um conjunto de servidores que permitem a conexão dentro de sua rede corporativa.
As organizações normalmente incluem pontos de extremidade de servidor em sua rede de perímetro. Com o proxy de aplicativo Microsoft Entra, no entanto, o tráfego flui através do serviço de proxy na nuvem enquanto os conectores residem em sua rede corporativa. Nenhuma rede de perímetro é necessária.
As próximas seções contêm mais sugestões para ajudá-lo a reduzir ainda mais a latência.
Colocação do conector
O proxy de aplicativo escolhe o local das instâncias para você, com base no local do locatário. No entanto, você pode decidir onde instalar o conector, dando-lhe o poder de definir as características de latência do seu tráfego de rede.
Ao configurar o serviço de proxy de aplicativo, faça as seguintes perguntas:
- Onde o aplicativo está localizado?
- Onde está localizada a maioria dos usuários que acessam o aplicativo?
- Onde a instância de proxy do aplicativo está localizada?
- Já tem uma ligação de rede dedicada aos centros de dados da Microsoft configurada, como o Azure ExpressRoute ou uma VPN semelhante?
O conector deve se comunicar com o Microsoft Entra ID e seus aplicativos. As etapas 2 e 3 representam a comunicação no diagrama de fluxo de tráfego. O posicionamento do conector afeta a latência dessas duas conexões. Ao avaliar o posicionamento do conector, tenha em mente estes pontos.
- Confirme a "linha de site" entre o conector e o data center para a Delegação Restrita de Kerberos (KCD). Além disso, o servidor conector precisa ser associado ao domínio.
- Instale o conector o mais próximo possível do aplicativo.
Abordagem geral para minimizar a latência
Minimize a latência do tráfego de ponta a ponta otimizando cada conexão de rede.
- Reduza a distância entre as duas extremidades do salto.
- Escolha a rede certa para percorrer. Por exemplo, atravessar uma rede privada em vez da Internet pública poderia ser mais rápido, devido a ligações dedicadas.
Considere o uso de um link VPN dedicado ou ExpressRoute entre a Microsoft e sua rede corporativa.
Concentre a sua estratégia de otimização
Há pouco que você possa fazer para controlar a conexão entre seus usuários e o serviço de proxy de aplicativo. Os utilizadores acedem às suas aplicações a partir de uma rede doméstica, de um café ou de uma região diferente. Em vez disso, você pode otimizar as conexões do serviço de proxy de aplicativo para os conectores de rede privada para os aplicativos. Considere incorporar os seguintes padrões em seu ambiente.
Padrão 1: Coloque o conector perto do aplicativo
Coloque o conector perto do aplicativo de destino na rede do cliente. Essa configuração minimiza a etapa 3 no diagrama de topografia, porque o conector e o aplicativo estão próximos.
Se o conector precisar de uma linha de visão para o controlador de domínio, esse padrão é vantajoso. A maioria dos nossos clientes usa esse padrão, porque ele funciona bem para a maioria dos cenários. Esse padrão também pode ser combinado com o padrão 2 para otimizar o tráfego entre o serviço e o conector.
Padrão 2: Aproveite a Rota Expressa com o emparelhamento da Microsoft
Se você tiver a Rota Expressa configurada com o emparelhamento da Microsoft, poderá usar a conexão de Rota Expressa mais rápida para o tráfego entre o proxy do aplicativo e o conector. O conector ainda está na sua rede, perto do aplicativo.
Padrão 3: Aproveite a Rota Expressa com emparelhamento privado
Se você tiver uma VPN dedicada ou ExpressRoute configurada com emparelhamento privado entre o Azure e sua rede corporativa, terá outra opção. Nessa configuração, a rede virtual no Azure é normalmente considerada como uma extensão da rede corporativa. Assim, você pode instalar o conector no datacenter do Azure e ainda satisfazer os requisitos de baixa latência da conexão conector-aplicativo.
A latência não é comprometida porque o tráfego está fluindo através de uma conexão dedicada. Você também obtém latência aprimorada de serviço de proxy de aplicativo para conector porque o conector é instalado em um datacenter do Azure perto do local do locatário do Microsoft Entra.
Outras abordagens
Embora o foco deste artigo seja o posicionamento do conector, você também pode alterar o posicionamento do aplicativo para obter melhores características de latência.
Cada vez mais, as organizações estão movendo suas redes para ambientes hospedados. A mudança permite que eles coloquem seus aplicativos em um ambiente hospedado que também faz parte de sua rede corporativa e ainda estejam dentro do domínio. Nesse caso, os padrões discutidos nas seções anteriores podem ser aplicados ao novo local do aplicativo. Se você estiver considerando essa opção, consulte Serviços de domínio do Microsoft Entra.
Além disso, considere organizar seus conectores usando grupos de conectores para direcionar aplicativos que estão em locais e redes diferentes.
Diagramas para casos de uso comuns
Nesta seção, percorremos alguns cenários comuns. Suponha que o locatário do Microsoft Entra (e, portanto, o ponto de extremidade do serviço de proxy) está localizado nos Estados Unidos (EUA). As considerações discutidas nesses casos de uso também se aplicam a outras regiões ao redor do mundo.
Para esses cenários, chamamos cada conexão de "salto" e as numeramos para facilitar a discussão:
- Salto 1: Usuário para o serviço de proxy de aplicativo
- Hop 2: serviço de proxy de aplicativo para o conector de rede privada
- Hop 3: conector de rede privada para o aplicativo de destino
Caso de uso 1
Cenário: o aplicativo está na rede de uma organização nos EUA, com usuários na mesma região. Não existe ExpressRoute ou VPN entre o datacenter do Azure e a rede corporativa.
Recomendação: Siga o padrão 1, explicado na seção anterior. Para melhorar a latência, considere o uso da Rota Expressa, se necessário.
Otimize o salto 3 colocando o conector perto do aplicativo. O conector normalmente é instalado com linha de visão para o aplicativo e para o datacenter para executar operações KCD.
Caso de uso 2
Cenário: O aplicativo está na rede de uma organização nos EUA, com usuários espalhados globalmente. Não existe ExpressRoute ou VPN entre o datacenter do Azure e a rede corporativa.
Recomendação: Siga o padrão 1, explicado na seção anterior.
Novamente, o padrão comum é otimizar o salto 3, onde você coloca o conector perto do aplicativo. O Hop 3 normalmente não é caro, se estiver todo dentro da mesma região. No entanto, o salto 1 pode ser mais caro dependendo de onde o usuário está, porque os usuários em todo o mundo devem acessar a instância de proxy do aplicativo nos EUA. Vale a pena notar que qualquer solução de proxy tem características semelhantes em relação aos usuários que estão espalhados globalmente.
Caso de uso 3
Cenário: O aplicativo está na rede de uma organização nos EUA. O ExpressRoute com o emparelhamento da Microsoft existe entre o Azure e a rede corporativa.
Recomendação: Siga os padrões 1 e 2, explicados na seção anterior.
Primeiro, coloque o conector o mais próximo possível do aplicativo. Em seguida, o sistema usa automaticamente a Rota Expressa para o salto 2.
Se o link da Rota Expressa estiver usando o emparelhamento da Microsoft, o tráfego entre o proxy e o conector fluirá por esse link. O Hop 2 usa latência ideal.
Caso de uso 4
Cenário: O aplicativo está na rede de uma organização nos EUA. A Rota Expressa com emparelhamento privado existe entre o Azure e a rede corporativa.
Recomendação: Siga o padrão 3, explicado na seção anterior.
Coloque o conector no datacenter do Azure que está conectado à rede corporativa por meio do emparelhamento privado da Rota Expressa.
O conector pode ser colocado no datacenter do Azure. Como o conector ainda tem uma linha de visão para o aplicativo e o datacenter através da rede privada, o salto 3 permanece otimizado. Além disso, o lúpulo 2 é otimizado ainda mais.
Caso de uso 5
Cenário: O aplicativo está na rede de uma organização na Europa, a região de locatário padrão é os EUA, com a maioria dos usuários na Europa.
Recomendação: Coloque o conector perto do aplicativo. Atualize o grupo de conectores para usar instâncias de serviço de proxy de aplicativo da Europa. Para conhecer as etapas, consulte Otimizar grupos de conectores para usar o serviço de nuvem de proxy de aplicativo mais próximo.
Como os usuários da Europa estão acessando uma instância de proxy de aplicativo que está na mesma região, o salto 1 não é caro. O Hop 3 é otimizado. Considere usar o ExpressRoute para otimizar o salto 2.
Caso de uso 6
Cenário: O aplicativo está na rede de uma organização na Europa, a região de locatário padrão é os EUA, com a maioria dos usuários nos EUA.
Recomendação: Coloque o conector perto do aplicativo. Atualize o grupo de conectores para usar instâncias de serviço de proxy de aplicativo da Europa. Para conhecer as etapas, consulte Otimizar grupos de conectores para usar o serviço de nuvem de proxy de aplicativo mais próximo. O Hop 1 pode ser mais caro, já que todos os usuários dos EUA devem acessar a instância de proxy do aplicativo na Europa.
Você também pode considerar o uso de uma outra variante nesta situação. Se a maioria dos usuários da organização estiver nos EUA, é provável que sua rede também se estenda aos EUA. Coloque o conector nos EUA, continue a usar a região padrão dos EUA para seus grupos de conectores e use a linha de rede corporativa interna dedicada para o aplicativo na Europa. Desta forma, os lúpulos 2 e 3 são otimizados.