Optimera trafikflödet med Microsoft Entra-programproxy
Lär dig hur du optimerar överväganden för trafikflöde och nätverkstopologi när du använder Microsoft Entra-programproxy.
Trafikflöde
När ett program publiceras via Microsoft Entra-programproxy flödar trafik från användarna till programmen via tre anslutningar:
- Användaren ansluter till den offentliga slutpunkten för Microsoft Entra-programproxytjänsten i Azure
- Den privata nätverksanslutningen ansluter till programproxytjänsten (utgående)
- Den privata nätverksanslutningen ansluter till målprogrammet
Optimera anslutningsgrupper för att använda närmaste molntjänst för programproxy
När du registrerar dig för en Microsoft Entra-klientorganisation anges regionen för din klientorganisation med den region du väljer. Standardinstanserna för programproxymolntjänsten använder samma eller närmaste region som din Microsoft Entra-klientorganisation.
Om din Microsoft Entra-klientregion till exempel är Storbritannien tilldelas alla dina privata nätverksanslutningar som standard att använda tjänstinstanser i europeiska datacenter. När användarna får åtkomst till publicerade program går deras trafik via molntjänstinstanserna för programproxy på den här platsen.
Om du har anslutningsappar installerade i regioner som skiljer sig från din standardregion är det fördelaktigt att ändra vilken region din anslutningsgrupp är optimerad för för att förbättra prestandaåtkomsten till dessa program. När en region har angetts för en anslutningsgrupp ansluter den till molntjänster för programproxy i den avsedda regionen.
För att optimera trafikflödet och minska svarstiden för en anslutningsgrupp tilldelar du anslutningsgruppen till den närmaste regionen. Så här tilldelar du en region:
Viktigt!
Anslutningsappar måste använda minst version 1.5.1975.0 för att kunna använda den här funktionen.
Logga in på administrationscentret för Microsoft Entra som minst programadministratör.
Välj ditt användarnamn i det övre högra hörnet. Kontrollera att du är inloggad i en katalog som använder programproxy. Om du behöver ändra kataloger väljer du Växla katalog och väljer en katalog som använder programproxy.
Bläddra till Programproxy för Identity>Applications>Enterprise-program.>
Välj Ny anslutningsgrupp och ange ett namn för anslutningsgruppen.
Under Avancerade inställningar väljer du listrutan under Optimera för en viss region och väljer den region som är närmast anslutningsprogrammen och väljer sedan Spara.
Välj de anslutningsappar som ska tilldelas till anslutningsgruppen.
Du kan bara flytta anslutningsappar till din anslutningsgrupp om den finns i en anslutningsgrupp med hjälp av standardregionen. Börja med en anslutningsapp i standardanslutningsgruppen . Flytta den sedan till lämplig anslutningsgrupp.
Du kan bara ändra regionen för en anslutningsgrupp om det inte finns några kopplingar tilldelade till den eller appar som har tilldelats den.
Tilldela anslutningsgruppen till dina program. Trafiken går till molntjänsten för programproxy i regionen för den optimerade anslutningsgruppen.
Överväganden för att minska svarstiden
Alla proxylösningar introducerar svarstid i nätverksanslutningen. Oavsett vilken proxy- eller VPN-lösning du väljer som fjärråtkomstlösning innehåller den alltid en uppsättning servrar som aktiverar anslutningen till i företagets nätverk.
Organisationer inkluderar vanligtvis serverslutpunkter i sitt perimeternätverk. Med Microsoft Entra-programproxy flödar dock trafiken via proxytjänsten i molnet medan anslutningsapparna finns i företagets nätverk. Inget perimeternätverk krävs.
Nästa avsnitt innehåller fler förslag som hjälper dig att minska svarstiden ytterligare.
Placering av anslutningsapp
Programproxyn väljer platsen för instanser åt dig, baserat på din klientplats. Du får dock bestämma var du vill installera anslutningsappen, vilket ger dig kraften att definiera svarstidsegenskaperna för din nätverkstrafik.
Ställ följande frågor när du konfigurerar programproxytjänsten:
- Var finns appen?
- Var finns de flesta användare som har åtkomst till appen?
- Var finns programproxyinstansen?
- Har du redan konfigurerat en dedikerad nätverksanslutning till Microsofts datacenter, till exempel Azure ExpressRoute eller ett liknande VPN?
Anslutningsappen måste kommunicera med både Microsoft Entra-ID och dina program. Steg 2 och 3 representerar kommunikationen i trafikflödesdiagrammet. Placeringen av anslutningsappen påverkar svarstiden för dessa två anslutningar. När du utvärderar placeringen av anslutningsappen bör du tänka på dessa punkter.
- Bekräfta "platsraden" mellan anslutningsappen och datacentret för Kerberos-begränsad delegering (KCD). Dessutom måste anslutningsservern vara domänansluten.
- Installera anslutningsappen så nära programmet som möjligt.
Allmän metod för att minimera svarstiden
Minimera svarstiden för trafik från slutpunkt till slutpunkt genom att optimera varje nätverksanslutning.
- Minska avståndet mellan de två ändarna av hoppet.
- Välj rätt nätverk att gå igenom. Till exempel kan det gå snabbare att passera ett privat nätverk i stället för det offentliga Internet på grund av dedikerade länkar.
Överväg att använda en dedikerad VPN- eller ExpressRoute-länk mellan Microsoft och ditt företagsnätverk.
Fokusera din optimeringsstrategi
Det finns inte mycket du kan göra för att styra anslutningen mellan dina användare och programproxytjänsten. Användarna får åtkomst till dina appar från ett hemnätverk, ett kafé eller en annan region. I stället kan du optimera anslutningarna från programproxytjänsten till de privata nätverksanslutningarna till apparna. Överväg att använda följande mönster i din miljö.
Mönster 1: Placera anslutningsappen nära programmet
Placera anslutningsappen nära målprogrammet i kundnätverket. Den här konfigurationen minimerar steg 3 i topografidiagrammet eftersom anslutningsappen och programmet är nära.
Om anslutningsappen behöver en siktlinje för domänkontrollanten är det här mönstret fördelaktigt. De flesta av våra kunder använder det här mönstret eftersom det fungerar bra för de flesta scenarier. Det här mönstret kan också kombineras med mönster 2 för att optimera trafiken mellan tjänsten och anslutningsappen.
Mönster 2: Dra nytta av ExpressRoute med Microsoft-peering
Om du har konfigurerat ExpressRoute med Microsoft-peering kan du använda den snabbare ExpressRoute-anslutningen för trafik mellan programproxyn och anslutningsappen. Anslutningsappen finns fortfarande i nätverket, nära appen.
Mönster 3: Dra nytta av ExpressRoute med privat peering
Om du har konfigurerat ett dedikerat VPN eller ExpressRoute med privat peering mellan Azure och företagets nätverk har du ett annat alternativ. I den här konfigurationen betraktas det virtuella nätverket i Azure vanligtvis som en förlängning av företagsnätverket. Så du kan installera anslutningsappen i Azure-datacentret och ändå uppfylla kraven på låg svarstid för anslutningen till appen.
Svarstiden komprometteras inte eftersom trafiken flödar över en dedikerad anslutning. Du får också bättre svarstid för programproxy från tjänst till anslutning eftersom anslutningsappen är installerad i ett Azure-datacenter nära din Microsoft Entra-klientplats.
Andra metoder
Även om fokus i den här artikeln är placering av anslutningsappar kan du också ändra placeringen av programmet för att få bättre svarstidsegenskaper.
Organisationer flyttar i allt högre grad sina nätverk till värdbaserade miljöer. Flytten gör det möjligt för dem att placera sina appar i en värdbaserad miljö som också är en del av företagets nätverk och fortfarande finns inom domänen. I det här fallet kan de mönster som beskrivs i föregående avsnitt tillämpas på den nya programplatsen. Om du överväger det här alternativet kan du läsa Microsoft Entra Domain Services.
Överväg också att organisera dina anslutningsappar med hjälp av anslutningsgrupper för att rikta in sig på appar som finns på olika platser och nätverk.
Diagram för vanliga användningsfall
I det här avsnittet går vi igenom några vanliga scenarier. Anta att Microsoft Entra-klientorganisationen (och därmed proxytjänstens slutpunkt) finns i USA . De överväganden som beskrivs i dessa användningsfall gäller även för andra regioner runt om i världen.
I dessa scenarier kallar vi varje anslutning för ett "hopp" och numrerar dem för enklare diskussion:
- Hopp 1: Användare till programproxytjänsten
- Hopp 2: programproxytjänst till den privata nätverksanslutningen
- Hopp 3: Privat nätverksanslutning till målprogrammet
Användningsfall 1
Scenario: Appen finns i en organisations nätverk i USA, med användare i samma region. Det finns ingen ExpressRoute eller VPN mellan Azure-datacentret och företagsnätverket.
Rekommendation: Följ mönster 1, förklaras i föregående avsnitt. Överväg att använda ExpressRoute om det behövs för att få bättre svarstid.
Optimera hopp 3 genom att placera anslutningsappen nära appen. Anslutningsappen installeras vanligtvis med siktlinje till appen och till datacentret för att utföra KCD-åtgärder.
Användningsfall 2
Scenario: Appen finns i en organisations nätverk i USA, med användare utspridda globalt. Det finns ingen ExpressRoute eller VPN mellan Azure-datacentret och företagsnätverket.
Rekommendation: Följ mönster 1, förklaras i föregående avsnitt.
Återigen är det vanliga mönstret att optimera hop 3, där du placerar anslutningsappen nära appen. Hop 3 är vanligtvis inte dyrt, om allt är inom samma region. Hopp 1 kan dock vara dyrare beroende på var användaren befinner sig, eftersom användare över hela världen måste komma åt programproxyinstansen i USA. Det är värt att notera att alla proxylösningar har liknande egenskaper när det gäller användare som sprids ut globalt.
Användningsfall 3
Scenario: Appen finns i en organisations nätverk i USA. ExpressRoute med Microsoft-peering finns mellan Azure och företagsnätverket.
Rekommendation: Följ mönstren 1 och 2, som beskrivs i föregående avsnitt.
Placera först anslutningsappen så nära appen som möjligt. Sedan använder systemet automatiskt ExpressRoute för hopp 2.
Om ExpressRoute-länken använder Microsoft-peering flödar trafiken mellan proxyn och anslutningsappen via den länken. Hopp 2 använder optimal svarstid.
Användningsfall 4
Scenario: Appen finns i en organisations nätverk i USA. ExpressRoute med privat peering finns mellan Azure och företagsnätverket.
Rekommendation: Följ mönster 3, som beskrivs i föregående avsnitt.
Placera anslutningsappen i Azure-datacentret som är anslutet till företagsnätverket via expressroute-privat peering.
Anslutningsappen kan placeras i Azure-datacentret. Eftersom anslutningsappen fortfarande har en siktlinje för programmet och datacentret via det privata nätverket är hopp 3 fortfarande optimerat. Dessutom optimeras hop 2 ytterligare.
Användningsfall 5
Scenario: Appen finns i en organisations nätverk i Europa, standardklientregionen är USA, med de flesta användare i Europa.
Rekommendation: Placera anslutningsappen nära appen. Uppdatera anslutningsgruppen så att den använder instanser av europaprogramproxytjänsten. Mer information finns i Optimera anslutningsgrupper för att använda närmaste molntjänst för programproxy.
Eftersom Europa-användare har åtkomst till en programproxyinstans som råkar vara i samma region är hopp 1 inte dyrt. Hopp 3 är optimerat. Överväg att använda ExpressRoute för att optimera hopp 2.
Användningsfall 6
Scenario: Appen finns i en organisations nätverk i Europa, standardklientregionen är USA, med de flesta användare i USA.
Rekommendation: Placera anslutningsappen nära appen. Uppdatera anslutningsgruppen så att den använder instanser av europaprogramproxytjänsten. Mer information finns i Optimera anslutningsgrupper för att använda närmaste molntjänst för programproxy. Hopp 1 kan vara dyrare eftersom alla amerikanska användare måste komma åt programproxyinstansen i Europa.
Du kan också överväga att använda en annan variant i den här situationen. Om de flesta användare i organisationen finns i USA är det troligt att ditt nätverk även sträcker sig till USA. Placera anslutningsappen i USA, fortsätt att använda standardregionen USA för dina anslutningsgrupper och använd den dedikerade interna företagsnätverkslinjen till programmet i Europa. På så sätt är hopp 2 och 3 optimerade.