Aracılığıyla paylaş

Microsoft Entra özel ağ bağlayıcı grupları

Genel bakış

Uygulamalara bağlayıcı atamak için özel ağ bağlayıcı gruplarını kullanın. Bağlayıcı grupları size daha fazla denetim sağlar ve dağıtımları iyileştirmenize yardımcı olur.

Her özel ağ bağlayıcısı bir bağlayıcı grubundadır. Aynı gruptaki bağlayıcılar, yüksek kullanılabilirlik ve yük dengeleme için bir birim işlevi görür. Grup oluşturmazsanız, tüm bağlayıcılar varsayılan grupta yer alır. Microsoft Entra yönetim merkezinde yeni gruplar oluşturun ve bağlayıcılar atayın.

Uygulamalar farklı konumlarda çalıştırıldığında bağlayıcı gruplarını kullanın. Her uygulamanın yakındaki bağlayıcıları kullanması için konuma göre gruplar oluşturun.

İpucu

Microsoft Entra uygulama ara sunucusunun büyük bir dağıtımı varsa, uygulamaları varsayılan bağlayıcı grubuna atamayın. Yeni bağlayıcılar etkin bir gruba taşımadığınız sürece canlı trafik almaz. Ayrıca, kullanıcıları etkilemeden bakım yapabilmeniz için bağlayıcıları varsayılan gruba geri taşıyarak da boşta kalabilirsiniz.

Önkoşullar

Bağlayıcı gruplarını kullanmak için birden çok bağlayıcıya ihtiyacınız vardır. Hizmet, varsayılan bağlayıcı grubuna otomatik olarak yeni bağlayıcılar ekler. Bağlayıcıları yüklemek için bkz . Microsoft Entra Özel Erişimi ve uygulama ara sunucusu için özel ağ bağlayıcılarını yapılandırma.

Bağlayıcı gruplarınıza uygulama atama

Bir uygulamayı yayımladığınızda bağlayıcı grubuna atayın. Bağlayıcı grubunu istediğiniz zaman değiştirin.

Bağlayıcı grupları için kullanım örnekleri

Aşağıdaki senaryolarda bağlayıcı gruplarını kullanın.

Birbirine bağlı birden çok veri merkezine sahip siteler

Büyük kuruluşlar birden çok veri merkezi kullanır. Çapraz veri merkezi bağlantıları pahalı ve yavaş olduğundan, veri merkezinde mümkün olduğunca çok trafik tutun.

Yalnızca bu veri merkezinde yer alan uygulamalara hizmet vermek için bağlayıcıları her veri merkezine dağıtın. Bu yaklaşım, çapraz veri merkezi trafiğini azaltır ve kullanıcılar için saydamdır.

Yalıtılmış ağlara yüklenen uygulamalar

Uygulamalar, ana şirket ağının parçası olmayan ağlarda çalışır. Yalıtılmış ağlara ayrılmış bağlayıcılar yüklemek ve bu uygulamaları orada tutmak için bağlayıcı gruplarını kullanın. Bu senaryo, belirli bir uygulamayı koruyan satıcılar için yaygındır.

IaaS'de yüklü uygulamalar

Hizmet olarak altyapı (IaaS) uygulamaları için, kurumsal ağ bağımlılıkları eklemeden veya deneyimi parçalamadan tüm uygulamalara erişimin güvenliğini sağlamaya yardımcı olmak için bağlayıcı gruplarını kullanın. Her bulut veri merkezine bağlayıcılar yükleyin ve bu bağlayıcıların kapsamını bu ağdaki uygulamalar olarak belirleyin. Yüksek kullanılabilirlik için birden çok bağlayıcı yükleyin.

Örneğin, bir kuruluşun kendi IaaS tarafından barındırılan sanal ağına bağlı birkaç sanal makinesi vardır. Çalışanların bu uygulamaları kullanmasına izin vermek için, bu sanal makineler siteden siteye sanal özel ağ (VPN) aracılığıyla şirket ağına bağlanır. Siteden siteye VPN, şirket içi çalışanlara iyi bir deneyim sunar. Ancak, aşağıdaki diyagramda gösterildiği gibi erişimi yönlendirmek için daha fazla şirket içi altyapı gerektirdiğinden uzak çalışanlar için ideal değildir.

Microsoft Entra IaaS ağını gösteren diyagram.

Microsoft Entra özel ağ bağlayıcısı gruplarıyla, kurumsal ağ bağımlılıkları eklemeden tüm uygulamalara erişimin güvenliğini sağlamaya yardımcı olmak için ortak bir hizmeti etkinleştirebilirsiniz.

Microsoft Entra IaaS için birden çok bulut satıcısını gösteren diyagram.

Birden çok ormanlı bir ortamdaki her orman için farklı bağlayıcı grupları

Tek oturum açma genellikle Kerberos kısıtlanmış temsil (KCD) kullanır. Bağlayıcı makineleri, kullanıcıları uygulamaya atayabilen bir etki alanına katılır. KCD, ormanlar arası senaryoları destekler, ancak güveni olmayan farklı çok ormanlı ortamlarda tek bir bağlayıcı tüm ormanlara hizmet yapamaz.

Orman başına ayrılmış bağlayıcılar dağıtın ve bu bağlayıcıların kapsamını bu ormandaki kullanıcılar için uygulamalar olarak belirleyin. Her bağlayıcı grubu bir ormanı temsil eder. Kiracı ve deneyimin çoğu birleştirilir ve Microsoft Entra gruplarını kullanarak kullanıcıları orman uygulamalarına atarsınız.

Olağanüstü durum kurtarma siteleri

Olağanüstü durum kurtarma (DR) siteleri için dikkate alınması gereken iki yaklaşım vardır:

  • DR siteniz etkin/etkin modda çalışır ve ana site ağı ve Active Directory ayarlarıyla eşleşir. Dr sitesinde bağlayıcıları ana siteyle aynı bağlayıcı grubunda oluşturun. Microsoft Entra ID yük devretmeleri algılar.
  • DR siteniz ana siteden ayrıdır. Burada farklı bir bağlayıcı grubu oluşturun. Gerektiğinde yedekleme uygulamalarını kullanın veya mevcut uygulamaları el ile DR bağlayıcı grubuna yönlendirin.

Tek bir kiracıdan birden çok şirkete hizmet sunma

Tek bir hizmet sağlayıcısının birden çok şirket için Microsoft Entra ile ilgili hizmetleri dağıttığı ve sürdürdüğü bir model uygulayabilirsiniz. Bağlayıcı grupları, bağlayıcıları ve uygulamaları gruplara ayırmanıza yardımcı olur.

Küçük şirketler için bir seçenek, her şirket kendi etki alanı adını ve ağlarını korurken tek bir Microsoft Entra kiracısı kullanmaktır. Aynı yaklaşım, tek bir bölümün mevzuat veya iş nedeniyle çeşitli şirketlere hizmet ettiği birleştirme senaryoları ve durumlarında da çalışır.

Bağlayıcı yük dengelemesi

Bir bağlayıcı grubuna birden çok bağlayıcı eklediğinizde, grup her isteği hangi bağlayıcının işleyeceğini seçmek için farklı yöntemler kullanır.

Rasgele

Rastgele varsayılan yöntemdir. İstemciden gelen her yeni istek, bir sonraki kullanılabilir bağlayıcı sunucusuna gider.

Oturum kalıcılığı

Oturum benzitesi olarak da adlandırılan oturum kalıcılığı, belirli bir kullanıcı ve cihazdan gelen her isteği oturum süresi boyunca sürekli olarak bir grup içindeki aynı bağlayıcıya yönlendirir.

İpucu

Oturum kalıcılığı yalnızca Microsoft Entra Özel Erişim uygulamalarıyla çalışır, Microsoft Entra uygulama proxy uygulamalarıyla çalışmaz.

Bu yaklaşım, kimlik doğrulaması ve erişim denetimi listeleri (ACL) için bağlayıcı çıkış IP'sini kullanan uygulamalar için kullanışlıdır. Sürekliliği sağlar ve yinelenen kimlik doğrulaması veya veri alma gereksinimini azaltır.

Microsoft Graph API aracılığıyla uygulamadaki özelliği güncelleştirerek trafficRoutingMethod bağlayıcı yük dengelemeyi yapılandırabilirsiniz. Ayrıntılar için onPremisesPublishing kaynak türü bakınız.

Örnek yapılandırmalar

Bağlayıcı gruplarının bu örnek yapılandırmalarını göz önünde bulundurun.

Varsayılan yapılandırma: Bağlayıcı grupları için kullanım yok

Bağlayıcı gruplarını kullanmıyorsanız, yapılandırmanız aşağıdaki örneğe benzer şekilde görünür. Varsayılan proxy bağlayıcı grubu, yayımlanan tüm uygulamaları işler.

Yalnızca varsayılan bağlayıcı grubu ve yayımlanan tüm uygulamaları işleyen iki bağlayıcı içeren bir kurulumun ekran görüntüsü.

Yapılandırma küçük dağıtımlar ve testler için yeterlidir. Kuruluşunuzun düz ağ topolojisi varsa da çalışır.

Yalıtılmış ağ için bir bağlayıcı grubu

Bu yapılandırma varsayılanı genişletir. Belirli bir uygulama, IaaS sanal ağı gibi yalıtılmış bir ağda çalışır. Şirket, bu yalıtılmış ağ için bir bağlayıcı grubu oluşturdu.

Bir uygulamanın tek bağlayıcı grubuyla yalıtılmış bir IaaS sanal ağında çalıştığı uygulama ara sunucusunun ekran görüntüsü.

Büyük ve karmaşık kuruluşlar için varsayılan bağlayıcı grubunu boşta veya yeni yüklenen bağlayıcıları tutacak şekilde ayarlayın. Uygulama atamayın. Tüm uygulamalara özel bağlayıcı grupları aracılığıyla hizmet verin.

Bu örnekte şirketin iki veri merkezi (A ve B) vardır. Her siteye iki bağlayıcı hizmet eder. Her site farklı uygulamalar çalıştırır.

İki veri merkezi, site başına iki bağlayıcı, varsayılan boşta bağlayıcı grubu ve tüm uygulamalara hizmet veren özel grupları içeren önerilen kurulumun ekran görüntüsü.

İlgili içerik

  • Last updated on