使用 Microsoft Entra 應用程式 Proxy 優化流量

  • 文章

瞭解如何在使用 Microsoft Entra 應用程式 Proxy 時優化流量和網路拓撲考慮。

交通流量

透過 Microsoft Entra 應用程式 Proxy 發佈應用程式時,從使用者到應用程式的流量會流經三個連線:

  1. 用戶連線到 Azure 上的 Microsoft Entra 應用程式 Proxy 服務公用端點
  2. 專用網連接器會連線到應用程式 Proxy 服務(輸出)
  3. 專用網連接器會連線到目標應用程式

此圖顯示從使用者流向目標應用程式的流量。

將連接器群組優化,以使用最接近的應用程式 Proxy 雲端服務

當您註冊 Microsoft Entra 租使用者時,租用戶的區域會設定為您所選擇的區域。 默認應用程式 Proxy 雲端服務實例會使用與您 Microsoft Entra 租使用者相同的或最接近的區域。

例如,如果您的 Microsoft Entra 租使用者區域是英國,則預設會將所有專用網連接器指派給使用歐洲數據中心的服務實例。 當使用者存取已發佈的應用程式時,其流量會通過此位置的應用程式 Proxy 雲端服務實例。

如果您已將連接器安裝在與預設區域不同的區域中,最好變更連接器群組的優化區域,以改善存取這些應用程式的效能。 為連接器群組指定區域之後,它會連線到指定區域中的應用程式 Proxy 雲端服務。

若要將流量流量優化並降低連接器群組的延遲,請將連接器群組指派給最接近的區域。 若要指派區域:

重要

連線 ors 必須使用至少 1.5.1975.0 版才能使用這項功能。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取右上角的用戶名稱。 確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄 ],然後選擇使用應用程式 Proxy 的目錄。

  3. 流覽至 [身分>識別應用程式>企業應用程式>] 應用程式 Proxy。

  4. 選取 [新增 連線 or 群組],並提供連接器群組的名稱。

  5. [進階 設定] 下,選取 [針對特定區域優化] 下的下拉式清單,然後選取最接近連接器的區域,然後選取 [儲存]。

    設定新的連接器群組。

  6. 選取要指派給連接器群組的連接器。

    如果連接器位於使用預設區域的連接器群組中,您就只能將連接器移至您的連接器群組。 從預設連接器群組中的連接器開始。 然後將它移至適當的連接器群組。

    如果 指派任何連接器或指派給連接器的應用程式,您就只能變更連接器群組的區域。

  7. 將連接器群組指派給您的應用程式。 流量會移至優化連接器群組區域中的應用程式 Proxy 雲端服務。

降低延遲的考量

所有 Proxy 解決方案都會為您的網路連線帶來延遲。 無論您選擇哪個 Proxy 或 VPN 解決方案作為遠端存取解決方案,它一律會包含一組伺服器,以啟用公司網路內的連線。

組織通常會在其周邊網路中包含伺服器端點。 不過,透過 Microsoft Entra 應用程式 Proxy,當連接器位於公司網路上時,流量會流經雲端中的 Proxy 服務。 不需要周邊網路。

下一節包含更多建議,可協助您進一步降低延遲。

連線 or 放置

應用程式 Proxy 會根據您的租使用者位置,為您選擇實例的位置。 不過,您可以決定連接器的安裝位置,讓您能夠定義網路流量的延遲特性。

設定應用程式 Proxy 服務時,請詢問下列問題:

  • 應用程式位於何處?
  • 存取應用程式的大部分用戶位於何處?
  • 應用程式 Proxy 實例位於何處?
  • 您是否已設定 Microsoft 數據中心的專用網路連線,例如 Azure ExpressRoute 或類似的 VPN?

連接器必須與 Microsoft Entra 和您的應用程式通訊。 步驟 2 和 3 代表流量流程圖中的通訊。 連接器的位置會影響這兩個連線的延遲。 評估連接器的位置時,請記住這些點。

  • 確認連接器與 Kerberos 限制委派數據中心之間的「站臺線」(KCD)。 此外,連接器伺服器必須加入網域。
  • 盡可能接近應用程式安裝連接器。

最小化延遲的一般方法

藉由優化每個網路連線,將端對端流量的延遲降到最低。

  • 減少躍點兩端之間的距離。
  • 選擇要周遊的正確網路。 例如,由於專用連結,周遊專用網而非公用因特網的速度可能更快。

請考慮在 Microsoft 與公司網路之間使用專用 VPN 或 ExpressRoute 連結。

專注優化策略

您幾乎無法控制使用者與應用程式 Proxy 服務之間的連線。 用戶可從家庭網路、咖啡店或不同區域存取您的應用程式。 相反地,您可以優化從應用程式 Proxy 服務到專用網連接器到應用程式的連線器。 請考慮在您的環境中納入下列模式。

模式 1:將連接器放在應用程式附近

將連接器放在客戶網路中的目標應用程式附近。 此設定會將地圖中的步驟 3 降到最低,因為連接器和應用程式已關閉。

如果您的連接器需要域控制器的視線,則此模式是有利的。 大部分的客戶都會使用此模式,因為它適用於大部分案例。 此模式也可以與模式 2 結合,以將服務與連接器之間的流量優化。

模式 2:利用 ExpressRoute 與 Microsoft 對等互連

如果您已使用 Microsoft 對等互連來設定 ExpressRoute,您可以使用更快的 ExpressRoute 連線,在應用程式 Proxy 與連接器之間的流量。 連接器仍在您的網路上,靠近應用程式。

模式3:利用ExpressRoute搭配私人對等互連

如果您的專用 VPN 或 ExpressRoute 設定了 Azure 與公司網路之間的私人對等互連,您有另一個選項。 在此設定中,Azure 中的虛擬網路通常會被視為公司網路的延伸模組。 因此,您可以在 Azure 資料中心安裝連接器,但仍滿足連接器對應用程式連線器的低延遲需求。

延遲不會遭到入侵,因為流量會流過專用連線。 您也會獲得改善的應用程式 Proxy 服務對連接器延遲,因為連接器安裝在靠近 Microsoft Entra 租使用者位置的 Azure 資料中心。

顯示 Azure 資料中心內已安裝連接器的圖表

其他方法

雖然本文的重點在於連接器放置,但您也可以變更應用程式的位置,以取得更好的延遲特性。

組織越來越多地將其網路移至託管環境。 移動可讓他們將應用程式放在裝載的環境中,該環境也是其公司網路的一部分,且仍位於網域內。 在此情況下,上述各節中討論的模式可以套用至新的應用程式位置。 如果您要考慮此選項,請參閱 Microsoft Entra Domain Services

此外,請考慮使用 連接器群組 來組織連接器,以鎖定位於不同位置和網路的應用程式。

常見使用案例的圖表

在本節中,我們將逐步解說一些常見的案例。 假設 Microsoft Entra 租使用者 (因此 Proxy 服務端點) 位於 美國 (US)。 這些使用案例中討論的考慮也適用於全球其他區域。

在這些案例中,我們會將每個連線稱為「躍點」,併為其編號以方便討論:

  • 躍點 1:應用程式 Proxy 服務的使用者
  • 躍點 2:應用程式 Proxy 服務至專用網連接器
  • 躍點 3:目標應用程式的專用網連接器

使用案例 1

案例: 應用程式位於美國組織的網路中,且用戶位於相同區域。 Azure 數據中心與公司網路之間沒有 ExpressRoute 或 VPN。

建議: 遵循上一節中所述的模式 1。 如需改善的延遲,請考慮視需要使用 ExpressRoute。

將連接器放在應用程式附近,將躍點 3 優化。 連接器通常會與應用程式及資料中心的視線一起安裝,以執行 KCD 作業。

顯示使用者、Proxy、連接器和應用程式的圖表全都在美國。

使用案例 2

案例: 應用程式在美國的組織網路中,使用者分散到全球。 Azure 數據中心與公司網路之間沒有 ExpressRoute 或 VPN。

建議: 遵循上一節中所述的模式 1。

同樣地,常見的模式是將躍點 3 優化,您可以在其中將連接器放在應用程式附近。 躍點 3 通常並不昂貴,如果全都在相同的區域內。 不過,視使用者所在的位置而定,躍點 1 可能更昂貴,因為世界各地的用戶必須存取美國的應用程式 Proxy 實例。 值得注意的是,任何 Proxy 解決方案都有與全域分散的用戶類似的特性。

使用者在全球傳播,但其他一切都在美國

使用案例 3

案例: 應用程式在美國的組織網路。 ExpressRoute 與 Microsoft 對等互連存在於 Azure 與公司網路之間。

建議: 遵循上一節中所述的模式 1 和 2。

首先,盡可能將連接器放在應用程式附近。 然後,系統會自動針對躍點 2 使用 ExpressRoute。

如果 ExpressRoute 連結使用 Microsoft 對等互連,Proxy 與連接器之間的流量會流過該連結。 躍點 2 使用最佳延遲。

顯示 Proxy 與連接器之間 ExpressRoute 的圖表

使用案例 4

案例: 應用程式在美國的組織網路。 具有私人對等互連的 ExpressRoute 存在於 Azure 與公司網路之間。

建議: 遵循上一節中所述的模式 3。

將連接器放在透過 ExpressRoute 私人對等互連連線到公司網路的 Azure 資料中心。

連接器可以放在 Azure 資料中心。 由於連接器仍可透過專用網查看應用程式和數據中心,因此躍點 3 仍會保持優化。 此外,躍點 2 也會進一步優化。

在 Azure 資料中心 連線 或連接器與應用程式之間的 ExpressRoute

使用案例 5

案例: 應用程式位於組織的歐洲網路,預設租用戶區域為美國,且歐洲大部分使用者。

建議: 將連接器放在應用程式附近。 更新連接器群組以使用歐洲應用程式 Proxy 服務實例。 如需步驟, 請優化連接器群組以使用最接近的應用程式 Proxy 雲端服務

因為歐洲使用者正在存取恰好在相同區域中的應用程式 Proxy 實例,因此躍點 1 並不昂貴。 躍點 3 已優化。 請考慮使用 ExpressRoute 將躍點 2 優化。

使用案例 6

案例: 應用程式位於歐洲的組織網路,預設租用戶區域為美國,大部分使用者都在美國。

建議: 將連接器放在應用程式附近。 更新連接器群組以使用歐洲應用程式 Proxy 服務實例。 如需步驟, 請優化連接器群組以使用最接近的應用程式 Proxy 雲端服務。 躍點 1 可能更昂貴,因為所有美國用戶都必須存取歐洲的應用程式 Proxy 實例。

在此情況下,您也可以考慮使用其他變體。 如果組織中的大部分使用者都在美國,則您的網路也會延伸到美國。 將連接器放在美國,繼續使用您連接器群組的預設美國區域,並使用歐洲應用程式的專用內部公司網路線路。 如此一來,躍點 2 和 3 會優化。

圖表顯示美國的使用者、Proxy 和連接器、歐洲應用程式。

下一步