了解 Microsoft Entra 专用网络连接器
连接器使 Microsoft Entra 专用访问和应用程序代理成为可能。 连接器的形式简单、易于部署和维护,且功能超强。 本文介绍连接器的概念及其工作原理,以及有关如何优化部署的建议。
什么是专用网络连接器?
连接器是位于专用网络中的轻型代理,能够帮助与 Microsoft Entra 专用访问和应用程序代理服务建立出站连接。 必须将连接器安装在能够访问后端资源的 Windows Server 上。 可将连接器组织为连接器组,每个组处理发往特定资源的流量。 有关应用程序代理的详细信息和应用程序代理体系结构的关系图表示形式,请参阅使用 Microsoft Entra 应用程序代理为远程用户发布本地应用。
要了解如何配置 Microsoft Entra 专用网络连接器,请参阅如何为 Microsoft Entra 专用访问配置专用网络连接器。
专用网络连接器是本地部署的轻型代理,可帮助与云中的应用程序代理服务建立出站连接。 必须将连接器安装在能够访问后端应用程序的 Windows Server 上。 用户通过连接器连接到应用程序代理云服务,以将其流量路由到应用。
按如下所述在连接器与应用程序代理服务之间完成设置和注册:
- IT 管理员为出站流量打开端口 80 和 443,并允许访问连接器、应用程序代理服务和 Microsoft Entra ID 所需的多个 URL。
- 管理员登录到 Microsoft Entra 管理中心并运行一个可执行文件,以在本地 Windows 服务器上安装连接器。
- 该连接器开始“侦听”应用程序代理服务。
- 管理员将本地应用程序添加到 Microsoft Entra ID 并配置相应的设置,例如用户在连接到其应用时所需的 URL。
建议始终部署多个连接器,以实现冗余和缩放。 连接器与服务相结合可以处理所有高可用性任务,并可动态添加或删除。 每当有新请求抵达时,该请求会路由到可用的连接器之一。 当连接器运行时,它会在连接到服务时保持活动状态。 如果某个连接器暂时不可用,它不会对此流量做出响应。 未使用的连接器标记为非活动状态,保持这种状态 10 天后将被删除。
连接器还会轮询服务器,确定是否有更高版本的连接器。 尽管你可以执行手动更新,但只要专用网络连接器更新程序服务保持运行,连接器就会自动更新。 对于有多个连接器的租户,每次自动更新每个组中的一个连接器,以防环境中出现停机现象。
注意
可以监视版本历史记录页,随时了解最新更新。
每个专用网络连接器将分配到连接器组。 同一连接器组中的连接器充当高可用性和负载均衡的一个单位。 可以创建新组,在 Microsoft Entra 管理中心中将连接器分配到这些组,然后分配特定的连接器来为特定的应用程序提供服务。 建议在每个连接器组中至少分配两个连接器,以实现高可用性。
需要支持以下方案时,连接器组非常有用:
- 地理应用发布
- 应用程序分段/隔离
- 发布云中或本地运行的 Web 应用
有关选择在何处安装连接器和优化网络的详细信息,请参阅使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项。
维护
连接器和服务负责处理所有的高可用性任务。 可以动态添加或删除这些连接器和服务。 新请求将路由到可用连接器之一。 如果某个连接器暂时不可用,它不会对此流量做出响应。
连接器是无状态的,在计算机上没有配置数据。 它们存储的唯一数据是有关连接服务的设置及其身份验证证书。 连接器在连接到服务时,将提取全部所需的配置数据,并每隔几分钟刷新这些数据。
连接器还会轮询服务器,以确定是否有更新版本的连接器。 如果找到了更高的版本,连接器将更新自身。
你可以在运行连接器的计算机上使用事件日志和性能计数器来监视连接器。 有关详细信息,请参阅监视和查看本地 Microsoft Entra 的日志。
也可在 Microsoft Entra 管理中心查看其状态。 对于 Microsoft Entra 专用访问,请导航到“全局安全访问(预览版)”、“连接”,并选择“连接器”。 对于应用程序代理,请导航到“标识”、“应用程序”、“企业应用程序”,并选择应用程序。 在应用程序页上,选择应用程序代理。
无需手动删除未使用的连接器。 当连接器运行时,它会在连接到服务时保持活动状态。 未使用的连接器标记为 _inactive_
,保持不活动状态 10 天后将被移除。 不过,如果想要卸载某个连接器,则需要在服务器中卸载连接器服务和更新程序服务。 重启计算机以完全移除该服务。
自动更新
Microsoft Entra ID 为部署的所有连接器提供自动更新。 只要专用网络连接器更新服务保持运行,连接器就会自动使用最新的主要连接器版本进行更新。 如果在服务器上未看到连接器更新服务,需要重新安装连接器才能获得更新。
如果不想等连接器自动更新,可以执行手动升级。 转到连接器所在服务器上的连接器下载页,选择“下载”。 此过程启动本地连接器升级。
对于有多个连接器的租户,每次自动更新每个组中的一个连接器,以防环境中出现停机现象。
如果存在以下情况,可能会在连接器更新时出现故障:
- 只有一个连接器。 建议使用另一个连接器和一个连接器组,以避免出现故障并提供更高的可用性。
- 更新开始时,连接器处于事务中间。 尽管初始事务已丢失,但浏览器应会自动重试操作,或者你可以自行刷新页面。 重新发送请求时,流量将路由到备份连接器。
若要查看有关以前发布的版本及其包含的更改的信息,请参阅应用程序代理 - 版本发布历史记录。
创建连接器组
通过连接器组,可以分配特定连接器,以便为特定的应用程序提供服务。 可以将大量连接器组合到一起,然后将每个资源或应用程序分配给一个组。
使用连接器组,可以更轻松地管理大型部署。 它们还可以改善在不同区域托管资源和应用程序的租户的延迟,因为可以创建基于位置的连接器组,从而仅为本地应用程序提供服务。
要详细了解连接器组,请参阅了解 Microsoft Entra 专用网络连接器组。
容量计划
在连接器之间规划足够的容量,以处理预期的流量。 连接器组中至少有两个连接器提供高可用性和缩放。 但三个连接器是最佳的。
该表提供了不同计算机规格的流量和预期延迟。 数据将基于预期的每秒事务数 (TPS),而不是用户,因为使用模式会有所不同,并且不能用于预测负载。 有一些差异是基于响应大小和后端应用程序响应时间 - 较大的响应大小和较慢的响应时间将导致较低的最大 TPS。 更多的计算机将会分配负载并提供充足的缓冲区。 额外的容量可确保高可用性和复原能力。
核心数 | RAM | 预期的延迟 (MS)-P99 | 最大 TPS |
---|---|---|---|
2 | 8 | 325 | 586 |
4 | 16 | 320 | 1150 |
8 | 32 | 270 | 1190 |
16 | 64 | 245 | 1200* |
* 该计算机使用了自定义设置来提高某些默认连接限制,使之超过 .NET 推荐的设置。 我们建议先使用默认设置运行测试,再联系支持人员以为你的租户更改此限制。
注意
在 4 核心、8 核心和 16 核心计算机之间,最大 TPS 没有多大区别。 主要区别在于预期延迟。
该表重点展示了连接器的预期性能,该性能具体取决于其安装在何种类型的计算机上。 这不同于服务的限制,请参阅服务限制和局限性。
安全和网络
连接器可安装在网络中的任意位置,只要该位置允许连接器向 Microsoft Entra 专用访问和应用程序代理服务发送请求即可。 重要的是,运行连接器的计算机还有权访问应用和资源。 可将连接器安装在企业网络内部,或云中运行的虚拟机上。 连接器可在外围网络(也称为外围安全区域 (DMZ))中运行,但不一定要这样做,因为所有流量都是出站的,网络始终是安全的。
连接器只会发送出站请求。 出站流量发送到服务以及已发布的资源和应用程序。 无需打开入站端口,因为一旦建立会话,流量就会双向流动。 也无需通过防火墙配置入站访问。
有关配置出站防火墙规则的详细信息,请参阅使用现有的本地代理服务器。
性能和可伸缩性
Microsoft Entra 专用访问和应用程序代理服务的规模是透明的,但对于连接器而言,但规模是一个因素。 需要提供足够的连接器才能处理高峰流量。 连接器是无状态的,用户或会话数不会影响它们。 而会对请求的数目及其有效负载大小进行响应。 使用标准 Web 流量,普通计算机每秒可以处理 2,000 个请求。 具体能够处理多少,取决于确切的计算机特征。
CPU 和网络将定义连接器性能。 TLS 加密和解密依赖于 CPU 性能,而网络性能对于快速连接到应用程序和联机服务非常重要。
相比之下,内存对于连接器来说不是一个很大的问题。 联机服务会处理大部分处理负载,以及所有未经身份验证的流量。 可在云中完成的所有任务会在云中完成。
当连接器或计算机不可用时,流量将转到组中的另一个连接器。 连接器组中的多个连接器将提供复原能力。
影响性能的另一个因素是连接器之间的网络质量,包括:
- 联机服务:如果到 Microsoft Entra 服务的连接速度缓慢或延迟较高,则会影响连接器的性能。 为获得最佳性能,请使用 Express Route 将组织连接到 Microsoft。 否则,网络团队应确保以尽量高效的方式来处理 Microsoft 的连接。
- 后端应用程序:在某些情况下,连接器与后端资源和应用程序之间存在额外的代理,这些代理可能会减慢或阻止连接。 要排查这种情况,请从连接器服务器打开浏览器,并尝试访问应用程序或资源。 如果连接器在云端运行,而应用程序位于本地,则用户的体验可能与期望不符。
- 域控制器:如果连接器使用 Kerberos 约束委派执行单一登录 (SSO),在向后端发送请求之前,它们会联系域控制器。 连接器提供 Kerberos 票证缓存,但在繁忙的环境中,域控制器的响应能力可能会影响性能。 如果连接器在 Azure 中运行但与本地的域控制器通信,则更容易出现此问题。
有关优化网络的详细信息,请参阅使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项。
域加入
连接器可在未加入域的计算机上运行。 但是,如果想要对使用集成 Windows 身份验证 (IWA) 的应用程序使用单一登录 (SSO),则需要一个已加入域的计算机。 在这种情况下,必须将连接器计算机加入到可代表已发布应用程序的用户执行 Kerberos 约束委派的域。
还可以将连接器加入到具有部分信任的域或林,或者加入到只读的域控制器。
强化的环境中的连接器部署
通常,连接器部署直截了当,无需经过特殊的配置。
但应当考虑一些特殊条件:
- 出站流量需要打开特定的端口。 若要了解详细信息,请参阅配置连接器。
- 符合 FIPS 的计算机可能需要进行配置更改,以允许连接器进程生成和存储证书。
- 出站转发代理可能会中断双向证书身份验证,并导致通信失败。
连接器身份验证
为了提供安全服务,连接器必须向服务执行身份验证,而服务必须向连接器执行身份验证。 当连接器发起连接时,将使用客户端和服务器证书完成这种身份验证。 这样,管理员的用户名和密码就不会存储在连接器计算机上。
使用的证书特定于服务。 它们是在初始注册期间创建的,每隔几个月自动续订一次。
首次成功续订证书后,Microsoft Entra 专用网络连接器服务(网络服务)无权从本地计算机存储中移除旧证书。 如果证书过期或未供服务使用,则可以安全地将其删除。
为避免证书续订问题,请确保已启用从连接器到记录的目标的网络通信。
如果连接器几个月未连接到服务,则其证书可能已过时。 在这种情况下,需卸载后重装连接器来触发注册。 可运行以下 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
对于政府,请使用 -EnvironmentName "AzureUSGovernment"
。 有关详细信息,请参阅为 Azure 政府云安装代理。
若要了解如何验证证书和排查问题,请参阅验证计算机和后端组件是否支持应用程序代理信任证书。
揭秘
连接器安装在 Windows Server 上,因此它们拥有大部分相同的管理工具,包括 Windows 事件日志和 Windows 性能计数器。
连接器提供管理日志和会话日志 。 管理日志包含关键事件及其错误。 会话日志包含所有事务及其处理详细信息。
要查看日志,请打开“事件查看器”,然后转到“应用程序和服务日志”>“Microsoft”>“Microsoft Entra 专用网络”>“连接器”。 若要使会话日志可见,请在“视图”菜单上选择“显示分析和调试日志” 。 会话日志通常用于故障排除,默认情况下处于禁用状态。 可以启用它以开始收集事件,并在不再需要时将其禁用。
可在“服务”窗口中检查服务的状态。 连接器由两个 Windows 服务组成:实际的连接器和更新程序。 二者都必须一直运行。
非活动连接器
一个常见问题是连接器在连接器组中显示为非活动状态。 阻止所需端口的防火墙是连接器处于非活动状态的常见原因。
使用条款
使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时,需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺,详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”),以及随预览版一起提供的任何其他通知。