通过

Microsoft Entra 专用网络连接器

连接器使 Microsoft Entra Private Access 和应用程序代理成为可能。 本文介绍什么是连接器、连接器的工作原理以及如何优化部署。

什么是专用网络连接器?

专用网络连接器是在网络内的 Windows Server 上安装的轻型代理。 它们创建到私有访问和应用代理服务的出站连接,以便访问后端资源。

用户连接到云服务,该服务通过连接器将流量路由到应用。 有关体系结构概述,请参阅 使用 Microsoft Entra 应用程序代理为远程用户发布本地应用

若要在应用程序代理服务中设置和注册连接器,请执行以下作:

  1. 打开出站端口 80 和 443,并允许访问所需的服务和Microsoft Entra ID URL。
  2. 登录到 Microsoft Entra 管理中心,并在本地 Windows Server 计算机上运行安装程序。
  3. 启动连接器,以便侦听应用程序代理服务。
  4. 将本地应用程序添加到 Microsoft Entra ID,并设置面向用户的 URL。

有关设置的详细信息,请参阅 如何为 Microsoft Entra Private Access 和应用程序代理配置专用网络连接器

连接器和服务共同确保高可用性。 可以随时添加或删除连接器。

连接器组

可以将连接器组织到处理特定资源的流量的连接器组中。 同一组中的连接器充当单个单元以实现高可用性和负载均衡。

在 Microsoft Entra 管理中心创建组并分配连接器,然后将组映射到特定应用程序。 在每个组中至少使用两个连接器以实现高可用性。

将连接器组用于:

  • 地理应用程序发布。
  • 应用程序分段和隔离。
  • 发布在云或本地运行的 Web 应用。

连接器组简化了大型部署的管理。 它们可以减少在不同区域中具有资源和应用程序的租户的延迟。 创建基于位置的连接器组,以仅为本地应用程序提供服务。

Microsoft Entra 专用网络连接器组中了解详细信息。

维护

服务将新请求路由到可用的连接器。 如果连接器暂时不可用,则它不会接收流量。

连接器是无状态的,不会在计算机上存储任何配置数据。 它们仅存储用于连接到服务和身份验证证书的设置。 连接到服务时,会拉取所需的配置数据,每隔几分钟刷新一次。

连接器状态

可以在 Microsoft Entra 管理中心查看连接器的状态:

  • 对于专用访问:转到 全局安全访问>连接>连接器
  • 对于应用程序代理:转到 身份识别>应用程序>企业应用程序,然后选择该应用程序。 在应用程序页上,选择 “应用程序代理”。

日志

连接器安装在 Windows Server 上,因此它们具有大多数相同的管理工具。 可以使用 Windows 事件日志和 Windows 性能计数器监视连接器。

连接器同时具有 管理员 日志和 会话 日志。 管理日志包含关键事件及其错误。 会话日志包含所有事务及其处理详细信息。

若要查看日志,请执行以下操作:

  1. 打开 事件查看器 ,转到 应用程序和服务日志>Microsoft>Microsoft Entra 专用网络>连接器

    默认情况下, 管理员 日志可见。

  2. 若要使会话日志可见,请在“视图”菜单上选择“显示分析和调试日志” 。

    会话日志通常用于故障排除,默认情况下处于禁用状态。 启用它开始收集事件,不再需要时将其禁用。

服务状态

连接器由两个 Windows 服务组成:实际连接器和更新程序。 二者都必须一直运行。 可以在 “服务” 窗口中检查服务的状态。

处理连接器服务器问题

如果出现服务器、网络或类似故障导致一个或多个连接器服务器停机,请按照以下步骤保持服务的连续性,

  1. 识别并删除连接器组中受影响的服务器。
  2. 将可用的正常运行的服务器或备份服务器添加到连接器组中以还原容量。
  3. 重启受影响的服务器以耗尽任何预先存在的连接。 现有的正在进行的连接在连接器组发生更改时不会立即断开。

使用此序列使服务保持稳定,并在连接器服务器出现问题时最大程度地减少中断。

连接器更新

Microsoft Entra ID 偶尔会为部署的连接器提供自动更新。 连接器轮询更新程序服务以获取更新。 当较新版本可用于自动更新时,连接器会自行更新。 只要更新程序服务正在运行,连接器就可以自动更新到最新的主连接器版本。 如果在服务器上看不到更新程序服务,则需要重新安装连接器以获取更新。

并非所有版本都计划自动更新。 监视 版本历史记录页 ,以查看更新是自动部署还是需要在 Microsoft Entra 门户中手动部署。 如果需要手动更新,请在托管连接器的服务器上转到 连接器下载页 ,然后选择“ 下载”。 此操作将启动对本地连接器的更新。

在具有多个连接器的租户中,自动更新在每个组中一次针对一个连接器,以防止停机。 如果出现以下情况,可能会在更新期间遇到停机:

  • 你只有一个连接器。 若要避免停机并提供更高的可用性,请添加第二个连接器和连接器组。
  • 更新在连接器处理事务时启动。 初始事务丢失,但浏览器会自动重试作,也可以刷新页面。 重新发送的请求将路由到备份连接器。

有关以前版本及其更改的详细信息,请参阅 Microsoft Entra 专用网络连接器:版本发布历史记录

安全和网络

可以在网络上的任意位置安装连接器,以便将请求发送到专用访问和应用程序代理服务。 重要的是,运行连接器的计算机还有权访问应用和资源。

可以在企业网络或云中运行的虚拟机(VM)上安装连接器。 连接器可以在外围网络中运行,但没有必要,因为所有流量都是出于网络安全而出站的。

连接器只会发送出站请求。 出站流量发送到服务以及已发布的资源和应用程序。 无需打开入站端口,因为建立会话后流量会双向流动。 也无需通过防火墙配置入站访问。

性能和可伸缩性

私有访问和应用程序代理服务的可扩展性是透明的,但对于连接器来说,可扩展性是一个影响因素。 需要提供足够的连接器才能处理高峰流量。

连接器是无状态的,用户或会话数不会影响它们。 而是响应于请求的数量和负载大小。 使用标准 Web 流量,普通计算机每秒可以处理 2,000 个请求。 具体能够处理多少,取决于确切的计算机特征。

CPU 和网络定义连接器性能。 TLS 加密和解密需要 CPU 性能,而网络对于快速连接到应用程序和联机服务非常重要。

相比之下,内存对于连接器来说不是一个很大的问题。 联机服务会处理大部分处理负载,以及所有未经身份验证的流量。 可在云中完成的所有任务会在云中完成。

当连接器或计算机不可用时,流量将转到组中的另一个连接器。 连接器组中的多个连接器将提供复原能力。

影响性能的另一个因素是连接器之间的网络质量,包括:

  • 联机服务:与 Microsoft Entra 服务的慢速或高延迟连接会影响连接器性能。 为了获得最佳性能,请通过 Azure ExpressRoute 将组织连接到Microsoft。 否则,网络团队应确保以尽量高效的方式来处理 Microsoft 的连接。
  • 后端应用程序:在某些情况下,连接器与后端资源和应用程序之间存在额外的代理,这些代理可能会减慢或阻止连接。 要排查这种情况,请从连接器服务器打开浏览器,并尝试访问应用程序或资源。 如果连接器在云端运行,而应用程序位于本地,则用户的体验可能与期望不符。
  • 域控制器:如果连接器使用 Kerberos 约束委派(KCD)执行单一登录(SSO),则它们在将请求发送到后端之前联系域控制器。 连接器有 Kerberos 票证的缓存,但域控制器的响应能力可能会影响繁忙环境中的性能。 如果连接器在 Azure 中运行但与本地的域控制器通信,则更容易出现此问题。

有关在何处安装连接器以及如何优化网络的指导,请参阅 使用 Microsoft Entra 应用程序代理优化流量流

扩展临时端口范围

专用网络连接器启动到指定目标终结点的 TCP 和 UDP 连接。 这些连接需要连接器主机上的可用源端口。 扩展临时端口范围可以提高源端口的可用性,尤其是在管理大量并发连接时。

若要查看系统上的当前动态端口范围,请使用以下命令 netsh

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

下面是用于增加端口的示例 netsh 命令:

  • netsh int ipv4 set dynamicport tcp start=1025 num=64511
  • netsh int ipv4 set dynamicport udp start=1025 num=64511
  • netsh int ipv6 set dynamicport tcp start=1025 num=64511
  • netsh int ipv6 set dynamicport udp start=1025 num=64511

这些命令将动态端口范围从 1025 设置为最大 65535。 最小启动端口为 1025。

规格和尺寸要求

建议为每个 Microsoft Entra 专用网络连接器使用以下规范:

  • 内存:8 GiB 或更多。
  • CPU:四个 CPU 核心或更多。

使每个连接器的 CPU 和内存使用率保持在 70%以下。 如果持续利用率超过 70%,请将连接器添加到组中或扩展主机容量以分配负载。 使用 Windows 性能计数器进行监视,以验证利用率是否返回可接受的范围。

Azure VM 上的每个连接器最多可以达到 1.5 Gbps 聚合 TCP 吞吐量(入站和出站),其大小为 4 个 vCPU 和 8 GiB RAM(标准网络)。 可以通过使用更大的 VM 大小(更多 vCPU、更多内存和加速或高带宽 NIC)或在同一组中添加更多连接器来横向扩展来实现更高的吞吐量。

我们从在专用测试租户中使用 iPerf3 TCP 数据流的受控实验室测试派生了此性能指南。 实际吞吐量可能因以下情况而异:

  • CPU 生成。
  • NIC 功能(加速网络、卸载)。
  • TLS 密码套件。
  • 网络延迟和抖动。
  • 数据包丢失。
  • 并发协议组合(HTTPS、SMB、RDP)。
  • 中间设备(防火墙、IDS/IPS、SSL 检查)。
  • 后端应用程序响应能力。

基于场景的基准数据(混合工作负载、高连接并发性、延迟敏感型应用程序)将在其可用时添加到本文档。

注册连接器后,它会建立到私有访问云基础设施的出站 TLS 隧道。 这些隧道处理所有数据路径流量。 此外,控制平面通道使用最小带宽来支持保活心跳、运行状况报告、连接器更新和其他功能。

如果有足够的网络和 Internet 连接可用,则可以在同一连接器组中部署更多连接器,以提高整体吞吐量。 建议至少维护两个正常运行的连接器,以确保复原能力和一致的可用性。

若要了解详细信息,请参阅 连接器高可用性的最佳做法

域加入

连接器可以在未加入域的计算机上运行。 但是,如果希望 SSO 到使用集成 Windows 身份验证的应用程序,则需要已加入域的计算机。 在这种情况下,连接器设备必须加入一个能够代表用户为已发布的应用程序执行 KCD 的域。

还可以将连接器连接至:

  • 具有部分信任的林中的域。
  • 只读域控制器。

强化环境中的连接器部署

通常,连接器部署直截了当,无需经过特殊的配置。 但请考虑以下唯一条件:

  • 出站流量需要开放特定的端口(80和443)。
  • 符合 FIPS 的计算机可能需要进行配置更改,以允许连接器进程生成和存储证书。
  • 出站转发代理可能会中断双向证书身份验证,并导致通信失败。

连接器身份验证

为了提供安全服务,连接器必须向服务执行身份验证,而服务必须向连接器执行身份验证。 当连接器启动连接时,此身份验证使用客户端和服务器证书。 这样,管理员的用户名和密码就不会存储在连接器计算机上。

这些证书是专门为该服务设定的。 它们是在初始注册期间创建的,每隔几个月自动续订一次。

首次成功续订证书后,连接器服务无权从本地计算机存储中删除旧证书。 如果证书过期或服务未使用它,则可以安全地将其删除。

为了避免证书续订出现问题,请确保启用从连接器到记录目标的网络通信。

如果连接器几个月未连接到服务,则其证书可能已过时。 在这种情况下,需卸载后重装连接器来触发注册。 可运行以下 PowerShell 命令:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

对于 Azure 政府版,请使用 -EnvironmentName "AzureUSGovernment"。 有关详细信息,请参阅 安装 Azure 政府云的代理

若要了解如何验证证书并解决问题,请参阅 排查安装专用网络连接器时遇到的问题

非活动连接器

无需手动删除未使用的连接器。 服务将非活动连接器标记为非活动连接器 _inactive_ ,并在 10 天后将其删除。

若要卸载连接器,请同时卸载连接器服务和更新程序服务。 然后重启计算机。

如果预期处于活动状态的连接器在连接器组中显示为非活动状态,防火墙可能会阻止所需的端口。 有关配置出站防火墙规则的详细信息,请参阅使用现有的本地代理服务器

相关内容

  • Last updated on