分享方式:


使用 Microsoft Entra 應用程式 Proxy 將流量最佳化

了解如何在使用 Microsoft Entra 應用程式 Proxy 時將流量最佳化,以及網路拓撲考量。

交通流量

當應用程式透過 Microsoft Entra 應用程式 Proxy 發佈時,來自使用者往應用程式的流量會流過三個連線:

  1. 使用者會連線至 Azure 上的 Microsoft Entra 應用程式 Proxy 服務公用端點
  2. 私人網路連接器連線至應用程式 Proxy 服務 (輸出)
  3. 私人網路連接器會連線到目標應用程式

此圖顯示從使用者到目標應用程式的流量。

將連接器群組最佳化,以使用最接近的應用程式 Proxy 雲端服務

當您註冊 Microsoft Entra 租用戶時,租用戶的區域會設定為您所選擇的區域。 預設應用程式 Proxy 雲端服務執行個體會使用與您 Microsoft Entra 租用戶相同的或最接近的區域。

比方說,如果 Microsoft Entra 租用戶的區域是英國,則會指派預設區域的所有私人網路連接器使用歐洲資料中心的服務執行個體。 當使用者存取已發佈的應用程式時,其流量會通過此位置的應用程式 Proxy 雲端服務執行個體。

如果您安裝連接器的區域不是預設區域,則最好改成連接器群組最適合的區域,以提高存取這些應用程式時的效能。 指定連接器群組的區域之後,連接器群組就會連線至指定區域中的應用程式 Proxy 雲端服務。

為了將流量最佳化,並減少連接器群組的延遲,請將連接器群組指派給最接近的區域。 若要指派區域:

重要

連接器必須使用至少 1.5.1975.0 版,才能使用此功能。

  1. 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 在右上角選取您的使用者名稱。 請確認您已登入使用應用程式 Proxy 的目錄。 如果您需要變更目錄,請選取 [切換目錄],然後選擇使用應用程式 Proxy 的目錄。

  3. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [應用程式 Proxy]

  4. 選取 [新增連接器群組],並提供連接器群組的 [名稱]

  5. 在 [進階設定] 下,選取 [針對特定區域最佳化] 下的下拉式清單並選取最接近連接器的區域,然後選取 [儲存]

    設定新的連接器群組。

  6. 選取要指派給連接器群組的連接器。

    連接器必須在使用預設區域的連接器群組中,才能移至您的連接器群組。 從預設連接器群組中的連接器開始。 然後將它移至適當的連接器群組。

    必須沒有連接器或應用程式指派給連接器群組,您才能變更連接器群組的區域。

  7. 將連接器群組指派給您的應用程式。 流量會移至最佳化連接器群組區域中的應用程式 Proxy 雲端服務。

降低延遲的考量

所有 Proxy 解決方案都會在您的網路連線中造成延遲。 不論您選擇哪一個 Proxy 或 VPN 解決方案做為遠端存取解決方案,它一定包含一組伺服器,啟用您公司網路內部的連線。

組織通常包含其周邊網路中的伺服器端點。 不過,使用 Microsoft Entra 應用程式 Proxy,流量會流過雲端中的 Proxy 服務,而連接器位於公司的網路上。 不需要周邊網路。

下一節包含的其他建議可協助您進一步降低延遲。

連接器放置

應用程式 Proxy 會根據您的租用戶位置,為您選擇執行個體的位置。 不過,您可以決定在何處安裝連接器,讓您能夠定義網路流量的延遲特性。

設定應用程式 Proxy 服務時,請詢問下列問題:

  • 應用程式位於何處?
  • 大多數存取應用程式的使用者位於何處?
  • 應用程式 Proxy 執行個體所在的位置?
  • 您是否已設定 Microsoft 資料中心的專用網路連線,例如 Azure ExpressRoute 或類似的 VPN?

連接器必須與 Microsoft Entra ID 和您的應用程式通訊。 步驟 2 和 3 代表流量圖中的通訊。 連接器的位置會影響這兩個連線的延遲。 評估連接器的位置時,請記住下列幾點。

  • 確認連接器和資料中心之間的 Kerberos 限制委派 (KCD) 的「網站線路」。 此外,連接器伺服器必須加入網域。
  • 首先,盡可能將連接器放置接近應用程式。

將延遲降至最低的常見方式

最佳化每個網路連線,即可將端對端流量的延遲降至最低。

  • 減少躍點兩端之間的距離。
  • 選擇正確的網路來周遊。 例如,周遊私人網路而非公用網際網路可能會因為專用的連結而更快。

請考慮使用 Microsoft 與公司網路之間的專用 VPN 或 ExpressRoute 連結。

專注於最佳化策略

您幾乎沒有辦法可以控制您的使用者與應用程式 Proxy 服務之間的連線。 使用者可以從家用網路、咖啡廳或不同的區域存取您的應用程式。 反之,您可以將應用程式 Proxy 服務與應用程式的私人網路連接器之連線最佳化。 請考慮將下列模式整合在您的環境中。

模式 1︰將連接器放在應用程式附近

將連接器放在接近客戶網路中的目標應用程式。 因為連接器和應用程式已關閉,這項設定會將拓撲圖表中的步驟 3 降到最低。

如果您的連接器需要能夠觀察網域控制站,此模式是有利的。 大部分的客戶會使用此模式,因為它非常適合大部分情節。 還可以將這個模式與模式 2 結合,以將服務與連接器之間的流量最佳化。

模式 2:利用 ExpressRoute 搭配 Microsoft 對等互連

如果 ExpressRoute 已設定 Microsoft 對等互連,您可以對應用程式 Proxy 與連接器之間的流量利用更快速的 ExpressRoute 連線。 連接器仍在您的網路上,接近應用程式。

模式 3︰利用具有私人對等互連的 ExpressRoute

如果有專用的 VPN 或 ExpressRoute 在 Azure 和公司網路之間設定私人對等互連,您會有另一個選項。 在此組態中,Azure 中的虛擬網路通常會被視為公司網路的擴充功能。 因此,您可以在 Azure 資料中心內安裝連接器,並仍能滿足連接器對應用程式連線之低延遲需求。

延遲不會受到危害,因為流量會流經專用連線。 您的應用程式 Proxy 服務對連接器延遲也會有所改進,因為連接器會安裝在接近 Microsoft Entra 租用戶位置的 Azure 資料中心。

顯示安裝在 Azure 資料中心內之連接器的圖表

其他方法

雖然本文的重點是連接器放置,但您也可以變更應用程式的位置,以取得較佳的延遲特性。

有愈來愈多的組織將其網路移至託管環境。 這可讓它們將自己的應用程式放在託管環境中,這也是其公司網路的一部分,並仍在網域內。 在此情況下,前幾節中所討論的模式可以套用至新的應用程式位置。 如果您正在考慮此選項,請參閱 Microsoft Entra Domain Services

此外,請考慮使用連接器群組來組織連接器,以鎖定位於不同位置和網路的應用程式。

常見使用案例的圖表

在本節中,我們將逐步解說幾個常見案例。 假設 Microsoft Entra 租用戶 (以及 Proxy 服務端點) 位於美國 (US)。 這些使用案例中討論的考量也適用於全球各地的其他區域。

這些情況下,我們將每個連線稱為「躍點」,並將它們編號以便於討論︰

  • 躍點 1:使用者至應用程式 Proxy 服務
  • 躍點 2︰應用程式 Proxy 服務至私人網路連接器
  • 躍點 3:私人網路連接器至目標應用程式

使用案例 1

案例︰應用程式在美國組織的網路中,其使用者位於相同的區域中。 Azure 資料中心與公司網路之間沒有 ExpressRoute 或 VPN 存在。

建議︰遵循模式 1,如上一節所述。 如需改良的延遲,請視需要考慮使用 ExpressRoute。

將連接器放在應用程式附近,以最佳化躍點 3。 連接器通常安裝在直視應用程式及資料中心以執行 KCD 作業。

此圖顯示使用者、Proxy、連接器及應用程式全都位於美國。

使用案例 2

案例︰應用程式在美國組織的網路中,其使用者分散於全球各地。 Azure 資料中心與公司網路之間沒有 ExpressRoute 或 VPN 存在。

建議︰遵循模式 1,如上一節所述。

同樣地,最常見的模式是最佳化躍點 3,您將連接器放在應用程式附近的位置。 躍點 3 通常不是高成本,如果全部都在相同區域內。 不過,躍點 1 可能會根據使用者所在的位置而更高成本,因為世界各地的使用者必須存取美國的應用程式 Proxy 執行個體。 值得注意的是,就散佈於全球的使用者而言,任何 Proxy 解決方案會有相似特性。

使用者散佈於全球,但其他所有項目都位於美國

使用案例 3

案例︰應用程式在美國組織的網路中。 Azure 與公司網路之間存在使用 Microsoft 對等互連的 ExpressRoute。

建議︰遵循模式 1 和 2,如上一節所述。

首先,盡可能將連接器放置接近應用程式。 然後,系統會自動使用躍點 2 的 ExpressRoute。

如果 ExpressRoute 連結使用 Microsoft 對等互連,則 Proxy 與連接器之間的流量會流過該連結。 躍點 2 使用最佳延遲。

圖表顯示 Proxy 與連接器之間的 ExpressRoute

使用案例 4

案例︰應用程式在美國組織的網路中。 Azure 與公司網路之間存在 ExpressRoute 與私人對等互連。

建議︰遵循模式 3,如上一節所述。

將連接器放置於透過 ExpressRoute 私人對等互連連線到公司網路的 Azure 資料中心。

連接器可放置於 Azure 資料中心。 因為連接器仍可透過私人網路直視應用程式和資料中心,躍點 3 會維持最佳化。 此外,躍點 2 已進一步最佳化。

Azure 資料中心的連接器,位於連接器和應用程式之間的 ExpressRoute

使用案例 5

情節:應用程式位於組織在歐洲的網路,預設租用戶區域是美國,大部分使用者都在歐洲。

建議︰將連接器放置在應用程式附近。 將連接器群組更新為最適合使用歐洲應用程式 Proxy 服務執行個體。 如需相關步驟,請參閱將連接器群組最佳化以使用最接近的應用程式 Proxy 雲端服務

因為歐洲使用者存取的應用程式 Proxy 執行個體剛好在相同區域,躍點 1 並不昂貴。 躍點 3 已最佳化。 請考慮使用 ExpressRoute 將躍點 2 最佳化。

使用案例 6

情節:應用程式位於組織在歐洲的網路,預設租用戶區域是美國,大部分使用者都在美國。

建議︰將連接器放置在應用程式附近。 將連接器群組更新為最適合使用歐洲應用程式 Proxy 服務執行個體。 如需相關步驟,請參閱將連接器群組最佳化以使用最接近的應用程式 Proxy 雲端服務。 因為所有美國使用者都必須存取歐洲的應用程式 Proxy 實例,躍點 1 可能較昂貴。

您也可以考慮在此情況下使用另一個變體。 如果組織中的大部分使用者不在美國,則可能您的網路也會延伸至美國。 將連接器放在美國,對連接器群組繼續使用預設美國區域,並使用專用的內部公司網路線路來連至歐洲的應用程式。 如此一來,躍點 2 和躍點 3 便已最佳化。

此圖顯示使用者、Proxy 和連接器都位於美國,而應用程式位於歐洲。

下一步