了解 Microsoft Entra 私人網路連接器
連接器使 Microsoft Entra 私人存取和應用程式 Proxy 變得可能。 它們很簡單、容易部署及維護且超級強大。 本文討論什麼是連接器、其運作方式,以及如何最佳化部署的一些建議。
什麼是私人網路連接器?
連接器是輕量型代理程式,位於私人網路且有助於與 Microsoft Entra 私人存取和應用程式 Proxy 服務的輸出連線。 連接器必須安裝在可存取後端資源的 Windows 伺服器上。 您可以將連接器組織成連接器群組,每個群組都會處理特定資源的流量。 如需應用程式 Proxy 和應用程式 Proxy 架構圖表表示法的詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 來為遠端使用者發佈內部部署應用程式。
若要了解如何設定 Microsoft Entra 私人網路連接器,請參閱如何設定 Microsoft Entra 私人存取的私人網路連接器。
私人網路連接器是部署於內部部署環境的輕量型代理程式,有助於與雲端中應用程式 Proxy 服務的輸出連線。 連接器必須安裝在可存取後端應用程式的 Windows 伺服器上。 使用者連線至應用程式 Proxy 雲端服務,此服務會透過連接器將使用者的流量路由傳送至應用程式。
連接器與應用程式 Proxy 服務之間的設定和註冊會如下所示來完成:
- IT 系統管理員對輸出流量開啟連接埠 80 和 443,並允許存取連接器、應用程式 Proxy 服務和 Microsoft Entra ID 所需的數個 URL。
- 管理員登入 Microsoft Entra 系統管理中心,執行可執行檔以在內部部署 Windows 伺服器上安裝連接器。
- 連接器開始「接聽」應用程式 Proxy 服務。
- 管理員對 Microsoft Entra ID 新增內部部署應用程式,並進行相關設定,例如使用者為了連線至其應用程式所需要的 URL。
建議您一律部署多個連接器以提供備援和縮放能力。 連接器搭配服務來使用時,會負責進行所有高可用性工作,並可加以動態新增或移除。 每當有新的要求抵達時,系統便會將其路由傳送至其中一個可用的連接器。 當連接器執行時,它在連接到服務時會保持作用中。 如果連接器暫時無法使用,則不會回應此流量。 未使用的連接器會標記為非作用中,且將在未作用 10 天之後移除。
連接器也會輪詢伺服器,以尋找是否有較新版的連接器。 雖然您可以手動更新,但只要私人網路連接器更新程式服務正在執行,連接器便會自動更新。 對於具有多個連接器的租用戶,自動更新會一次以每個群組中的一個連接器為目標,以免您的環境發生停機。
每個私人網路連接器都會指派給一個連接器群組。 位於相同連接器群組內的連接器會作為一個整體來提供高可用性及負載平衡功能。 您可以建立新的群組、在 Microsoft Entra 系統管理中心將連接器指派給這些新群組,然後指派特定連接器來服務特定應用程式。 建議您在每個連接器群組內至少放入兩個連接器,以提供高可用性。
當您需要支援下列案例時,連接器群組會很有用:
- 地理位置應用程式發佈
- 應用程式分割/隔離
- 發佈會在雲端或內部部署環境中執行的 Web 應用程式
如需如何選擇要在哪裡安裝連接器並將網路最佳化的詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考量。
維護
連接器和服務負責所有高可用性工作。 它們可以動態新增或移除。 新的要求會路由傳送至其中一個可用的連接器。 如果連接器暫時無法使用,則不會回應此流量。
連接器是無狀態的,且沒有任何電腦上的設定資料。 它們所儲存的唯一資料是用於連線服務和其驗證憑證的設定。 當它們連線至服務時,會提取所有必要的組態資料,且每隔幾分鐘會重新整理。
連接器也會輪詢伺服器,以尋找是否有較新版的連接器。 如果找到,連接器會自行更新。
您可以使用事件記錄和效能計數器,從執行連接器的電腦監視您的連接器。 如需詳細資訊,請參閱監視及檢閱內部部署 Microsoft Entra 的記錄。
您也可以在 Microsoft Entra 系統管理中心檢視其狀態。 針對 Microsoft Entra 私人存取,流覽至 [全域安全存取]、[連線],然後選取 [連接器]。 若為應用程式 Proxy,瀏覽至 [身分識別]、[應用程式]、[企業應用程式],然後選取應用程式。 在 [應用程式] 頁面上,選取 [應用程式 Proxy]。
您不必手動刪除未使用的連接器。 當連接器執行時,它在連接到服務時會保持作用中。 未使用的連接器會標記為 _inactive_
,且將在未作用 10 天之後移除。 不過,如果您需要將連接器解除安裝,請從伺服器將連接器服務和更新程式服務解除安裝。 重新啟動電腦,以完全移除此服務。
自動更新
Microsoft Entra ID 會自動更新您部署的所有連接器。 只要私人網路連接器更新程式服務正在執行,連接器便會自動更新為最新的主要連接器版本。 若在伺服器上沒有看到連接器更新程式服務,就需要重新安裝您的連接器以取得更新。
如果不想等候您的連接器自動更新,您可以執行手動升級。 移至您的連接器所在伺服器上的連接器下載頁面並選取 [下載]。 此流程就會開始進行本機連接器的升級。
對於具有多個連接器的租用戶,自動更新會一次以每個群組中的一個連接器為目標,以免您的環境發生停機。
如果是下列情況,連接器更新時可能會遭遇停機︰
- 您只有一個連接器。 建議使用第二個連接器和連接器群組,避免停機並提供更高的可用性。
- 更新開始時,連接器正處於交易中途。 雖然遺失起始交易,您的瀏覽器應該會自動重試作業,或您可以重新整理頁面。 當重新傳送要求時,流量會路由傳送至備份連接器。
若要查看先前發行的版本和所含變更的資訊,請參閱應用程式 Proxy:版本發行記錄。
建立連接器群組
連接器群組可讓您指派要服務特定應用程式的特定連接器。 您可以將許多連接器分組在一起,然後將每個資源或應用程式指派給群組。
連接器群組可讓您更輕鬆地管理大型部署。 這些群組也會改善在不同區域中裝載資源和應用程式之租用戶的延遲,因為您可以建立以位置為基礎的連接器群組,只服務本機應用程式。
若要深入了解連接器群組,請參閱了解 Microsoft Entra 私人網路連接器群組。
安全性和網路服務
在允許連接器將要求傳送至 Microsoft Entra 私人存取和應用程式 Proxy 服務的網路上,任何地方都可以安裝連接器。 重點是執行連接器的電腦也可存取您的應用程式和資源。 您可以在貴公司網路內或在雲端中執行的虛擬機器上安裝連接器。 連接器可以在周邊網路 (也稱為非管制區域 (DMZ)) 內執行,但並非必要,因為所有流量都是輸出的,因此您的網路都能保持安全。
連接器僅會傳送輸出要求。 輸出流量會傳送到服務和已發佈資源和應用程式。 不需要開啟輸入連接埠,因為建立工作階段後,流量就會雙向流動。 也不需要透過您的防火牆來設定內部存取。
如需設定輸出防火牆規則的詳細資訊,請參閱使用現有的內部部署 Proxy 伺服器。
效能和可擴縮性
Microsoft Entra 私人存取和應用程式 Proxy 服務的級別很明顯,但級別是連接器的一項因素。 您需要有足夠的連接器,以處理尖峰流量。 連接器是無狀態,且不受使用者或工作階段的數目影響。 相反地,它們會依要求數目和其承載大小而作出反應。 以標準 Web 流量而言,一台普通電腦每秒可以處理 2,000 個要求。 具體產能取決於確切的電腦特性。
CPU 和網路定義連接器效能。 TLS 加密和解密需要 CPU 效能,而網路對於快速連線到應用程式和線上服務也很重要。
相反地,連接器發行需要較少的記憶體。 線上服務可以處理大部分的處理程序,及所有未經驗證的流量。 所有可在雲端中完成的內容都是在雲端中完成。
連接器或電腦無法使用時,流量會流至群組中的另一個連接器。 連接器群組中的多個連接器提供復原。
影響效能的另一個因素是連接器之間的網路品質,包括︰
- 線上服務:Microsoft Entra 服務連線變慢或高度延遲都會影響連接器效能。 為了達到最佳效能,請使用 Express Route 將貴組織連線到 Microsoft。 否則,請網路服務小組確定盡可能以最有效率的方式處理與 Microsoft 的連線。
- 後端應用程式︰在某些情況下,連接器與後端資源和應用程式之間有額外 Proxy,可能會使連線變慢或無法連線。 若要疑難排解此案例,請從連接器伺服器開啟瀏覽器,並嘗試存取應用程式或資源。 如果在雲端中執行連接器,但應用程式為內部部署,體驗就可能無法如使用者所預期。
- 網域控制站︰如果連接器使用 Kerberos 限制委派來執行單一登入 (SSO),則會先連絡網域控制站後,才將要求傳送至後端。 連接器有 Kerberos 票證的快取 (但是在忙碌環境中),網域控制器的回應速度可能會影響效能。 在 Azure 中執行、但與內部部署之網域控制器通訊的連接器會更常發生這個問題。
如需將您網路最佳化的詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 時的網路拓撲考量。
加入網域
連接器可以在未加入網域的電腦上執行。 不過,如果您想要對使用整合式 Windows 驗證 (IWA) 的應用程式執行單一登入 (SSO),則需要已加入網域的電腦。 在此情況下,連接器電腦必須代表已發佈應用程式的使用者加入可以執行 Kerberos 限制委派的網域。
連接器也可以加入具有部分信任的樹系網域,或加入唯讀網域控制站。
強化環境上的連接器部署
連接器部署通常都直截了當,不需要特殊組態。
不過,應該考量一些獨特的情況︰
- 輸出流量需要開啟特定的連接埠。 若要深入了解,請參閱設定連接器。
- 符合 FIPS 規範的電腦可能需要變更設定,以允許連接器程序產生憑證並加以儲存。
- 輸出的正向 Proxy 可能會中斷雙向憑證驗證,並造成通訊失敗。
連接器驗證
為了提供安全服務,連接器必須向服務驗證,且服務必須向連接器驗證。 可在連接器將連線初始化時,使用用戶端和伺服器憑證來完成此驗證。 如此一來,系統管理員的使用者名稱和密碼不會儲存在連接器電腦上。
使用的憑證是服務特有的憑證。 這些憑證是在初始註冊期間建立,並且會每隔幾個月自動更新。
第一次成功更新憑證之後,Microsoft Entra 私人網路連接器服務 (網路服務) 就無權從本機電腦存放區中移除舊憑證。 如果憑證過期或者服務未使用,您可以安全地將其刪除。
為了避免更新憑證時發生問題,請務必啟用從連接器到所記錄目的地的網路通訊。
如果連接器有數個月未連線至服務,其憑證可能會過期。 在此情況下,請解除安裝並重新安裝連接器以觸發註冊。 您可以執行下列 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
針對政府,請使用 -EnvironmentName "AzureUSGovernment"
。 如需詳細資訊,請參閱安裝 Azure Government 雲端代理程式。
若要了解如何驗證憑證並為問題進行疑難排解,請參閱驗證應用程式 Proxy 信任憑證的電腦和後端元件支援。
背後原理
連接器安裝在 Windows Server 上,因此擁有大部分的相同管理工具,包括 Windows 事件記錄和 Windows 效能計數器。
連接器有系統管理記錄和工作階段記錄。 系統管理記錄包含主要事件和其錯誤。 工作階段記錄包含所有交易及其處理詳細資料。
若要查看記錄,請開啟 [事件檢視器],並移至 [應用程式及服務記錄] > [Microsoft] > [Microsoft Entra 私人網路] > [連接器]。 若要顯示工作階段記錄,請選取 [檢視] 功能表上的 [顯示分析和偵錯記錄檔]。 工作階段記錄通常用於疑難排解,而且預設為停用。 請在要開始收集事件時加以啟用,不再需要時則停用。
您可以檢查 [服務] 視窗中的服務狀態。 連接器包含兩個 Windows 服務︰實際連接器和更新程式。 這兩者必須一直執行。
非使用中連接器
常見的問題是連接器在連接器群組中顯示為非使用中。 封鎖必要連接埠的防火牆是連接器處於非使用中的常見原因。
使用規定
您對 Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取預覽體驗與功能的使用,會受您據以取得服務之合約中的預覽線上服務條款及條件所規範。 預覽版可能受限於縮減或不同的安全性、合規性和隱私權承諾,如適用於線上服務的通用授權條款 (英文) 和 Microsoft 產品和服務資料保護增補 ("DPA") (英文),以及該預覽版所提供任何其他注意事項中的進一步說明。