共用方式為

了解 Microsoft Entra 私人網路連接器群組

  • 發行項

使用私人網路連接器群組將特定連接器指派給特定應用程式。 連接器群組可讓您有更多控制權,並優化部署。

每個私人網路連接器都會指派給一個連接器群組。 隸屬於相同連接器群組的所有連接器會做為高可用性及負載平衡的個別單位。 所有的連接器皆屬於連接器群組。 如果您未建立群組,則所有的連接器皆會在預設群組中。 您可以在 Microsoft Entra 系統管理中心建立新的連接器群組並指派連接器。

若應用程式裝載在不同的位置中,連接器群組就會很實用。 您可以根據位置建立連接器群組。 應用程式會使用與自身實際位置相近的連接器。

提示

如有大規模的應用程式 Proxy 部署,請勿將任何應用程式指派給預設連接器群組。 如此一來,新的連接器便不會收到任何即時流量,除非您將新連接器指派給作用中的連接器群組。 此設定也可以將連接器移回預設群組的方式,藉此讓連接器進入閒置模式,如此您便可以在不影響使用者的情況下執行維護。

必要條件

您必須有多個連接器才能使用連接器群組。 新的連接器會自動新增至預設連接器群組。 如需安裝連接器的詳細資訊,請參閱設定連接器

將應用程式指派給您的連接器群組

第一次發佈應用程式時,會將該應用程式指派給一個連接器群組。 您也可以更新指派連接器的群組。

連接器群組的使用案例

連接器群組可用於多種不同狀況,包括:

具有多個互連資料中心的網站

大型組織使用多個資料中心。 您希望儘量將流量保留在特定資料中心內,因為跨資料中心的連結既昂貴、速度又慢。 在每個資料中心都部署連接器,只為資料中心內的應用程式提供服務。 這種方法可將跨資料中心的連結減到最少,讓使用者體驗完全的流暢性。

安裝在隔離網路上的應用程式

應用程式可以在主要公司網路外的網路上託管。 您可以使用連接器群組將專用連接器安裝在隔離網路上,以同時將應用程式與網路隔離。 對於維護特定應用程式的廠商而言,此案例很常見。

安裝在基礎結構即服務 (IaaS) 上的應用程式

對於安裝在基礎結構即服務 (IaaS) 上以供雲端存取的應用程式,連接器群組提供通用的服務來保護對所有應用程式的存取。 連接器群組不會對公司網路產生更多相依性,或是造成不完整的應用程式體驗。 連接器安裝在每個雲端資料中心,而且只為該網路中的應用程式提供服務。 安裝數個連接器可獲得高可用性。

以擁有數個虛擬機器連線到本身 IaaS 主控之虛擬網路的組織為例。 若要允許員工使用這些應用程式,這些私人網路會使用站對站虛擬私人網路 (VPN) 連線到公司網路。 對於位於內部部署的員工,站對站 VPN 會提供良好的體驗。 但是,這可能不適合遠端員工,因為站對站 VPN 需要更多內部部署基礎結構來路由傳送存取,如下圖所示︰

說明 Microsoft Entra IaaS 網路的圖表

使用 Microsoft Entra 私人網路連接器群組,您可以啟用一般服務來保護對所有應用程式的存取,而無須在公司網路上建立更多相依性︰

Microsoft Entra IaaS 多雲端廠商

多樹系 – 每個樹系不同的連接器群組

單一登入通常是使用 Kerberos 限制委派 (KCD) 來達成。 連接器的電腦需要加入可將使用者委派至應用程式的網域。 KCD 支援跨樹系功能。 但對於擁有不同的多樹系環境且彼此之間沒有信任的公司來說,單一連接器無法用於所有的樹系。 而是要為每個樹系部署特定連接器,並設定其服務對象僅限於已發佈為僅向該特定樹系的使用者提供服務的應用程式。 每個連接器群組代表不同的樹系。 雖然租用戶和大部分的體驗會為所有樹系進行整合,使用者可以使用 Microsoft Entra 群組指派給其樹系的應用程式。

災害復原網站

災害復原 (DR) 網站有兩種方法需要考慮:

  • 您的 DR 網站是以主動-主動模式建置,其與主要網站完全相同。 該網站也有相同的網路和 Active Directory (AD) 設定。 您可以在 DR 網站上,在主要網站的相同連接器群組中,建立連接器。 Microsoft Entra ID 會為您偵測故障轉移。
  • 您的 DR 網站與主要網站不同。 您可以在 DR 網站中建立不同的連接器群組。 您有備份應用程式,或視需要手動將現有的應用程式轉移至 DR 連接器群組。

從單一租用戶為多家公司提供服務

您可以實作一個模型,其中單一服務提供者會部署和維護多個公司的 Microsoft Entra 相關服務。 連接器群組可協助您將連接器和應用程式分成不同的群組。 適合小型公司的一個方法是擁有單一 Microsoft Entra 租用戶,同時不同公司都有自己的網域名稱和網路。 相同的方法適用於合併案例,以及單一部門為了規範或企業原因而為數家公司提供服務的情況。

範例設定

請考慮這些連接器群組設定範例。

預設組態 – 不使用連接器群組

如果您不使用連接器群組,您的組態會看起來像這樣︰

沒有連接器群組的範例

這個設定對小型部署和測試就已足夠。 若您組織有平面網路拓撲,其也會正常運作。

預設組態和隔離的網路

此設定是預設的演化,在隔離網路 (例如 IaaS 虛擬網路) 中執行的特定應用程式︰

隔離網路上沒有連接器群組的 Microsoft Entra 範例

建議的組態 – 幾個特定的群組和預設的閒置群組

大型及複雜組織的建議組態是具有預設連接器群組做為不提供任何應用程式服務並用於閒置或新安裝連接器的群組。 所有應用程式會使用自訂的連接器群組來提供服務。

在範例中,公司有兩個資料中心 (A 和 B),並具有兩個連接器可為每個網站提供服務。 每個網站都有不同的應用程式在其上執行。

具有 2 個資料中心和 2 個連接器的公司範例

下一步