共用方式為

Microsoft Entra 私人網路連接器

連接器可讓 Microsoft Entra 私人存取和應用程式 Proxy 成為可能。 本文說明什麼是連接器、其運作方式,以及如何優化您的部署。

什麼是私人網路連接器?

私人網路連接器是您安裝在網路內 Windows Server 上的輕量型代理程式。 它們會建立對 Private Access 和應用程式代理服務的輸出連線,以存取後端資源。

使用者連線到雲端服務,該服務透過連接器將流量路由傳送至應用程式。 如需架構概觀,請參閱 使用 Microsoft Entra 應用程式 Proxy 為遠端使用者發佈內部部署應用程式

若要設定連接器並向應用程式 Proxy 服務註冊:

  1. 開啟輸出埠 80 和 443,並允許存取必要的服務和 Microsoft Entra ID URL。
  2. 登入 Microsoft Entra 系統管理中心,並在內部部署 Windows Server 電腦上執行安裝程式。
  3. 啟動連接器,使其接聽應用程式 Proxy 服務。
  4. 將內部部署的應用程式新增至 Microsoft Entra ID,並設定用戶可見的 URL。

如需設定的詳細資訊,請參閱 如何設定 Microsoft Entra 私人存取和應用程式 Proxy 的私人網路連接器

連接器和服務可確保高可用性。 您可以隨時新增或移除連接器。

連接器群組

您可以將連接器組織成連接器群組,以處理特定資源的流量。 同一組中的連接器可作為單一單元,以實現高可用性和負載平衡。

在 Microsoft Entra 系統管理中心建立群組並指派連接器,然後將群組對應至特定應用程式。 在每個群組中至少使用兩個連接器,以實現高可用性。

將連接器群組用於以下目的:

  • 地理應用程式發布。
  • 應用程式分割與隔離。
  • 發佈在雲端或內部部署中執行的 Web 應用程式。

連接器群組可簡化大型部署的管理。 這些技術可以減少擁有位於不同區域的資源和應用程式的租用戶的延遲。 建立以位置為基礎的連接器群組,以僅為本機應用程式提供服務。

了解更多關於Microsoft Entra 私人網路連接器群組的資訊。

維護

服務會將新要求遞送至可用的連接器。 如果連接器暫時無法使用,則不會接收流量。

連接器是無狀態的,不會在電腦上儲存任何組態資料。 它們只會儲存連線到服務的設定和驗證憑證。 當他們連線到服務時,他們會提取所需的組態資料,並每隔幾分鐘重新整理一次。

連接器狀態

您可以在 Microsoft Entra 系統管理中心檢視連接器的狀態:

  • 對於私人存取:移至 全域安全存取>連線>連接器
  • 應用程式 Proxy 的操作步驟為:移至 Identity>應用程式>企業應用程式,然後選取應用程式。 在應用程式頁面上,選取 [ 應用程式 Proxy]。

日誌

連接器安裝在 Windows Server 上,因此它們具有大部分相同的管理工具。 您可以使用 Windows 事件記錄檔和 Windows 效能計數器來監視連接器。

連接器同時具有 管理員會話 記錄。 系統管理記錄包含主要事件和其錯誤。 會話日誌包含所有交易及其處理詳細資料。

若要檢視記錄:

  1. 開啟事件檢視器,然後移至 應用程式和服務記錄>Microsoft>Microsoft Entra 私人網路>連接器

    管理員日誌 預設為可見的。

  2. 若要顯示工作階段記錄,請選取 [檢視] 功能表上的 [顯示分析和偵錯記錄檔]

    工作階段記錄通常用於疑難排解,預設為停用。 啟用它以開始收集事件,並在不再需要時停用它。

服務狀態

連接器由兩個 Windows 服務組成:實際連接器和更新程式。 這兩者必須持續運行。 您可以在 [服務 ] 視窗中檢查服務的狀態。

處理連接器伺服器問題

如果一或多個連接器伺服器因伺服器、網路或類似中斷而關閉,請遵循下列步驟來維持連續性:

  1. 識別並從連接器群組中移除受影響的伺服器。
  2. 將可用的狀況良好的伺服器或備份伺服器新增至連接器群組,以還原容量。
  3. 重新啟動受影響的伺服器以清空任何預先存在的連線。 現有的進行中連線在連接器群組變更後不會立即被耗盡。

使用此順序可保持服務穩定,並在連接器伺服器發生問題時將岔斷降到最低。

連接器更新

Microsoft Entra ID 偶爾會為您部署的連接器提供自動更新。 連接器會輪詢更新程式服務以取得更新。 當較新版本可用於自動更新時,連接器會自行更新。 只要更新程式服務正在執行,您的連接器就可以自動更新至最新的主要連接器版本。 如果您在伺服器上看不到更新程式服務,則需要重新安裝連接器才能取得更新。

並非所有版本都排定自動更新。 監視 版本歷程記錄頁面 ,以查看更新是否自動部署,或需要在 Microsoft Entra 入口網站中手動部署。 如果您需要執行手動更新,請在裝載連接器的伺服器上,移至連接器下載頁面,然後選取 [下載]。 此動作會啟動本機連接器的更新。

在具有多個連接器的租戶中,自動更新會在每個群組中逐一針對每個連接器進行,以防止停機。 如果出現以下情況,您可能會在更新期間遇到停機:

  • 您只有一個連接器。 若要避免停機並提供更高的可用性,請新增第二個連接器和連接器群組。
  • 連接器處理交易時,更新會開始。 初始交易遺失,但瀏覽器會自動重試作業,或者您可以重新整理頁面。 重新傳送的要求會遞送至備份連接器。

如需舊版及其變更的詳細資訊,請參閱 Microsoft Entra 私人網路連接器:版本發行歷程記錄

安全性和網路服務

連接器可以安裝在網路上的任何位置,以允許它們將要求傳送至 Private Access 和應用程式代理服務。 重點是執行連接器的電腦也可存取您的應用程式和資源。

您可以在公司網路內或雲端中執行的虛擬機器 (VM) 上安裝連接器。 連接器可以在邊界網路內執行,但並非必要,因為所有流量都是輸出的,以確保網路安全。

連接器僅會傳送輸出要求。 輸出流量會傳送到服務和已發佈資源和應用程式。 您不必開啟入站端口,因為在連線建立後,流量會雙向流動。 也不需要透過您的防火牆來設定內部存取。

效能和可擴縮性

私人存取與應用程式代理服務的擴展是直觀的,但擴展對於連接器來說是個重要因素。 您需要有足夠的連接器,以處理尖峰流量。

連接器是無狀態的,使用者或會話的數量不會影響它們。 相反地,它們會回應請求數量和承載大小。 以標準 Web 流量而言,一台普通電腦每秒可以處理 2,000 個要求。 具體產能取決於確切的電腦特性。

CPU 和網路定義連接器效能。 TLS 加密和解密需要 CPU 效能,而網路對於快速連線到應用程式和線上服務非常重要。

相反地,記憶體對連接器來說問題較小。 線上服務可以處理大部分的處理工作,以及所有未授權的流量。 所有可在雲端中完成的內容都是在雲端中完成。

連接器或電腦無法使用時,流量會流至群組中的另一個連接器。 連接器群組中的多個連接器提供了彈性。

影響效能的另一個因素是連接器之間的網路品質,包括︰

  • 線上服務:Microsoft Entra 服務的緩慢或高延遲連線會影響連接器效能。 為了獲得最佳效能,請透過 Azure ExpressRoute 將您的組織連線到 Microsoft。 否則,請網路服務小組確定盡可能以最有效率的方式處理與 Microsoft 的連線。
  • 後端應用程式:在某些情況下,連接器與後端資源和應用程式之間存在額外的代理,可能會減慢或阻止連線。 若要疑難排解此案例,請從連接器伺服器開啟瀏覽器,並嘗試存取應用程式或資源。 如果在雲端中執行連接器,但應用程式為內部部署,體驗就可能無法如使用者所預期。
  • 網域控制站:如果連接器使用 Kerberos 限制委派 (KCD) 執行單一登入 (SSO),則會在將要求傳送至後端之前連絡網域控制站。 連接器具有 Kerberos 票證的快取,但網域控制器的回應速度可能會影響忙碌環境中的效能。 在 Azure 中執行、但與內部部署之網域控制器通訊的連接器會更常發生這個問題。

如需安裝連接器位置以及如何優化網路的指引,請參閱 使用 Microsoft Entra 應用程式 Proxy 優化流量

擴大臨時端口範圍

專用網路連接器會起始與指定目的地端點的 TCP 和 UDP 連線。 這些連線需要連接器主機上可用的來源連接埠。 擴充暫時連接埠範圍可以改善來源連接埠的可用性,特別是當您管理大量並行連線時。

若要檢視系統上的現行動態埠範圍,請使用下列 netsh 指令:

  • netsh int ipv4 show dynamicport tcp
  • netsh int ipv4 show dynamicport udp
  • netsh int ipv6 show dynamicport tcp
  • netsh int ipv6 show dynamicport udp

以下是增加端口的示例 netsh 命令:

  • netsh int ipv4 set dynamicport tcp start=1025 num=64511
  • netsh int ipv4 set dynamicport udp start=1025 num=64511
  • netsh int ipv6 set dynamicport tcp start=1025 num=64511
  • netsh int ipv6 set dynamicport udp start=1025 num=64511

這些命令會將動態埠範圍從 1025 設定為最大值 65535。 最小啟動埠為 1025。

規格和尺寸要求

我們建議每個 Microsoft Entra 私人網路連接器採用下列規格:

  • 記憶體:8 GiB 或更多。
  • CPU:四個或更多 CPU 核心。

將每個連接器的峰值 CPU 和記憶體使用率保持在 70%以下。 如果持續使用率超過 70%,請將連接器新增至群組,或相應增加主機容量以分散負載。 使用 Windows 效能計數器進行監視,以驗證使用率是否回到可接受的範圍。

在具有標準網路的 Azure VM 上,每個連接器最多可匯總 1.5 Gbps 的 TCP 輸送量 (結合輸入和輸出) ,其大小為 4 個 vCPU 和 8 GiB RAM。 您可以使用更大的 VM 大小 (更多 vCPU、更多記憶體,以及加速或高頻寬 NIC),或在相同群組中新增更多連接器以向外延展,以達到更高的輸送量。

我們從在專用測試租用戶中使用 iPerf3 TCP 數據流的受控實驗室測試中衍生出此效能指引。 實際輸送量可能會因下列情況而異:

  • CPU 世代。
  • NIC 功能 (加速網路、卸載)。
  • TLS 密碼套件。
  • 網路延遲和抖動。
  • 封包遺失。
  • 並發協議組合(HTTPS、SMB、RDP)。
  • 中間設備(防火牆、IDS/IPS、SSL 檢查)。
  • 後端應用程式回應能力。

案例型基準資料 (混合工作負載、高連線並行、延遲敏感型應用程式) 將在本文件可用時新增至本文件。

註冊連接器之後,它會建立 Private Access 雲端基礎結構的輸出 TLS 通道。 這些通道會處理所有數據路徑流量。 此外,控制平面通道使用最小頻寬來驅動保持活躍心跳信號、健康情況報告、連接器更新和其他功能。

如果有足夠的網路和網際網路連線可用,您可以在相同的連接器群組中部署更多連接器,以提高整體輸送量。 建議您至少維護兩個運作狀態良好的連接器,以確保復原能力和一致的可用性。

若要深入瞭解,請參閱 連接器高可用性的最佳做法

加入網域

連接器可以在未加入網域的電腦上執行。 不過,如果您想要 SSO 至使用整合式 Windows 驗證的應用程式,則需要已加入網域的電腦。 在此情況下,連接器機器必須加入可代表已發佈應用程式的使用者執行 KCD 的網域。

您也可以連接連接器至:

  • 樹系中具有部分信任的網域。
  • 唯讀網域控制站。

強化環境中的連接器部署

連接器部署通常都直截了當,不需要特殊組態。 但請考慮這些獨特的條件:

  • 輸出流量需要開啟特定的端口(80及443)。
  • 符合 FIPS 規範的電腦可能需要變更設定,以允許連接器程序產生憑證並加以儲存。
  • 輸出的正向 Proxy 可能會中斷雙向憑證驗證,並造成通訊失敗。

連接器驗證

為了提供安全服務,連接器必須向服務驗證,且服務必須向連接器驗證。 當連接器起始連線時,此驗證會使用用戶端和伺服器憑證。 如此一來,系統管理員的使用者名稱和密碼就不會儲存在連接器電腦上。

憑證是服務專屬的。 這些憑證是在初始註冊期間建立,並且會每隔幾個月自動更新。

第一次成功更新憑證之後,連接器服務沒有從本機電腦存放區移除舊憑證的權限。 如果憑證過期或服務未使用它,您可以安全地刪除它。

若要避免憑證更新發生問題,請確定已啟用從連接器到記載目的地的網路通訊。

如果連接器幾個月未連線到服務,其憑證可能已過期。 在此情況下,請解除安裝並重新安裝連接器以觸發註冊。 您可以執行下列 PowerShell 命令:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

針對 Azure 政府,請使用 -EnvironmentName "AzureUSGovernment"。 如需詳細資訊,請參閱 安裝 Azure 政府雲端的代理程式

若要瞭解如何驗證憑證並疑難排解問題,請參閱 針對安裝私人網路連接器的問題進行疑難排解

不活動的連接器

您不需要手動刪除未使用的連接器。 服務會將非作用中的連接器標記為, _inactive_ 並在 10 天後將其移除。

若要解除安裝連接器,請解除安裝連接器服務和更新程式服務。 然後,重新啟動電腦。

如果您預期處於作用中的連接器在連接器群組中顯示為非作用中,則防火牆可能正在封鎖所需的連接埠。 如需設定輸出防火牆規則的詳細資訊,請參閱使用現有的內部部署 Proxy 伺服器

相關內容

  • Last updated on