Mengoptimalkan arus lalu lintas dengan Proksi Aplikasi Azure Active Directory

Artikel ini menjelaskan cara mengoptimalkan arus lalu lintas dan pertimbangan topologi jaringan saat menggunakan Proksi Aplikasi Azure Active Directory (Azure AD) untuk menerbitkan dan mengakses aplikasi Anda dari jarak jauh.

Arus lalu lintas

Saat aplikasi diterbitkan melalui Proksi Aplikasi Azure Active Directory, lalu lintas dari pengguna ke aplikasi mengalir melalui tiga koneksi:

  1. Pengguna akan terhubung ke titik akhir publik layanan Proksi Aplikasi Microsoft Azure Active Directory di Azure
  2. Konektor Proksi Aplikasi akan terhubung ke layanan Proksi Aplikasi (outbound)
  3. Konektor Proksi Aplikasi akan terhubung ke aplikasi target

Diagram yang menunjukkan arus lalu lintas dari pengguna ke aplikasi target.

Mengoptimalkan grup konektor untuk menggunakan layanan cloud Proksi Aplikasi terdekat (Pratinjau)

Saat Anda mendaftar untuk penyewa Azure Active Directory, wilayah penyewa Anda akan ditentukan oleh negara/wilayah yang Anda tentukan. Saat Anda mengaktifkan Proksi Aplikasi, instans layanan cloud Proksi Aplikasi default untuk penyewa Anda akan dipilih di wilayah yang sama dengan penyewa Azure Active Directory Anda atau wilayah yang terdekat dengannya.

Misalnya, jika negara atau wilayah penyewa Azure Active Directory Anda adalah Inggris Raya, semua konektor Proksi Aplikasi Anda secara default akan ditetapkan untuk menggunakan instans layanan di pusat data Eropa. Ketika pengguna Anda mengakses aplikasi yang diterbitkan, lalu lintas mereka akan melewati instans layanan cloud Proksi Aplikasi di lokasi ini.

Jika Anda memiliki konektor yang terinstal di wilayah yang berbeda dari wilayah default Anda, mungkin bermanfaat untuk mengubah wilayah mana grup konektor Anda dioptimalkan untuk meningkatkan performa dalam mengakses aplikasi ini. Setelah wilayah ditentukan untuk grup konektor, wilayah tersebut akan terhubung ke layanan cloud Proksi Aplikasi di wilayah yang ditentukan.

Untuk mengoptimalkan arus lalu lintas dan mengurangi latensi ke grup konektor, tetapkan grup konektor ke wilayah terdekat. Cara menetapkan wilayah:

Penting

Konektor harus menggunakan setidaknya versi 1.5.1975.0 untuk menggunakan kemampuan ini.

  1. Masuk ke portal Microsoft Azure sebagai administrator aplikasi dari direktori yang menggunakan Proksi Aplikasi. Misalnya, jika domain penyewa contoso.com, admin harus admin@contoso.com atau alias admin lain di domain tersebut.

  2. Pilih nama pengguna Anda di sudut kanan atas. Pastikan Anda masuk ke direktori yang menggunakan Proksi Aplikasi. Jika Anda perlu mengubah direktori, pilih Beralih direktori dan pilih direktori yang menggunakan Proksi Aplikasi.

  3. Di panel navigasi kiri, pilih Azure Active Directory.

  4. Di bawah Kelola, pilih Proksi aplikasi.

  5. Pilih Grup Konektor Baru, berikan Nama untuk grup konektor.

  6. Berikutnya, di bawah Pengaturan Tingkat Lanjut, lalu pilih menu drop down di bawah Optimalkan untuk wilayah tertentu dan pilih wilayah yang paling dekat dengan konektor.

  7. Pilih Buat.

    Konfigurasikan grup konektor baru.

  8. Setelah membuat grup konektor baru, Anda dapat memilih konektor mana yang akan ditetapkan ke grup konektor ini.

    • Anda hanya dapat memindahkan konektor ke grup konektor jika konektor tersebut berada dalam grup konektor yang menggunakan wilayah default. Pendekatan terbaik adalah selalu memulai dengan konektor yang ditempatkan di "Grup default" dan kemudian memindahkannya ke grup konektor yang sesuai.
    • Anda hanya dapat mengubah wilayah grup konektor jika tidak ada konektor atau aplikasi yang ditetapkan ke wilayah grup konektor tersebut.
  9. Selanjutnya tetapkan grup konektor ke aplikasi Anda. Saat mengakses aplikasi, lalu lintas sekarang harus masuk ke layanan cloud Proksi Aplikasi di wilayah tempat grup konektor dioptimalkan.

Pertimbangan untuk mengurangi latensi

Semua solusi proksi memasukkan latensi ke koneksi jaringan Anda. Apa pun solusi proksi atau VPN yang Anda pilih sebagai solusi akses jarak jauh, solusi ini selalu menyertakan serangkaian server yang memungkinkan koneksi ke dalam jaringan perusahaan Anda.

Organisasi biasanya menyertakan titik akhir server di jaringan perimeter mereka. Dengan Proksi Aplikasi Azure Active Directory, lalu lintas akan mengalir melalui layanan proksi di cloud saat konektor berada di jaringan perusahaan Anda. Tidak diperlukan jaringan perimeter.

Bagian berikutnya berisi saran tambahan untuk membantu Anda mengurangi latensi lebih jauh.

Penempatan konektor

Proksi Aplikasi akan memilih lokasi instans untuk Anda berdasarkan lokasi penyewa Anda. Namun, Anda harus memutuskan di mana Anda akan menginstal konektor, yang memberi Anda kekuatan untuk menentukan karakteristik latensi lalu lintas jaringan Anda.

Saat menyiapkan layanan Proksi Aplikasi, ajukan pertanyaan berikut:

  • Di mana lokasi aplikasi?
  • Di manakah lokasi sebagian besar pengguna yang mengakses aplikasi?
  • Di mana instans Proksi Aplikasi berada?
  • Apakah Anda sudah memiliki koneksi jaringan khusus untuk pengaturan pusat data Azure, seperti Azure ExpressRoute atau VPN serupa?

Konektor harus berkomunikasi dengan Azure dan aplikasi Anda (langkah 2 dan 3 dalam diagram arus Lalu Lintas), sehingga penempatan konektor mempengaruhi latensi kedua koneksi tersebut. Saat mengevaluasi penempatan konektor, perhatikan poin-poin berikut:

  • Jika Anda ingin menggunakan delegasi yang dibatasi Kerberos (KCD) untuk akses menyeluruh, maka konektor akan memerlukan garis pandang ke pusat data. Selain itu, server konektor harus bergabung dengan domain.
  • Jika ragu, instal konektor lebih dekat ke aplikasi.

Pendekatan umum untuk meminimalkan latensi

Anda dapat meminimalkan latensi lalu lintas ujung ke ujung dengan mengoptimalkan setiap koneksi jaringan. Setiap koneksi dapat dioptimalkan dengan:

  • Mengurangi jarak antara kedua ujung hop.
  • Memilih jaringan yang tepat untuk dilalui. Misalnya, melintasi jaringan pribadi daripada Internet publik mungkin akan lebih cepat, karena tautan khusus.

Jika Anda memiliki VPN khusus atau tautan ExpressRoute antara Azure dan jaringan perusahaan Anda, Anda mungkin ingin menggunakannya.

Memfokuskan strategi pengoptimalan

Ada sedikit yang dapat Anda lakukan untuk mengontrol koneksi antara pengguna Anda dan layanan Proksi Aplikasi. Pengguna dapat mengakses aplikasi Anda dari jaringan rumah, kedai kopi, atau negara/wilayah yang berbeda. Sebagai gantinya, Anda dapat mengoptimalkan koneksi dari layanan Proksi Aplikasi ke konektor Proksi Aplikasi ke aplikasi. Pertimbangkan untuk memasukkan pola berikut di lingkungan Anda.

Pola 1: Dekatkan konektor ke aplikasi

Tempatkan konektor dekat dengan aplikasi target di jaringan pelanggan. Konfigurasi ini akan meminimalkan langkah 3 pada diagram topografi, karena konektor dan aplikasi berdekatan.

Jika konektor Anda memerlukan garis pandang ke pengendali domain, maka pola ini menguntungkan. Sebagian besar pelanggan kami menggunakan pola ini, karena pola ini berfungsi dengan baik untuk sebagian besar skenario. Pola ini juga dapat dikombinasikan dengan pola 2 untuk mengoptimalkan lalu lintas antara layanan dan konektor.

Pola 2: Manfaatkan ExpressRoute dengan peering Microsoft

Jika Anda telah menyiapkan ExpressRoute dengan peering Microsoft, Anda dapat menggunakan koneksi ExpressRoute yang lebih cepat untuk lalu lintas antara Proksi Aplikasi dan konektor. Konektor masih di jaringan Anda, di dekat dengan aplikasi.

Pola 3: Manfaatkan ExpressRoute dengan peering Microsoft

Anda memiliki opsi lain jika Anda memiliki VPN atau ExpressRoute khusus yang diatur dengan peering privat antara Azure dan jaringan perusahaan Anda. Dalam konfigurasi ini, jaringan virtual di Azure biasanya dianggap sebagai perpanjangan dari jaringan perusahaan. Jadi Anda dapat menginstal konektor di pusat data Azure dan masih memenuhi persyaratan latensi rendah koneksi dari konektor-ke-aplikasi.

Latensi tidak akan disusupi karena lalu lintas mengalir melalui koneksi khusus. Anda juga mendapatkan latensi layanan-ke-konektor Proksi Aplikasi yang ditingkatkan karena konektor diinstal di pusat data Azure yang dekat dengan lokasi penyewa Azure Active Directory Anda.

Diagram yang menunjukkan konektor terinstal di dalam pusat data Azure

Pendekatan lain

Meskipun fokus artikel ini adalah penempatan konektor, Anda juga dapat mengubah penempatan aplikasi untuk mendapatkan karakteristik latensi yang lebih baik.

Semakin banyak organisasi yang memindahkan jaringan mereka ke lingkungan yang dihosting. Ini memungkinkan mereka untuk menempatkan aplikasinya di lingkungan yang dihosting yang juga merupakan bagian dari jaringan perusahaan mereka dan masih berada dalam domain tersebut. Dalam hal ini, pola yang dibahas di bagian sebelumnya dapat diterapkan ke lokasi aplikasi baru. Jika Anda sedang mempertimbangkan opsi ini, lihat Azure Active Directory Domain Services.

Selain itu, pertimbangkan untuk mengatur konektor Anda menggunakan grup konektor untuk menargetkan aplikasi yang berada di lokasi dan jaringan yang berbeda.

Kasus penggunaan umum

Di bagian ini, kami akan membahas beberapa skenario umum. Misalnya penyewa Azure Active Directory (dan oleh karena itu titik akhir layanan proksi) terletak di Amerika Serikat (AS). Pertimbangan yang dibahas dalam kasus penggunaan ini juga berlaku untuk wilayah lain di seluruh dunia.

Untuk skenario ini, kami menyebut setiap koneksi sebagai "hop" dan menomori mereka untuk diskusi yang lebih mudah:

  • Hop 1: Pengguna ke layanan Proksi Aplikasi
  • Hop 2: Layanan Proksi Aplikasi ke konektor Proksi Aplikasi
  • Hop 3: Konektor Proksi Aplikasi ke aplikasi target

Kasus penggunaan 1

Skenario: Aplikasi ini berada di jaringan organisasi di AS dengan pengguna di wilayah yang sama. Tidak ada ExpressRoute atau VPN antara pusat data Azure dan jaringan perusahaan.

Rekomendasi: Ikuti pola 1 yang sudah dijelaskan di bagian sebelumnya. Untuk peningkatan latensi, pertimbangkan untuk menggunakan ExpressRoute, jika diperlukan.

Ini adalah pola yang sederhana. Anda akan mengoptimalkan hop 3 dengan menempatkan konektor di dekat aplikasi. Ini juga merupakan pilihan yang wajar, karena konektor biasanya diinstal dengan garis pandang ke aplikasi dan ke pusat data untuk melakukan operasi KCD.

Diagram yang menunjukkan pengguna, proksi, konektor, dan aplikasi semuanya ada di AS.

Kasus penggunaan 2

Skenario: Aplikasi ini berada dalam jaringan organisasi di AS dengan pengguna yang tersebar secara global. Tidak ada ExpressRoute atau VPN antara pusat data Azure dan jaringan perusahaan.

Rekomendasi: Ikuti pola 1 yang sudah dijelaskan di bagian sebelumnya.

Sekali lagi, pola umum adalah untuk mengoptimalkan hop 3, tempat Anda meletakkan konektor di dekat aplikasi. Hop 3 biasanya tidak mahal, jika semuanya berada dalam wilayah yang sama. Namun, hop 1 bisa lebih mahal tergantung di mana pengguna berada, karena pengguna di seluruh dunia harus mengakses instans Proksi Aplikasi di AS. Perlu dicatat bahwa solusi proksi apa pun akan memiliki karakteristik yang serupa sehubungan dengan pengguna yang tersebar secara global.

Pengguna tersebar secara global, tetapi yang lainnya ada di AS

Kasus penggunaan 3

Skenario: Aplikasi berada dalam jaringan organisasi di AS. ExpressRoute dengan peering Microsoft ada di antara Azure dan jaringan perusahaan.

Rekomendasi: Ikuti pola 1 dan 2 yang sudah dijelaskan di bagian sebelumnya.

Pertama, letakkan konektor sedekat mungkin dengan aplikasi. Kemudian, sistem secara otomatis akan menggunakan ExpressRoute untuk hop 2.

Jika tautan ExpressRoute menggunakan peering Microsoft, lalu lintas antara proksi dan konektor akan mengalir melalui tautan tersebut. Hop 2 memiliki latensi yang dioptimalkan.

Diagram yang menunjukkan ExpressRoute antara proksi dan konektor

Kasus penggunaan 4

Skenario: Aplikasi berada dalam jaringan organisasi di AS. ExpressRoute dengan peering privat ada di antara Azure dan jaringan perusahaan.

Rekomendasi: Ikuti pola 3 yang sudah dijelaskan di bagian sebelumnya.

Tempatkan konektor di pusat data Azure yang terhubung ke jaringan perusahaan melalui peering privat ExpressRoute.

Konektor dapat ditempatkan di pusat data Azure. Karena konektor masih memiliki garis pandang ke aplikasi dan pusat data melalui jaringan privat, hop 3 tetap akan dioptimalkan. Selain itu, hop 2 akan lebih dioptimalkan.

Konektor di pusat data Azure, ExpressRoute di antara konektor dan aplikasi

Kasus penggunaan 5

Skenario: Aplikasi ini berada di jaringan organisasi di Eropa, wilayah penyewa default adalah AS, dengan sebagian besar pengguna di Eropa.

Rekomendasi: Tempatkan konektor di dekat aplikasi. Perbarui grup konektor agar dioptimalkan untuk menggunakan instans layanan Proksi Aplikasi Eropa. Untuk mengetahui langkah-langkahnya, lihat Mengoptimalkan grup konektor untuk menggunakan layanan cloud Proksi Aplikasi terdekat.

Biaya hop 1 tidak mahal karena pengguna Eropa mengakses instans Proksi Aplikasi yang kebetulan berada di wilayah yang sama. Hop 3 dioptimalkan. Pertimbangkan untuk menggunakan ExpressRoute untuk mengoptimalkan hop 2.

Kasus penggunaan 6

Skenario: Aplikasi ini berada di jaringan organisasi di Eropa, wilayah penyewa default adalah AS, dengan sebagian besar pengguna di AS.

Rekomendasi: Tempatkan konektor di dekat aplikasi. Perbarui grup konektor agar dioptimalkan untuk menggunakan instans layanan Proksi Aplikasi Eropa. Untuk mengetahui langkah-langkahnya, lihat Mengoptimalkan grup konektor untuk menggunakan layanan cloud Proksi Aplikasi terdekat. Hop 1 bisa lebih mahal karena semua pengguna AS harus mengakses instans Proksi Aplikasi di Eropa.

Anda juga dapat mempertimbangkan untuk menggunakan satu varian lain dalam situasi ini. Jika sebagian besar pengguna dalam organisasi berada di AS, kemungkinan besar jaringan Anda juga meluas ke AS. Tempatkan konektor di AS, terus gunakan wilayah AS default untuk grup konektor Anda, dan gunakan jalur jaringan korporat internal khusus untuk aplikasi di Eropa. Dengan cara ini hop 2 dan 3 akan dioptimalkan.

Diagram yang menunjukkan pengguna, proksi, dan konektor di AS, aplikasi di Eropa.

Langkah berikutnya