Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Firmy Microsoft Entra

  • Artykuł

Dowiedz się, jak zoptymalizować przepływ ruchu i topologię sieci podczas korzystania z serwera proxy aplikacji Firmy Microsoft Entra.

Przepływ ruchu

Po opublikowaniu aplikacji za pośrednictwem serwera proxy aplikacji Microsoft Entra ruch od użytkowników do aplikacji przepływa przez trzy połączenia:

  1. Użytkownik łączy się z publicznym punktem końcowym usługi serwera proxy aplikacji firmy Microsoft na platformie Azure
  2. Łącznik sieci prywatnej łączy się z usługą serwera proxy aplikacji (wychodzącą)
  3. Łącznik sieci prywatnej łączy się z aplikacją docelową

Diagram przedstawiający przepływ ruchu z użytkownika do aplikacji docelowej.

Optymalizowanie grup łączników w celu korzystania z najbliższej usługi w chmurze serwera proxy aplikacji

Po zarejestrowaniu się w dzierżawie firmy Microsoft Entra region dzierżawy jest ustawiany przy użyciu wybranego regionu. Domyślne wystąpienia usługi w chmurze serwera proxy aplikacji używają tego samego lub najbliższego regionu co dzierżawa firmy Microsoft Entra.

Jeśli na przykład region dzierżawy firmy Microsoft Entra to Wielka Brytania, wszystkie prywatne łączniki sieciowe domyślnie są przypisywane do używania wystąpień usług w europejskich centrach danych. Gdy użytkownicy uzyskują dostęp do opublikowanych aplikacji, ruch przechodzi przez wystąpienia usługi w chmurze serwera proxy aplikacji w tej lokalizacji.

Jeśli masz łączniki zainstalowane w regionach innych niż region domyślny, korzystne jest zmianę regionu, w którym grupa łączników jest zoptymalizowana pod kątem poprawy wydajności uzyskiwania dostępu do tych aplikacji. Po określeniu regionu dla grupy łączników łączy się ona z usługami w chmurze serwera proxy aplikacji w wyznaczonym regionie.

Aby zoptymalizować przepływ ruchu i zmniejszyć opóźnienie do grupy łączników, przypisz grupę łączników do najbliższego regionu. Aby przypisać region:

Ważne

Połączenie or musi używać co najmniej wersji 1.5.1975.0, aby korzystać z tej możliwości.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji.

  2. Wybierz swoją nazwę użytkownika w prawym górnym rogu. Sprawdź, czy zalogowaliśmy się do katalogu korzystającego z serwera proxy aplikacji. Jeśli chcesz zmienić katalogi, wybierz pozycję Przełącz katalog i wybierz katalog korzystający z serwera proxy aplikacji.

  3. Przejdź do strony Identity>Applications Enterprise Applications>Application Proxy( Serwer proxy aplikacji dla>przedsiębiorstw).

  4. Wybierz pozycję Nowa grupa Połączenie or i podaj nazwę grupy łączników.

  5. W obszarze Zaawansowane Ustawienia wybierz listę rozwijaną w obszarze Optymalizacja dla określonego regionu i wybierz region najbliżej łączników, a następnie wybierz pozycję Zapisz.

    Skonfiguruj nową grupę łączników.

  6. Wybierz łączniki, które mają zostać przypisane do grupy łączników.

    Łączniki można przenosić tylko do grupy łączników, jeśli znajduje się ona w grupie łączników przy użyciu regionu domyślnego. Zacznij od łącznika w domyślnej grupie łączników. Następnie przenieś ją do odpowiedniej grupy łączników.

    Region grupy łączników można zmienić tylko wtedy, gdy nie ma przypisanych do niego łączników ani przypisanych do niej aplikacji.

  7. Przypisz grupę łączników do aplikacji. Ruch przechodzi do usługi w chmurze serwera proxy aplikacji w regionie zoptymalizowanej grupy łączników.

Zagadnienia dotyczące zmniejszania opóźnienia

Wszystkie rozwiązania serwera proxy wprowadzają opóźnienia w połączeniu sieci. Niezależnie od tego, które rozwiązanie serwera proxy lub sieci VPN można wybrać jako rozwiązanie dostępu zdalnego, zawsze zawiera zestaw serwerów, które umożliwiają połączenie z siecią firmową.

Organizacje zazwyczaj obejmują punkty końcowe serwera w sieci obwodowej. Jednak w przypadku serwera proxy aplikacji Entra firmy Microsoft ruch przepływa przez usługę proxy w chmurze, podczas gdy łączniki znajdują się w sieci firmowej. Nie jest wymagana żadna sieć obwodowa.

Następne sekcje zawierają więcej sugestii, które pomogą Ci jeszcze bardziej zmniejszyć opóźnienie.

umieszczanie Połączenie or

Serwer proxy aplikacji wybiera lokalizację wystąpień na podstawie lokalizacji dzierżawy. Jednak możesz zdecydować, gdzie zainstalować łącznik, zapewniając możliwość zdefiniowania właściwości opóźnienia ruchu sieciowego.

Podczas konfigurowania usługi serwera proxy aplikacji zadaj następujące pytania:

  • Gdzie znajduje się aplikacja?
  • Gdzie znajdują się większość użytkowników, którzy uzyskują dostęp do aplikacji?
  • Gdzie znajduje się wystąpienie serwera proxy aplikacji?
  • Czy masz już skonfigurowane dedykowane połączenie sieciowe z centrami danych firmy Microsoft, takie jak usługa Azure ExpressRoute lub podobna sieć VPN?

Łącznik musi komunikować się zarówno z firmą Microsoft Entra, jak i z aplikacjami. Kroki 2 i 3 reprezentują komunikację na diagramie przepływu ruchu. Umieszczenie łącznika wpływa na opóźnienie tych dwóch połączeń. Podczas oceniania rozmieszczenia łącznika należy pamiętać o tych punktach.

  • Potwierdź "wiersz lokacji" między łącznikiem a centrum danych dla ograniczonego delegowania protokołu Kerberos (KCD). Ponadto serwer łącznika musi być przyłączony do domeny.
  • Zainstaluj łącznik tak blisko aplikacji, jak to możliwe.

Ogólne podejście w celu zminimalizowania opóźnienia

Zminimalizuj opóźnienie ruchu kompleksowego, optymalizując każde połączenie sieciowe.

  • Zmniejsz odległość między dwoma końcami przeskoku.
  • Wybierz odpowiednią sieć do przejścia. Na przykład przechodzenie przez sieć prywatną, a nie publiczny Internet, może być szybsze z powodu dedykowanych linków.

Rozważ użycie dedykowanej sieci VPN lub połączenia usługi ExpressRoute między firmą Microsoft i siecią firmową.

Koncentracja strategii optymalizacji

Niewiele można zrobić, aby kontrolować połączenie między użytkownikami a usługą serwera proxy aplikacji. Użytkownicy uzyskują dostęp do aplikacji z sieci domowej, kawiarni lub innego regionu. Zamiast tego można zoptymalizować połączenia z usługi serwera proxy aplikacji do prywatnych łączników sieciowych do aplikacji. Rozważ uwzględnienie następujących wzorców w danym środowisku.

Wzorzec 1. Umieść łącznik w pobliżu aplikacji

Umieść łącznik w pobliżu aplikacji docelowej w sieci klienta. Ta konfiguracja minimalizuje krok 3 na diagramie topografii, ponieważ łącznik i aplikacja są blisko.

Jeśli łącznik potrzebuje widoku do kontrolera domeny, ten wzorzec jest korzystny. Większość naszych klientów używa tego wzorca, ponieważ działa dobrze w przypadku większości scenariuszy. Ten wzorzec można również połączyć ze wzorcem 2, aby zoptymalizować ruch między usługą a łącznikiem.

Wzorzec 2. Korzystanie z usługi ExpressRoute za pomocą komunikacji równorzędnej firmy Microsoft

Jeśli masz skonfigurowaną usługę ExpressRoute z komunikacją równorzędną firmy Microsoft, możesz użyć szybszego połączenia usługi ExpressRoute dla ruchu między serwerem proxy aplikacji a łącznikiem. Łącznik nadal znajduje się w sieci, blisko aplikacji.

Wzorzec 3. Korzystanie z usługi ExpressRoute z prywatną komunikacją równorzędną

Jeśli masz dedykowaną sieć VPN lub usługę ExpressRoute skonfigurowaną z prywatną komunikacją równorzędną między platformą Azure i siecią firmową, możesz skorzystać z innej opcji. W tej konfiguracji sieć wirtualna na platformie Azure jest zwykle uznawana za rozszerzenie sieci firmowej. Możesz więc zainstalować łącznik w centrum danych platformy Azure i nadal spełniać wymagania dotyczące małych opóźnień połączenia łącznik-aplikacja.

Opóźnienie nie jest naruszone, ponieważ ruch przepływa przez dedykowane połączenie. Ulepszono również opóźnienie między łącznikami serwera proxy aplikacji, ponieważ łącznik jest zainstalowany w centrum danych platformy Azure w pobliżu lokalizacji dzierżawy firmy Microsoft Entra.

Diagram przedstawiający łącznik zainstalowany w centrum danych platformy Azure

Inne podejścia

Chociaż celem tego artykułu jest umieszczenie łącznika, można również zmienić położenie aplikacji, aby uzyskać lepsze właściwości opóźnienia.

Coraz częściej organizacje przenoszą swoje sieci do środowisk hostowanych. Przeniesienie umożliwia umieszczanie aplikacji w środowisku hostowanym, które jest również częścią sieci firmowej, i nadal znajduje się w domenie. W takim przypadku wzorce omówione w poprzednich sekcjach można zastosować do nowej lokalizacji aplikacji. Jeśli rozważasz tę opcję, zobacz Microsoft Entra Domain Services.

Ponadto rozważ zorganizowanie łączników przy użyciu grup łączników w celu kierowania aplikacji, które znajdują się w różnych lokalizacjach i sieciach.

Diagramy typowych przypadków użycia

W tej sekcji omówimy kilka typowych scenariuszy. Załóżmy, że dzierżawa firmy Microsoft Entra (i dlatego punkt końcowy usługi proxy) znajduje się w Stany Zjednoczone (USA). Zagadnienia omówione w tych przypadkach użycia dotyczą również innych regionów na całym świecie.

W przypadku tych scenariuszy wywołujemy każde połączenie "przeskokiem" i numerujemy je, aby ułatwić dyskusję:

  • Przeskok 1: użytkownik do usługi serwera proxy aplikacji
  • Przeskok 2: usługa serwera proxy aplikacji do łącznika sieci prywatnej
  • Przeskok 3: łącznik sieci prywatnej do aplikacji docelowej

Przypadek użycia 1

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych z użytkownikami w tym samym regionie. Między centrum danych platformy Azure i siecią firmową nie istnieje żadna usługa ExpressRoute ani sieć VPN.

Zalecenie: postępuj zgodnie ze wzorcem 1, wyjaśnione w poprzedniej sekcji. W celu zwiększenia opóźnienia rozważ użycie usługi ExpressRoute, jeśli jest to konieczne.

Zoptymalizuj przeskok 3, umieszczając łącznik w pobliżu aplikacji. Łącznik jest zwykle instalowany z widokiem do aplikacji i do centrum danych w celu wykonywania operacji KCD.

Diagram przedstawiający użytkowników, serwer proxy, łącznik i aplikację znajdują się w Stanach Zjednoczonych.

Przypadek użycia 2

Scenariusz: aplikacja znajduje się w sieci organizacji w STANACH Zjednoczonych, a użytkownicy rozpowszechniają się globalnie. Między centrum danych platformy Azure i siecią firmową nie istnieje żadna usługa ExpressRoute ani sieć VPN.

Zalecenie: postępuj zgodnie ze wzorcem 1, wyjaśnione w poprzedniej sekcji.

Ponownie typowym wzorcem jest zoptymalizowanie przeskoku 3, w którym łącznik jest umieszczany w pobliżu aplikacji. Przeskok 3 nie jest zazwyczaj kosztowny, jeśli znajduje się on w tym samym regionie. Jednak przeskok 1 może być droższy w zależności od tego, gdzie jest użytkownik, ponieważ użytkownicy na całym świecie muszą uzyskać dostęp do wystąpienia serwera proxy aplikacji w Stanach Zjednoczonych. Warto zauważyć, że każde rozwiązanie serwera proxy ma podobne cechy dotyczące rozpowszechniania użytkowników na całym świecie.

Użytkownicy są rozpowszechniani globalnie, ale wszystko inne znajduje się w USA

Przypadek użycia 3

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych. Usługa ExpressRoute z komunikacją równorzędną firmy Microsoft istnieje między platformą Azure i siecią firmową.

Zalecenie: Postępuj zgodnie ze wzorcami 1 i 2, wyjaśnione w poprzedniej sekcji.

Najpierw umieść łącznik jak najbliżej aplikacji. Następnie system automatycznie używa usługi ExpressRoute dla przeskoku 2.

Jeśli link usługi ExpressRoute korzysta z komunikacji równorzędnej firmy Microsoft, ruch między serwerem proxy i łącznikiem przepływa przez to łącze. Przeskok 2 używa optymalnego opóźnienia.

Diagram przedstawiający usługę ExpressRoute między serwerem proxy i łącznikiem

Przypadek użycia 4

Scenariusz: aplikacja znajduje się w sieci organizacji w Stanach Zjednoczonych. Usługa ExpressRoute z prywatną komunikacją równorzędną istnieje między platformą Azure i siecią firmową.

Zalecenie: postępuj zgodnie ze wzorcem 3, wyjaśnione w poprzedniej sekcji.

Umieść łącznik w centrum danych platformy Azure połączonym z siecią firmową za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Łącznik można umieścić w centrum danych platformy Azure. Ponieważ łącznik nadal ma widok do aplikacji i centrum danych za pośrednictwem sieci prywatnej, przeskok 3 pozostaje zoptymalizowany. Ponadto przeskok 2 jest dodatkowo zoptymalizowany.

Połączenie or w centrum danych platformy Azure usługa ExpressRoute między łącznikiem a aplikacją

Przypadek użycia 5

Scenariusz: Aplikacja znajduje się w sieci organizacji w Europie, domyślnym regionem dzierżawy są stany USA, a większość użytkowników w Europie.

Zalecenie: Umieść łącznik w pobliżu aplikacji. Zaktualizuj grupę łączników, aby korzystała z wystąpień usługi serwera proxy aplikacji w Europie. Aby uzyskać instrukcje, zobacz Optymalizowanie grup łączników w celu korzystania z najbliższej usługi w chmurze serwera proxy aplikacji.

Ponieważ użytkownicy z Europy uzyskują dostęp do wystąpienia serwera proxy aplikacji, które znajduje się w tym samym regionie, przeskok 1 nie jest kosztowny. Przeskok 3 jest zoptymalizowany. Rozważ użycie usługi ExpressRoute do zoptymalizowania przeskoku 2.

Przypadek użycia 6

Scenariusz: Aplikacja znajduje się w sieci organizacji w Europie, domyślnym regionem dzierżawy są stany USA, a większość użytkowników w Stanach Zjednoczonych.

Zalecenie: Umieść łącznik w pobliżu aplikacji. Zaktualizuj grupę łączników, aby korzystała z wystąpień usługi serwera proxy aplikacji w Europie. Aby uzyskać instrukcje, zobacz Optymalizowanie grup łączników w celu korzystania z najbliższej usługi w chmurze serwera proxy aplikacji. Przeskok 1 może być droższy, ponieważ wszyscy użytkownicy USA muszą uzyskać dostęp do wystąpienia serwera proxy aplikacji w Europie.

Możesz również rozważyć użycie innego wariantu w tej sytuacji. Jeśli większość użytkowników w organizacji jest w Stanach Zjednoczonych, istnieje prawdopodobieństwo, że sieć rozciąga się również na Stany Zjednoczone. Umieść łącznik w Stanach Zjednoczonych, kontynuuj korzystanie z domyślnego regionu USA dla grup łączników i użyj dedykowanego wewnętrznego wiersza sieci firmowej do aplikacji w Europie. W ten sposób przeskoki 2 i 3 są zoptymalizowane.

Diagram przedstawia użytkowników, serwer proxy i łącznik w Stanach Zjednoczonych, aplikacji w Europie.

Następne kroki