Considerações de topologia de rede ao usar o Proxy de Aplicativo do Azure Active DirectoryNetwork topology considerations when using Azure Active Directory Application Proxy

Este artigo explica as considerações de topologia de rede ao usar o Proxy de Aplicativo do Azure AD (Azure Active Directory) para publicar e acessar seus aplicativos remotamente.This article explains network topology considerations when using Azure Active Directory (Azure AD) Application Proxy for publishing and accessing your applications remotely.

Fluxo de tráfegoTraffic flow

Quando um aplicativo é publicado por meio do Proxy de Aplicativo do Azure AD, o tráfego dos usuários para os aplicativos flui por meio de três conexões:When an application is published through Azure AD Application Proxy, traffic from the users to the applications flows through three connections:

  1. O usuário se conecta ao ponto de extremidade público do serviço Proxy de Aplicativo do Azure AD no AzureThe user connects to the Azure AD Application Proxy service public endpoint on Azure
  2. O serviço Proxy de Aplicativo se conecta ao conector de Proxy de AplicativoThe Application Proxy service connects to the Application Proxy connector
  3. O conector de Proxy de Aplicativo se conecta ao aplicativo de destinoThe Application Proxy connector connects to the target application

Diagrama mostrando o fluxo de tráfego de usuário para o aplicativo de destino

Local do locatário e serviço Proxy de AplicativoTenant location and Application Proxy service

Quando você se inscreve em um locatário do Azure AD, a região do seu locatário é determinada pelo país/região que você especificar.When you sign up for an Azure AD tenant, the region of your tenant is determined by the country/region you specify. Quando você habilita o Proxy de Aplicativo, as instâncias do serviço Proxy de Aplicativo de seu locatário são escolhidas ou criadas na mesma região que seu locatário do Azure AD, ou na região mais próxima a ele.When you enable Application Proxy, the Application Proxy service instances for your tenant are chosen or created in the same region as your Azure AD tenant, or the closest region to it.

Por exemplo, se a região ou país do seu locatário do Azure AD for o Reino Unido, todos os conectores do Proxy de Aplicativo usarão instâncias de serviço em datacenters na UE.For example, if your Azure AD tenant’s country or region is the United Kingdom, all your Application Proxy connectors use service instances in EU data centers. Quando seus usuários acessarem aplicativos publicados, o tráfego deles passará por instâncias do serviço Proxy de Aplicativo nessa localização.When your users access published applications, their traffic goes through the Application Proxy service instances in this location.

Considerações para redução da latênciaConsiderations for reducing latency

Todas as soluções de proxy introduzem a latência em sua conexão de rede.All proxy solutions introduce latency into your network connection. Não importa a solução de proxy ou VPN escolhida como sua solução de acesso remoto, ela sempre incluirá um conjunto de servidores, permitindo a conexão dentro de sua rede corporativa.No matter which proxy or VPN solution you choose as your remote access solution, it always includes a set of servers enabling the connection to inside your corporate network.

As organizações geralmente incluem pontos de extremidade do servidor em sua rede de perímetro.Organizations typically include server endpoints in their perimeter network. No entanto, com o Proxy de Aplicativo do Azure AD, o tráfego flui por meio do serviço de proxy na nuvem, enquanto os conectores residem em sua rede corporativa.With Azure AD Application Proxy, however, traffic flows through the proxy service in the cloud while the connectors reside on your corporate network. Nenhuma rede de perímetro é necessária.No perimeter network is required.

As seções a seguir contêm sugestões adicionais para ajudá-lo a reduzir a latência ainda mais.The next sections contain additional suggestions to help you reduce latency even further.

Posicionamento do conectorConnector placement

O serviço Proxy de Aplicativo escolhe o local das instâncias para você, com base no local de seu locatário.Application Proxy chooses the location of instances for you, based on your tenant location. Entretanto, você pode decidir onde instalar o conector, permitindo que você defina as características de latência de seu tráfego de rede.However, you get to decide where to install the connector, giving you the power to define the latency characteristics of your network traffic.

Ao configurar o serviço de Proxy de Aplicativo, faça as seguintes perguntas:When setting up the Application Proxy service, ask the following questions:

  • Onde o aplicativo está localizado?Where is the app located?
  • Onde está localizada a maioria dos usuários que acessam o aplicativo?Where are most users who access the app located?
  • Onde a instância do Proxy de Aplicativo está localizada?Where is the Application Proxy instance located?
  • Você já tem uma conexão de rede dedicada com os data centers configurados do Azure, por exemplo, o Azure ExpressRoute ou uma VPN semelhante?Do you already have a dedicated network connection to Azure datacenters set up, like Azure ExpressRoute or a similar VPN?

O conector tem de se comunicar com o Azure e seus aplicativos (as etapas 2 e 3 no diagrama de fluxo Tráfego), de modo que o posicionamento do conector afeta a latência dessas duas conexões.The connector has to communicate with both Azure and your applications (steps 2 and 3 in the Traffic flow diagram), so the placement of the connector affects the latency of those two connections. Ao avaliar o posicionamento do conector, tenha em mente os seguintes pontos:When evaluating the placement of the connector, keep in mind the following points:

  • Se você quiser usar a delegação restrita de Kerberos (KCD) para logon único, o conector precisará de uma linha de visão para um datacenter.If you want to use Kerberos constrained delegation (KCD) for single sign-on, then the connector needs a line of sight to a datacenter. Além disso, o servidor do conector deve ser ingressado no domínio.Additionally, the connector server needs to be domain joined.
  • Em caso de dúvida, instale o conector mais próximo ao aplicativo.When in doubt, install the connector closer to the application.

Abordagem geral para minimizar a latênciaGeneral approach to minimize latency

Você pode minimizar a latência do tráfego de ponta a ponta otimizando cada conexão de rede.You can minimize the latency of the end-to-end traffic by optimizing each network connection. Cada conexão pode ser otimizada com:Each connection can be optimized by:

  • Reduzindo a distância entre as duas extremidades do salto.Reducing the distance between the two ends of the hop.
  • Escolhendo a rede certa para percorrer.Choosing the right network to traverse. Por exemplo, percorrer uma rede privada, em vez da Internet pública, pode ser mais rápido devido aos links dedicados.For example, traversing a private network rather than the public Internet may be faster, due to dedicated links.

Se você tiver um link dedicado de VPN ou do ExpressRoute entre o Azure e sua rede corporativa, convém usá-lo.If you have a dedicated VPN or ExpressRoute link between Azure and your corporate network, you may want to use that.

Concentrar-se em sua estratégia de otimizaçãoFocus your optimization strategy

Não há muito que você pode fazer para controlar a conexão entre os usuários e o serviço Proxy de Aplicativo.There's little that you can do to control the connection between your users and the Application Proxy service. Os usuários podem acessar seus aplicativos de uma rede doméstica, uma cafeteria ou um país/região diferente.Users may access your apps from a home network, a coffee shop, or a different country/region. Em vez disso, você pode otimizar as conexões do serviço Proxy de Aplicativo para os conectores de Proxy de Aplicativo para os aplicativos.Instead, you can optimize the connections from the Application Proxy service to the Application Proxy connectors to the apps. Considere a possibilidade de incorporar os padrões a seguir em seu ambiente.Consider incorporating the following patterns in your environment.

Padrão 1: colocar o conector perto do aplicativoPattern 1: Put the connector close to the application

Coloque o conector perto do aplicativo de destino na rede do cliente.Place the connector close to the target application in the customer network. Essa configuração minimiza a etapa 3 no diagrama de topografia porque o conector e o aplicativo estão próximos.This configuration minimizes step 3 in the topography diagram, because the connector and application are close.

Se seu conector precisar de uma linha de visão para o controlador de domínio, então esse padrão será vantajoso.If your connector needs a line of sight to the domain controller, then this pattern is advantageous. A maioria de nossos clientes usa esse padrão, porque ele funciona bem para a maioria dos cenários.Most of our customers use this pattern, because it works well for most scenarios. Esse padrão também pode ser combinado com o padrão 2 para otimizar o tráfego entre o serviço e o conector.This pattern can also be combined with pattern 2 to optimize traffic between the service and the connector.

Padrão 2: aproveitar o ExpressRoute com o emparelhamento da MicrosoftPattern 2: Take advantage of ExpressRoute with Microsoft peering

Se tiver configurado o ExpressRoute com emparelhamento da Microsoft, você poderá usar a conexão do ExpressRoute mais rápida para o tráfego entre o Proxy de Aplicativo e o conector.If you have ExpressRoute set up with Microsoft peering, you can use the faster ExpressRoute connection for traffic between Application Proxy and the connector. O conector ainda está em sua rede, perto do aplicativo.The connector is still on your network, close to the app.

Padrão 3: aproveitar o ExpressRoute com o emparelhamento privadoPattern 3: Take advantage of ExpressRoute with private peering

Se você tiver uma configuração de VPN ou ExpressRoute dedicada com emparelhamento privado entre o Azure e sua rede corporativa, terá outra opção.If you have a dedicated VPN or ExpressRoute set up with private peering between Azure and your corporate network, you have another option. Nessa configuração, a rede virtual no Azure é geralmente considerada uma extensão da rede corporativa.In this configuration, the virtual network in Azure is typically considered as an extension of the corporate network. Portanto, você pode instalar o conector no data center do Azure e ainda atender aos requisitos de baixa latência da conexão entre o aplicativo e o conector.So you can install the connector in the Azure datacenter, and still satisfy the low latency requirements of the connector-to-app connection.

A latência não é comprometida, pois o tráfego está fluindo por uma conexão dedicada.Latency is not compromised because traffic is flowing over a dedicated connection. Você também obtém uma menor latência de serviço para o conector do Proxy de Aplicativo porque o conector está instalado em um datacenter do Azure perto da localização do locatário do Azure AD.You also get improved Application Proxy service-to-connector latency because the connector is installed in an Azure datacenter close to your Azure AD tenant location.

Diagrama mostrando o conector instalado em um datacenter do Azure

Outras abordagensOther approaches

Embora o foco deste artigo é a instalação, você também pode alterar o posicionamento do aplicativo para obter os melhores características de latência.Although the focus of this article is connector placement, you can also change the placement of the application to get better latency characteristics.

As organizações estão cada vez mais migrando suas redes para ambientes hospedados.Increasingly, organizations are moving their networks into hosted environments. Isso permite colocar os aplicativos em um ambiente hospedado que também faz parte da rede corporativa, e ainda ser dentro do domínio.This enables them to place their apps in a hosted environment that is also part of their corporate network, and still be within the domain. Nesse caso, os padrões discutidos nas seções anteriores podem ser aplicados para o novo local do aplicativo.In this case, the patterns discussed in the preceding sections can be applied to the new application location. Se você estiver considerando essa opção, consulte Serviços de Domínio do Azure AD.If you're considering this option, see Azure AD Domain Services.

Além disso, considere a possibilidade de organizar seus conectores usando grupos de conectores para ter como destino aplicativos que estejam em locais e redes diferentes.Additionally, consider organizing your connectors using connector groups to target apps that are in different locations and networks.

Casos de uso comunsCommon use cases

Nesta seção, veremos alguns cenários comuns.In this section, we walk through a few common scenarios. Suponha que o locatário do Azure AD (e, portanto, ponto de extremidade de serviço de proxy) está localizado nos Estados Unidos (EUA).Assume that the Azure AD tenant (and therefore proxy service endpoint) is located in the United States (US). As considerações discutidas nesses casos de uso também se aplicam a outras regiões pelo mundo.The considerations discussed in these use cases also apply to other regions around the globe.

Nesses cenários, chamamos cada conexão de um "salto" e os numeramos para uma discussão mais fácil:For these scenarios, we call each connection a "hop" and number them for easier discussion:

  • Salto 1: usuário para o serviço de Proxy de AplicativoHop 1: User to the Application Proxy service
  • Salto 2: Serviço de Proxy de Aplicativo para o conector de Proxy de AplicativoHop 2: Application Proxy service to the Application Proxy connector
  • Salto 3: conector de Proxy de Aplicativo para o aplicativo de destinoHop 3: Application Proxy connector to the target application

Caso de uso 1Use case 1

Cenário: O aplicativo está na rede da organização nos EUA, com usuários na mesma região.Scenario: The app is in an organization's network in the US, with users in the same region. Não há um ExpressRoute ou uma VPN entre o data center do Azure e a rede corporativa.No ExpressRoute or VPN exists between the Azure datacenter and the corporate network.

Recomendação: Siga o padrão 1, explicado na seção anterior.Recommendation: Follow pattern 1, explained in the previous section. Para melhorar a latência, considere o uso do ExpressRoute, se necessário.For improved latency, consider using ExpressRoute, if needed.

Este é um padrão simples.This is a simple pattern. Você otimiza o salto 3 colocando o conector perto do aplicativo.You optimize hop 3 by placing the connector near the app. Essa também é uma opção natural, pois o conector normalmente é instalado com uma linha de visão para o aplicativo e com o data center para executar operações KCD.This is also a natural choice, because the connector typically is installed with line of sight to the app and to the datacenter to perform KCD operations.

O diagrama que mostra os usuários, proxy, conector e aplicativo estão todos nos EUA

Caso de uso 2Use case 2

Cenário: O aplicativo está na rede da organização nos EUA, com usuários distribuídos globalmente.Scenario: The app is in an organization's network in the US, with users spread out globally. Não há um ExpressRoute ou uma VPN entre o data center do Azure e a rede corporativa.No ExpressRoute or VPN exists between the Azure datacenter and the corporate network.

Recomendação: Siga o padrão 1, explicado na seção anterior.Recommendation: Follow pattern 1, explained in the previous section.

Novamente, o padrão mais comum é otimizar o salto 3, onde você coloca o conector perto do aplicativo.Again, the common pattern is to optimize hop 3, where you place the connector near the app. O salto 3 não costuma ser caro, se tudo estiver dentro da mesma região.Hop 3 is not typically expensive, if it is all within the same region. No entanto, o salto 1 poderá ser mais caro dependendo de onde o usuário estiver, pois os usuários pelo mundo precisarão acessar a instância do Proxy de Aplicativo nos EUA.However, hop 1 can be more expensive depending on where the user is, because users across the world must access the Application Proxy instance in the US. Vale a pena observar que qualquer solução de proxy tem características semelhantes sobre os usuários que estão sendo distribuídos globalmente.It's worth noting that any proxy solution has similar characteristics regarding users being spread out globally.

Os usuários são distribuídos globalmente, mas todo o restante está nos EUA

Caso de uso 3Use case 3

Cenário: O aplicativo está na rede da organização nos EUA.Scenario: The app is in an organization's network in the US. Há a ExpressRoute com emparelhamento da Microsoft entre o Azure e a rede corporativa.ExpressRoute with Microsoft peering exists between Azure and the corporate network.

Recomendação: siga os padrões 1 e 2, explicados na seção anterior.Recommendation: Follow patterns 1 and 2, explained in the previous section.

Primeiro, coloque o conector mais próximo possível do aplicativo.First, place the connector as close as possible to the app. O sistema usará automaticamente o ExpressRoute para o salto 2.Then, the system automatically uses ExpressRoute for hop 2.

Se o link de ExpressRoute estiver usando o emparelhamento da Microsoft, o tráfego entre o proxy e o conector fluirá por esse link.If the ExpressRoute link is using Microsoft peering, the traffic between the proxy and the connector flows over that link. O salto 2 tem latência otimizada.Hop 2 has optimized latency.

Diagrama mostrando o ExpressRoute entre o proxy e o conector

Caso de uso 4Use case 4

Cenário: O aplicativo está na rede da organização nos EUA.Scenario: The app is in an organization's network in the US. Há a ExpressRoute com emparelhamento privado entre o Azure e a rede corporativa.ExpressRoute with private peering exists between Azure and the corporate network.

Recomendação: Siga o padrão 3, explicado na seção anterior.Recommendation: Follow pattern 3, explained in the previous section.

Coloque o conector no data center do Azure que está conectado à rede corporativa por meio de emparelhamento privado do ExpressRoute.Place the connector in the Azure datacenter that is connected to the corporate network through ExpressRoute private peering.

O conector pode ser colocado no datacenter do Azure.The connector can be placed in the Azure datacenter. Como o conector ainda tem uma linha de visão para o aplicativo e o data center por meio da rede privada, o salto 3 permanece otimizado.Since the connector still has a line of sight to the application and the datacenter through the private network, hop 3 remains optimized. Além disso, o salto 2 é ainda mais otimizado.In addition, hop 2 is optimized further.

Conector no datacenter do Azure, ExpressRoute entre o conector e o aplicativo

Caso de uso 5Use case 5

Cenário: o aplicativo está na rede da organização na UE, com a instância do Proxy de Aplicativo e a maioria dos usuários nos Estados Unidos.Scenario: The app is in an organization's network in the EU, with the Application Proxy instance and most users in the US.

Recomendação: coloque o conector próximo ao aplicativo.Recommendation: Place the connector near the app. Como os usuários dos Estados Unidos estão acessando uma instância do Proxy de Aplicativo que está na mesma região, o salto 1 não é muito caro.Because US users are accessing an Application Proxy instance that happens to be in the same region, hop 1 is not too expensive. O salto 3 está otimizado.Hop 3 is optimized. Considere a possibilidade de usar o ExpressRoute para otimizar o salto 2.Consider using ExpressRoute to optimize hop 2.

O diagrama mostra os usuários e o proxy nos EUA, conector e aplicativo na UE

Você também pode considerar o uso de uma outra variante nessa situação.You can also consider using one other variant in this situation. Se a maioria dos usuários na organização estiver nos EUA, provavelmente sua rede se “estende” também para os EUA.If most users in the organization are in the US, then chances are that your network extends to the US as well. Coloque o conector nos EUA e use a linha de rede corporativa interna dedicada para o aplicativo na UE.Place the connector in the US, and use the dedicated internal corporate network line to the application in the EU. Desta forma, os saltos 2 e 3 são otimizados.This way hops 2 and 3 are optimized.

Diagrama mostra usuários, proxy e conector nos EUA, aplicativo na UE

Próximas etapasNext steps