Общие сведения о группах соединителей частной сети Microsoft Entra

  • Статья

Используйте группы соединителей частной сети для назначения определенных соединителей определенным приложениям. группы Подключение or обеспечивают более контроль и позволяют оптимизировать развертывания.

Каждый соединитель частной сети назначается группе соединителей. Все соединители, принадлежащие одной группе соединителей, действуют как отдельная единица в контексте обеспечения высокого уровня доступности и балансировки нагрузки. Все соединители принадлежат какой-либо группе соединителей. Если не создать группы, то все соединители будут принадлежать группе по умолчанию. Вы создаете новые группы соединителей и назначаете соединители в Центре администрирования Microsoft Entra.

Подключение группы можно использовать, если приложения размещаются в разных расположениях. Группы соединителей создаются в зависимости от расположения. Приложения используют соединители, которые физически близки к ним.

Совет

Если у вас есть крупное развертывание прокси приложения, не назначайте приложения группе соединителей по умолчанию. Таким образом новые соединители не будут принимать текущий трафик, пока вы не добавите их в активную группу соединителей. Такая конфигурация позволяет переводить соединители в режим простоя, перемещая их в группу по умолчанию, чтобы можно было выполнить обслуживание без ущерба для работы пользователей.

Необходимые компоненты

Для использования групп соединителей необходимо использовать несколько соединителей. Новые соединители автоматически добавляются в группу соединителей по умолчанию . Дополнительные сведения об установке соединителей см. в разделе "Настройка соединителей".

Назначение приложений в группы соединителей

При первой публикации приложение назначается группе соединителей. Вы также можете обновить группу, назначаемую соединителем.

Варианты использования групп соединителей

Группы соединителей удобно использовать в нескольких сценариях, включая следующие:

Сайты с несколькими взаимосвязанными центрами обработки данных.

Крупные организации используют несколько центров обработки данных. Вы хотите сохранить как можно больше трафика в определенном центре обработки данных, так как связи между центрами обработки данных являются дорогостоящими и медленными. Соединители развертываются в каждом центре обработки данных для обслуживания только приложений, находящихся в центре обработки данных. Такой подход сводит к минимуму ссылки между центрами и предоставляет пользователям полностью прозрачное взаимодействие.

Приложения, установленные на изолированных сетях

Приложения могут размещаться в сетях, которые не являются частью основной корпоративной сети. Вы можете использовать группы соединителей для установки выделенных соединителей для изолированных сетей, чтобы ограничить область действия приложений соответствующей сетью. Сценарий распространен для поставщиков, которые поддерживают определенное приложение.

Приложения, установленные в инфраструктуре как услуга (IaaS)

Для приложений, установленных в инфраструктуре как услуга (IaaS) для доступа к облаку, группы соединителей предоставляют общую службу для защиты доступа ко всем приложениям. Подключение группы не создают больше зависимостей в корпоративной сети или фрагментируйте интерфейс приложения. Подключение устанавливаются в каждом облачном центре обработки данных и служат только приложениям, которые находятся в этой сети. Вы устанавливаете несколько соединителей для обеспечения высокой доступности.

В качестве примера можно рассмотреть организацию с несколькими виртуальными машинами, которые подключены к собственной виртуальной сети, размещенной в IaaS. Чтобы позволить сотрудникам использовать эти приложения, эти частные сети подключены к корпоративной сети с помощью виртуальной частной сети типа "сеть — сеть" (VPN). VPN типа "сеть — сеть" обеспечивает хороший опыт для сотрудников, расположенных в локальной среде. Но это не идеально подходит для удаленных сотрудников, так как для этого требуется дополнительная локальная инфраструктура для маршрутизации доступа, как показано на схеме:

Схема, иллюстрируемая сеть Microsoft Entra IaaS

С помощью групп соединителей частной сети Microsoft Entra вы можете обеспечить общий доступ ко всем приложениям без создания дополнительных зависимостей в корпоративной сети:

Microsoft Entra IaaS Multiple Cloud Vendors

Несколько лесов: отдельная группа соединителей для каждого леса

Единый вход обычно достигается с помощью ограниченного делегирования Kerberos (KCD). Компьютеры соединителя присоединяются к домену, который может делегировать пользователей приложению. Ограниченное делегирование Kerberos функционирует между лесами. Но для компаний, у которых есть различные среды с несколькими лесами без доверия между ними, один соединитель не может использоваться для всех лесов. Вместо этого определенные соединители развертываются для каждого леса и задаются для обслуживания приложений, опубликованных для обслуживания только пользователей этого конкретного леса. Каждая группа соединителей представляет отдельный лес. Хотя клиент и большая часть интерфейса унифицированы для всех лесов, пользователи могут быть назначены их приложениям леса с помощью групп Microsoft Entra.

Сайты аварийного восстановления

Существует два подхода, которые следует рассмотреть для сайтов аварийного восстановления( аварийного восстановления):

  • Сайт аварийного восстановления построен в активно-активном режиме, где он точно похож на основной сайт. Сайт также имеет те же параметры сети и Active Directory (AD). Соединители можно создать на сайте аварийного восстановления в той же группе соединителей, что и основной сайт. Идентификатор Microsoft Entra обнаруживает отработку отказа.
  • Сайт аварийного восстановления отделен от основного сайта. Вы создаете другую группу соединителей на сайте аварийного восстановления. У вас есть приложения резервного копирования или вручную перенаправить существующее приложение в группу соединителей аварийного восстановления по мере необходимости.

Обслуживание нескольких компаний из отдельного клиента

Вы можете реализовать модель, в которой один поставщик услуг развертывает и обслуживает связанные службы Microsoft Entra для нескольких компаний. группы Подключение or помогают разделить соединители и приложения на разные группы. Одним из способов, подходящих для небольших компаний, является один клиент Microsoft Entra, в то время как разные компании имеют собственное доменное имя и сети. Тот же подход подходит для сценариев слияния и ситуаций, когда одно подразделение обслуживает несколько компаний по нормативным или бизнес-причинам.

Примеры конфигураций

Рассмотрим эти примеры конфигураций групп соединителей.

Конфигурация по умолчанию — без использования группы соединителей

Если вы не используете группы соединителей, конфигурации будет выглядеть следующим образом.

Пример без групп соединителей

Конфигурация достаточна для небольших развертываний и тестов. Она также работает, если в вашей организации есть топология неструктурированных сетевых сетей.

Конфигурация по умолчанию и изолированная сеть

Конфигурация — это эволюция по умолчанию, конкретное приложение выполняется в изолированной сети, например виртуальной сети IaaS:

Пример Microsoft Entra без групп соединителей в изолированной сети

Рекомендуемая конфигурация — несколько отдельных групп и группа по умолчанию для неактивных соединителей

Рекомендуемая конфигурация для больших и сложных организаций содержит группу соединителей по умолчанию, которая не обслуживает приложения и используется для неактивных или только что установленных соединителей. Все приложения обслуживаются с помощью пользовательских групп соединителей.

В примере у компании есть два центра обработки данных, A и B с двумя соединителями, которые служат каждому сайту. На каждом узле имеются различные приложения, которые на нем выполняются.

Пример компании с 2 центрами обработки данных и 2 соединителями

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Следующие шаги