Microsoft Entra özel ağ bağlayıcısını anlama
Bağlan orlar, Microsoft Entra Özel Erişim ve uygulama ara sunucusunu mümkün kılanlardır. Bunlar basit, dağıtımı ve bakımı kolay ve süper güçlü. Bu makalede bağlayıcıların ne olduğu, nasıl çalıştığı ve dağıtımınızı iyileştirmeye yönelik bazı öneriler ele alınmaktadır.
Özel ağ bağlayıcısı nedir?
Bağlan örler, özel bir ağda bulunan ve Microsoft Entra Özel Erişim ve uygulama ara sunucusu hizmetlerine giden bağlantıyı kolaylaştıran basit aracılardır. Bağlan or'lar, arka uç kaynaklarına erişimi olan bir Windows Server'a yüklenmelidir. Bağlayıcıları bağlayıcı grupları halinde düzenleyebilirsiniz ve her grup belirli kaynaklara yönelik trafiği işler. Uygulama ara sunucusu ve uygulama ara sunucusu mimarisinin diyagramlı gösterimi hakkında daha fazla bilgi için bkz . Uzak kullanıcılar için şirket içi uygulamaları yayımlamak için Microsoft Entra uygulama ara sunucusunu kullanma.
Microsoft Entra özel ağ bağlayıcısını yapılandırmayı öğrenmek için bkz. Microsoft Entra Özel Erişim için özel ağ bağlayıcılarını yapılandırma.
Özel ağ bağlayıcıları, şirket içinde dağıtılan ve buluttaki uygulama ara sunucusu hizmetine giden bağlantıyı kolaylaştıran basit aracılardır. Bağlayıcıların arka uç uygulamasına erişimi olan bir Windows Server'a yüklenmesi gerekir. Kullanıcılar, trafiğini bağlayıcılar aracılığıyla uygulamalara yönlendiren uygulama ara sunucusu bulut hizmetine bağlanır.
Bağlayıcı ile uygulama ara sunucusu hizmeti arasındaki kurulum ve kayıt işlemleri aşağıdaki gibi gerçekleştirilir:
- BT yöneticisi giden trafiğin 80 ve 443 bağlantı noktalarını açar ve bağlayıcı, uygulama ara sunucusu hizmeti ve Microsoft Entra Kimliği için gereken çeşitli URL'lere erişim sağlar.
- Yönetici, Microsoft Entra yönetim merkezinde oturum açar ve bağlayıcıyı şirket içi bir Windows sunucusuna yüklemek için yürütülebilir dosyayı çalıştırır.
- Bağlayıcı, uygulama ara sunucusu hizmetini "dinlemeye" başlar.
- Yönetici, şirket içi uygulamayı Microsoft Entra Id'ye ekler ve kullanıcıların uygulamalarına bağlanması gereken URL'ler gibi ayarları yapılandırır.
Yedeklilik ve ölçeklendirme için her zaman birden çok bağlayıcı dağıtmanız önerilir. Bağlayıcılar, hizmetle birlikte tüm yüksek kullanılabilirlik görevleriyle ilgilenir ve dinamik olarak eklenebilir veya kaldırılabilir. Her yeni istek geldiğinde, kullanılabilir bağlayıcılardan birine yönlendirilir. Bir bağlayıcı çalışırken hizmete bağlandıkça etkin kalır. Bağlayıcı geçici olarak kullanılamıyorsa bu trafiğe yanıt vermez. Kullanılmayan bağlayıcılar etkin değil olarak etiketlenir ve 10 gün etkinlik dışı kaldıktan sonra kaldırılır.
Bağlan orlar ayrıca bağlayıcının daha yeni bir sürümü olup olmadığını öğrenmek için sunucuyu yoklar. El ile güncelleştirme yapabilirsiniz ancak özel ağ bağlayıcısı Güncelleştirici hizmeti çalıştığı sürece bağlayıcılar otomatik olarak güncelleştirilir. Birden çok bağlayıcısı olan kiracılar için otomatik güncelleştirmeler, ortamınızda kapalı kalma süresini önlemek için her grupta bir bağlayıcıyı hedefler.
Not
En son güncelleştirmeler hakkında bilgi sahibi olmak için sürüm geçmişi sayfasını izleyebilirsiniz.
Her özel ağ bağlayıcısı bir bağlayıcı grubuna atanır. Aynı bağlayıcı grubundaki Bağlan orlar, yüksek kullanılabilirlik ve yük dengeleme için tek bir birim görevi görür. Microsoft Entra yönetim merkezinde yeni gruplar oluşturabilir, bunlara bağlayıcı atayabilir ve ardından belirli uygulamalara hizmet vermek için belirli bağlayıcılar atayabilirsiniz. Yüksek kullanılabilirlik için her bağlayıcı grubunda en az iki bağlayıcı olması önerilir.
Bağlan veya grupları, aşağıdaki senaryoları desteklemeniz gerektiğinde yararlıdır:
- Coğrafi uygulama yayımlama
- Uygulama segmentasyonu/yalıtımı
- Bulutta veya şirket içinde çalışan web uygulamalarını yayımlama
Bağlayıcılarınızın nereye yükleneceğini seçme ve ağınızı iyileştirme hakkında daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusunu kullanırken ağ topolojisi ile ilgili dikkat edilmesi gerekenler.
Bakım
Bağlayıcılar ve hizmet tüm yüksek kullanılabilirlik görevlerini üstlenmektedir. Bunlar dinamik olarak eklenebilir veya kaldırılabilir. Yeni istekler kullanılabilir bağlayıcılardan birine yönlendirilir. Bağlayıcı geçici olarak kullanılamıyorsa bu trafiğe yanıt vermez.
Bağlayıcılar durum bilgisi yoktur ve makinede yapılandırma verileri yoktur. Depoladıkları tek veri, hizmeti ve kimlik doğrulama sertifikasını bağlama ayarlarıdır. Hizmete bağlandığında, gerekli tüm yapılandırma verilerini çeker ve birkaç dakikada bir yeniler.
Bağlan orlar ayrıca bağlayıcının daha yeni bir sürümü olup olmadığını öğrenmek için sunucuyu yoklar. Bir bağlayıcı bulunursa bağlayıcılar kendilerini güncelleştirir.
Olay günlüğünü ve performans sayaçlarını kullanarak bağlayıcılarınızı üzerinde çalıştıkları makineden izleyebilirsiniz. Daha fazla bilgi için bkz . Şirket içi Microsoft Entra günlüklerini izleme ve gözden geçirme.
Durumlarını Microsoft Entra yönetim merkezinde de görüntüleyebilirsiniz. Microsoft Entra Özel Erişim için Genel Güvenli Erişim (önizleme), Bağlan gidin ve Bağlan or'ları seçin. Uygulama ara sunucusu için Kimlik, Uygulamalar, Kurumsal uygulamalar'a gidin ve uygulamayı seçin. Uygulama sayfasında uygulama ara sunucusunu seçin.
Kullanılmayan bağlayıcıları el ile silmeniz gerekmez. Bir bağlayıcı çalışırken hizmete bağlandıkça etkin kalır. Kullanılmayan bağlayıcılar olarak _inactive_ etiketlenir ve 10 gün etkinlik dışı kaldıktan sonra kaldırılır. Ancak bir bağlayıcıyı kaldırmak istiyorsanız hem Bağlan veya hizmetini hem de Güncelleştirici hizmetini sunucudan kaldırın. Hizmeti tamamen kaldırmak için bilgisayarı yeniden başlatın.
Otomatik güncelleştirmeler
Microsoft Entra Id, dağıttığınız tüm bağlayıcılar için otomatik güncelleştirmeler sağlar. Özel ağ bağlayıcısı güncelleştirici hizmeti çalıştığı sürece bağlayıcılarınız en son ana bağlayıcı sürümüyle otomatik olarak güncelleştirilir. Sunucunuzda Bağlan or Updater hizmetini görmüyorsanız, güncelleştirmeleri almak için bağlayıcınızı yeniden yüklemeniz gerekir.
Otomatik güncelleştirmenin bağlayıcınıza gelmesini beklemek istemiyorsanız, el ile yükseltme yapabilirsiniz. Bağlayıcınızın bulunduğu sunucuda bağlayıcı indirme sayfasına gidin ve İndir'i seçin. Bu işlem, yerel bağlayıcı için bir yükseltmeyi başlatıyor.
Birden çok bağlayıcısı olan kiracılar için otomatik güncelleştirmeler, ortamınızda kapalı kalma süresini önlemek için her grupta bir bağlayıcıyı hedefler.
Bağlayıcınız şu durumlarda güncelleştirildiğinde kapalı kalma süresiyle karşılaşabilirsiniz:
- Yalnızca bir bağlayıcınız var. Kapalı kalma süresini önlemek ve daha yüksek kullanılabilirlik sağlamak için ikinci bir bağlayıcı ve bağlayıcı grubu önerilir.
- Güncelleştirme başladığında bir bağlayıcı işlemin ortasındaydı. İlk işlem kaybolsa da, tarayıcınız işlemi otomatik olarak yeniden denemelidir veya sayfanızı yenileyebilirsiniz. İstek yeniden başlatıldığında, trafik bir yedekleme bağlayıcısına yönlendirilir.
Daha önce yayımlanan sürümler ve bunların hangi değişiklikleri içerdiği hakkında bilgi edinmek için bkz . Uygulama ara sunucusu- Sürüm Sürüm Geçmişi.
Bağlayıcı grupları oluşturma
Bağlan veya grupları, belirli uygulamalara hizmet vermek için belirli bağlayıcılar atamanızı sağlar. Birçok bağlayıcıyı birlikte gruplandırabilir ve ardından her kaynağı veya uygulamayı bir gruba atayabilirsiniz.
Bağlan veya grupları büyük dağıtımları yönetmeyi kolaylaştırır. Ayrıca, yalnızca yerel uygulamalara hizmet vermek için konum tabanlı bağlayıcı grupları oluşturabileceğinizden, farklı bölgelerde barındırılan kaynakları ve uygulamaları olan kiracılar için gecikme süresini geliştirir.
Bağlayıcı grupları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcı gruplarını anlama.
Kapasite planlaması
Beklenen trafik hacmini işlemek için bağlayıcılar arasında yeterli kapasiteyi planlayın. Bir bağlayıcı grubundaki en az iki bağlayıcı yüksek kullanılabilirlik ve ölçek sağlar. Ancak üç bağlayıcı en uygun seçenektir.
Tablo, farklı makine belirtimleri için birim ve beklenen gecikme süresi sağlar. Kullanım desenleri farklılık gösterdiğinden ve yükü tahmin etmek için kullanılamadığından veriler kullanıcı tarafından değil beklenen Saniye Başına İşlemleri (TPS) temel alır. Yanıtların boyutuna ve arka uç uygulama yanıt süresine bağlı olarak bazı farklılıklar vardır. Daha büyük yanıt boyutları ve daha yavaş yanıt süreleri daha düşük maksimum TPS'ye neden olur. Daha fazla makine yükü dağıtır ve geniş arabellek sağlar. Ek kapasite, yüksek kullanılabilirlik ve dayanıklılık sağlar.
| Çekirdekler | RAM | Beklenen Gecikme Süresi (MS)-P99 | En Fazla TPS |
|---|---|---|---|
| 2 | 8 | 325 | 586 |
| 4 | 16 | 320 | 1150 |
| 8 | 32 | 270 | 1190 |
| 16 | 64 | 245 | 1200* |
* Makine, varsayılan bağlantı sınırlarının bazılarını .NET tarafından önerilen ayarların ötesine yükseltmek için özel bir ayar kullandı. Kiracınızda bu sınırın değiştirilmesi için desteğe başvurmadan önce varsayılan ayarlarla bir test çalıştırmanızı öneririz.
Not
Maksimum TPS'de 4, 8 ve 16 çekirdek makine arasında çok fazla fark yoktur. Temel fark beklenen gecikme süresidir.
Tablo, yüklü olduğu makinenin türüne göre bağlayıcının beklenen performansına odaklanır. Bu, hizmetin azaltma sınırlarından ayrıdır, bkz . hizmet sınırları ve kısıtlamaları.
Güvenlik ve ağ
Bağlan orlar, Microsoft Entra Özel Erişim ve uygulama ara sunucusu hizmetine istek göndermelerini sağlayan ağ üzerinde herhangi bir yere yüklenebilir. Önemli olan, bağlayıcıyı çalıştıran bilgisayarın uygulamalarınıza ve kaynaklarınıza da erişimi olmasıdır. Bağlayıcıları kurumsal ağınızın içine veya bulutta çalışan bir sanal makineye yükleyebilirsiniz. Bağlan or'lar, bir çevre ağı içinde çalıştırılabilir ve bu ağ, diğer adıyla bir bölge (DMZ) olarak da bilinir, ancak ağınızın güvenli kalması için tüm trafik giden olduğundan bu gerekli değildir.
Bağlan orlar yalnızca giden istekleri gönderir. Giden trafik hizmete ve yayımlanan kaynaklara ve uygulamalara gönderilir. Bir oturum oluşturulduktan sonra trafik her iki yoldan da aktığı için gelen bağlantı noktalarını açmanız gerekmez. Ayrıca güvenlik duvarlarınız üzerinden gelen erişimi yapılandırmanız da gerekmez.
Giden güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz . Mevcut şirket içi ara sunucularla çalışma.
Performans ve Ölçeklenebilirlik
Microsoft Entra Özel Erişim ve uygulama ara sunucusu hizmetleri için ölçek saydamdır, ancak ölçek bağlayıcılar için bir faktördür. Yoğun trafiği işlemek için yeterli bağlayıcınız olması gerekir. Bağlan or'lar durum bilgisi yoktur ve kullanıcı veya oturum sayısı bunları etkilemez. Bunun yerine, istek sayısına ve yük boyutlarına yanıt verir. Standart web trafiğiyle ortalama bir makine saniyede 2.000 isteği işleyebilir. Belirli kapasite, tam makine özelliklerine bağlıdır.
CPU ve ağ bağlayıcı performansını tanımlar. TLS şifrelemesi ve şifre çözmesi için CPU performansı gerekirken, uygulamalara ve çevrimiçi hizmete hızlı bağlantı elde etmek için ağ önemlidir.
Buna karşılık, bellek bağlayıcılar için daha az sorun oluşturur. Çevrimiçi hizmet, işlemenin ve tüm kimliği doğrulanmamış trafiğin büyük bölümünü üstlenir. Bulutta yapılabilecek her şey bulutta yapılır.
Bağlayıcılar veya makineler kullanılamadığında, trafik gruptaki başka bir bağlayıcıya gider. Bağlayıcı grubundaki birden çok bağlayıcı dayanıklılık sağlar.
Performansı etkileyen bir diğer faktör de bağlayıcılar arasındaki ağ kalitesinin aşağıdakiler gibi olmasıdır:
- Çevrimiçi hizmet: Microsoft Entra hizmetine yönelik yavaş veya yüksek gecikme süreli bağlantılar bağlayıcı performansını etkiler. En iyi performans için Express Route ile kuruluşunuzu Microsoft'a bağlayın. Aksi takdirde, ağ ekibinizin Microsoft bağlantılarının mümkün olduğunca verimli bir şekilde işlenmesini sağlayın.
- Arka uç uygulamaları: Bazı durumlarda, bağlayıcı ile arka uç kaynakları ve uygulamaları arasında bağlantıları yavaşlatabilen veya engelleyebilecek ek proxy'ler vardır. Bu senaryoyla ilgili sorunları gidermek için bağlayıcı sunucusundan bir tarayıcı açın ve uygulamaya veya kaynağa erişmeyi deneyin. Bağlayıcıları bulutta çalıştırıyorsanız ancak uygulamalar şirket içindeyse, bu deneyim kullanıcılarınızın beklediği gibi olmayabilir.
- Etki alanı denetleyicileri: Bağlayıcılar Kerberos Kısıtlanmış Temsili kullanarak çoklu oturum açma (SSO) gerçekleştiriyorsa, isteği arka uca göndermeden önce etki alanı denetleyicileriyle iletişim kurarlar. Bağlayıcılar Kerberos biletlerinden oluşan bir önbelleğe sahiptir, ancak yoğun bir ortamda etki alanı denetleyicilerinin yanıt verme hızı performansı etkileyebilir. Bu sorun, Azure'da çalışan ancak şirket içi etki alanı denetleyicileriyle iletişim kuran bağlayıcılar için daha yaygındır.
Ağınızı iyileştirme hakkında daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusunu kullanırken ağ topolojisi ile ilgili dikkat edilmesi gerekenler.
Etki alanına katılma
Bağlan orlar etki alanına katılmamış bir makinede çalıştırılabilir. Ancak, tümleşik Windows kimlik doğrulaması (IWA) kullanan uygulamalarda çoklu oturum açma (SSO) istiyorsanız, etki alanına katılmış bir makineye ihtiyacınız vardır. Bu durumda, bağlayıcı makinelerinin yayımlanan uygulamalar için kullanıcılar adına Kerberos Kısıtlanmış Temsili gerçekleştirebilen bir etki alanına katılması gerekir.
Bağlan orlar, kısmi güvene sahip ormanlardaki etki alanlarına veya salt okunur etki alanı denetleyicilerine de eklenebilir.
Bağlan veya sağlamlaştırılmış ortamlarda dağıtımlar
Genellikle bağlayıcı dağıtımı basittir ve özel yapılandırma gerektirmez.
Ancak, dikkate alınması gereken bazı benzersiz koşullar vardır:
- Giden trafiğin açık olması için belirli bağlantı noktalarının olması gerekir. Daha fazla bilgi edinmek için bkz . Bağlayıcıları yapılandırma.
- FIPS uyumlu makineler, bağlayıcı işlemlerinin sertifika oluşturmasına ve depolamasına izin vermek için yapılandırma değişikliği gerektirebilir.
- Giden iletme proxy'leri iki yönlü sertifika kimlik doğrulamasını bozabilir ve iletişimin başarısız olmasına neden olabilir.
Bağlan veya kimlik doğrulaması
Güvenli bir hizmet sağlamak için bağlayıcıların hizmete yönelik kimlik doğrulaması ve hizmetin de bağlayıcıya doğru kimlik doğrulamasından geçirmesi gerekir. Bu kimlik doğrulaması, bağlayıcılar bağlantıyı başlattığında istemci ve sunucu sertifikaları kullanılarak yapılır. Bu şekilde yöneticinin kullanıcı adı ve parolası bağlayıcı makinesinde depolanmaz.
Kullanılan sertifikalar hizmete özeldir. bunlar ilk kayıt sırasında oluşturulur ve birkaç ayda bir otomatik olarak yenilenir.
İlk başarılı sertifika yenilemesinden sonra, Microsoft Entra özel ağ bağlayıcı hizmetinin (Ağ Hizmeti) eski sertifikayı yerel makine deposundan kaldırma izni yoktur. Sertifikanın süresi dolarsa veya hizmet tarafından kullanılmıyorsa, sertifikayı güvenle silebilirsiniz.
Sertifika yenilemeyle ilgili sorunları önlemek için bağlayıcıdan belgelenen hedeflere doğru ağ iletişiminin etkinleştirildiğinden emin olun.
Bağlayıcı hizmete birkaç ay boyunca bağlı değilse sertifikaları güncel olmayabilir. Bu durumda, kaydı tetikleyebilmek için bağlayıcıyı kaldırıp yeniden yükleyin. Aşağıdaki PowerShell komutlarını çalıştırabilirsiniz:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
Kamu için kullanın -EnvironmentName "AzureUSGovernment". Daha fazla bilgi için bkz. Azure Kamu Bulut için Aracı yükleme.
Sertifikayı doğrulamayı ve sorunları gidermeyi öğrenmek için bkz . Uygulama ara sunucusu güven sertifikası için Makine ve arka uç bileşenlerini doğrulama desteği.
Temel bileşenler
Bağlan or'lar Windows Server'da yüklü olduğundan, Windows Olay Günlükleri ve Windows performans sayaçları da dahil olmak üzere aynı yönetim araçlarının çoğuna sahiptir.
Bağlayıcıların hem Yönetici hem de Oturum günlükleri vardır. Yönetici günlüğü önemli olayları ve hatalarını içerir. Oturum günlüğü tüm işlemleri ve bunların işleme ayrıntılarını içerir.
Günlükleri görmek için Olay Görüntüleyicisi açın ve Uygulama ve Hizmet Günlükleri>Microsoft>Microsoft Entra özel ağı> Bağlan or bölümüne gidin. Oturum günlüğünü görünür hale getirmek için Görünüm menüsünde Analiz ve Hata Ayıklama Günlüklerini Göster'i seçin. Oturum günlüğü genellikle sorun giderme için kullanılır ve varsayılan olarak devre dışı bırakılır. Olayları toplamaya başlamak için etkinleştirin ve artık gerekli olmadığında devre dışı bırakın.
Hizmetler penceresinde hizmetin durumunu inceleyebilirsiniz. Bağlayıcı iki Windows Hizmeti'ni kapsar: gerçek bağlayıcı ve güncelleştirici. her ikisi de her zaman çalıştırılmalıdır.
Etkin olmayan bağlayıcılar
Sık karşılaşılan bir sorun, bağlayıcıların bir bağlayıcı grubunda etkin değil olarak görünmesidir. Gerekli bağlantı noktalarını engelleyen bir güvenlik duvarı, etkin olmayan bağlayıcılar için yaygın bir nedendir.
Kullanım Koşulları
Microsoft Entra Özel Erişim ve Microsoft Entra İnternet Erişimi önizleme deneyimlerini ve özelliklerini kullanımınız, hizmetleri edindiğiniz sözleşmelerin önizleme çevrimiçi hizmet hüküm ve koşullarına tabidir. Önizlemeler, Çevrimiçi Hizmetler için Evrensel Lisans Koşulları ve Microsoft Ürün ve Hizmetleri Veri Koruma Eki ("DPA") ve Önizleme ile sağlanan diğer bildirimlerde açıklandığı gibi azaltılmış veya farklı güvenlik, uyumluluk ve gizlilik taahhütlerine tabi olabilir.