Azure AD Uygulama Ara Sunucusu bağlayıcılarını anlama

Bağlayıcılar, Azure AD'nin Uygulama Ara Sunucusu sağlar. Bunlar basittir, dağıtımı ve bakımı kolaydır ve süper güçlü olur. Bu makalede bağlayıcıların ne olduğu, nasıl çalışırları ve dağıtımlarınızı iyileştirmeye yönelik bazı öneriler ele alın almaktadır.

Uygulama Ara Sunucusu nedir?

Bağlayıcılar, şirket içinde yer alan ve şirket içi hizmetle giden bağlantıyı kolaylaştıran basit Uygulama Ara Sunucusu aracılardır. Bağlayıcılar, arka uç uygulamasına erişimi olan Windows Sunucu'ya yük yük gerekir. Bağlayıcıları, her grup belirli uygulamalara yönelik trafiği işleyecek şekilde bağlayıcı grupları halinde düzenleyebilirsiniz. Uygulama ara sunucusu ve uygulama ara sunucusu mimarisinin diyagram gösterimi hakkında daha fazla bilgi için bkz. Azure AD Uygulama Ara Sunucusu uzak kullanıcılar için şirket içi uygulamaları yayımlamak için kullanma

Gereksinimler ve dağıtım

Bu Uygulama Ara Sunucusu dağıtmak için en az bir bağlayıcıya ihtiyacınız vardır, ancak daha fazla güvenlik için iki veya daha fazla bağlayıcı öneririz. Bağlayıcıyı R2 veya sonraki bir sürümü çalıştıran Windows Server 2012 yükleyin. Bağlayıcının yayımlamak istediğiniz Uygulama Ara Sunucusu şirket içi uygulamalarla iletişim kurması gerekir.

Windows sunucusu

R2 veya sonraki bir Windows Server 2012 çalıştıran bir sunucuya ihtiyacınız vardır ve bu sunucuyu Uygulama Ara Sunucusu yükleyebilirsiniz. Sunucunun Azure'daki Uygulama Ara Sunucusu ve yayımlamakta olan şirket içi uygulamalara bağlanması gerekir.

Windows server'ın, Uygulama Ara Sunucusu bağlayıcıyı yüklemeden önce TLS 1.2'yi Uygulama Ara Sunucusu gerekir. Sunucuda TLS 1.2'yi etkinleştirmek için:

  1. Aşağıdaki kayıt defteri anahtarlarını ayarlayın:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Sunucuyu yeniden başlatın

Bağlayıcı sunucusunun ağ gereksinimleri hakkında daha fazla bilgi için bkz. Kullanmaya başlayın ile Uygulama Ara Sunucusu yükleme.

Bakım

Bağlayıcılar ve hizmet tüm yüksek kullanılabilirlik görevlerini üst düzeye çıkar. Bunlar dinamik olarak eklenebilir veya kaldırılabilir. Her yeni istek geldiğinde, o anda kullanılabilir olan bağlayıcılardan biri yönlendirildi. Bağlayıcı geçici olarak kullanılamıyorsa bu trafiğe yanıt vermez.

Bağlayıcılar durum bilgisizdir ve makinede yapılandırma verileri yoktur. Depolana tek veri, hizmeti ve kimlik doğrulama sertifikasını bağlamak için kullanılan ayarlardır. Hizmete bağlanarak gerekli tüm yapılandırma verilerini çeker ve birkaç dakikada bir yeniler.

Bağlayıcılar ayrıca bağlayıcının daha yeni bir sürümü olup olmadığını bulmak için sunucuyu yoklar. Bir tane bulunursa, bağlayıcılar kendilerini güncelleştirmesi gerekir.

Bağlayıcılarınızı üzerinde çalıştırıldıklarından olay günlüğünü ve performans sayaçlarını kullanarak izleyebilirsiniz. Veya durumlarını, ilgili sayfanın Uygulama Ara Sunucusu sayfasından Azure portal:

Örnek: Azure AD Uygulama Ara Sunucusu bağlayıcıları

Kullanılmayan bağlayıcıları el ile silmeniz gerekmez. Çalışan bir bağlayıcı, hizmete bağlanırken etkin kalır. Kullanılmayan bağlayıcılar etkin değil olarak etiketlenir ve 10 günlük etkin olmayan durumdan sonra kaldırılır. Ancak bir bağlayıcıyı kaldırmak istemiyorsanız, hem Bağlayıcı hizmetini hem de Güncelleştiren hizmetini sunucudan kaldırın. Hizmeti tam olarak kaldırmak için bilgisayarınızı yeniden başlatın.

Otomatik güncelleştirmeler

Azure AD, dağıtın tüm bağlayıcılar için otomatik güncelleştirmeler sağlar. Bağlayıcı hizmeti Uygulama Ara Sunucusu Bağlayıcı Güncelleştiricisi, bağlayıcınız en son ana bağlayıcı sürümüyle otomatik olarak güncelleştirmesi yapılır. Bağlayıcı Güncelleştiricisi hizmetini sunucunuzda görmüyorsanız, güncelleştirmeleri almak için bağlayıcınızı yeniden yüklemeniz gerekir.

Bağlayıcınıza otomatik güncelleştirmenin güncelleştirmeyi beklemesini istemiyorsanız, el ile yükseltme işlemi de kullanabilirsiniz. Bağlayıcının bulunduğu sunucuda bağlayıcı indirme sayfasına gidin ve İndir'i seçin. Bu işlem, yerel bağlayıcı için bir yükseltmeye neden olur.

Birden çok bağlayıcısı olan kiracılar için, otomatik güncelleştirmeler ortamınız içinde kapalı kalma süresini önlemek için her grupta bir bağlayıcıyı hedefler.

Bağlayıcınız aşağıdakiler için güncelleştirmeler olduğunda kapalı kalma süresiyle karşınıza olabilir:

  • Yalnızca bir bağlayıcıya sahipsiniz. İkinci bir bağlayıcı yüklemenizi ve bir bağlayıcı grubu oluşturmanızı öneririz. Bu, kapalı kalma süresini önler ve daha yüksek kullanılabilirlik sağlar.
  • Güncelleştirme başladığı zaman bağlayıcı bir işlem ortasında yer aldı. İlk işlem kaybedilse de tarayıcınız işlemi otomatik olarak yeniden denemeli veya sayfanızı yenileyebilirsiniz. İstek yeniden geldiğinde, trafik bir yedek bağlayıcıya yönlendirildi.

Daha önce yayımlanan sürümler ve bunların hangi değişikliklere dahil olduğu hakkında bilgi için bkz. Uygulama Ara Sunucusu- Sürüm Sürüm Geçmişi.

Bağlayıcı grupları oluşturma

Bağlayıcı grupları, belirli uygulamalara hizmet vermek için belirli bağlayıcıları atamaya olanak sağlar. Birçok bağlayıcıyı birlikte gruplayın ve ardından her uygulamayı bir gruba atabilirsiniz.

Bağlayıcı grupları, büyük dağıtımları yönetmeyi kolaylaştırır. Ayrıca farklı bölgelerde barındırılan uygulamaların bulunduğu kiracıların gecikme süresini de iyiler çünkü yalnızca yerel uygulamalara hizmet edecek konum tabanlı bağlayıcı grupları oluşturabilirsiniz.

Bağlayıcı grupları hakkında daha fazla bilgi edinmek için bkz. Bağlayıcı gruplarını kullanarak uygulamaları ayrı ağlarda ve konumlarda yayımlama.

Kapasite planlaması

Beklenen trafik hacmini işlemek için bağlayıcılar arasında yeterli kapasite planladığından emin olmak önemlidir. Yüksek kullanılabilirlik ve ölçek sağlamak için her bağlayıcı grubunun en az iki bağlayıcısı olması önerilir. Herhangi bir noktada bir makineye hizmet ihtiyacınız olması durumunda en uygun üç bağlayıcıya sahip olmaktır.

Genel olarak, ne kadar çok kullanıcınız olursa, ihtiyacınız olan makine o kadar büyük olur. Aşağıda, farklı makinelerin işleyebilecek hacmi ve beklenen gecikme süresinin ana hatlarını veren bir tablo verilmiştir. Kullanım desenleri değişiklik gösterir ve yükü tahmin etmek için kullanılamaz. Ayrıca yanıtların boyutuna ve arka uç uygulaması yanıt süresine bağlı olarak bazı farklılıklar da olacaktır. Daha büyük yanıt boyutları ve daha yavaş yanıt süreleri daha düşük Bir Maksimum TPS'ye neden olur. Ayrıca makineler arasında dağıtılmış yükün her zaman geniş arabellek sağladığı için ek makinelere sahip olmak da önerilir. Ek kapasite, yüksek kullanılabilirlik ve resmiyete sahip olmasını sağlar.

Çekirdekler RAM Beklenen Gecikme Süresi (MS)-P99 Maksimum TPS
2 8 325 586
4 16 320 1150
8 32 270 1190
16 64 245 1200*

* Bu makine, bazı varsayılan bağlantı sınırlarını .NET tarafından önerilen ayarların ötesine yükseltmek için özel bir ayar kullandı. Kiracınız için bu sınırın değişmesi için de destekle iletişim kurmadan önce varsayılan ayarlarla bir test çalıştırmanızı öneririz.

Not

4, 8 ve 16 çekirdek makine arasında en fazla TPS arasında çok fazla fark yok. Bunlar arasındaki temel fark, beklenen gecikme süresidir.

Bu tablo ayrıca, yüklü olduğu makine türüne bağlı olarak bağlayıcının beklenen performansına odaklanır. Bu, hizmet Uygulama Ara Sunucusu azaltma sınırlarından ayrıdır, bkz. Hizmet sınırları ve kısıtlamaları.

Güvenlik ve ağ

Bağlayıcılar, ağ üzerinde herhangi bir yere yüklenir ve bu da ağ hizmetine istek Uygulama Ara Sunucusu sağlar. Ne önemli olan, bağlayıcıyı çalıştıran bilgisayarın da uygulamalarınıza erişimi vardır. Şirket ağınızın içine veya bulutta çalışan bir sanal makineye bağlayıcılar yükleyebilirsiniz. Bağlayıcılar, sivilleştirilmiş bölge (DMZ) olarak da bilinen bir çevre ağı içinde çalışabilir, ancak ağınızın güvenliği güvende kalacak şekilde tüm trafik giden bir çıkış olduğundan bu gerekli değildir.

Bağlayıcılar yalnızca giden istekleri gönderir. Giden trafik, uygulama proxy 'Si hizmetine ve yayımlanan uygulamalara gönderilir. Trafik bir oturum kurulduktan sonra iki şekilde akışa alındığından gelen bağlantı noktalarını açmanız gerekmez. Ayrıca, güvenlik duvarlarınız aracılığıyla gelen erişimi yapılandırmanız gerekmez.

Giden güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz. mevcut şirket içi proxy sunucularıyla çalışma.

Performans ve ölçeklenebilirlik

Uygulama proxy 'Si hizmetinin ölçeği saydam, ancak ölçek bağlayıcılar için bir faktördür. Yoğun trafiği işlemek için yeterli sayıda bağlayıcı olması gerekir. Bağlayıcılar durum bilgisiz olduğundan Kullanıcı veya oturum sayısından etkilenmemektedir. Bunun yerine, istek sayısına ve bunların yük boyutuna yanıt verir. Standart Web trafiğiyle ortalama bir makine saniyede birkaç bin isteği işleyebilir. Belirli kapasite, tam makine özelliklerine bağlıdır.

Bağlayıcı performansı, CPU ve ağ ile bağlanır. TLS şifreleme ve şifre çözme için CPU performansı gerekir. ağ, Azure 'daki uygulamalara ve çevrimiçi hizmete hızlı bağlantı sağlamak için önemlidir.

Buna karşılık, bellek, bağlayıcılar için bir sorundan daha küçüktür. Çevrimiçi hizmet, işlemenin ve tüm kimliği doğrulanmamış trafiğin çoğunu üstlenir. Bulutta yapılabilecek her şey bulutta yapılır.

Bağlayıcının veya makinenin kullanılamaz hale gelmesi herhangi bir nedenden dolayı trafik gruptaki başka bir bağlayıcıya devam eder. Bu esneklik Ayrıca birden çok bağlayıcı kullanmanızı öneriyoruz.

Performansı etkileyen bir başka faktör de şunlar dahil olmak üzere bağlayıcılar arasındaki ağ kalitesi olur:

  • Çevrimiçi hizmet: Azure 'Da uygulama proxy hizmeti için yavaş veya yüksek gecikmeli bağlantılar, bağlayıcı performansını etkiler. En iyi performansı elde etmek için, kuruluşunuzun Express Route ile Azure 'a bağlanmasını sağlar. Aksi takdirde, ağ takımınızın Azure bağlantılarının mümkün olduğunca verimli bir şekilde işlendiğinden emin olun.
  • Arka uç uygulamaları: bazı durumlarda bağlayıcı ve bağlantıları yavaşlatabilecek ya da engelleyebilen arka uç uygulamaları arasında ek proxy 'ler vardır. Bu senaryoda sorun gidermek için bağlayıcı sunucusundan bir tarayıcı açın ve uygulamaya erişmeyi deneyin. Bağlayıcıları Azure 'da çalıştırırsanız, ancak uygulamalar Şirket içi ise, deneyim kullanıcılarınızın beklediği şekilde çalışmayabilir.
  • Etki alanı denetleyicileri: bağlayıcılar, Kerberos kısıtlanmış temsilciyi kullanarak çoklu oturum açma (SSO) gerçekleştirdiklerinde, isteği arka uca göndermeden önce etki alanı denetleyicileriyle iletişim kurabilirler. Bağlayıcılar Kerberos biletleri önbelleğine sahiptir, ancak meşgul bir ortamda, etki alanı denetleyicilerinin yanıt verme hızı performansı etkileyebilir. Bu sorun, Azure 'da çalışan ancak şirket içi etki alanı denetleyicileri ile iletişim kuran bağlayıcılar için daha yaygın bir sorundur.

ağınızı iyileştirme hakkında daha fazla bilgi için bkz. Azure Active Directory uygulama Proxy 'si kullanılırken ağ topolojisi konuları.

Etki alanına katılma

Bağlayıcılar, etki alanına katılmamış bir makinede çalıştırılabilir. ancak, tümleşik Windows kimlik doğrulaması (ıwa) kullanan uygulamalar için çoklu oturum açma (SSO) istiyorsanız, etki alanına katılmış bir makineye ihtiyacınız vardır. Bu durumda, bağlayıcı makineleri yayımlanan uygulamalar için kullanıcılar adına Kerberos kısıtlı temsili gerçekleştirebilen bir etki alanına katılmalıdır.

Bağlayıcılar, kısmi güven veya salt okuma etki alanı denetleyicileri olan ormanlarda bulunan etki alanlarına da katılabilir.

Sağlamlaştırılmış ortamlarda bağlayıcı dağıtımları

Genellikle, bağlayıcı dağıtımı basittir ve özel yapılandırma gerektirmez. Ancak göz önünde bulundurmanız gereken bazı benzersiz koşullar vardır:

  • Giden trafiği sınırlayan kuruluşların gereken bağlantı noktalarını açmasıgerekir.
  • FIPS uyumlu makineler, bağlayıcı işlemlerinin bir sertifika oluşturmasına ve depolamasına izin verecek şekilde yapılandırmalarını değiştirmek için gerekebilir.
  • Ağ isteklerini veren işlemlere bağlı olarak ortamlarını kilitleyen kuruluşlar, her iki bağlayıcı hizmetinin gerekli tüm bağlantı noktalarına ve IP 'Lere erişmek için etkinleştirildiğinden emin olmak zorundadır.
  • Bazı durumlarda, giden iletme proxy 'leri iki yönlü sertifika kimlik doğrulamasını bozabilir ve iletişimin başarısız olmasına neden olabilir.

Bağlayıcı kimlik doğrulaması

Güvenli bir hizmet sağlamak için bağlayıcılar hizmete doğru kimlik doğrulaması yapmak ve hizmetin bağlayıcıya doğru kimlik doğrulaması yapması gerekir. Bu kimlik doğrulaması, bağlayıcılar bağlantıyı başlatabileceğinden istemci ve sunucu sertifikaları kullanılarak yapılır. Bu şekilde yöneticinin Kullanıcı adı ve parolası bağlayıcı makinede depolanmaz.

Kullanılan sertifikalar, uygulama proxy 'Si hizmetine özgüdür. Bunlar ilk kayıt sırasında oluşturulur ve her iki ayda bir bağlayıcı tarafından otomatik olarak yenilenir.

İlk başarılı sertifika yenilemesinin ardından Azure AD Uygulama Ara Sunucusu bağlayıcı hizmeti 'nin (ağ hizmeti) yerel makine deposundan eski sertifikayı kaldırma izni yoktur. Sertifikanın süresi dolmuşsa veya hizmet tarafından artık kullanılmıyorsa, güvenli bir şekilde silebilirsiniz.

Sertifika yenilemeyle ilgili sorunlardan kaçınmak için, bağlayıcıdan belgelenen hedeflere doğru olan ağ iletişiminin etkinleştirildiğinden emin olun.

Bir bağlayıcı birkaç ay için hizmete bağlı değilse, sertifikaları güncel olmayabilir. Bu durumda, kayıt tetiklemek için bağlayıcıyı kaldırın ve yeniden yükleyin. Aşağıdaki PowerShell komutlarını çalıştırabilirsiniz:

Import-module AppProxyPSModule
Register-AppProxyConnector -EnvironmentName "AzureCloud"

Kamu için kullanın -EnvironmentName "AzureUSGovernment" . Daha ayrıntılı bilgi için bkz. Azure Kamu Bulutu Için aracı 'Nı yükler.

Sertifikayı doğrulama ve sorun giderme hakkında daha fazla bilgi edinmek için bkz. uygulama proxy 'si güven sertifikası Için makine ve arka uç bileşenleri desteğini doğrulayın.

Başlık altında

bağlayıcılar Windows Server Web uygulaması Proxy 'sine dayalıdır, bu nedenle Windows olay günlükleri de dahil olmak üzere aynı yönetim araçlarının çoğuna sahip olurlar

Olay günlüklerini Olay Görüntüleyicisi yönetme

ve Windows performans sayaçlarını.

Performans Izleyicisi ile bağlayıcıya sayaç ekleme

Bağlayıcılar yönetici ve oturum günlüklerine sahiptir. Yönetici günlüğü, anahtar olayları ve bunların hatalarını içerir. Oturum günlüğü tüm işlemleri ve bunların işleme ayrıntılarını içerir.

Günlükleri görmek için Olay Görüntüleyicisi açın ve uygulamalar ve hizmetler Günlükler > Microsoft > aadapplicationproxy > Bağlayıcısı' na gidin. Oturum günlüğünün görünür olması Için, Görünüm menüsünde analitik ve hata ayıklama günlüklerini göster' i seçin. Oturum günlüğü genellikle sorun giderme için kullanılır ve varsayılan olarak devre dışıdır. Olayları toplamaya başlamasını ve artık gerekli olmadığında devre dışı bırakmayı etkinleştirir.

Hizmetin durumunu Hizmetler penceresinde inceleyebilirsiniz. bağlayıcı iki Windows hizmetten oluşur: gerçek bağlayıcı ve güncelleştirici. Her ikisinin de her ikisi de her zaman çalıştırması gerekir.

Örnek: Azure AD hizmetleri yerel ' i gösteren hizmetler penceresi

Sonraki adımlar