Azure Active Directory Uygulama proxy'si kullanılırken ağ topolojisi hakkında önemli noktalarNetwork topology considerations when using Azure Active Directory Application Proxy

Bu makalede, Azure Active Directory (Azure AD) uygulama proxy'si yayımlama ve uygulamalarınızı uzaktan erişim için kullanılırken ağ topolojisi hakkında önemli noktalar açıklanmaktadır.This article explains network topology considerations when using Azure Active Directory (Azure AD) Application Proxy for publishing and accessing your applications remotely.

Trafik akışıTraffic flow

Azure AD uygulama proxy'si aracılığıyla uygulama yayınlandıktan sonra uygulamaları kullanıcılardan gelen trafiği üç bağlantıları üzerinden akar:When an application is published through Azure AD Application Proxy, traffic from the users to the applications flows through three connections:

  1. Azure AD uygulama proxy'si hizmeti genel uç noktaya azure'da kullanıcı bağlanır.The user connects to the Azure AD Application Proxy service public endpoint on Azure
  2. Uygulama proxy'si hizmeti için uygulama Proxy Bağlayıcısı bağlanır.The Application Proxy service connects to the Application Proxy connector
  3. Hedef uygulama için uygulama Proxy Bağlayıcısı bağlanırThe Application Proxy connector connects to the target application

Trafik akışı, hedef uygulamaya kullanıcıdan gösteren diyagram

Kiracı konumu ve uygulama proxy'si hizmetiTenant location and Application Proxy service

Bir Azure AD kiracısına kaydolduğunuzda, kiracınızın bölgesi belirttiğiniz ülke/bölge tarafından belirlenir.When you sign up for an Azure AD tenant, the region of your tenant is determined by the country/region you specify. Uygulama Ara sunucusunu etkinleştirme, kiracınız için uygulama proxy'si hizmeti örnekleri seçilen veya Azure AD kiracınızla aynı bölgede ya da kendisine en yakın bölgede oluşturulur.When you enable Application Proxy, the Application Proxy service instances for your tenant are chosen or created in the same region as your Azure AD tenant, or the closest region to it.

Örneğin, Birleşik Krallık, Azure AD kiracınızın ülke veya bölge ise, tüm uygulama ara sunucusu bağlayıcıları AB veri merkezlerinde hizmet örneklerini kullanın.For example, if your Azure AD tenant’s country or region is the United Kingdom, all your Application Proxy connectors use service instances in EU data centers. Kullanıcılar erişiminizi yayımlanan uygulamaları, uygulama proxy'si hizmeti örnekleri bu konumda trafiklerini geçer.When your users access published applications, their traffic goes through the Application Proxy service instances in this location.

Gecikme süresini azaltmak için dikkat edilmesi gerekenlerConsiderations for reducing latency

Tüm proxy çözümleri ağ bağlantınızı gecikmelere neden.All proxy solutions introduce latency into your network connection. Hangi Ara sunucu veya VPN çözümü uzaktan erişim çözümünüzü seçtiğiniz ne olursa olsun, her zaman kurumsal ağınızdaki bağlantısını etkinleştirme sunucular kümesi içerir.No matter which proxy or VPN solution you choose as your remote access solution, it always includes a set of servers enabling the connection to inside your corporate network.

Kuruluşlar, genellikle kendi çevre ağında sunucu uç noktaları içerir.Organizations typically include server endpoints in their perimeter network. Azure AD uygulama proxy'si ile bağlayıcıları şirket ağınızda bulunması sırasında trafik ancak, bulut proxy hizmeti aracılığıyla akar.With Azure AD Application Proxy, however, traffic flows through the proxy service in the cloud while the connectors reside on your corporate network. Çevre ağ gereklidir.No perimeter network is required.

Sonraki bölümlerde daha gecikme süresini azaltmanıza yardımcı olmak üzere ek öneriler içerir.The next sections contain additional suggestions to help you reduce latency even further.

Bağlayıcı yerleştirmeConnector placement

Uygulama proxy'si, Kiracı konumlarına göre sizin için örnekleri konumunu seçer.Application Proxy chooses the location of instances for you, based on your tenant location. Ancak, bağlayıcı'yı yüklemeye karar ağ trafiğinizin gecikme özelliklerini tanımlamak için faaliyetlerine sahip olursunuz.However, you get to decide where to install the connector, giving you the power to define the latency characteristics of your network traffic.

Uygulama proxy'si hizmeti ayarlanıyor, için aşağıdaki soruları sormaya:When setting up the Application Proxy service, ask the following questions:

  • Uygulamayı nerede bulunur?Where is the app located?
  • Uygulama erişim çoğu kullanıcılar nerede bulunuyor?Where are most users who access the app located?
  • Uygulama Ara sunucusu örneği nerede bulunur?Where is the Application Proxy instance located?
  • Zaten bir Azure veri merkezleri, Azure ExpressRoute veya benzer bir VPN gibi ayarlama Adanmış ağ bağlantısı gerekiyor?Do you already have a dedicated network connection to Azure datacenters set up, like Azure ExpressRoute or a similar VPN?

Bağlayıcı, hem Azure hem de uygulamalarınızı (Adım 2 ve 3. trafik akışı diyagramı) ile bağlayıcı etkiler yerleşimini bu iki bağlantı gecikme süresini şekilde iletişim kurması gerekir.The connector has to communicate with both Azure and your applications (steps 2 and 3 in the Traffic flow diagram), so the placement of the connector affects the latency of those two connections. Bağlayıcı yerleşimini değerlendirirken, aşağıdaki noktaları göz önünde bulundurun:When evaluating the placement of the connector, keep in mind the following points:

  • Kerberos Kısıtlı temsilci (KCD) için çoklu oturum açmayı kullanmak istiyorsanız, bağlayıcı görebilmesi için bir veri merkezi gerekir.If you want to use Kerberos constrained delegation (KCD) for single sign-on, then the connector needs a line of sight to a datacenter. Ayrıca, bağlayıcı sunucunun etki alanına katılmış olması gerekir.Additionally, the connector server needs to be domain joined.
  • Şüpheye düştüğünüzde uygulamaya yakın bağlayıcısı yükleyin.When in doubt, install the connector closer to the application.

Gecikme süresini en aza indirmek için genel yaklaşımGeneral approach to minimize latency

Her ağ bağlantısı iyileştirerek uçtan uca trafik gecikme süresini en aza indirebilirsiniz.You can minimize the latency of the end-to-end traffic by optimizing each network connection. Her bağlantı iyileştirilebilir:Each connection can be optimized by:

  • Atlama iki ucunu arasındaki uzaklığı azaltır.Reducing the distance between the two ends of the hop.
  • Geçiş için doğru ağ seçme.Choosing the right network to traverse. Örneğin, genel Internet yerine özel bir ağa geçiş nedeniyle ayrılmış bağlantılar daha hızlı olabilir.For example, traversing a private network rather than the public Internet may be faster, due to dedicated links.

Kurumsal ağınız ile Azure arasında adanmış bir VPN veya ExpressRoute bağlantısı varsa, kullanmak isteyebilirsiniz.If you have a dedicated VPN or ExpressRoute link between Azure and your corporate network, you may want to use that.

En iyi duruma getirme stratejinizi odaklanınFocus your optimization strategy

Kullanıcılarınızın uygulama proxy'si hizmeti arasında bağlantı kontrol etmek için yapabileceğiniz çok az yoktur.There's little that you can do to control the connection between your users and the Application Proxy service. Kullanıcılar, uygulamalarınıza bir ev ağı, kahve dükkanı veya farklı bir ülke/bölge aracılığıyla erişebilir.Users may access your apps from a home network, a coffee shop, or a different country/region. Bunun yerine, uygulama proxy'si hizmeti uygulaması Ara sunucusu bağlayıcıları bağlantılara iyileştirebilirsiniz.Instead, you can optimize the connections from the Application Proxy service to the Application Proxy connectors to the apps. Ortamınızı şu desenlerden eklemeyi göz önünde bulundurun.Consider incorporating the following patterns in your environment.

1. Model: Bağlayıcıyı uygulamaya kapatPattern 1: Put the connector close to the application

Müşteri ağ yakın hedef uygulama Bağlayıcısı'nı koyun.Place the connector close to the target application in the customer network. Bu yapılandırma bağlayıcı ve uygulamayı Kapat olduğundan topografi diyagram 3 adımda en aza indirir.This configuration minimizes step 3 in the topography diagram, because the connector and application are close.

Bağlayıcınızı görebilmesi için etki alanı denetleyicisi gerekiyorsa, bu düzen avantajlıdır.If your connector needs a line of sight to the domain controller, then this pattern is advantageous. Çoğu senaryo için iyi çalıştığı için müşterilerimizin çoğu bu düzeni kullanın.Most of our customers use this pattern, because it works well for most scenarios. Bu düzen Ayrıca hizmet Bağlayıcısı'nı arasındaki trafiğin iyileştirilmesi 2 deseni ile birleştirilebilir.This pattern can also be combined with pattern 2 to optimize traffic between the service and the connector.

2. Model: Microsoft eşlemesiyle ExpressRoute avantajlarından yararlanınPattern 2: Take advantage of ExpressRoute with Microsoft peering

Microsoft eşlemesi ile ayarlanan ExpressRoute varsa, uygulama ara sunucusu Bağlayıcısı'nı arasındaki trafik için daha hızlı ExpressRoute bağlantısı kullanabilirsiniz.If you have ExpressRoute set up with Microsoft peering, you can use the faster ExpressRoute connection for traffic between Application Proxy and the connector. Bağlayıcı, uygulamanın yakın ağınıza açık durumdadır.The connector is still on your network, close to the app.

3. Model: Özel eşleme ile ExpressRoute avantajlarından yararlanınPattern 3: Take advantage of ExpressRoute with private peering

Adanmış bir VPN veya ExpressRoute Azure ve şirket ağınız arasında özel eşlemesi ile ayarlanan varsa, başka bir seçeneğiniz vardır.If you have a dedicated VPN or ExpressRoute set up with private peering between Azure and your corporate network, you have another option. Bu yapılandırmada, Azure sanal ağında genellikle bir şirket ağına uzantı olarak kabul edilir.In this configuration, the virtual network in Azure is typically considered as an extension of the corporate network. Bu nedenle Azure veri merkezinde bağlayıcıyı yükleyin ve yine de bağlayıcı uygulama bağlantının düşük gecikme süresi gereksinimleri karşılaması.So you can install the connector in the Azure datacenter, and still satisfy the low latency requirements of the connector-to-app connection.

Trafik, ayrılmış bir bağlantı üzerinden akan çünkü gecikme gizliliğinin tehlikeye atılmasını.Latency is not compromised because traffic is flowing over a dedicated connection. Bir Azure veri merkezinde, Azure AD Kiracı konumu yakın Bağlayıcısı yüklü olmadığından uygulama proxy'si Hizmeti Bağlayıcısı gecikme süresini kısaltmak de alırsınız.You also get improved Application Proxy service-to-connector latency because the connector is installed in an Azure datacenter close to your Azure AD tenant location.

Azure veri merkezinde yüklü bağlayıcı gösteren diyagram

Diğer yaklaşımlarOther approaches

Bu makalenin odak bağlayıcı yerleştirme olsa da, daha iyi gecikme özelliklerini elde etmek için uygulamaya yerleşimini de değiştirebilirsiniz.Although the focus of this article is connector placement, you can also change the placement of the application to get better latency characteristics.

Giderek, kuruluşların kendi ağları barındırılan ortamlara taşınıyor.Increasingly, organizations are moving their networks into hosted environments. Bu uygulamalarını aynı zamanda, Kurumsal ağın parçası olan barındırılan bir ortamda yerleştirin ve etki alanı içinde devam etmelerini sağlar.This enables them to place their apps in a hosted environment that is also part of their corporate network, and still be within the domain. Bu durumda, önceki bölümlerde ele desenleri, yeni uygulama konumuna uygulanabilir.In this case, the patterns discussed in the preceding sections can be applied to the new application location. Bu seçeneği değerlendirmeyi planlamaktadır olup Azure AD Domain Services.If you're considering this option, see Azure AD Domain Services.

Ayrıca, bağlayıcılarınızı kullanarak düzenleme göz önünde bulundurun bağlayıcı grupları farklı konumlara ve ağları olan hedef uygulamalar için.Additionally, consider organizing your connectors using connector groups to target apps that are in different locations and networks.

Genel kullanım örnekleriCommon use cases

Bu bölümde, bazı yaygın senaryolar üzerinden inceleyeceğiz.In this section, we walk through a few common scenarios. Varsayımında Azure AD kiracısı (ve bu nedenle proxy hizmet uç noktası) Amerika Birleşik Devletleri (ABD) bulunur.Assume that the Azure AD tenant (and therefore proxy service endpoint) is located in the United States (US). Çalışmalarını diğer bölgelerle dünya için de geçerlidir. Bu kullanımı ele konuları.The considerations discussed in these use cases also apply to other regions around the globe.

Bu senaryolar için her bağlantı bir "durak" arayın ve bunları daha kolay tartışmak için sayı:For these scenarios, we call each connection a "hop" and number them for easier discussion:

  • Atlama 1: Kullanıcı, uygulama proxy 'Si hizmetiHop 1: User to the Application Proxy service
  • Atlama 2: Uygulama proxy hizmeti için uygulama ara sunucusu BağlayıcısıHop 2: Application Proxy service to the Application Proxy connector
  • Atlama 3: Hedef uygulamaya uygulama proxy BağlayıcısıHop 3: Application Proxy connector to the target application

Kullanım örneği 1Use case 1

Senaryon Uygulama, ABD 'deki bir kuruluşun ağında, aynı bölgedeki kullanıcılarla birlikte bulunur.Scenario: The app is in an organization's network in the US, with users in the same region. Herhangi bir ExpressRoute veya VPN kurumsal ağ ve Azure veri merkezi arasında yok.No ExpressRoute or VPN exists between the Azure datacenter and the corporate network.

Önerilen Önceki bölümde açıklanan 1. kalıbı izleyin.Recommendation: Follow pattern 1, explained in the previous section. İçin gecikme süresini kısaltmak, ExpressRoute kullanılarak gerekirse göz önünde bulundurun.For improved latency, consider using ExpressRoute, if needed.

Bu basit bir desendir.This is a simple pattern. Atlama 3, bağlayıcı uygulama yakın yerleştirerek iyileştirin.You optimize hop 3 by placing the connector near the app. Bağlayıcı genellikle görebilmesi KCD işlemleri gerçekleştirmek için bir veri merkezine ve uygulama ile birlikte yüklenir ayrıca doğal bir seçim olmasıdır.This is also a natural choice, because the connector typically is installed with line of sight to the app and to the datacenter to perform KCD operations.

Kullanıcıları, proxy, bağlayıcıyı ve uygulamayı gösteren diyagram BIZIMLE

Kullanım örneği 2Use case 2

Senaryon Uygulama, ABD 'deki bir kuruluşun ağında, kullanıcıların küresel olarak yayılmaktadır.Scenario: The app is in an organization's network in the US, with users spread out globally. Herhangi bir ExpressRoute veya VPN kurumsal ağ ve Azure veri merkezi arasında yok.No ExpressRoute or VPN exists between the Azure datacenter and the corporate network.

Önerilen Önceki bölümde açıklanan 1. kalıbı izleyin.Recommendation: Follow pattern 1, explained in the previous section.

Yeniden yaygın atlama 3, en iyi duruma getirme Bağlayıcısı'nı uygulama yakın yerleştirdiğiniz modelidir.Again, the common pattern is to optimize hop 3, where you place the connector near the app. Atlama 3 tümü aynı bölge içinde ise genellikle pahalı değil.Hop 3 is not typically expensive, if it is all within the same region. Ancak, dünya genelinde kullanıcılar uygulama ara Sunucusu örneğinde ABD erişmeniz gerekir çünkü atlama 1 kullanıcının olduğu bağlı olarak, daha pahalı olabilir.However, hop 1 can be more expensive depending on where the user is, because users across the world must access the Application Proxy instance in the US. Bu, herhangi bir proxy çözümüne genel dağılmış kullanıcılar ile ilgili benzer özelliklere sahip olduğunu hatalarının ayıklanabileceğini belirtmekte yarar.It's worth noting that any proxy solution has similar characteristics regarding users being spread out globally.

Kullanıcılar Global olarak yayılırlar, ancak diğer her şey ABD 'de

Kullanım örneği 3Use case 3

Senaryon Uygulama, ABD 'deki bir kuruluşun ağında.Scenario: The app is in an organization's network in the US. Microsoft eşlemesi ile ExpressRoute, Azure ve şirket ağı arasında yok.ExpressRoute with Microsoft peering exists between Azure and the corporate network.

Önerilen Önceki bölümde açıklanan 1. ve 2. desenleri izleyin.Recommendation: Follow patterns 1 and 2, explained in the previous section.

İlk olarak, bağlayıcı olabildiğince uygulamaya mümkün olduğunca yakın yerleştirin.First, place the connector as close as possible to the app. Ardından, sistem otomatik olarak 2 atlama için Expressroute'u kullanır.Then, the system automatically uses ExpressRoute for hop 2.

Microsoft eşleme ExpressRoute bağlantı kullanıyorsanız, proxy ve bağlayıcı arasındaki trafik, bağlantı üzerinden akar.If the ExpressRoute link is using Microsoft peering, the traffic between the proxy and the connector flows over that link. Atlama 2, gecikme süresi en iyi hale getirdi.Hop 2 has optimized latency.

ExpressRoute proxy ve bağlayıcı arasında gösteren diyagram

Kullanım örneği 4Use case 4

Senaryon Uygulama, ABD 'deki bir kuruluşun ağında.Scenario: The app is in an organization's network in the US. ExpressRoute özel eşlemesi, Azure ve şirket ağı arasında yok.ExpressRoute with private peering exists between Azure and the corporate network.

Önerilen Önceki bölümde açıklanan 3. kalıbı izleyin.Recommendation: Follow pattern 3, explained in the previous section.

Azure veri merkezine ExpressRoute özel eşlemesi üzerinden şirket ağına bağlı Bağlayıcısı'nı koyun.Place the connector in the Azure datacenter that is connected to the corporate network through ExpressRoute private peering.

Bağlayıcısı Azure veri merkezinde yerleştirilebilir.The connector can be placed in the Azure datacenter. Bağlayıcı görebilmesi için uygulama ve özel ağ üzerinden veri merkezi hala olduğundan, atlama 3 en iyi duruma getirilmiş kalır.Since the connector still has a line of sight to the application and the datacenter through the private network, hop 3 remains optimized. Ayrıca, atlama 2 daha da İyileştirildi.In addition, hop 2 is optimized further.

Azure veri merkezinde bağlayıcı, bağlayıcı ve uygulama arasında ExpressRoute

Kullanım örneği 5Use case 5

Senaryon Uygulama, uygulama proxy 'Si örneği ve ABD 'deki çoğu kullanıcı ile AB 'deki bir kuruluşun ağında bulunur.Scenario: The app is in an organization's network in the EU, with the Application Proxy instance and most users in the US.

Önerilen Bağlayıcıyı uygulamanın yanına yerleştirin.Recommendation: Place the connector near the app. Uygulama Ara sunucusu örneği aynı bölgede olması erişen ABD kullanıcı için atlama 1 çok pahalı değil.Because US users are accessing an Application Proxy instance that happens to be in the same region, hop 1 is not too expensive. Atlama 3 optimize edilmiştir.Hop 3 is optimized. Atlama 2 iyileştirmek için ExpressRoute kullanmayı düşünün.Consider using ExpressRoute to optimize hop 2.

Diyagram, Avrupa 'daki ABD, bağlayıcı ve uygulamadaki kullanıcıları ve proxy 'yi gösterir

Ayrıca, bu durumda bir değişken kullanarak göz önünde bulundurun.You can also consider using one other variant in this situation. Sonra büyük olasılıkla, kuruluştaki kullanıcıların çoğu ABD'de varsa, ağınızı ABD için genişletir.If most users in the organization are in the US, then chances are that your network extends to the US as well. ABD'de bağlayıcı yerleştirin ve uygulamaya ayrılmış iç kurumsal ağa satırı AB'de kullanın.Place the connector in the US, and use the dedicated internal corporate network line to the application in the EU. 2. ve 3 Bu şekilde atlama en iyi duruma getirilir.This way hops 2 and 3 are optimized.

Diyagramda, AB 'de bulunan ve ABD 'deki kullanıcılar, proxy ve bağlayıcı gösterilmektedir

Sonraki adımlarNext steps