瞭解 Microsoft Entra 專用網連接器群組

  • 發行項

使用專用網連接器群組將特定連接器指派給特定應用程式。 連線 or 群組可提供您更多控制權,並讓您優化部署。

每個專用網連接器都會指派給連接器群組。 屬於相同連接器群組的所有連接器都會作為高可用性和負載平衡的個別單位。 所有連接器都屬於連接器群組。 如果您未建立群組,則所有連接器都位於預設群組中。 您可以在 Microsoft Entra 系統管理中心建立新的連接器群組並指派連接器。

如果您的應用程式裝載在不同的位置,連線 或群組很有用。 您可以根據位置建立連接器群組。 應用程式會使用實際接近它們的連接器。

提示

如果您有大型應用程式 Proxy 部署,請勿將任何應用程式指派給預設連接器群組。 如此一來,新連接器就不會收到任何即時流量,直到您將它們指派給作用中的連接器群組為止。 此設定也可讓您將連接器移回預設群組,讓連接器進入閑置模式,讓您可以執行維護,而不會影響您的使用者。

必要條件

您必須有多個連接器才能使用連接器群組。 新的連接器會自動新增至 預設 連接器群組。 如需安裝連接器的詳細資訊,請參閱 設定連接器D

將應用程式指派給連接器群組

當您第一次發佈應用程式時,您會將應用程式指派給連接器群組。 您也可以更新指派連接器的群組。

連接器群組的使用案例

連線 or 群組適用於各種案例,包括:

具有多個互連數據中心的網站

大型組織使用多個數據中心。 您想要盡可能保留特定數據中心內的流量,因為跨數據中心連結昂貴且速度緩慢。 您會在每個資料中心部署連接器,只為位於資料中心內的應用程式提供服務。 此方法可將跨數據中心連結降到最低,併為您的使用者提供完全透明的體驗。

安裝在隔離網路上的應用程式

應用程式可以裝載於不屬於主要公司網路的網路中。 您可以使用連接器群組在隔離的網路上安裝專用連接器,以將應用程式隔離到網路。 對於維護特定應用程式的廠商而言,此案例很常見。

安裝在基礎結構即服務上的應用程式 (IaaS)

針對安裝在基礎結構即服務 (IaaS) 上的應用程式以進行雲端存取,連接器群組會提供通用服務來保護所有應用程式的存取。 連線 or 群組不會在您的公司網路上建立更多相依性,或分散應用程式體驗。 連線 器會安裝在每個雲端數據中心上,並只提供位於該網路中的應用程式。 您安裝數個連接器以達到高可用性。

以一個組織為例,其有數部虛擬機連線到自己的IaaS託管虛擬網路。 為了允許員工使用這些應用程式,這些專用網會使用站對站虛擬專用網連線到公司網路(VPN)。 站對站 VPN 可為位於內部部署的員工提供良好的體驗。 但是,它不適合遠端員工,因為它需要更多內部部署基礎結構來路由存取,如下圖所示:

說明 Microsoft Entra IaaS 網路的圖表

透過 Microsoft Entra 專用網連接器群組,您可以啟用通用服務來保護所有應用程式的存取,而不需要在公司網路上建立更多相依性:

Microsoft Entra IaaS 多個雲端廠商

多樹系 – 每個樹系的不同連接器群組

單一登錄通常是使用 Kerberos 限制委派 (KCD) 來達成。 連接器的計算機會加入網域,以將使用者委派給應用程式。 KCD 支援跨樹系功能。 但是,對於具有不同多樹系環境且不信任它們的公司,單一連接器無法用於所有樹系。 相反地,特定連接器會部署每個樹系,並設定為提供已發佈的應用程式,只為該特定樹系的使用者提供服務。 每個連接器群組都代表不同的樹系。 雖然租使用者和大部分體驗都適用於所有樹系,但使用者可以使用 Microsoft Entra 群組指派給其樹系應用程式。

災害復原網站

災害復原 (DR) 月臺有兩種方法需要考慮:

  • 您的DR網站是以主動-主動模式建置,其與主要網站完全相同。 該網站也有相同的網路和 Active Directory (AD) 設定。 您可以在與主要月臺相同的連接器群組中,在DR網站上建立連接器。 Microsoft Entra ID 會為您偵測故障轉移。
  • 您的DR網站與主要網站不同。 您可以在DR網站建立不同的連接器群組。 您有備份應用程式,或視需要手動將現有的應用程式轉移至DR連接器群組。

從單一租使用者為多個公司提供服務

您可以實作一個模型,其中單一服務提供者會部署和維護多個公司的 Microsoft Entra 相關服務。 連線 or 群組可協助您將連接器和應用程式隔離成不同的群組。 適合小型公司的其中一種方式是擁有單一 Microsoft Entra 租使用者,而不同的公司有自己的功能變數名稱和網路。 相同的方法適用於合併案例和一個部門為數家公司提供服務的案例或商務原因。

範例設定

請考慮這些連接器群組組態範例。

預設組態 – 連接器群組無用

如果您沒有使用連接器群組,您的設定看起來會像這樣:

沒有連接器群組的範例

組態足以用於小型部署和測試。 如果您的組織有一般網路拓撲,它也會運作。

默認組態和隔離的網路

此組態是預設的演進,特定應用程式會在隔離網路中執行,例如 IaaS 虛擬網路:

在隔離網路上沒有連接器群組的 Microsoft Entra 範例

建議的設定 – 數個特定群組和一個預設群組供閑置

大型和複雜組織的建議組態是讓預設連接器群組成為一個群組,該群組不會提供任何應用程式,並用於閑置或新安裝的連接器。 所有應用程式都會使用自定義連接器群組來提供服務。

在此範例中,公司有兩個數據中心 A 和 B,以及兩個連接器,可提供每個月臺。 每個月臺都有執行的不同應用程式。

具有 2 個資料中心和 2 個連接器的公司範例

使用規定

您使用 Microsoft Entra 私人存取 和 Microsoft Entra 網際網路存取 預覽體驗和功能,會受您取得服務之合約的預覽在線服務條款及條件所控管。 預覽可能會受限於降低或不同的安全性、合規性和隱私權承諾,如 在線服務和Microsoft 產品和服務數據保護增補條款(“DPA”)以及預覽版所提供的任何其他通知中所述。

下一步