Оптимизация потока трафика с помощью прокси приложения Microsoft Entra
Узнайте, как оптимизировать поток трафика и рекомендации по топологии сети при использовании прокси приложения Microsoft Entra.
Поток трафика
Когда приложение публикуется через прокси приложения Microsoft Entra, трафик от пользователей к приложениям проходит через три подключения:
- Пользователь подключается к общедоступной конечной точке службы прокси приложения Microsoft Entra в Azure.
- Соединитель частной сети подключается к службе прокси приложения (исходящий трафик)
- Соединитель частной сети подключается к целевому приложению
Оптимизация групп соединителей для использования ближайшей облачной службы прокси приложения
При регистрации для клиента Microsoft Entra регион вашего клиента устанавливается с выбранным регионом. Экземпляры облачной службы прокси приложения по умолчанию используют тот же или ближайший регион, что и клиент Microsoft Entra.
Например, если регион клиента Microsoft Entra является Великобританией, все соединители частной сети по умолчанию назначаются для использования экземпляров служб в европейских центрах обработки данных. Когда пользователи получают доступ к опубликованным приложениям, их трафик проходит через экземпляры облачной службы прокси приложения в этом расположении.
Если у вас есть соединители, установленные в регионах, отличных от региона по умолчанию, полезно изменить регион, который оптимизирован для повышения производительности этих приложений. После указания региона для группы соединителей он подключается к облачным службам прокси приложения в указанном регионе.
Чтобы оптимизировать поток трафика и уменьшить задержку в группе соединителей, назначьте группу соединителей ближайшему региону. Чтобы назначить регион, выполните следующие действия.
Внимание
Для использования этой возможности соединители должны использовать по меньшей мере версию 1.5.1975.0.
Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
В правом верхнем углу выберите свое имя пользователя. Убедитесь, что вы вошли в каталог, использующий прокси приложения. Если необходимо изменить каталоги, выберите "Переключить каталог " и выберите каталог, использующий прокси приложения.
Перейдите к> прокси приложениям Identity Application>Enterprise.>
Выберите новую группу соединителей и укажите имя группы соединителей.
В разделе "Дополнительные параметры" выберите раскрывающийся список в разделе "Оптимизация для определенного региона" и выберите регион, ближайший к соединителям, а затем нажмите кнопку "Сохранить".
Выберите соединители для назначения группе соединителей.
Соединители можно переместить в группу соединителей, только если она использует регион по умолчанию. Начните с соединителя в группе соединителей по умолчанию . Затем переместите его в соответствующую группу соединителей.
Вы можете изменить регион группы соединителей, только если ей не назначены соединители или приложения.
Назначьте группе соединителей приложениям. Трафик передается в облачную службу прокси приложения в регионе оптимизированной группы соединителей.
Рекомендации по уменьшению задержки
Любые решения прокси увеличивают задержку сетевого подключения. Независимо от того, какое решение прокси или VPN используется для удаленного доступа, любое из них содержит набор серверов для подключения к корпоративной сети.
Организации обычно размещают серверные конечные точки в сети периметра. Однако при использовании прокси приложения Microsoft Entra трафик передается через службу прокси-сервера в облаке, а соединители находятся в корпоративной сети. Сеть периметра не требуется.
В следующих разделах содержатся дополнительные предложения, которые помогут сократить задержку еще больше.
Расположение соединителя
Прокси приложения выбирает расположение экземпляров в зависимости от расположения клиента. Тем не менее вам следует выбрать место установки соединителя, и от него будут зависеть характеристики задержки сетевого трафика.
При настройке службы прокси приложения задайте следующие вопросы:
- Где расположено приложение?
- Где находится больше всего пользователей, обращающихся к приложению?
- Где расположен экземпляр прокси приложения?
- У вас уже есть выделенное сетевое подключение к центрам обработки данных Майкрософт, например Azure ExpressRoute или аналогичному VPN?
Соединитель должен взаимодействовать как с идентификатором Microsoft Entra, так и с приложениями. Шаги 2 и 3 представляют связь на схеме потока трафика. Размещение соединителя влияет на задержку этих двух подключений. При оценке размещения соединителя следует учитывать эти моменты.
- Подтвердите "линию сайта" между соединителем и центром обработки данных для ограниченного делегирования Kerberos (KCD). Кроме того, сервер соединителя должен быть присоединен к домену.
- Установите соединитель как можно ближе к приложению.
Общий подход к уменьшению задержки
Свести к минимуму задержку сквозного трафика, оптимизируя каждое сетевое подключение.
- Уменьшите расстояние между двумя концами прыжка.
- Выберите нужную сеть для обхода. Например, обход частной сети, а не общедоступный Интернет может быть быстрее из-за выделенных ссылок.
Рассмотрите возможность использования выделенного КАНАЛА VPN или ExpressRoute между корпорацией Майкрософт и корпоративной сетью.
Направление стратегии оптимизации
Мало того, что можно сделать для управления подключением между пользователями и службой прокси приложения. Пользователи получают доступ к приложениям из домашней сети, кафе или другого региона. Вместо этого можно оптимизировать подключения из службы прокси приложения к соединителям частной сети к приложениям. Рекомендуется реализовать в вашей среде указанные ниже шаблоны.
Шаблон 1. Поместите соединитель ближе к приложению.
Расположите соединитель близко к целевому приложению в сети клиента. Эта конфигурация позволяет свести к минимуму влияние шага 3 на схеме топографии, так как соединитель и приложение расположены рядом.
Если соединитель должен быть в непосредственной видимости контроллера домена, то этот шаблон является предпочтительным. Большая часть наших клиентов использует этот шаблон, так как он хорошо подходит для большинства сценариев. Этот шаблон можно также совместить с шаблоном 2, чтобы оптимизировать трафик между службой и соединителем.
Шаблон 2. Использование преимуществ ExpressRoute с пирингом Майкрософт
Если вы настроили ExpressRoute с пирингом Майкрософт, вы можете использовать более быстрое подключение ExpressRoute для трафика между прокси-сервером приложения и соединителем. Соединитель по-прежнему располагается в сети и вблизи от приложения.
Шаблон 3. Использование подключения ExpressRoute с частным пирингом
Если у вас есть выделенное подключение VPN или ExpressRoute с частным пирингом между Azure и корпоративной сетью, можно использовать другой вариант. В этой конфигурации виртуальная сеть в Azure обычно рассматривается как расширение корпоративной сети. Это означает, что вы можете установить соединитель в центре обработки данных Azure, сохраняя низкую задержку для подключения соединителя к приложению.
Задержка не скомпрометирована, так как трафик передается через выделенное подключение. Кроме того, вы получаете улучшенную задержку прокси-службы приложения в соединитель, так как соединитель установлен в центре обработки данных Azure, близком к расположению клиента Microsoft Entra.
Другие подходы
Эта статья посвящена выбору расположения для соединителя, но для улучшения характеристик задержки вы можете также переместить само приложение.
Все больше организаций перемещают сети в размещенные среды. Перемещение позволяет им размещать свои приложения в размещенной среде, которая также входит в свою корпоративную сеть и по-прежнему находится в домене. В шаблонах, которые описаны в предыдущем разделе, можно учесть новое расположение приложения. Если вы рассматриваете этот вариант, ознакомьтесь с доменными службами Microsoft Entra.
Кроме того, рассмотрите возможность использования групп соединителей для целевых приложений, находящихся в разных расположениях и сетях.
Схемы для распространенных вариантов использования
В этом разделе рассматриваются несколько распространенных сценариев. Предположим, что клиент Microsoft Entra (и конечная точка прокси-службы) находится в США (США). Все аспекты, рассмотренные в описанных вариантах, применимы и к другим регионам мира.
В этих сценариях мы называем соединения "прыжками" и присваиваем им номера:
- Прыжок 1. Пользователь в службу прокси приложения
- Прыжок 2. Служба прокси приложения в соединитель частной сети
- Прыжок 3. Соединитель частной сети для целевого приложения
Вариант использования 1
Сценарий: приложение находится в корпоративной сети в США, там же расположены и пользователи. Отсутствуют подключения ExpressRoute или VPN между контроллером домена Azure и корпоративной сетью.
Рекомендация: примените шаблон 1, как описано в предыдущем разделе. Если необходимо уменьшить задержку, рассмотрите возможность создать подключение ExpressRoute.
Оптимизация прыжка 3 путем размещения соединителя рядом с приложением. Соединитель обычно устанавливается с линией зрения к приложению и центру обработки данных для выполнения операций KCD.
Вариант использования 2
Сценарий: приложение находится в корпоративной сети в США, а пользователи распределены по всему миру. Отсутствуют подключения ExpressRoute или VPN между контроллером домена Azure и корпоративной сетью.
Рекомендация: примените шаблон 1, как описано в предыдущем разделе.
Здесь снова наиболее применима оптимизация прыжка 3 за счет размещения соединителя рядом с приложением. Прыжки 3 обычно не дорого, если это все в одном регионе. Однако прыжки 1 могут быть более дорогими в зависимости от того, где находится пользователь, так как пользователи по всему миру должны получить доступ к экземпляру прокси приложения в США. Следует отметить, что в случае глобального распределения пользователя любые решения прокси будет иметь сходные характеристики.
Вариант использования 3
Сценарий: приложение находится в корпоративной сети клиента на территории США. Между Azure и корпоративной сетью существует ExpressRoute и корпоративная сеть.
Рекомендация. Примените шаблоны 1 и 2, как описано в предыдущем разделе.
Сначала разместите соединитель как можно ближе к приложению. Тогда система автоматически использует ExpressRoute для прыжка 2.
Если ссылка ExpressRoute использует пиринг Майкрософт, трафик между прокси и соединителем будет проходить через эту ссылку. Прыжок 2 использует оптимальную задержку.
Вариант использования 4
Сценарий: приложение находится в корпоративной сети клиента на территории США. Между Azure и корпоративной сетью установлено подключение ExpressRoute с частным пирингом.
Рекомендация. Примените шаблон 3, как описано в предыдущем разделе.
Разместите соединитель в центре обработки данных Azure, который подключен к корпоративной сети через частный пиринг ExpressRoute.
Соединитель можно разместить в центре обработки данных Azure. Так как соединитель по-прежнему имеет "прямую видимость" приложения и центра обработки данных через частную сеть, прыжок 3 остается оптимизированным. Кроме того, теперь оптимизирован и прыжок 2.
Вариант использования 5
Сценарий: приложение находится в сети организации в Европе, регион клиента по умолчанию — США, а большинство пользователей находятся в Европе.
Рекомендация: разместите соединитель рядом с приложением. Обновите группу соединителей, чтобы использовать экземпляры службы прокси-службы приложений Европы. Инструкции см. в статье "Оптимизация групп соединителей для использования ближайшей облачной службы прокси приложения".
Так как пользователи Европы получают доступ к экземпляру прокси приложения, который будет находиться в одном регионе, прыжок 1 не дорогой. Прыжок 3 оптимизирован. Рекомендуется использовать ExpressRoute для оптимизации прыжка 2.
Вариант использования 6
Сценарий: приложение находится в сети организации в Европе, регион клиента по умолчанию — США, а большинство пользователей находятся в США.
Рекомендация: разместите соединитель рядом с приложением. Обновите группу соединителей, чтобы использовать экземпляры службы прокси-службы приложений Европы. Инструкции см. в статье "Оптимизация групп соединителей для использования ближайшей облачной службы прокси приложения". Прыжок 1 может быть дороже, так как все пользователи США должны получить доступ к экземпляру прокси приложения в Европе.
Также в этой ситуации можно применить еще один вариант. Если большинство пользователей организации находятся в США, возможно ваша сеть уже "расширена" в этот регион. Поместите соединитель в США, продолжайте использовать регион США по умолчанию для групп соединителей и примените выделенную линию внутренней корпоративной сети для приложения в Европе. Этот позволит оптимизировать прыжки 2 и 3.