Соединители частной сети Microsoft Entra

Соединители делают Microsoft Entra Private Access и прокси приложения возможными. В этой статье объясняется, что такое соединители, как они работают и как оптимизировать ваше развертывание.

Что такое соединитель частной сети?

Соединители частной сети — это упрощенные агенты, устанавливаемые на Windows Server в сети. Они создают исходящие подключения к сервисам частного доступа и прокси приложения для доступа к внутренним ресурсам.

Пользователи подключаются к облачной службе, которая направляет трафик к приложениям через соединители. Общие сведения об архитектуре см. в статье Использование прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей.

Чтобы настроить и зарегистрировать соединитель в службе прокси приложения, выполните следующие действия.

1. Откройте исходящие порты 80 и 443 и разрешите доступ к необходимым URL-адресам службы и идентификаторам Microsoft Entra.
2. Войдите в Центр администрирования Microsoft Entra и запустите установщик на локальном компьютере Windows Server.
3. Запустите соединитель, чтобы он прослушивал службу прокси приложения.
4. Добавьте локальное приложение в идентификатор Microsoft Entra и задайте URL-адреса, доступные для пользователя.

Дополнительные сведения о настройке см. в справочнике "Настройка соединителей частной сети для Microsoft Entra Private Access и прокси-сервера приложений".

Соединители и служба обеспечивают высокую доступность. Соединители можно добавлять или удалять в любое время.

Группы соединителей

Соединители можно упорядочить в группы соединителей, обрабатывающие трафик для определенных ресурсов. Соединители в той же группе служат одной единицей для обеспечения высокой доступности и балансировки нагрузки.

Создайте группы и назначьте соединители в Центре администрирования Microsoft Entra, а затем сопоставляйте группы с определенными приложениями. Используйте по крайней мере два соединителя в каждой группе для обеспечения высокой доступности.

Используйте группы соединителей для:

• Публикация географических приложений.
• Сегментация и изоляция приложений.
• Публикация веб-приложений, работающих в облаке или локальной среде.

Группы соединителей упрощают управление большими развертываниями. Они могут снизить задержку для клиентов, имеющих ресурсы и приложения в разных регионах. Создайте группы соединителей на основе расположения для обслуживания только локальных приложений.

Дополнительные сведения см. в группах соединителей частной сети Microsoft Entra.

Обслуживание

Служба направляет новые запросы в доступный соединитель. Если соединитель временно недоступен, он не получает трафик.

Коннекторы не имеют состояния и не хранят данные конфигурации на компьютере. Они хранят только параметры подключения к службе и сертификату проверки подлинности. При подключении к службе они извлекают необходимые данные конфигурации и обновляют его каждые несколько минут.

Состояние соединителя

Состояние соединителей можно просмотреть в Центре администрирования Microsoft Entra:

• Для закрытого доступа: перейдите к Global Secure Access>Подключить>Соединители.
• Для прокси приложения: перейдите в Identity>Приложения>Корпоративные приложения, а затем выберите приложение. На странице приложения выберите прокси приложения.

Logs

Соединители устанавливаются на Windows Server, поэтому у них имеется большая часть тех же средств управления. Журналы событий Windows и счетчики производительности Windows можно использовать для мониторинга соединителей.

Коннекторы имеют журналы администрирования и сеанса. В журнале Администратор регистрируются основные события и соответствующие ошибки. В журнале Сеанс содержатся все транзакции и подробные сведения об их обработке.

Чтобы просмотреть журналы, выполните следующие действия.

1. Откройте Средство просмотра событий и перейдите в Журналы приложений и служб>Microsoft>Microsoft Entra private network>Connector.

   Журнал администрирования по умолчанию отображается.

2. Чтобы сделать журнал Сеанс видимым, в меню Просмотр выберите Показать журналы аналитики и отладки.

   Журнал сеансов обычно используется для устранения неполадок и по умолчанию отключен. Включите его, чтобы начать сбор событий и отключить его, если он больше не нужен.

Состояние службы

Соединитель состоит из двух служб Windows: фактического соединителя и обработчика обновления. Оба должны работать постоянно. Вы можете проверить состояние служб в окне "Службы ".

Обработка проблем с сервером соединителя

Если один или несколько серверов соединителей отключены из-за сбоя сервера, сети или аналогичного сбоя, выполните следующие действия, чтобы обеспечить непрерывность.

1. Определите и удалите затронутые серверы из группы соединителей.
2. Добавьте доступные здоровые серверы или серверы резервного копирования в группу соединителей для восстановления емкости.
3. Перезапустите затронутые серверы, чтобы очистить все существующие подключения. Существующие текущие подключения не истощаются немедленно при изменении группы соединителей.

Используйте эту последовательность, чтобы обеспечить стабильную работу службы и свести к минимуму прерывания при наличии проблем с серверами соединителей.

Обновления соединителя

Microsoft Entra ID иногда предоставляет автоматические обновления для соединителей, которые вы развернули. Соединители опрашивают службу обновления на предмет обновлений. Когда более новая версия доступна для автоматического обновления, соединители обновляются самостоятельно. Пока служба обновления запущена, соединители могут автоматически обновляться до последнего основного выпуска соединителя. Если на сервере не отображается служба обновления, необходимо переустановить соединитель, чтобы получить обновления.

Не все выпуски запланированы для автоматического обновления. Отслеживайте страницу журнала версий , чтобы узнать, развертывается ли обновление автоматически или требуется ручное развертывание на портале Microsoft Entra. Если вам нужно выполнить обновление вручную, на сервере, на котором размещен соединитель, перейдите на страницу загрузки соединителя и нажмите кнопку "Скачать". Это действие запускает обновление для локального соединителя.

В клиентах с несколькими соединителями автоматические обновления предназначены для одного соединителя одновременно в каждой группе, чтобы предотвратить простой. Вы можете столкнуться с простоем в процессе обновления, если:

• У вас есть только один соединитель. Чтобы избежать простоя и обеспечить более высокую доступность, добавьте второй соединитель и группу соединителей.
• Обновление начинается, пока соединитель обрабатывает транзакцию. Исходная транзакция теряется, но браузер автоматически повторяет операцию или можно обновить страницу. Повторно отправленный запрос направляется в соединитель резервного копирования.

Дополнительные сведения о предыдущих версиях и их изменениях см. в статье Microsoft Entra private network connector: version release history.

Безопасность и сеть

Соединители можно установить в любой точке сети, которая позволяет отправлять запросы в службы Private Access и прокси-сервер приложения. Важно, чтобы компьютер, на котором запущен соединитель, также имеет доступ к приложениям и ресурсам.

Соединители можно установить в корпоративной сети или на виртуальной машине, работающей в облаке. Соединители могут работать в сети периметра, но это не обязательно, так как для обеспечения сетевой безопасности весь трафик является исходящим.

Соединители отправляют только исходящие запросы. Исходящий трафик отправляется службе и опубликованным ресурсам и приложениям. Вам не нужно открывать входящие порты, поскольку потоки трафика двунаправлены после установки сеанса. Вам также не нужно настраивать входящий доступ через брандмауэры.

Производительность и масштабируемость   

Масштабируемость для служб частного доступа и прокси приложений является прозрачной, но для соединителей масштабирование играет важную роль. Для обработки пикового трафика необходимо иметь достаточное количество соединителей.

Соединители являются без отслеживания состояния, а количество пользователей или сеансов не влияет на них. Вместо этого они отвечают на количество запросов и размер полезных данных. При использовании стандартного веб-трафика средний компьютер может обрабатывать 2000 запросов в секунду. Этот показатель зависит от точных характеристик компьютера.

Производительность ЦП и сети определяют производительность соединителя. Производительность ЦП необходима для шифрования TLS и расшифровки, в то время как сеть важна для быстрого подключения к приложениям и веб-службе.

Память, напротив, меньше всего важна для соединителей. Веб-служба выполняет большую часть операций обработки и отвечает за весь трафик, не прошедший аутентификацию. Все, что можно сделать в облаке, осуществляется в облаке.

Если соединители или компьютеры недоступны, трафик переходит к другому соединителю в группе. Несколько соединителей в группе соединителей обеспечивают устойчивость.

На производительность также влияет качество сетевого подключения между соединителями, которое определяется следующими факторами.

• Онлайн-служба: Медленные или высокая задержка подключений к службе Microsoft Entra влияют на производительность соединителя. Для повышения производительности подключите свою организацию к Microsoft через Azure ExpressRoute. В противном случае, попросите вашу сетевую команду обеспечить как можно более эффективную обработку подключений к Microsoft.
• Внутренние приложения. В некоторых случаях между соединителем и внутренними ресурсами и приложениями, которые могут замедлить или предотвратить подключения, существуют дополнительные прокси-серверы. Чтобы устранить эту проблему, откройте браузер с сервера соединителя и попытайтесь получить доступ к приложению или ресурсу. Если вы запускаете соединители в облаке, но приложения находятся в локальной среде, это может быть не то, что ожидают ваши пользователи.
• Контроллеры домена: если соединители выполняют единый вход в систему с помощью ограниченного делегирования Kerberos (KCD), они обращаются к контроллерам домена перед отправкой запроса в серверную часть. Соединители имеют кэш билетов Kerberos, но скорость реагирования контроллеров домена может повлиять на производительность в занятой среде. Такая проблема наиболее характерна для ситуации, когда соединители выполняются в Azure, но взаимодействуют с контроллерами домена в локальной среде.

Инструкции по установке соединителей и оптимизации сети см. в статье "Оптимизация потока трафика" с помощью прокси приложения Microsoft Entra.

Расширение эфемерного диапазона портов

Соединители частной сети инициируют подключения TCP и UDP к назначенным конечным точкам назначения. Для этих подключений требуются доступные исходные порты на хост-компьютере соединителя. Расширение диапазона временных портов может повысить доступность исходных портов, особенно при управлении большим объемом одновременных подключений.

Чтобы просмотреть текущий динамический диапазон портов в системе, используйте следующие netsh команды:

• netsh int ipv4 show dynamicport tcp
• netsh int ipv4 show dynamicport udp
• netsh int ipv6 show dynamicport tcp
• netsh int ipv6 show dynamicport udp

Ниже приведены примеры netsh команд для увеличения портов:

• netsh int ipv4 set dynamicport tcp start=1025 num=64511
• netsh int ipv4 set dynamicport udp start=1025 num=64511
• netsh int ipv6 set dynamicport tcp start=1025 num=64511
• netsh int ipv6 set dynamicport udp start=1025 num=64511

Эти команды задают динамический диапазон портов от 1025 до максимума 65535. Минимальный порт запуска — 1025.

Требования к спецификациям и размерам

Мы рекомендуем использовать следующие спецификации для каждого соединителя частной сети Microsoft Entra:

• Память: 8 ГиБ или более.
• ЦП: четыре ядра ЦП или более.

Поддерживайте пиковое использование ЦП и памяти для соединителя менее 70%. Если устойчивое использование превышает 70%, добавьте соединители в группу или масштабируйте емкость узла для распределения нагрузки. Отслеживайте счетчики производительности Windows, чтобы проверить, что использование возвращается в допустимый диапазон.

Вы можете ожидать до 1,5 Гбит/с совокупной пропускной способности TCP (включая входящий и исходящий трафик) на коннекторе виртуальной машины Azure с четырьмя виртуальными ЦП и 8 ГиБ ОЗУ при использовании стандартной сети. Вы можете достичь более высокой пропускной способности с помощью больших размеров виртуальных машин (больше виртуальных ЦП, больше памяти и ускорения или сетевых адаптеров с высокой пропускной способностью) или добавления дополнительных соединителей в той же группе для горизонтального масштабирования.

Мы получили это руководство по производительности из контролируемых лабораторных тестов, которые использовали потоки данных TCP iPerf3 в выделенном тестовом клиенте. Фактическая пропускная способность может отличаться в зависимости от:

• Создание ЦП.
• Возможности сетевого адаптера (ускорение сети, разгрузки).
• Наборы шифров TLS.
• Задержка в сети и джиттер.
• Потеря пакета.
• Одновременный набор протоколов (HTTPS, SMB, RDP).
• Промежуточные устройства (брандмауэры, IDS/IPS, проверка SSL).
• Скорость реагирования серверного приложения.

Данные тестов на основе сценариев (смешанные рабочие нагрузки, параллелизм с высоким уровнем подключения, приложения с учетом задержки) будут добавлены в эту документацию по мере ее доступности.

После регистрации соединителя он устанавливает исходящие туннели TLS в инфраструктуру облака частного доступа. Эти туннели обрабатывают весь трафик на пути передачи данных. Кроме того, канал плоскости управления использует минимальную пропускную способность для поддержания работоспособности пульса, отчетов о работоспособности, обновлений соединителей и других функций.

Вы можете развернуть больше соединителей в одной группе соединителей, чтобы увеличить общую пропускную способность, если доступна соответствующая сеть и подключение к Интернету. Рекомендуется поддерживать не менее двух здоровых соединителей, чтобы обеспечить устойчивость и согласованность доступности.

Дополнительные сведения см. в рекомендациях по обеспечению высокого уровня доступности соединителей.

Присоединение к домену

Соединители могут работать на компьютере, который не присоединен к домену. Однако если требуется единый вход в приложения, использующие встроенную проверку подлинности Windows, потребуется компьютер, присоединенный к домену. В этом случае компьютеры соединителя должны быть присоединены к домену, который может выполнять KCD от имени пользователей для опубликованных приложений.

Соединители также можно присоединить к следующим:

• Домены в лесах с ограниченным доверием.
• Доменные контроллеры только для чтения.

Развертывания соединителей в защищенных средах

Развертывание соединителей обычно не вызывает сложностей и не требует дополнительной настройки. Но рассмотрим следующие уникальные условия:

• Для исходящего трафика требуется открыть определенные порты (80 и 443).
• Компьютеры, совместимые с FIPS, могут потребовать изменения конфигурации, чтобы разрешить процессам соединителя создавать и хранить сертификат.
• Исходящие прокси-серверы могут нарушить двухстороннюю аутентификацию на основе сертификатов и привести к сбоям в связи.

Проверка подлинности соединителя

Чтобы обеспечить безопасное предоставление услуги, соединители должны аутентифицироваться перед службой, а служба должна аутентифицироваться перед соединителями. Эта проверка подлинности использует сертификаты клиента и сервера, когда соединители инициируют подключение. Таким образом, имя пользователя и пароль администратора не хранятся на компьютере соединителя.

Сертификаты предназначены специально для этой службы. Они создаются во время первоначальной регистрации и автоматически обновляются каждые пару месяцев.

После первого успешного продления сертификата служба соединителя не имеет разрешения на удаление старого сертификата из локального хранилища компьютеров. Если срок действия сертификата истекает или служба не использует его, его можно удалить безопасно.

Чтобы избежать проблем с продлением сертификата, убедитесь, что сетевое подключение от соединителя к документированных назначениям включено.

Если соединитель не подключен к службе в течение нескольких месяцев, его сертификаты могут быть устаревшими. В этом случае следует удалить соединитель и установить его заново, чтобы запустить процесс регистрации. Вы можете выполнить следующие команды PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"

Для Azure Government используйте -EnvironmentName "AzureUSGovernment". Дополнительные сведения см. в статье "Установка агента для облака Azure для государственных организаций".

Чтобы узнать, как проверить сертификат и устранить неполадки, см. статью "Устранение неполадок при установке соединителя частной сети".

Неактивные соединители

Удалить неиспользуемые соединители вручную не нужно. Сервис помечает неактивные соединители как _inactive_ и удаляет их через 10 дней.

Чтобы удалить соединитель, удалите службу соединителя и службу обновления. Затем перезапустите компьютер.

Если соединители, которые должны быть активными, отображаются как неактивные в группе соединителей, брандмауэр может блокировать необходимые порты. Дополнительные сведения о настройке правил брандмауэра для исходящего трафика см. в статье Работа с имеющимися локальными прокси-серверами.

Связанный контент

• Группы соединителей частной сети Microsoft Entra
• Устранение неполадок прокси приложения и соединителя
• Создание скрипта не требующей вмешательства установки для соединителя частной сети Microsoft Entra