Udostępnij przez

Grupy łączników prywatnej sieci Microsoft Entra

Użyj grup łączników sieci prywatnej, aby przypisać łączniki do aplikacji. Grupy łączników zapewniają większą kontrolę i ułatwiają optymalizowanie wdrożeń.

Każdy łącznik sieci prywatnej należy do grupy łączników. Łączniki w tej samej grupie działają jako jednostka wysokiej dostępności i równoważenia obciążenia. Jeśli nie utworzysz grup, wszystkie łączniki znajdują się w grupie domyślnej. Utwórz nowe grupy i przypisz łączniki w centrum administracyjnym firmy Microsoft Entra.

Użyj grup łączników, gdy aplikacje działają w różnych lokalizacjach. Utwórz grupy według lokalizacji, aby każda aplikacja korzystała z pobliskich łączników.

Napiwek

Jeśli masz duże wdrożenie aplikacji proxy Microsoft Entra, nie przypisuj aplikacji do domyślnej grupy łączników. Nowe łączniki nie odbierają ruchu na żywo, dopóki nie przeniesiesz ich do aktywnej grupy. Łączniki można również uczynić bezczynnymi, przenosząc je z powrotem do grupy domyślnej, co pozwala na przeprowadzenie konserwacji bez wpływu na użytkowników.

Wymagania wstępne

Do użycia grup łączników potrzebujesz wielu łączników. Usługa automatycznie dodaje nowe łączniki do domyślnej grupy łączników. Aby zainstalować łączniki, zobacz Konfigurowanie łączników sieci prywatnej dla usługi Microsoft Entra Private Access i serwera proxy aplikacji.

Przypisywanie aplikacji do grup łączników

Przypisz aplikację do grupy łączników podczas jej publikowania. W dowolnym momencie zmień grupę łączników.

Przypadki użycia grup łączników

Użyj grup łączników w następujących scenariuszach.

Lokacje z wieloma połączonymi centrami danych

Duże organizacje używają wielu centrów danych. Zachowaj jak najwięcej ruchu w centrum danych, ponieważ łącza między centrami danych są kosztowne i powolne.

Wdróż łączniki w każdym centrum danych, aby obsługiwać tylko aplikacje w tym centrum danych. Takie podejście zmniejsza ruch między centrami danych i jest niewidoczny dla użytkowników.

Aplikacje zainstalowane w sieciach izolowanych

Aplikacje działają w sieciach, które nie są częścią głównej sieci firmowej. Użyj grup łączników, aby zainstalować dedykowane łączniki w izolowanych sieciach i zachować zawarte tam aplikacje. Ten scenariusz jest typowy dla dostawców, którzy utrzymują określoną aplikację.

Aplikacje zainstalowane w usłudze IaaS

W przypadku aplikacji w infrastrukturze jako usługi (IaaS) użyj grup łączników, aby ułatwić zabezpieczanie dostępu do wszystkich aplikacji bez dodawania zależności sieci firmowej lub fragmentowania środowiska. Zainstaluj łączniki w każdym centrum danych w chmurze i określ ich zakres dla aplikacji w tej sieci. Zainstaluj wiele łączników w celu zapewnienia wysokiej dostępności.

Na przykład organizacja ma kilka maszyn wirtualnych połączonych z własną siecią wirtualną hostowaną przez usługę IaaS. Aby umożliwić pracownikom korzystanie z tych aplikacji, te maszyny wirtualne są połączone z siecią firmową za pośrednictwem wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja. Sieć VPN typu lokacja-lokacja zapewnia pracownikom lokalnym dobre środowisko pracy. Nie jest to jednak idealne rozwiązanie dla pracowników zdalnych, ponieważ wymaga więcej infrastruktury lokalnej do kierowania dostępu, jak pokazano na poniższym diagramie.

Diagram przedstawiający sieć IaaS firmy Microsoft Entra.

Dzięki grupom łączników sieci prywatnej firmy Microsoft Entra można włączyć wspólną usługę, aby ułatwić zabezpieczanie dostępu do wszystkich aplikacji bez dodawania zależności sieci firmowej.

Diagram przedstawiający wielu dostawców usług w chmurze dla firmy Microsoft Entra IaaS.

Różne grupy łączników dla każdego lasu w środowisku wielu lasów

Logowanie jednokrotne często używa ograniczonego delegowania Protokołu Kerberos (KCD). Maszyny łączące dołączają do domeny, która może delegować użytkowników do aplikacji. Usługa KCD obsługuje scenariusze obejmujące wiele lasów, ale w różnych środowiskach z wieloma lasami bez zaufania pojedynczy łącznik nie może obsługiwać wszystkich lasów.

Wdrażanie dedykowanych łączników dla lasu i określanie ich zakresu w aplikacjach dla użytkowników w tym lesie. Każda grupa łączników reprezentuje las. Dzierżawca i większość środowiska są zintegrowane, przypisujesz użytkowników do aplikacji przeznaczonych dla lasu przy użyciu grup Microsoft Entra.

Lokacje odzyskiwania po awarii

Istnieją dwa podejścia do rozważenia w przypadku lokalizacji odzyskiwania po awarii (DR):

  • Lokalizacja odzyskiwania po awarii działa w trybie aktywnym/aktywnym i odpowiada ustawieniom sieciowym lokalizacji głównej oraz usługom Active Directory. Na witrynie zapasowej utwórz łączniki w tej samej grupie łączników co witryna główna. Microsoft Entra ID wykrywa przełączenia awaryjne.
  • Witryna DR jest oddzielona od głównej witryny. Utwórz w nim inną grupę łączników. Użyj aplikacji do tworzenia kopii zapasowej lub ręcznie przekieruj istniejące aplikacje do grupy łączników DR zgodnie z potrzebami.

Obsługa wielu firm z jednego najemcy

Można zaimplementować model, w którym jeden dostawca usług wdraża i utrzymuje usługi związane z firmą Microsoft dla wielu firm. Grupy łączników ułatwiają oddzielenie łączników i aplikacji do grup.

Jedną z opcji dla małych firm jest użycie jednego dzierżawcy Microsoft Entra, przy czym każda firma zachowuje własną nazwę domeny oraz sieci. Takie samo podejście działa w przypadku scenariuszy fuzji i sytuacji, w których pojedynczy dział obsługuje kilka firm ze względów regulacyjnych lub biznesowych.

Przykładowe konfiguracje

Rozważmy te przykładowe konfiguracje grup łączników.

Konfiguracja domyślna: brak użycia dla grup łączników

Jeśli nie używasz grup łączników, konfiguracja wygląda jak w poniższym przykładzie. Domyślna grupa łączników serwera proxy obsługuje wszystkie opublikowane aplikacje.

Zrzut ekranu przedstawiający konfigurację z tylko domyślną grupą łączników i dwoma łącznikami obsługującymi wszystkie opublikowane aplikacje.

Konfiguracja jest wystarczająca dla małych wdrożeń i testów. Działa również, jeśli organizacja ma płaską topologię sieci.

Jedna grupa łączników dla izolowanej sieci

Ta konfiguracja rozszerza wartość domyślną. Określona aplikacja działa w izolowanej sieci, takiej jak sieć wirtualna IaaS. Firma utworzyła grupę łączników dla tej izolowanej sieci.

Zrzut ekranu przedstawiający serwer proxy aplikacji, na którym jedna aplikacja działa w izolowanej sieci wirtualnej IaaS z jedną grupą łączników.

W przypadku dużych, złożonych organizacji ustaw domyślną grupę łączników tak, aby mogła przechowywać łączniki będące w stanie bezczynności lub dopiero co zainstalowane. Nie przypisuj do niej aplikacji. Obsługa wszystkich aplikacji za pośrednictwem niestandardowych grup łączników.

W tym przykładzie firma ma dwa centra danych (A i B). Dwa łączniki obsługują każdą lokację. Każda witryna uruchamia różne aplikacje.

Zrzut ekranu przedstawiający zalecaną konfigurację z dwoma centrami danych, dwoma łącznikami na lokację, domyślną grupą łączników bezczynności i grupami niestandardowymi obsługującymi wszystkie aplikacje.

Treści powiązane

  • Last updated on