Principy skupin privátních síťových konektorů Microsoft Entra
Pomocí skupin privátních síťových konektorů přiřaďte konkrétní konektory konkrétním aplikacím. Skupiny konektorů poskytují větší kontrolu a umožňují optimalizovat nasazení.
Každý privátní síťový konektor je přiřazen ke skupině konektorů. Všechny konektory, které patří do stejné skupiny konektorů, fungují jako samostatná jednotka pro zajištění vysoké dostupnosti a vyrovnávání zatížení. Všechny konektory patří do skupiny konektorů. Pokud skupiny nevytvoříte, jsou všechny vaše konektory ve výchozí skupině. Vytvoříte nové skupiny konektorů a přiřadíte konektory v Centru pro správu Microsoft Entra.
Skupiny konektorů jsou užitečné, pokud jsou vaše aplikace hostované v různých umístěních. Skupiny konektorů vytvoříte na základě umístění. Aplikace používají konektory, které jsou fyzicky blízko nich.
Tip
Pokud máte velké nasazení proxy aplikací, nepřiřaďte žádné aplikace ke výchozí skupině konektorů. Díky tomu nové konektory nepřistávají žádný živý provoz, dokud je nepřiřadíte k aktivní skupině konektorů. Tato konfigurace také umožňuje umístit konektory do nečinného režimu tak, že je přesunete zpět do výchozí skupiny, abyste mohli provádět údržbu bez dopadu na uživatele.
Požadavky
Abyste mohli používat skupiny konektorů, musíte mít více konektorů. Nové konektory se automaticky přidají do výchozí skupiny konektorů. Další informace o instalaci konektorů najdete v tématu konfigurace konektorůD.
Přiřazení aplikací ke skupinám konektorů
Aplikaci přiřadíte ke skupině konektorů při prvním publikování. Můžete také aktualizovat skupinu, ke které je konektor přiřazený.
Případy použití pro skupiny konektorů
Skupiny konektorů jsou užitečné pro různé scénáře, mezi které patří:
Lokality s několika propojenými datovými centry
Velké organizace používají více datacenter. Chcete zachovat co nejvíce provozu v rámci konkrétního datacentra, protože propojení mezi datovými centry jsou nákladná a pomalá. Konektory nasadíte v každém datacentru, aby sloužily jenom aplikacím, které se nacházejí v datacentru. Tento přístup minimalizuje propojení mezi datovými centry a poskytuje uživatelům zcela transparentní prostředí.
Aplikace nainstalované v izolovaných sítích
Aplikace je možné hostovat v sítích, které nejsou součástí hlavní podnikové sítě. Skupiny konektorů můžete použít k instalaci vyhrazených konektorů do izolovaných sítí a také k izolaci aplikací do sítě. Scénář je běžný pro dodavatele, kteří udržují konkrétní aplikaci.
Aplikace nainstalované v infrastruktuře jako služba (IaaS)
U aplikací nainstalovaných v infrastruktuře jako službě (IaaS) pro přístup ke cloudu poskytují skupiny konektorů společnou službu pro zabezpečení přístupu ke všem aplikacím. Skupiny konektorů nevytvoří další závislosti ve vaší podnikové síti nebo fragmentuje prostředí aplikace. Konektory se instalují do každého cloudového datacentra a obsluhují jenom aplikace, které se nacházejí v dané síti. K zajištění vysoké dostupnosti nainstalujete několik konektorů.
Představte si například organizaci, která má několik virtuálních počítačů připojených k vlastní virtuální síti hostované službou IaaS. Aby zaměstnanci mohli tyto aplikace používat, jsou tyto privátní sítě připojené k podnikové síti pomocí sítě VPN (Site-to-Site Virtual Private Network). Síť VPN typu Site-to-Site poskytuje dobré prostředí pro zaměstnance, kteří se nacházejí místně. Není ale ideální pro vzdálené zaměstnance, protože k směrování přístupu vyžaduje více místní infrastruktury, jak je znázorněno v diagramu:
Se skupinami privátních síťových konektorů Microsoft Entra umožníte běžné službě zabezpečit přístup ke všem aplikacím bez nutnosti vytvářet další závislosti ve vaší podnikové síti:
Více doménová struktura – různé skupiny konektorů pro každou doménovou strukturu
Jednotné přihlašování se běžně dosahuje pomocí omezeného delegování kerberos (KCD). Počítače konektoru jsou připojené k doméně, která může uživatele delegovat do aplikace. KCD podporuje možnosti mezi doménovými strukturami. U společností, které mají různá prostředí s více doménovými strukturami bez důvěry mezi nimi, ale jeden konektor se nedá použít pro všechny doménové struktury. Místo toho se nasadí konkrétní konektory pro každou doménovou strukturu a nastaví se tak, aby obsluhovaly aplikace publikované tak, aby sloužily pouze uživatelům dané doménové struktury. Každá skupina konektorů představuje jinou doménovou strukturu. I když je tenant a většina prostředí sjednocená pro všechny doménové struktury, je možné uživatelům přiřadit aplikace doménové struktury pomocí skupin Microsoft Entra.
Lokality zotavení po havárii
Pro lokality zotavení po havárii je potřeba zvážit dva přístupy:
- Web zotavení po havárii je integrovaný v režimu aktivní-aktivní, kde se přesně podobá hlavnímu webu. Lokalita má také stejná nastavení sítě a služby Active Directory (AD). Konektory můžete vytvořit v lokalitě zotavení po havárii ve stejné skupině konektorů jako hlavní lokalita. ID Microsoft Entra za vás detekuje převzetí služeb při selhání.
- Váš web zotavení po havárii je oddělený od hlavní lokality. V lokalitě zotavení po havárii vytvoříte jinou skupinu konektorů. Buď máte zálohované aplikace, nebo podle potřeby ručně přesměrujte existující aplikaci do skupiny konektorů zotavení po havárii.
Obsluha více společností z jednoho tenanta
Můžete implementovat model, ve kterém jeden poskytovatel služeb nasadí a udržuje služby související s Microsoft Entra pro více společností. Skupiny konektorů pomáhají oddělit konektory a aplikace do různých skupin. Jedním ze způsobů, který je vhodný pro malé společnosti, je mít jednoho tenanta Microsoft Entra, zatímco různé společnosti mají vlastní název domény a sítě. Stejný přístup funguje ve scénářích a situacích, kdy jedna divize slouží několika společnostem z regulačních nebo obchodních důvodů.
Ukázkové konfigurace
Zvažte tyto ukázkové konfigurace skupin konektorů.
Výchozí konfigurace – nepoužívá se pro skupiny konektorů
Pokud nepoužíváte skupiny konektorů, konfigurace by vypadala takto:
Konfigurace stačí pro malá nasazení a testy. Funguje také v případě, že má vaše organizace plochou síťovou topologii.
Výchozí konfigurace a izolovaná síť
Konfigurace je vývoj výchozí, konkrétní aplikace běží v izolované síti, jako je virtuální síť IaaS:
Doporučená konfigurace – několik konkrétních skupin a výchozí skupina pro nečinnost
Doporučená konfigurace pro velké a složité organizace je mít výchozí skupinu konektorů jako skupinu, která obsluhuje žádné aplikace a používá se pro nečinné nebo nově nainstalované konektory. Všechny aplikace se obsluhují pomocí přizpůsobených skupin konektorů.
V tomto příkladu má společnost dvě datová centra, A a B se dvěma konektory, které obsluhují každou lokalitu. Každá lokalita má různé aplikace, které na ní běží.