Compreender os grupos de conectores de rede privada do Microsoft Entra
Use grupos de conectores de rede privada para atribuir conectores específicos a aplicativos específicos. Os grupos de conectores oferecem mais controle e permitem otimizar suas implantações.
Cada conector de rede privada é atribuído a um grupo de conectores. Todos os conectores que pertencem ao mesmo grupo de conectores atuam como uma unidade separada para alta disponibilidade e balanceamento de carga. Todos os conectores pertencem a um grupo de conectores. Se você não criar grupos, todos os conectores estarão em um grupo padrão. Criar novos grupos de conectores e atribuir conectores no centro de administração do Microsoft Entra.
Os grupos de conectores são úteis se seus aplicativos estiverem hospedados em locais diferentes. Você cria grupos de conectores com base na localização. Os aplicativos usam conectores que estão fisicamente próximos a eles.
Gorjeta
Se você tiver uma implantação de proxy de aplicativo grande, não atribua nenhum aplicativo ao grupo de conectores padrão. Dessa forma, os novos conectores não recebem tráfego em tempo real até que você os atribua a um grupo de conectores ativo. Essa configuração também permite que você coloque conectores em um modo ocioso, movendo-os de volta para o grupo padrão, para que você possa executar a manutenção sem afetar seus usuários.
Pré-requisitos
Você deve ter vários conectores para usar grupos de conectores. Novos conectores são adicionados automaticamente ao grupo de conectores padrão . Para obter mais informações sobre como instalar conectores, consulte configurar conectoresD.
Atribuir aplicativos aos grupos de conectores
Você atribui um aplicativo a um grupo de conectores quando o publica pela primeira vez. Você também pode atualizar o grupo que um conector é atribuído.
Casos de uso para grupos de conectores
Os grupos de conectores são úteis para vários cenários, incluindo:
Sites com vários datacenters interconectados
Grandes organizações usam vários datacenters. Você deseja manter o máximo de tráfego possível dentro de um datacenter específico porque os links entre datacenters são caros e lentos. Você implanta conectores em cada datacenter para atender somente os aplicativos que residem no datacenter. Essa abordagem minimiza os links entre datacenters e fornece uma experiência totalmente transparente para seus usuários.
Aplicações instaladas em redes isoladas
Os aplicativos podem ser hospedados em redes que não fazem parte da rede corporativa principal. Você pode usar grupos de conectores para instalar conectores dedicados em redes isoladas para também isolar aplicativos na rede. O cenário é comum para fornecedores que mantêm um aplicativo específico.
Aplicativos instalados na infraestrutura como serviço (IaaS)
Para aplicativos instalados em IaaS (infraestrutura como serviço) para acesso à nuvem, os grupos de conectores fornecem um serviço comum para proteger o acesso a todos os aplicativos. Os grupos de conectores não criam mais dependências na sua rede corporativa nem fragmentam a experiência do aplicativo. Os conectores são instalados em todos os datacenters na nuvem e servem apenas aplicativos que residem nessa rede. Você instala vários conectores para obter alta disponibilidade.
Tomemos como exemplo uma organização que tem várias máquinas virtuais conectadas à sua própria rede virtual hospedada em IaaS. Para permitir que os funcionários usem esses aplicativos, essas redes privadas são conectadas à rede corporativa usando VPN (Rede Privada Virtual) site a site. A VPN site a site oferece uma boa experiência para os funcionários que estão localizados no local. Mas, não é ideal para funcionários remotos, porque requer mais infraestrutura local para rotear o acesso, como ilustrado no diagrama:
Com os grupos de conectores de rede privada do Microsoft Entra, você habilita um serviço comum para proteger o acesso a todos os aplicativos sem criar mais dependências em sua rede corporativa:
Multifloresta – diferentes grupos de conectores para cada floresta
O logon único geralmente é alcançado usando a Delegação Restrita de Kerberos (KCD). As máquinas do conector são unidas a um domínio que pode delegar os usuários ao aplicativo. O KCD suporta capacidades entre florestas. Mas para empresas que têm ambientes multiflorestais distintos sem confiança entre eles, um único conector não pode ser usado para todas as florestas. Em vez disso, conectores específicos são implantados por floresta e definidos para servir aplicativos que são publicados para atender apenas os usuários dessa floresta específica. Cada grupo de conectores representa uma floresta diferente. Embora o locatário e a maior parte da experiência sejam unificados para todas as florestas, os usuários podem ser atribuídos a seus aplicativos de floresta usando grupos do Microsoft Entra.
Locais de recuperação de desastres
Há duas abordagens a serem consideradas para sites de recuperação de desastres (DR):
- Seu site de DR é construído no modo ativo-ativo, onde é exatamente como o site principal. O site também tem as mesmas configurações de rede e Ative Directory (AD). Você pode criar os conectores no site de DR no mesmo grupo de conectores que o site principal. O Microsoft Entra ID deteta failovers para você.
- Seu site de DR é separado do site principal. Criar um grupo de conectores diferente no site de DR. Você tem aplicativos de backup ou desvia manualmente o aplicativo existente para o grupo de conectores DR, conforme necessário.
Atenda várias empresas a partir de um único locatário
Você pode implementar um modelo no qual um único provedor de serviços implanta e mantém serviços relacionados ao Microsoft Entra para várias empresas. Os grupos de conectores ajudam a segregar os conectores e aplicativos em grupos diferentes. Uma maneira, que é adequada para pequenas empresas, é ter um único locatário do Microsoft Entra, enquanto as diferentes empresas têm seu próprio nome de domínio e redes. A mesma abordagem funciona para cenários de fusão e situações em que uma única divisão serve várias empresas por razões regulamentares ou comerciais.
Configurações de exemplo
Considere estas configurações de grupo de conectores de exemplo.
Configuração padrão – sem uso para grupos de conectores
Se você não usar grupos de conectores, sua configuração terá esta aparência:
A configuração é suficiente para pequenas implantações e testes. Também funciona se a sua organização tiver uma topologia de rede plana.
Configuração padrão e uma rede isolada
A configuração é uma evolução do padrão, um aplicativo específico é executado em uma rede isolada, como a rede virtual IaaS:
Configuração recomendada – vários grupos específicos e um grupo padrão para ociosidade
A configuração recomendada para organizações grandes e complexas é ter o grupo de conectores padrão como um grupo que não serve a nenhum aplicativo e é usado para conectores ociosos ou recém-instalados. Todas as aplicações são servidas usando grupos de conectores personalizados.
No exemplo, a empresa tem dois datacenters, A e B, com dois conectores que atendem cada local. Cada site tem diferentes aplicativos que são executados nele.