了解如何在使用 Microsoft Entra 应用程序代理时优化流量流和网络拓扑注意事项。
流量流
当应用程序通过 Microsoft Entra 应用程序代理发布时,从用户到应用程序的流量流经三个连接:
- 用户连接到 Azure 上的 Microsoft Entra 应用程序代理服务公共终结点
- 私有网络连接器与应用程序代理服务建立连接(出站)
- 专用网络连接器连接到目标应用程序
优化连接器组以使用最近的应用程序代理云服务
注册 Microsoft Entra 租户时,租户的区域会根据您选择的区域进行设置。 默认应用程序代理云服务实例使用与 Microsoft Entra 租户相同的或最近的区域。
例如,如果你的 Microsoft Entra 租户区域是英国,默认情况下,所有私有网络连接器都被分配使用位于欧洲数据中心的服务实例。 当用户访问已发布的应用程序时,其流量将通过此位置的应用程序代理云服务实例。
如果连接器安装在不同于默认区域的区域中,则更改连接器组针对提高访问这些应用程序的性能而优化的区域是有益的。 为连接器组指定区域后,它将连接到指定区域中的应用程序代理云服务。
为了优化流量流并减少连接器组的延迟,请将连接器组分配到最近的区域。 要分配区域:
重要
连接器必须至少使用版本 1.5.1975.0 才能使用此功能。
至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
请在右上角选择用户名。 验证是否已登录到使用应用程序代理的目录。 如果需要更改目录,请选择“切换目录”,然后选择使用应用程序代理的目录。
浏览到 Entra ID>企业应用>应用程序代理。
选择 “新建连接器组 ”并为连接器组提供 名称 。
在 “高级设置”下,选择“针对特定区域优化”下的下拉列表,然后选择最靠近连接器的区域,然后选择“ 保存”。
选择要分配给连接器组的连接器。
如果连接器位于使用默认区域的连接器组中,则只能将连接器移动到连接器组。 从 默认 连接器组中的连接器开始。 然后将其移动到相应的连接器组。
只有在没有分配给连接器组的连接器或应用时,才能更改其区域。
将连接器组分配给应用程序。 流量将流向优化连接器组区域中的应用程序代理云服务。
降低延迟的注意事项
所有代理解决方案都会在网络连接中引入延迟。 无论选择哪个代理或 VPN 解决方案作为远程访问解决方案,它始终包括一组服务器,用于连接企业网络内部。
组织通常在其外围网络中包括服务器终结点。 但是,使用 Microsoft Entra 应用程序代理时,流量会通过位于云中的代理服务流动,而连接器则驻留在企业网络上。 不需要外围网络。
下一部分包含更多建议,可帮助你进一步降低延迟。
连接器放置
应用程序代理根据租户位置为你选择实例的位置。 但是,你可以决定在何处安装连接器,让你能够定义网络流量的延迟特征。
设置应用程序代理服务时,请提出以下问题:
- 应用位于何处?
- 访问应用的大多数用户位于何处?
- 应用程序代理实例位于何处?
- 您是否已经设置了到 Microsoft 数据中心的专用网络连接,例如 Azure ExpressRoute 或类似的 VPN?
连接器必须与 Microsoft Entra ID 和应用程序通信。 步骤 2 和 3 表示流量流图中的通信。 连接器的位置会影响这两个连接的延迟。 评估连接器的位置时,请记住这些点。
- 确认连接器与 Kerberos 约束委派(KCD)数据中心之间的“站点线”。 此外,连接器服务器需要加入域。
- 尽可能靠近应用程序安装连接器。
最小化延迟的一般方法
通过优化每个网络连接来最大程度地减少端到端流量的延迟。
- 减少跃点两端之间的距离。
- 选择适合访问的网络。 例如,由于专用链接,遍历专用网络而不是公共 Internet 的速度可能更快。
请考虑在Microsoft和企业网络之间使用专用 VPN 或 ExpressRoute 链接。
专注于优化策略
你几乎无法控制用户与应用程序代理服务之间的连接。 用户从家庭网络、咖啡店或其他区域访问你的应用。 相反,你可以优化从应用程序代理服务到专用网络连接器到应用的连接。 请考虑在您的环境中应用以下模式。
模式 1:将连接器置于应用程序附近
将连接器放置在客户网络中的目标应用程序附近。 此配置减少了拓扑图中步骤 3,因为连接器和应用程序彼此接近。
如果连接器需要域控制器的视线,则此模式是有利的。 大多数客户都使用此模式,因为它适用于大多数方案。 此模式还可以与模式 2 结合使用,以优化服务与连接器之间的流量。
模式 2:利用 ExpressRoute 的 Microsoft Peering 互连。
如果您已设置了具有 Microsoft 对等互连的 ExpressRoute,您可以使用更快的 ExpressRoute 连接来处理应用程序代理与连接器之间的流量。 连接器仍位于网络中,靠近应用程序。
模式 3:充分利用 ExpressRoute 的专用对等连接
如果在 Azure 与企业网络之间设置了专用对等互连的专用 VPN 或 ExpressRoute,则可以选择其他选项。 在此配置中,Azure 中的虚拟网络通常被视为企业网络的扩展。 因此,可以在 Azure 数据中心安装连接器,但仍满足连接器到应用连接的低延迟要求。
延迟不会受到损害,因为流量正在通过专用连接流动。 此外,还改进了应用程序代理服务到连接器的延迟,因为连接器安装在靠近 Microsoft Entra 租户位置的 Azure 数据中心。
其他方法
虽然本文的重点是连接器放置,但还可以更改应用程序的放置以获得更好的延迟特征。
组织越来越多地将其网络迁移到托管环境。 此举使他们能够将应用程序放置在一个不仅是其企业网络一部分的托管环境中,并且仍然在域内。 在这种情况下,上述部分中讨论的模式可以应用于新的应用程序位置。 如果要考虑此选项,请参阅 Microsoft Entra 域服务。
常见使用案例的图示
在本部分中,我们将演练一些常见方案。 假设Microsoft Entra 租户(因此代理服务终结点)位于美国(美国)。 这些用例中讨论的注意事项也适用于全球其他地区。
对于这些方案,我们将每个连接称为“跃点”,并为其编号以便于讨论:
- 跃点 1:用户到应用程序代理服务
- 跃点 2:应用代理服务连接到专用网络适配器
- 跃点 3:目标应用程序的专用网络连接器
用例 1
场景: 该应用位于美国组织的网络中,用户位于同一区域。 Azure 数据中心与企业网络之间不存在 ExpressRoute 或 VPN。
建议: 遵循上一部分中介绍的模式 1。 为了提高延迟,请考虑根据需要使用 ExpressRoute。
通过将连接器放置在应用程序附近来优化跳跃步骤 3。 连接器通常安装在与应用程序和数据中心保持视距的位置,以执行 KCD 操作。
用例 2
场景: 该应用在美国的组织网络中,用户全球分布。 Azure 数据中心与企业网络之间不存在 ExpressRoute 或 VPN。
建议: 遵循上一部分中介绍的模式 1。
同样,常见模式是优化跃点 3,将连接器放置在应用附近。 跃点 3 通常并不昂贵,如果全部位于同一区域。 但是,根据用户所在的位置,跳数 1 可能会更昂贵,因为来自世界各地的用户必须访问位于美国的应用程序代理实例。 值得注意的是,任何代理解决方案都具有与全球分散的用户类似的特征。
用例 3
场景: 该应用在美国的组织网络中。 Azure 与企业网络之间存在通过 Microsoft 对等连接的 ExpressRoute。
建议: 遵循上一部分中介绍的模式 1 和 2。
首先,将连接器尽可能靠近应用。 然后,系统会自动将 ExpressRoute 用于第 2 跃点。
如果 ExpressRoute 链接使用Microsoft对等互连,则代理与连接器之间的流量将流经该链接。 跃点 2 使用最佳延迟。
用例 4
场景: 该应用在美国的组织网络中。 Azure 与企业网络之间存在具有专用对等互连的 ExpressRoute。
建议: 遵循上一部分中介绍的模式 3。
将连接器置于通过 ExpressRoute 专用对等互连连接到企业网络的 Azure 数据中心。
连接器可以放置在 Azure 数据中心。 由于连接器仍通过专用网络与应用程序和数据中心保持直接连接,因此第 3 跳仍是优化的。 此外,跃点 2 进行了进一步的优化。
用例 5
场景: 该应用位于组织的欧洲网络中,默认租户区域是美国,欧洲大多数用户都位于欧洲。
建议: 将连接器放置在应用附近。 更新连接器组以使用欧洲应用程序代理服务实例。 有关步骤,请参阅 优化连接器组以使用最近的应用程序代理云服务。
欧洲用户在访问与他们位于同一地区的应用程序代理实例,因此第一个跳转的成本并不高。 跃点 3 已优化。 请考虑使用 ExpressRoute 优化跃点 2。
用例 6
场景: 该应用位于组织的欧洲网络中,默认租户区域为美国,大多数用户位于美国。
建议: 将连接器放置在应用附近。 更新连接器组以使用欧洲应用程序代理服务实例。 有关步骤,请参阅 优化连接器组以使用最近的应用程序代理云服务。 跳点 1 可能会更昂贵,因为所有来自美国的用户都需要访问位于欧洲的应用程序代理实例。
在这种情况下,还可以考虑使用其他变体。 如果组织中的大多数用户都在美国,则你的网络也扩展到美国。 将连接器置于美国,继续使用连接器组的默认美国区域,并将专用的内部公司网络线路用于欧洲的应用程序。 这样可以优化跃点 2 和 3。
