使用专用网络连接器组将连接器分配给应用程序。 连接器组提供更多控制和帮助优化部署。
每个专用网络连接器都位于连接器组中。 同一组中的连接器充当高可用性和负载均衡的单元。 如果未创建组,则所有连接器都位于默认组中。 在 Microsoft Entra 管理中心创建新组并分配连接器。
当应用程序在不同的位置运行时使用连接器组。 按位置创建组,以便每个应用程序都使用附近的连接器。
提示
如果有大量Microsoft Entra 应用程序代理部署,请不要将应用程序分配到默认连接器组。 在将新连接器移动到活动组之前,新连接器不会接收实时流量。 通过将连接器移回默认组,您可以使连接器空闲,从而在不影响用户的情况下进行维护。
先决条件
需要多个连接器才能使用连接器组。 该服务会自动将新连接器添加到默认连接器组。 若要安装连接器,请参阅 为 Microsoft Entra Private Access 和应用程序代理配置专用网络连接器。
将应用程序分配到连接器组
发布应用程序时,将应用程序分配到连接器组。 随时更改连接器组。
连接器组用例
在以下场景中使用连接器组。
带有多个互联数据中心的站点
大型组织使用多个数据中心。 尽可能多地保留数据中心内的流量,因为跨数据中心链接成本高昂且速度缓慢。
在每个数据中心部署连接器,以仅为该数据中心中的应用提供服务。 此方法可减少跨数据中心流量,并且对用户是透明的。
安装在隔离网络上的应用程序
应用在不属于主要公司网络的网络中运行。 使用连接器组在隔离网络上安装专用连接器,并将这些应用限制在那里。 对于维护特定应用的供应商来说,此方案很常见。
在 IaaS 上安装的应用程序
对于基础结构即服务(IaaS)上的应用,请使用连接器组来帮助保护对所有应用的访问,而无需添加公司网络依赖项或分散体验。 在每个云数据中心安装连接器,并将其范围限定为该网络中的应用。 安装多个连接器以实现高可用性。
例如,组织有多个虚拟机连接到自己的 IaaS 托管虚拟网络。 为了允许员工使用这些应用程序,这些虚拟机通过站点到站点虚拟专用网络(VPN)连接到公司网络。 站点到站点 VPN 为本地员工提供良好的体验。 但是,它不适合远程员工,因为它需要更多本地基础结构来路由访问,如下图所示。
借助Microsoft Entra 专用网络连接器组,可以启用通用服务来帮助保护对所有应用的访问,而无需添加公司网络依赖项。
多林架构中适用于每个林的不同连接器组
单一登录通常使用 Kerberos 约束委派(KCD)。 连接器计算机加入可将用户委托给应用程序的域。 KCD 支持跨林方案,但在没有信任的不同多林环境中,单个连接器无法为所有林提供服务。
为每个林部署专用连接器,并将它们的应用范围限定于该林中的用户。 每个连接器组表示一个林。 租户和大多数用户体验都是统一的,您可以使用 Microsoft Entra 组将用户分配到他们的林结构应用程序。
灾难恢复站点
对于灾难恢复 (DR) 站点,可以考虑两种方法:
- DR 站点以主动/主动模式运行,并匹配主站点网络和 Active Directory 设置。 在与主站点相同的连接器组中的 DR 站点上创建连接器。 Microsoft Entra ID 检测故障转移。
- DR 站点与主站点是分开的。 在那里创建其他连接器组。 根据需要使用备份应用或手动将现有应用转移到 DR 连接器组。
通过单个租户为多个公司提供服务
你可以实现一个模型,其中单个服务提供商为多个公司部署和维护与 Entra 相关的服务Microsoft。 连接器组可帮助你将连接器和应用分为组。
小型公司的一种选择是使用单个Microsoft Entra 租户,而每个公司都保留自己的域名和网络。 同一方法适用于合并情景以及单一部门出于监管或业务原因而服务几家公司的情况。
示例配置
请考虑连接器组的这些示例配置。
默认配置:不使用连接器组
如果不使用连接器组,则配置如以下示例所示。 默认代理连接器组处理所有已发布的应用程序。
此配置足以用于小型部署和测试。 如果组织具有平面网络拓扑,则此配置也适用。
隔离网络的一个连接器组
此配置扩展默认值。 特定应用在隔离网络中运行,例如 IaaS 虚拟网络。 该公司为此隔离网络创建了连接器组。
建议的配置:特定组和默认空闲组
对于大型复杂组织,请将默认连接器组设置为保留空闲或新安装的连接器。 不要向其分配应用程序。 通过自定义连接器组为所有应用程序提供服务。
在此示例中,公司有两个数据中心(A 和 B)。 两个连接器为每个站点提供服务。 每个站点运行不同的应用程序。
