连接器使 Microsoft Entra Private Access 和 Application Proxy 成为可能。 它们易于部署和维护,并且功能强大。 本文介绍什么是连接器、连接器的工作原理以及如何优化部署。
什么是专用网络连接器?
专用网络连接器是在网络中 Windows Server 上安装的轻型代理。 它们创建到 Microsoft Entra Private Access 和应用程序代理服务的出站连接,以访问后端资源。 将连接器组织为处理特定资源的流量的连接器组。 有关体系结构概述,请参阅 使用 Microsoft Entra 应用程序代理为远程用户发布本地应用。 若要设置它们,请参阅 如何为 Microsoft Entra Private Access 配置专用网络连接器。 用户连接到云服务,该服务通过连接器将流量路由到应用。
设置连接器并将其注册到应用程序代理服务:
- 打开出站端口 80 和 443,并允许访问所需的服务和Microsoft Entra ID URL。
- 登录到 Microsoft Entra 管理中心,并在本地 Windows Server 上运行安装程序。
- 启动连接器,以便侦听应用程序代理服务。
- 将本地应用程序添加到 Microsoft Entra ID 并设置面向用户的 URL。
至少部署两个连接器来实现冗余和缩放。 服务和连接器可处理高可用性,可以随时添加或删除连接器。 每个请求都路由到可用的连接器。 如果连接器不可用,则它不会处理流量。 服务将未使用的连接器标记为非活动状态,并在 10 天后将其删除。
注意
可以监视 版本历史记录页 ,以随时了解最新更新,以便可以计划适当的连接器升级。
每个专用网络连接器都属于 连接器组。 同一组中的连接器充当单个单元以实现高可用性和负载均衡。 在 Microsoft Entra 管理中心创建组并分配连接器,然后将组映射到特定应用程序。 在每个组中至少使用两个连接器以实现高可用性。
将连接器组用于:
- 地理应用发布
- 应用程序分段/隔离
- 发布云中或本地运行的 Web 应用
有关在何处安装连接器和优化网络的指导,请参阅 使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项。
维护
连接器和服务共同确保高可用性。 随时添加或删除连接器。 服务将新请求路由到可用的连接器。 如果连接器暂时不可用,则它不会接收流量。
连接器是无状态的,不会在计算机上存储任何配置数据。 它们仅存储用于连接到服务和身份验证证书的设置。 连接到服务时,会拉取所需的配置数据,每隔几分钟刷新一次。
连接器轮询服务以获取更新。 当较新版本可用时,它们会自行更新。
使用事件日志和性能计数器监视主机上的连接器。 在 Microsoft Entra 管理中心查看状态。 对于 Microsoft Entra Private Access:转到全局安全访问 > 连接 > 连接器。 对于应用程序代理:转到 Identity > Applications > Enterprise 应用程序,然后选择该应用程序。 在应用程序页上,选择应用程序代理。
无需手动删除未使用的连接器。 服务会为非活动连接器添加标记 _inactive_,并在 10 天后将其删除。 若要卸载连接器,请卸载连接器服务和 Updater 服务,然后重新启动计算机。
处理连接器服务器问题
如果出现服务器、网络或类似故障导致一个或多个连接器服务器停机,请按照以下步骤保持服务的连续性,
- 识别并删除连接器组中受影响的(“bad”)服务器。
- 将可用的正常服务器(“good”)或备份服务器添加到连接器组中以还原容量。
- 重新启动受影响的服务器以耗尽任何预先存在的连接。 现有正在进行的连接不会立即耗尽连接器组更改。
使用此序列使服务保持稳定,并在连接器服务器出现问题时最大程度地减少中断。
连接器更新
Microsoft Entra ID 偶尔会为你部署的所有连接器提供自动更新。 只要专用网络连接器更新程序服务正在运行,连接器就可以自动更新到最新的主要连接器版本。 如果在服务器上未看到连接器更新服务,需要重新安装连接器才能获得更新。
如果不想等待自动更新,请手动升级。 转到托管连接器的服务器上的 连接器下载页 ,然后选择“ 下载”。 此操作将启动本地连接器的升级。 并非所有版本都计划自动更新。 监视 版本历史记录页 ,以查看更新是自动部署还是需要在 Microsoft Entra 门户中手动部署。
在具有多个连接器的租户中,自动更新会在每个组中一次仅针对一个连接器进行,以防止停机。
如果出现以下情况,可能会在更新期间遇到停机:
- 你只有一个连接器。 添加第二个连接器和连接器组,以避免停机并提供更高的可用性。
- 更新在连接器处理事务时启动。 初始事务丢失,但浏览器会自动重试作,也可以刷新页面。 重新发送的请求路由到备份连接器。
有关以前版本及其更改的详细信息,请参阅 应用程序代理版本发布历史记录。
创建连接器组
连接器组允许向特定应用程序分配连接器。 组连接器,然后将每个资源或应用程序分配给组。
连接器组简化了大型部署的管理。 它们可以降低拥有不同区域资源和应用程序的租户的延迟。 创建基于位置的连接器组,以仅为本地应用程序提供服务。
有关详细信息,请参阅 “了解Microsoft Entra 专用网络连接器组。
安全和网络
连接器可安装在网络中的任意位置,只要该位置允许连接器向 Microsoft Entra 专用访问和应用程序代理服务发送请求即可。 重要的是,运行连接器的计算机还有权访问应用和资源。 可将连接器安装在企业网络内部,或云中运行的虚拟机上。 连接器可在外围网络(也称为外围安全区域 (DMZ))中运行,但不一定要这样做,因为所有流量都是出站的,网络始终是安全的。
连接器只会发送出站请求。 出站流量发送到服务以及已发布的资源和应用程序。 无需打开入站端口,因为一旦建立会话,流量就会双向流动。 也无需通过防火墙配置入站访问。
有关配置出站防火墙规则的详细信息,请参阅使用现有的本地代理服务器。
性能和可伸缩性
Microsoft Entra 专用访问和应用程序代理服务的缩放是透明的,但对于连接器而言,缩放则是需要考虑的因素。 需要提供足够的连接器才能处理高峰流量。 连接器是无状态的,用户或会话数不会影响它们。 相反,他们对请求数量及其负载大小做出响应。 使用标准 Web 流量,普通计算机每秒可以处理 2,000 个请求。 具体能够处理多少,取决于确切的计算机特征。
CPU 和网络将定义连接器性能。 TLS 加密和解密依赖于 CPU 性能,而网络性能对于快速连接到应用程序和联机服务非常重要。
相比之下,内存对于连接器来说不是一个很大的问题。 联机服务会处理大部分处理负载,以及所有未经身份验证的流量。 可在云中完成的所有任务会在云中完成。
当连接器或计算机不可用时,流量将转到组中的另一个连接器。 连接器组中的多个连接器将提供复原能力。
影响性能的另一个因素是连接器之间的网络质量,包括:
- 联机服务:如果到 Microsoft Entra 服务的连接速度缓慢或延迟较高,则会影响连接器的性能。 为获得最佳性能,请使用 Express Route 将组织连接到 Microsoft。 否则,网络团队应确保以尽量高效的方式来处理 Microsoft 的连接。
- 后端应用程序:在某些情况下,连接器与后端资源和应用程序之间存在额外的代理,这些代理可能会减慢或阻止连接。 要排查这种情况,请从连接器服务器打开浏览器,并尝试访问应用程序或资源。 如果连接器在云端运行,而应用程序位于本地,则用户的体验可能与期望不符。
- 域控制器:如果连接器使用 Kerberos 约束委派执行单一登录 (SSO),在向后端发送请求之前,它们会联系域控制器。 连接器提供 Kerberos 票证缓存,但在繁忙的环境中,域控制器的响应能力可能会影响性能。 如果连接器在 Azure 中运行但与本地的域控制器通信,则更容易出现此问题。
有关优化网络的详细信息,请参阅使用 Microsoft Entra 应用程序代理时的网络拓扑注意事项。
扩展临时端口范围
专用网络连接器启动到指定目标终结点的 TCP/UDP 连接,这需要连接器主机上的可用源端口。 扩展临时端口范围可以提高源端口的可用性,尤其是在管理大量并发连接时。
若要查看系统上的当前动态端口范围,请使用以下 netsh 命令:
netsh int ipv4 show dynamicport tcpnetsh int ipv4 show dynamicport udpnetsh int ipv6 show dynamicport tcpnetsh int ipv6 show dynamicport udp
用于增加端口的 netsh 命令示例
netsh int ipv4 set dynamicport tcp start=1025 num=64511netsh int ipv4 set dynamicport udp start=1025 num=64511netsh int ipv6 set dynamicport tcp start=1025 num=64511netsh int ipv6 set dynamicport udp start=1025 num=64511
这些命令将动态端口范围从 1025 设置为最大 65535。 最小启动端口为 1025。
规格和尺寸要求
对于每个Microsoft Entra 专用网络连接器,建议使用以下规范:
- 内存: 8 GB 或更高
- CPU: 4 个 CPU 核心或更多
使每个连接器的 CPU 和内存使用率保持在 70%以下。 如果持续利用率超过 70%,请将连接器添加到组中或扩展主机容量以分配负载。 使用 Windows 性能计数器进行监视,以验证利用率是否返回可接受的范围。
Azure VM 上每个连接器的 TCP 吞吐量(合并入站 + 出站)最多为约 1.5 Gbps,大小为 4 个 vCPU/8 GiB RAM,采用标准网络。 可以通过使用更大的 VM 大小(更多 vCPU、内存、加速/高带宽 NIC)或在同一组中添加更多连接器来横向扩展来实现更高的吞吐量。
更多详细信息:
- 性能指引(例如,在 4 个 vCPU / 8 GiB 主机上约 1.5 Gbps)是通过使用 iPerf3 TCP 数据流在专用测试环境中的受控实验室测试得出的。 实际吞吐量可能因 CPU 生成、NIC 功能(加速网络、卸载)、TLS 密码套件、网络延迟和抖动、数据包丢失、并发协议混合(HTTP(S)、SMB、RDP)、中间设备(防火墙、IDS/IPS、SSL 检查)和后端应用程序响应能力而异。 基于场景的基准数据(混合工作负载、高连接并发性、延迟敏感型应用程序)将在其可用时添加到本文档。
- 注册连接器后,它会建立指向专用访问云基础结构的出站 TLS 隧道。 这些隧道处理所有数据路径流量。 此外,我们还提供了一些控制平面通道,可利用最小的带宽来驱动保活检测信号、运行状况报告、连接器升级等。
- 可以在同一连接器组中部署更多连接器,以提高总体吞吐量,前提是有足够的网络和 Internet 连接可用。 建议至少维护两个正常运行的连接器,以确保复原能力和一致的可用性。 有关高可用性的最佳做法,请参阅在这里的指南 。
域加入
连接器可在未加入域的计算机上运行。 但是,如果想要对使用集成 Windows 身份验证 (IWA) 的应用程序使用单一登录 (SSO),则需要一个已加入域的计算机。 在这种情况下,必须将连接器计算机加入到可代表已发布应用程序的用户执行 Kerberos 约束委派的域。
还可以将连接器加入到具有部分信任的域或林,或者加入到只读的域控制器。
强化的环境中的连接器部署
通常,连接器部署直截了当,无需经过特殊的配置。
但应当考虑一些特殊条件:
- 出站流量需要打开特定的端口。 若要了解详细信息,请参阅配置连接器。
- 符合 FIPS 的计算机可能需要进行配置更改,以允许连接器进程生成和存储证书。
- 出站转发代理可能会中断双向证书身份验证,并导致通信失败。
连接器身份验证
为了提供安全服务,连接器必须向服务执行身份验证,而服务必须向连接器执行身份验证。 当连接器发起连接时,将使用客户端和服务器证书完成这种身份验证。 这样,管理员的用户名和密码就不会存储在连接器计算机上。
使用的证书特定于服务。 它们是在初始注册期间创建的,每隔几个月自动续订一次。
首次成功续订证书后,Microsoft Entra 专用网络连接器服务(网络服务)无权从本地计算机存储中移除旧证书。 如果证书过期或未供服务使用,则可以安全地将其删除。
为避免证书续订问题,请确保已启用从连接器到记录的目标的网络通信。
如果连接器几个月未连接到服务,则其证书可能已过时。 在这种情况下,需卸载后重装连接器来触发注册。 可运行以下 PowerShell 命令:
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector -EnvironmentName "AzureCloud"
对于政府,请使用 -EnvironmentName "AzureUSGovernment"。 有关详细信息,请参阅为 Azure 政府云安装代理。
若要了解如何验证证书和排查问题,请参阅验证计算机和后端组件是否支持应用程序代理信任证书。
揭秘
连接器安装在 Windows Server 上,因此它们拥有大部分相同的管理工具,包括 Windows 事件日志和 Windows 性能计数器。
连接器包含管理日志和会话日志。 管理日志包含关键事件及其错误。 会话日志包含所有事务及其处理详细信息。
要查看日志,请打开“事件查看器”,然后转到“应用程序和服务日志”“Microsoft”“Microsoft Entra 专用网络”>“连接器”>>。 若要使会话日志可见,请在“视图”菜单上选择“显示分析和调试日志” 。 会话日志通常用于故障排除,默认情况下处于禁用状态。 可以启用它以开始收集事件,并在不再需要时将其禁用。
可在“服务”窗口中检查服务的状态。 连接器由两个 Windows 服务组成:实际的连接器和更新程序。 二者都必须一直运行。
非活动连接器
一个常见问题是连接器在连接器组中显示为非活动状态。 阻止所需端口的防火墙是连接器处于非活动状态的常见原因。