基于上下文的应用程序路由和资源位置选择
配置应用程序后,应用程序 URL 将分配给一种路由类型,并且对于内部路由的每个 URL,将选择一个资源位置。 发布应用程序后,管理员无法选择编辑域路由类型或资源位置。 在某些情况下,对于一组用户;
- 内部应用程序 URL 必须从外部路由,以防止流量路由到 Secure Private Access 服务。
- 需要更改资源位置以将请求路由到最佳数据中心,以提高性能。
动态域路由配置 (路由异常) 允许管理员根据用户上下文编辑每个 URL 的内部路由类型。 管理员可以修改资源位置,以便将用户请求路由到最佳数据中心,从而确保有效处理用户请求并优化性能。
以下示例演示了动态域路由配置使用案例。
用例:基于上下文的路由
场景:
- A 组用户:ABC 公司的员工,他们通过内部路由的 Secure Private Access 访问 Outlook 应用程序和 Microsoft Teams 应用程序。
- B 组用户:与 ABC 合作的第三方公司的员工。 他们通过 Secure Private Access 访问某些应用程序(不包括 Outlook)。 他们也有自己的 Outlook 应用程序,可通过 Internet 访问,并且不想通过 Secure Private Access 路由其 Outlook 流量。
问题:
- B 组用户登录到 Secure Access Agent 以访问 ABC 应用程序。
- 他们通过本机浏览器访问 Outlook 的请求通过 Secure Private Access 路由,从而导致访问被拒绝。
- Outlook 应用程序的目标域对于 A 组和 B 组用户都是相同的。
- 访问策略仅允许 A 组用户访问,从而导致 B 组用户在尝试启动 Microsoft Teams 或 Outlook 时被拒绝访问。
- 由于此路由问题,组 B 用户无法访问其公司的 Outlook。
解决方案:
ABC 公司管理员可以进行以下配置更改来解决此问题:
- 专门为访问 Office 365 应用程序的 B 组用户定义新的访问策略。
-
在访问策略中,启用动态域路由配置 (路由异常).
管理员可以查看与访问策略关联的所有内部应用程序的所有 URL 和相关域的列表。
-
对于所有 Office365 应用程序 URL,请将路由配置为在外部进行。
这可确保 B 组用户访问其 Outlook 应用程序的请求通过 Internet 路由,绕过 Secure Private Access。
通过实施这些更改,B 组用户可以通过 Internet 访问其公司的 Outlook 应用程序,而无需通过 Secure Private Access 进行路由,同时仍根据需要保留对其他 ABC 应用程序的访问。
用例:基于用户上下文的资源位置选择
方案:
- XYZ 公司:它有两组用户,分别位于美国东海岸和美国西海岸。
- 数据中心:两个数据中心,一个位于东海岸,一个位于西海岸,都托管同一个 Jira 应用程序。
- 目标:管理员希望根据用户上下文(地理位置、网络位置、用户名和用户组)将最终用户的访问请求路由到选定的资源位置,以确保最佳性能和路由。
解决方案:
- 编辑与 Jira 应用程序关联的访问策略,以适应新的路由要求。
- 在访问策略中,启用动态域路由配置 (路由异常).
- 修改每个用户上下文的资源位置。
管理员可以确保根据用户请求的情况将用户请求路由到最佳数据中心,从而提高性能并有效地管理公司中所有用户的路由。
更改路由类型或资源位置的步骤
- 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
-
在 第 3 步:操作 页面上,通过滑动 路由异常 切换开关。
这 路由异常 toggle 允许您编辑在应用程序中配置的域的资源位置和路由信息。
- 当切换开关处于 ON 状态时: 内部路由的所有应用程序的 URL 和相关域的列表以表格格式显示。 您可以单击域旁边的编辑图标来修改其资源位置和路由类型。 该路由例外仅适用于访问策略中的所有用户。
- 当切换开关处于 OFF 状态时: 域的现有路由例外将被删除,并且不适用。 最终用户仅根据应用程序设置期间设置的全局配置进行路由。 该路由例外仅适用于访问策略中的所有用户。
注意:
这 FQDN/ID 列中仅列出应用程序的 FQDN 和主机名,而不列出应用程序的 IP 地址。
- 单击要修改路由类型的域旁边的编辑图标。
-
在 编辑域 details 中,选择 路由类型:
-
内部: 流量流经连接器设备。
- 对于 Web 应用程序,流量在数据中心内流动。
- 对于 SaaS 应用程序,流量通过 Connector 设备路由到网络外部。
- Internal (内部) – Bypass Proxy(绕过代理): 域流量通过 Citrix Cloud Connector 设备路由,绕过在 Connector 设备上配置的客户 Web 代理。
- 外部: 流量直接流向 Internet。
-
内部: 流量流经连接器设备。
- 如有必要,请修改资源位置。 此选项仅适用于内部路由域。
- 单击保存。
注意:
- 您只能更改路由和资源位置,而不能在路由表中添加或删除路由域。
- 如果从主路由表中删除启用了上下文路由的域,则不会从 路由异常 表。 这意味着该域的上下文路由配置在访问策略中保持不变。
- 如果您删除启用了上下文路由的应用程序,则该域将从 路由异常 表。 这意味着与该应用程序关联的所有上下文路由配置都将从访问策略中删除。
- 当属于此访问策略的用户满足条件时,所选的相关域将覆盖默认设置。 否则,将应用默认路由。
- 如果未修改路由或未启用路由例外功能,则根据主路由表中的默认设置 (设置 > 应用领域).
基于上下文的应用程序路由和资源位置选择
已复制!
失败!