A referenciaarchitektúra bemutatja, hogyan hozható létre egy külön Active Directory-tartomány az Azure-ban, amelyet a helyszíni AD-erdőben található tartományok megbízhatónak tekintenek.
Töltse le az "AD DS-erdő" architektúrához tartozó Visio-fájlt .
Az Active Directory Domain Services (AD DS) hierarchikus struktúrában tárolja az identitásadatokat. A hierarchikus struktúra legfelső szintű csomópontját erdőnek hívják. Az erdő tartományokat, a tartományok pedig egyéb típusú objektumokat tartalmaznak. Ez a referenciaarchitektúra egy AD DS-erdőt hoz létre az Azure-ban, amely egyirányú kimenő bizalmi kapcsolattal rendelkezik egy helyszíni tartománnyal. Az Azure-ban lévő erdő tartalmaz egy olyan tartományt, amely a helyszínen nem létezik. A bizalmi kapcsolat miatt a helyszíni tartományokra történő bejelentkezések megbízhatók a külön Azure-tartományban lévő erőforrások eléréséhez.
Az architektúra gyakori használati módjai például a felhőben tárolt objektumok és identitások biztonsági elkülönítésének fenntartása, illetve az egyes tartományok migrálása a helyszínről a felhőbe.
További szempontok: Megoldás választása a helyszíni Active Directory Azure-ral való integrálásához.
Architektúra
Az architektúra a következő összetevőket tartalmazza.
- Helyszíni hálózat. A helyszíni hálózat a saját Active Directory-erdőjét és tartományait tartalmazza.
- Active Directory-kiszolgálók. Ezek a felhőben virtuális gépként futó tartományvezérlők, amelyek tartományi szolgáltatásokat biztosítanak. Ezek a kiszolgálók egy egy vagy több tartományt tartalmazó erdőt üzemeltetnek a helyszíniektől elkülönítve.
- Egyirányú bizalmi kapcsolat. Az ábrán az Azure-ban lévő tartományból a helyszíni tartományba tartó egyirányú bizalmi kapcsolatra látható egy példa. Ez a kapcsolat lehetővé teszi a helyszíni felhasználók számára, hogy elérjék az Azure-ban lévő tartomány erőforrásait, de fordított irányban ez nem lehetséges.
- Active Directory-alhálózat. Az AD DS-kiszolgálók külön alhálózaton üzemelnek. A hálózati biztonsági csoport (NSG) szabályai megvédik az AD DS-kiszolgálókat, és tűzfalat biztosítanak a nem várt forrásból érkező adatforgalom ellen.
- Azure-átjáró. Az Azure-átjáró kapcsolatot biztosít a helyszíni hálózat és az Azure-beli virtuális hálózat között. Ez lehet VPN-kapcsolat vagy Azure ExpressRoute. További információ: Helyszíni hálózat csatlakoztatása az Azure-hoz VPN-átjáró használatával.
Javaslatok
Az Active Directory Azure-beli implementálásával kapcsolatos konkrét javaslatokért lásd: Active Directory tartományi szolgáltatások (AD DS) kiterjesztése az Azure-ra.
Bizalom
A helyszíni tartományokat nem ugyanaz az erdő tartalmazza, mint a felhőben lévőket. A helyszíni felhasználók felhőbeli hitelesítésének engedélyezéséhez az Azure-ban lévő tartományoknak meg kell bízniuk a helyszíni erdőben található bejelentkezési tartományban. Hasonlóképpen, ha a felhő bejelentkezési tartományt biztosít a külső felhasználók számára, szükség lehet arra, hogy a helyszíni erdő megbízzon a felhőtartományban.
Bizalmi kapcsolatokat létesíthet erdőszinten erdőszintű bizalmi kapcsolatok létrehozásával vagy tartományszinten külső bizalmi kapcsolatok létrehozásával. Az erdőszintű bizalmi kapcsolat két erdő összes tartománya között kapcsolatot hoz létre. A külső tartományszintű bizalmi kapcsolat csak két adott tartomány között hoz létre kapcsolatot. Különböző erdőkben lévő tartományok között csak külső tartományszintű bizalmi kapcsolatot hozzon létre.
A helyi Active Directory rendelkező bizalmi kapcsolatok csak egyirányúak (egyirányúak). Az egyirányú bizalmi kapcsolat lehetővé teszi egy tartományban vagy erdőben (bejövő tartomány vagy erdő) lévő felhasználóknak, hogy hozzáférjenek a másikban (kimenő tartomány vagy erdő) tárolt erőforrásokhoz.
A következő táblázat összefoglalja a bizalmi kapcsolati konfigurációkat néhány egyszerű forgatókönyvhöz:
| Eset | Helyszíni bizalmi kapcsolat | Felhőbeli bizalmi kapcsolat |
|---|---|---|
| A helyszíni felhasználóknak hozzá kell férniük a felhőben lévő erőforrásokhoz, de fordított irányban ez nem szükséges | Egyirányú, bejövő | Egyirányú, kimenő |
| A felhőbeli felhasználóknak hozzá kell férniük a helyszíni erőforrásokhoz, de fordított irányban ez nem szükséges | Egyirányú, kimenő | Egyirányú, bejövő |
Méretezési szempontok
Az Active Directory automatikusan skálázható az ugyanazon tartományba tartozó tartományvezérlők esetén. A kérelmek a tartományok összes vezérlője között oszlanak meg. Ha hozzáad egy másik tartományvezérlőt, ez automatikusan szinkronizálódik a tartománnyal. Ne konfiguráljon külön terheléselosztót arra, hogy a tartományban lévő vezérlőkre irányítsa a forgalmat. Győződjön meg arról, hogy minden tartományvezérlő elegendő memória-és tároló-erőforrással rendelkezik a tartomány-adatbázis kezeléséhez. Minden tartományvezérlő virtuális gépet ugyanakkora méretűre állítson be.
Rendelkezésre állási szempontok
Építsen ki legalább két tartományvezérlőt minden tartományhoz. Ez lehetővé teszi a kiszolgálók közötti automatikus replikációt. Hozzon létre egy rendelkezésre állási csoportot az egyes tartományokat kezelő, Active Directory-kiszolgálóként működő virtuális gépekhez. Helyezzen el legalább két kiszolgálót ebben a rendelkezésre állási csoportban.
Vegye fontolóra, hogy minden tartományban kijelöljön egy vagy több kiszolgálót készenléti műveleti főkiszolgálónak, arra az esetre, ha nem sikerülne csatlakozni a mozgó egyedüli főkiszolgálói (FSMO) szerepkört betöltő kiszolgálóhoz.
Felügyeleti szempontok
További információ a kezelési és monitorozási szempontokról: Az Active Directory kiterjesztése az Azure-ra.
További információ: Az Active Directory monitorozása. A feladatok megkönnyítéséhez olyan eszközöket is telepíthet a kezelési alhálózatban lévő monitorozási kiszolgálókra, mint a Microsoft Systems Center.
Biztonsági szempontok
Az erdőszintű bizalmi kapcsolatok tranzitívak. Ha erdőszintű bizalmi kapcsolatot hoz létre egy helyszíni és egy felhőben lévő erdő között, a bizalmi kapcsolat az ezekben az erdőkben létrehozott új tartományokra is kiterjed. Ha biztonsági okokból tartományokat használ az elkülönítéshez, érdemes lehet csak tartományszintű bizalmi kapcsolatokat létrehoznia. A tartományszintű bizalmi kapcsolatok nem tranzitívak.
Active Directory-specifikus biztonsági szempontokért tekintse meg Az Active Directory Azure-ra való kiterjesztését ismertető cikk biztonsági szempontokról szóló szakaszát.
A DevOps megfontolandó szempontjai
A DevOpssal kapcsolatos megfontolásokért lásd: Működési kiválóság a Active Directory tartományi szolgáltatások (AD DS) Azure-ra való kiterjesztésével kapcsolatban.
Költségekkel kapcsolatos szempontok
Az Azure díjkalkulátorával megbecsülheti költségeit. Az egyéb szempontokat a Microsoft Azure Well-Architected Framework Költség szakasza ismerteti.
Az alábbiakban az architektúrában használt szolgáltatások költségével kapcsolatos szempontokat találja.
AD Domain Services
Vegye fontolóra az Active Directory tartományi szolgáltatások használatát megosztott szolgáltatásként, amelyet több számítási feladat használ a költségek csökkentése érdekében. További információ: Active Directory tartományi szolgáltatások díjszabás.
Azure VPN Gateway
Az architektúra fő összetevője a VPN Gateway szolgáltatás. A díjat az átjáró üzemképes állapotának és rendelkezésre állásának időtartama számoljuk fel.
Minden bejövő forgalom ingyenes, minden kimenő forgalom díjköteles. Az internetes sávszélesség költségei a VPN kimenő forgalmára vonatkoznak.
További információkért lásd: VPN Gateway-díjszabás.
Következő lépések
- A helyszíni AD DS-tartomány Azure-ra való kiterjesztésére vonatkozó ajánlott eljárások megismerése
- Az Azure-alapú AD FS-infrastruktúra létrehozására vonatkozó ajánlott eljárások megismerése.