이 참조 아키텍처는 온-프레미스 AD 포레스트에 있는 도메인의 신뢰를 받는 Azure의 별도 Active Directory 도메인을 생성하는 방법을 설명합니다.
"AD DS 포리스트" 아키텍처에 대한 Visio 파일을 다운로드합니다.
AD DS(Active Directory Domain Services)는 ID 정보를 계층 구조에 저장합니다. 계층 구조의 최상위 노드를 포레스트라고 합니다. 포레스트는 도메인을, 도메인은 다른 유형의 개체를 담고 있습니다. 이 참조 아키텍처는 온-프레미스 도메인과의 단방향의 보내는 트러스트 관계를 구축하여 Azure에 AD DS 포레스트를 만듭니다. Azure에 있는 포레스트는 온-프레미스에 없는 도메인을 포함합니다. 트러스트 관계를 바탕으로 온-프레미스 도메인에서 수행한 로그인을 통해 별개의 Azure 도메인에 있는 리소스에 접속할 수 있습니다.
이 아키텍처의 일반적인 용도는 클라우드에 저장된 개체 및 ID에 대한 보안 분리를 유지하는 것과 개별 도메인을 온-프레미스에서 클라우드로 마이그레이션하는 것입니다.
추가 고려 사항은 온-프레미스 Active Directory를 Azure와 통합하기 위한 솔루션 선택을 참조하세요.
아키텍처
이 아키텍처의 구성 요소는 다음과 같습니다.
- 온-프레미스 네트워크. 온-프레미스 네트워크는 자체 Active Directory 포레스트와 도메인을 포함합니다.
- Active Directory 서버. 클라우드에서 VM으로 실행되는 도메인 서비스를 구현하는 도메인 컨트롤러입니다. 이러한 서버는 온-프레미스에 위치한 도메인들과 분리된 하나 이상의 도메인을 포함하는 포레스트를 호스트합니다.
- 단방향 트러스트 관계. 이 다이어그램의 예제는 Azure 도메인으로부터 온-프레미스 도메인으로의 단방향 트러스트 관계를 보여 줍니다. 이 관계를 통해 온-프레미스 사용자는 Azure의 도메인에 있는 리소스에 접근할 수 있지만 Azure 사용자가 온-프레미스의 리소스에 접근할 수는 없습니다.
- Active Directory 서브넷. AD DS 서버는 별도의 서브넷에 호스팅됩니다. NSG(네트워크 보안 그룹) 규칙은 AD DS 서버를 보호하고 예상치 못한 소스로부터 전달되는 트래픽에 대한 방화벽을 제공합니다.
- Azure 게이트웨이. Azure 게이트웨이는 온-프레미스 네트워크와 Azure VNet 사이에 연결을 제공합니다. 이러한 연결은 VPN 연결 또는 Azure ExpressRoute일 수 있습니다. 자세한 내용은 VPN 게이트웨이를 사용하여 온-프레미스 네트워크를 Azure에 연결을 참조하세요.
권장 사항
Azure에서 Active Directory 구현에 대한 구체적인 권장 사항은 AD DS(Active Directory 도메인 서비스)를 Azure로 확장을 참조하세요.
신뢰
온-프레미스 도메인은 클라우드에 있는 도메인과는 다른 포레스트 내에 있습니다. 클라우드에서 온-프레미스 사용자 인증을 하려면 Azure 도메인이 온-프레미스 포레스트의 로그인 도메인을 신뢰해야 합니다. 마찬가지로, 클라우드가 외부 사용자를 위한 로그인 도메인을 제공한다면 온-프레미스 포레스트가 클라우드 도메인을 신뢰해야 합니다.
포리스트 수준에서는 포리스트 트러스트 생성을 통해, 도메인 수준에서는 외부 트러스트 생성을 통해 트러스트를 구축할 수 있습니다. 포레스트 수준 트러스트는 두 개의 포레스트 내에 있는 모든 도메인들 사이에 관계를 형성합니다. 외부 도메인 수준 트러스트는 두 개의 지정된 도메인 간 관계만을 형성합니다. 서로 다른 포레스트의 도메인 간에는 외부 도메인 수준 트러스트만 형성해야 합니다.
온-프레미스 Active Directory와의 트러스트는 단방향입니다. 단방향 트러스트는 하나의 도메인 또는 포레스트(수신 도메인 또는 포리스트)의 사용자가 다른(송신) 도메인 또는 포레스트에 있는 리소스에 액세스할 수 있도록 합니다.
다음 표에는 간단한 시나리오에 대한 트러스트 구성이 요약되어 있습니다.
| 시나리오 | 온-프레미스 트러스트 | 클라우드 트러스트 |
|---|---|---|
| 온-프레미스 사용자는 클라우드에 있는 리소스에 대한 액세스를 요구할 수 있지만 그 반대 방향은 불가능합니다. | 단방향, 수신 | 단방향, 송신 |
| 클라우드 사용자는 온-프레미스에 위치한 리소스에 대한 액세스를 요구할 수 있지만 그 반대 방향은 불가능합니다. | 단방향, 송신 | 단방향, 수신 |
확장성 고려 사항
Active Directory는 동일한 도메인의 일부인 도메인 컨트롤러를 위해 자동으로 확장 가능합니다. 요청은 하나의 도메인 내에 있는 모든 컨트롤러로 분산됩니다. 도메인 컨트롤러를 추가하면 자동으로 해당 도메인과 동기화가 진행됩니다. 해당 도메인 내에서 트래픽을 컨트롤러로 전송하기 위해 별도의 부하 분산 장치를 구성하지 마세요. 모든 도메인 컨트롤러는 도메인 데이터베이스를 처리하기에 충부한 메모리와 스토리지 리소스를 가져야 합니다. 모든 도메인 컨트롤러 VM은 동일한 크기여야 합니다.
가용성 고려 사항
각 도메인에 대해 최소 두 개의 도메인 컨트롤러를 프로비전합니다. 이를 통해 서버 간 자동 복제가 가능해집니다. 각 도메인을 처리하는 Active Directory 서버의 역할을 하는 VM에 대한 가용성 집합을 생성합니다. 이 가용성 집합 내에 최소 두 개의 서버를 배치합니다.
또한 유연한 단일 마스터 작업(FSMO) 역할을 수행하는 서버에 대한 연결 실패를 대비하여 각 도메인에 있는 하나 이상의 서버를 대기 작업 마스터로 지정하는 것을 고려해 보세요.
관리 효율성 고려 사항
관리 및 모니터링 고려사항에 대한 자세한 내용은 Active Directory를 Azure로 확장을 참조하세요.
자세한 내용은 Active Directory 모니터링을 참조하세요. 관리 서브넷의 모니터링 서버에 Microsoft Systems Center와 같은 도구를 설치하며 이러한 작업 수행이 수월해질 수 있습니다.
보안 고려 사항
포레스트 수준 트러스트는 전이적입니다. 온-프레미스 포레스트와 클라우드 포레스트 간 포레스트 수준 트러스트를 구축하는 경우 이 트러스트는 어느 하나의 포레스트에 생성된 다른 새로운 도메인로 확장됩니다. 보안을 목적으로 도메인을 사용하여 분리를 제공하는 경우에는 도메인 수준에서만 트러스트를 생성하는 것을 고려하세요. 도메인 수준 트러스트는 비전이적입니다.
Active Directory 관련 보안 고려사항을 확인하려면 Active Directory를 Azure로 확장의 보안 고려항 섹션을 참조하세요.
DevOps 고려 사항
DevOps 고려 사항은 AD DS(Active Directory Domain Services)를 Azure로 확장에서 운영 우수성을 참조하세요.
비용 고려 사항
Azure 가격 계산기를 사용하여 비용을 예측합니다. 기타 고려 사항은 Microsoft Azure Well-Architected Framework의 비용 섹션에 설명되어 있습니다.
이 아키텍처에 사용되는 서비스에 대한 비용 고려 사항은 다음과 같습니다.
AD Domain Services
Active Directory Domain Services를 여러 워크로드에서 공유하는 서비스로 사용하여 비용을 절감하는 것이 좋습니다. 자세한 내용은 Active Directory Domain Services 가격 책정을 참조하세요.
Azure VPN Gateway
이 아키텍처의 주요 구성 요소는 VPN 게이트웨이 서비스입니다. 요금은 게이트웨이가 프로비전되고 사용된 시간에 따라 청구됩니다.
모든 인바운드 트래픽은 무료이고 모든 아웃바운드 트래픽은 과금됩니다. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다.
자세한 내용은 VPN Gateway 가격 책정을 참조하세요.
다음 단계
- 온-프레미스 AD DS 도메인을 Azure로 확장하기 위한 모범 사례를 살펴보세요.
- Azure에서 AD FS 인프라를 생성하기 위한 모범 사례를 살펴보세요.