Microsoft Entra mimarisi nedir?
Microsoft Entra ID, kullanıcılarınız için Azure hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetmenizi sağlar. Microsoft Entra Id ile birlikte gelen tam bir kimlik yönetimi özellikleri paketidir. Microsoft Entra özellikleri hakkında bilgi için bkz . Microsoft Entra Id nedir?
Microsoft Entra Id ile kullanıcıları ve grupları oluşturup yönetebilir ve kurumsal kaynaklara erişim izni vermek ve erişimi reddetmek için izinleri etkinleştirebilirsiniz. Kimlik yönetimi hakkında bilgi için bkz. Azure kimlik yönetimi ile ilgili temel bilgiler.
Microsoft Entra mimarisi
Microsoft Entra ID'nin coğrafi olarak dağıtılmış mimarisi, müşterilere şirket genelinde kullanılabilirlik ve performans sunan kapsamlı izleme, otomatik yeniden yönlendirme, yük devretme ve kurtarma özelliklerini birleştirir.
Bu makalede aşağıdaki mimari öğeler ele alınmaktadır:
- Hizmet mimarisi tasarımı
- Ölçeklenebilirlik
- Sürekli kullanılabilirlik
- Veri merkezleri
Hizmet mimarisi tasarımı
Erişilebilir ve kullanılabilir, veri açısından zengin bir sistem oluşturmanın en yaygın yolu bağımsız yapı taşları veya ölçek birimleridir. Microsoft Entra veri katmanı için ölçek birimlerine bölüm adı verilir.
Veri katmanında, okuma-yazma özelliği sağlayan çok sayıda ön uç hizmeti bulunur. Aşağıdaki diyagramda, tek dizinli bir bölümün bileşenlerinin coğrafi olarak dağıtılmış veri merkezleri genelinde nasıl teslim edilir gösterilmektedir.
Microsoft Entra mimarisinin bileşenleri birincil çoğaltmayı ve ikincil çoğaltmaları içerir.
Birincil çoğaltma
Birincil çoğaltma, ait olduğu bölüm için yazma işlemlerini alır. Her yazma işlemi, çağırana başarılı sonucu döndürmeden önce hemen farklı bir veri merkezindeki ikincil çoğaltmaya çoğaltılır, böylece yazma işlemlerinin coğrafi olarak yedekli dayanıklılığı sağlanır.
İkincil çoğaltmalar
Tüm dizin okuma işlemleri, farklı coğrafyalarda fiziksel olarak bulunan veri merkezlerinde bulunan ikincil çoğaltmalardan sağlanır. Veriler zaman uyumsuz olarak kopyalandığı için çok sayıda ikincil çoğaltma vardır. Kimlik doğrulama istekleri gibi dizin okuma işlemleri, müşterilere yakın olan veri merkezlerinden sağlanır. İkincil çoğaltmalar, okuma ölçeklenebilirliğinden sorumludur.
Ölçeklenebilirlik
Ölçeklenebilirlik, bir hizmetin artan performans taleplerine göre genişleyebilme becerisidir. Yazma ölçeklenebilirliği, veri bölümlendirilerek sağlanır. Okuma ölçeklenebilirliği, bir bölümden dünyanın dört bir yanına dağıtılmış birden fazla ikincil çoğaltmaya verilerin çoğaltılması yoluyla sağlanır.
Dizin uygulamalarından gelen istekler en yakın veri merkezine yönlendirilir. Yazma işlemleri, okuma-yazma tutarlılığı sağlamak üzere şeffaf bir şekilde birincil çoğaltmaya yönlendirilir. Dizinler çoğu zaman okuma işlemlerini sunduğundan, ikincil çoğaltmalar bölümlerin ölçeğini önemli ölçüde genişletir.
Dizin uygulamaları en yakın veri merkezlerine bağlanır. Bu bağlantı performansı artırır ve bu nedenle ölçeği genişletme mümkündür. Bir dizin bölümünde çok sayıda ikincil çoğaltma olabileceğinden, ikincil çoğaltmalar dizin istemcilerine daha yakın yerleştirilebilir. Yalnızca yazma yoğunluklu olan iç dizin hizmeti bileşenleri, etkin birincil çoğaltmayı doğrudan hedefler.
Sürekli kullanılabilirlik
Kullanılabilirlik (veya çalışma süresi) bir sistemin kesintisiz çalışma yeteneğini tanımlar. Microsoft Entra Id'nin yüksek kullanılabilirliğinin anahtarı, hizmetlerin trafiği coğrafi olarak dağıtılmış birden çok veri merkezi arasında hızla kaydırabilmesidir. Her veri merkezi bağımsızdır ve bağıntısız hata modlarını etkinleştirir. Bu yüksek kullanılabilirlik tasarımı sayesinde, Microsoft Entra Id bakım etkinlikleri için kapalı kalma süresi gerektirmez.
Microsoft Entra ID'nin bölüm tasarımı kurumsal AD tasarımına kıyasla basitleştirilmiştir ve dikkatli bir şekilde yapılandırılmış ve belirleyici bir birincil çoğaltma yük devretme işlemi içeren tek ana tasarım kullanılır.
Hataya dayanıklılık
Bir sistem donanım, ağ ve yazılım hatalarına dayanıklı ise kullanılabilirliği daha yüksektir. Dizin üzerindeki her bölüm için yüksek oranda kullanılabilir bir ana çoğaltma mevcuttur: birincil çoğaltma. Bu çoğaltma üzerinde yalnızca bölüme yazma işlemleri gerçekleştirilir. Bu çoğaltma sürekli olarak ve yakından izlenirken, bir hata algılanması durumunda yazma işlemleri hemen başka bir çoğaltmaya kaydırılabilir (bu çoğaltma yeni birincil çoğaltma olur). Yük devretme sırasında genellikle 1-2 dakikalık yazma kullanılabilirliği kaybı olabilir. Okuma kullanılabilirliği bu süre boyunca etkilenmez.
Okuma işlemleri (yazma işlemlerinden onlarca kat fazladır) yalnızca ikincil çoğaltmalara gider. İkincil çoğaltmalar bir kez etkili olduğundan, okumalar genellikle aynı veri merkezinde bulunan başka bir çoğaltmaya yönlendirilerek belirli bir bölümdeki herhangi bir çoğaltmanın kaybı kolayca telafi edilebilir.
Veri dayanıklılığı
Yazma işlemi kabul edilmeden önce en az iki veri merkezine kararlıdır. Bu, önce yazma işlemini birincile işleyerek ve sonra hemen diğer veri merkezlerinden en az birine çoğaltarak gerçekleşir. Bu yazma eylemi, birincili barındıran veri merkezinde olası bir yıkıcı kaybın veri kaybına neden olmamasını sağlar.
Microsoft Entra Id, yük devretmelerle ilgili verileri kaybetmemek için sıfır kurtarma süresi hedefi (RTO) tutar. Buna aşağıdakiler dahildir:
- Belirteç verme ve dizin okumaları
- Dizin yazma işlemleri için yalnızca yaklaşık 5 dakika RTO'ya izin verme
Veri merkezleri
Microsoft Entra çoğaltmaları dünyanın her tarafından bulunan veri merkezlerinde depolanır. Daha fazla bilgi için bkz . Azure genel altyapısı.
Microsoft Entra ID, aşağıdaki özelliklere sahip veri merkezlerinde çalışır:
- Kimlik doğrulaması, Graph ve diğer AD hizmetleri Ağ Geçidi hizmetinin arkasında yer alır. Gateway bu hizmetlerin yük dengelemesini yönetir. İşlem durumu yoklamaları kullanılarak iyi durumda olmayan sunucular algılanırsa otomatik olarak yük devredilir. Ağ Geçidi, bu sistem durumu yoklamalarına bağlı olarak trafiği dinamik olarak iyi durumdaki veri merkezlerine yönlendirir.
- Okumalar için, dizinin birden çok veri merkezinde çalışan etkin-etkin bir yapılandırmada ikincil çoğaltmaları ve karşılık gelen ön uç hizmetleri vardır. Veri merkezi başarısız olursa trafik otomatik olarak farklı bir veri merkezine yönlendirilir.
- Yazma işlemleri için dizin, planlı (yeni birincil, eski birincil ile eşitlenir) veya acil durum yük devretme yordamları aracılığıyla veri merkezleri genelinde birincil çoğaltmanın yükünü devredecektir. Veri dayanıklılığı, herhangi bir işlemenin en az iki veri merkezine çoğaltılmasıyla elde edilir.
Veri tutarlılığı
Dizin modeli nihai tutarlılıklardan biridir. Dağıtılmış zaman uyumsuz çoğaltma sistemlerindeki tipik sorunlardan biri, "belirli" bir çoğaltmadan döndürülen verilerin güncel olmayabileceğidir.
Microsoft Entra ID, yazmalarını birincil çoğaltmaya yönlendirerek ve yazmaları ikincil çoğaltmaya zaman uyumlu bir şekilde çekerek ikincil çoğaltmayı hedefleyen uygulamalar için okuma-yazma tutarlılığı sağlar.
Microsoft Entra ID'nin Microsoft Graph API'si kullanılarak yapılan uygulama yazma işlemleri, okuma-yazma tutarlılığı için dizin çoğaltmasına benzini korumaktan soyutlanır. Microsoft Graph API hizmeti, okumalar için kullanılan ikincil çoğaltmaya benderen bir mantıksal oturum tutar; benzisti, hizmetin ikincil çoğaltma veri merkezinde dağıtılmış bir önbellek kullanarak önbelleğe alan bir "çoğaltma belirteci" içinde yakalanır. Bu belirteç aynı mantıksal oturumun daha sonraki işlemleri için kullanılır. Aynı mantıksal oturumu kullanmaya devam etmek için sonraki isteklerin aynı Microsoft Entra veri merkezine yönlendirilmesi gerekir. Dizin istemci istekleri birden çok Microsoft Entra veri merkezine yönlendiriliyorsa mantıksal oturuma devam etmek mümkün değildir; böyle bir durumda istemcinin bağımsız okuma-yazma tutarlılıklarına sahip birden çok mantıksal oturumu vardır.
Not
Yazma işlemleri, mantıksal oturumdaki okumaların verildiği ikincil çoğaltmaya hemen çoğaltılır.
Hizmet düzeyi yedekleme
Microsoft Entra ID, dizin verilerinin günlük yedeklemesini uygular ve hizmet genelinde herhangi bir sorun olduğunda verileri geri yüklemek için bu yedeklemeleri kullanabilir.
Dizin, seçilen nesne türleri için sabit silme işlemleri yerine geçici silme işlemleri de uygular. Kiracı yöneticisi bu nesnelerin yanlışlıkla silinmesini 30 gün içinde geri alabilir. Daha fazla bilgi için bkz . Silinen nesneleri geri yüklemek için API.
Ölçümler ve izleyiciler
Yüksek oranda kullanılabilir bir hizmetin çalıştırılması için birinci sınıf ölçüm ve izleme özellikleri gerekir. Microsoft Entra ID, hizmetlerinin her biri için önemli hizmet durumu ölçümlerini ve başarı ölçütlerini sürekli olarak analiz eder ve raporlar. Ayrıca, her bir Microsoft Entra hizmetinde ve tüm hizmetlerde her senaryo için sürekli geliştirme ve ölçümler ile izleme ve uyarı oluşturma işlemleri vardır.
Herhangi bir Microsoft Entra hizmeti beklendiği gibi çalışmıyorsa, işlevselliği mümkün olan en kısa sürede geri yüklemek için hemen eylem gerçekleştirilir. Microsoft Entra ID'nin izlediği en önemli ölçüm, canlı site sorunlarının müşteriler için ne kadar hızlı algılanabileceği ve giderilebileceğidir. Algılama süresini (TTD Hedefi: <5 dakika) en aza indirmek için izleme ve uyarılara ve azaltma süresini en aza indirmek için operasyonel hazırlığa büyük yatırım yapıyoruz (TTM Hedefi: <30 dakika).
Güvenli işlemler
Herhangi bir işlem için çok faktörlü kimlik doğrulaması ve tüm işlemlerin denetlenmesi gibi işlem denetimlerini kullanma. Ayrıca, isteğe bağlı operasyonel görevler için sürekli olarak gerekli geçici erişimi vermek için tam zamanında yükseltme sistemi kullanma. Daha fazla bilgi için bkz. Güvenilir Bulut.