什麼是 Microsoft Entra 架構?
Microsoft Entra ID 可讓您安全地管理使用者對 Azure 服務和資源的存取。 隨附於 Microsoft Entra ID 中,是一套完整的身分識別管理功能。 如需 Microsoft Entra 功能的相關信息,請參閱 什麼是 Microsoft Entra 識別符?
使用 Microsoft Entra 識別符,您可以建立和管理使用者和群組,並啟用允許和拒絕企業資源存取的許可權。 如需身分識別管理的相關信息,請參閱 Azure 身分識別管理的基本概念。
Microsoft Entra 架構
Microsoft Entra ID 的地理位置分散式架構結合了廣泛的監視、自動重新路由、故障轉移和復原功能,可為客戶提供全公司的可用性和效能。
本文涵蓋下列架構元素:
- 服務架構設計
- 延展性
- 持續可用性
- 資料中心
服務架構設計
建置可存取且可用、數據豐富的系統最常見的方式,是透過獨立的建置組塊或縮放單位。 針對 Microsoft Entra 數據層,縮放單位稱為 分割區。
數據層有數個前端服務,可提供讀寫功能。 下圖顯示單一目錄分割區的元件如何在整個地理位置分散的數據中心內傳遞。
Microsoft Entra 架構的元件包括主要複本和次要複本。
主要複本
主要 複 本會接收其所屬分割區的所有 寫入 。 任何寫入作業都會立即復寫到不同數據中心的次要複本,再將成功傳回給呼叫端,從而確保寫入的異地備援持久性。
您應該
所有目錄 讀取 都是從 次要複本提供服務,這些複本位於實際位於不同地理位置的數據中心。 有許多次要複本,因為數據是以異步方式複寫。 目錄讀取,例如驗證要求,是從接近客戶的數據中心提供服務。 次要複本負責讀取延展性。
延展性
延展性是服務擴充以符合提高效能需求的能力。 數據分割可達成寫入延展性。 讀取延展性可藉由將數據從一個分割區複寫到分散在世界各地的多個次要複本來達成。
來自目錄應用程式的要求會路由傳送至最接近的數據中心。 寫入會以透明方式重新導向至主要複本,以提供讀寫一致性。 次要複本會大幅擴充分割區的規模,因為目錄通常會在大部分時間提供讀取。
目錄應用程式會連線到最近的數據中心。 此連線可改善效能,因此可能會相應放大。 由於目錄分割區可以有許多次要複本,因此次要複本可以放在更接近目錄用戶端的位置。 只有直接以大量寫入目標為作用中主要複本的內部目錄服務元件。
持續可用性
可用性(或運行時間)定義系統執行不間斷的能力。 Microsoft Entra ID 高可用性的關鍵在於,服務可以快速地將流量轉移至多個地理位置分散的數據中心。 每個數據中心都是獨立的,可啟用相互關聯的失敗模式。 透過此高可用性設計,Microsoft Entra ID 不需要停機進行維護活動。
相較於企業 AD 設計,Microsoft Entra ID 的數據分割設計會簡化,使用包含精心協調且具決定性的主要復本故障轉移程式的單一主要設計。
容錯
如果系統能夠容忍硬體、網路和軟體失敗,系統就更加可用。 對於目錄上的每個分割區,都有高可用性的主要複本:主要複本。 此複本只會執行對數據分割的寫入。 如果偵測到失敗,此複本會持續且受到密切監視,而且寫入可以立即轉移到另一個複本(這會成為新的主要複本)。 在故障轉移期間,可能會遺失寫入可用性,通常是 1-2 分鐘。 讀取可用性在此期間不會受到影響。
讀取作業(數量超過許多大小順序的寫入數)只會移至次要複本。 由於次要複本具有等冪性,因此,將讀取導向至另一個複本,通常是在同一個數據中心內,輕鬆補償指定分割區中的任何一個複本遺失。
數據持久性
寫入會在認可之前,永久認可至至少兩個數據中心。 這會先認可主要復寫,然後立即將寫入複寫至至少一個其他數據中心。 此寫入動作可確保裝載主要複本之數據中心的潛在重大損失不會造成數據遺失。
Microsoft Entra ID 會維護零 復原時間目標 (RTO), 不會遺失故障轉移的數據。 這包括:
- 令牌發行和目錄讀取
- 只允許約 5 分鐘的 RTO 進行目錄寫入
資料中心
Microsoft Entra 複本會儲存在世界各地的數據中心。 如需詳細資訊,請參閱 Azure 全域基礎結構。
Microsoft Entra ID 可在具有下列特性的數據中心之間運作:
- 驗證、圖形和其他AD服務位於閘道服務後方。 閘道會管理這些服務的負載平衡。 如果使用交易健康情況探查偵測到任何狀況不良的伺服器,就會自動故障轉移。 根據這些健康情況探查,網關會動態將流量路由傳送至狀況良好的數據中心。
- 如需 讀取,目錄在多個數據中心內運作的作用中-主動組態中有次要複本和對應的前端服務。 如果數據中心失敗,流量會自動路由傳送至不同的數據中心。
- 針對 寫入,目錄會透過計劃性(新主要複本同步處理至舊主要複本)或緊急故障轉移程式,跨數據中心故障轉移主要複本。 數據持久性是藉由將任何認可複寫至至少兩個數據中心來達成。
資料一致性
目錄模型是最終一致性之一。 分散式異步復寫系統的一個典型問題是,從「特定」複本傳回的數據可能不是最新的。
Microsoft Entra ID 提供以次要複本為目標之應用程式的讀寫一致性,方法是將寫入路由傳送至主要複本,並同步提取回次要複本的寫入。
使用 Microsoft Entra ID 的 Microsoft Graph API 來抽象化應用程式寫入,從維護同構型到目錄複本以取得讀寫一致性。 Microsoft Graph API 服務會維護邏輯會話,其具有用於讀取的次要複本的親和性;affinity 會在「複本令牌」中擷取,服務會在次要複本數據中心使用分散式快取來快取。 接著,此令牌會用於相同邏輯會話中的後續作業。 若要繼續使用相同的邏輯會話,後續要求必須路由傳送至相同的 Microsoft Entra 數據中心。 如果目錄用戶端要求路由傳送至多個 Microsoft Entra 數據中心,則無法繼續邏輯會話;如果發生這種情況,則用戶端具有具有獨立讀寫一致性的多個邏輯會話。
注意
寫入會立即復寫到發出邏輯會話讀取的次要複本。
服務層級備份
Microsoft Entra ID 會實作目錄數據的每日備份,而且如果發生任何服務問題,可以使用這些備份來還原數據。
目錄也會實作虛刪除,而不是針對選取的物件類型實作硬刪除。 租用戶系統管理員可以在 30 天內復原這些物件的意外刪除。 如需詳細資訊,請參閱 還原已刪除物件的 API。
計量和監視器
執行高可用性服務需要世界級的計量和監視功能。 Microsoft Entra ID 會持續分析並報告其每個服務的關鍵服務健康情況計量和成功準則。 此外,也會針對每個案例、每個 Microsoft Entra 服務和所有服務內,持續開發和調整計量和監視和警示。
如果有任何 Microsoft Entra 服務未如預期般運作,則會立即採取動作以儘快還原功能。 最重要的計量 Microsoft Entra ID 追蹤是客戶偵測到即時網站問題並減輕其速度。 我們投入大量時間監視和警示,以將偵測時間降到最低(TTD 目標: <5 分鐘)和作業整備程度,以將減輕時間降至最低(TTM 目標: <30 分鐘)。
安全作業
針對任何作業使用操作控制件,例如多重要素驗證,以及稽核所有作業。 此外,使用 Just-In-Time 提高許可權系統,持續為任何作業工作授與必要的暫時存取權。 如需詳細資訊,請參閱 受信任的雲端。