Ampliar la integración de Active Directory en la nube híbrida

En entornos de nube híbrida y multinube orientados a Microsoft Windows, donde algunas aplicaciones dependen de servicios de directorio, la ampliación e integración de Microsoft Active Directory (AD) con Oracle Cloud Infrastructure (OCI) es importante para el rendimiento y la seguridad.

AD es un servicio de Microsoft que se suele implantar como marco para los entornos de TI. AD almacena información sobre objetos en la red y facilita a los administradores y usuarios la búsqueda y el uso de esta información (como cuentas, privilegios, políticas de seguridad y DNS). AD utiliza un almacén de datos estructurado como base para una organización lógica y jerárquica de la información del directorio.

Nota:

Esta arquitectura de referencia se basa en el conocimiento de AD. Si se utiliza AD en su organización, póngase en contacto con el administrador del sistema para una implantación adecuada en OCI.

Arquitectura

En esta arquitectura de referencia se describe cómo puede ampliar la integración de AD local con OCI en un entorno de nube híbrida.

Integración de OCI y AD - DNS

AD se basa en su función DNS para proporcionar servicios dentro de un dominio. La integración de DNS es una parte fundamental a la hora de ampliar los entornos de dominio de disponibilidad en OCI. Para que los nuevos servidores y servicios basados en la nube puedan aprovechar de forma fiable determinadas funciones de AD, primero deben poder resolver los registros de DNS gestionados por el dominio y, en algunos casos, incluso los unidos a un dominio.

  • Reenvío de DNS: proceso por el cual un conjunto determinado de consultas de DNS se reenvía a un servidor designado para resolución según el nombre de dominio DNS en la consulta, en lugar de ser manejado por el servidor inicial que contactó el cliente.

    Este proceso mejora el rendimiento y la resiliencia de la red. Proporciona una forma de resolver consultas de nombres tanto dentro como fuera de la red transfiriendo espacios de nombres o registros de recursos que no están contenidos en la zona de un servidor DNS local a un servidor DNS remoto para su resolución.

    Cuando un servidor DNS está configurado para usar un reenviador, si no puede resolver una consulta de nombre mediante su zona principal local, zona secundaria o caché, reenvía la solicitud al reenviador designado.

  • DNS de OCI - Resolución de la VCN: permite a las instancias resolver nombres de host DNS (que puede asignar) de otras instancias en el mismo VCN.
  • DNS de OCI - Punto final: un punto final es una IP asignada para el solucionador de VCN para reenviar o recibir (recibir) consultas DNS. Un punto final de reenvío permitirá la creación de reglas para reenviar las consultas relevantes que debe resolver el DNS de AD, mientras que un listener aceptará y resolverá las consultas relacionadas con OCI reenviadas desde el DNS de AD.

    Se recomienda que se creen reglas de reenvío para todos los dominios de AD, incluidos los subdominios y las carpetas SRV, como "_msdsc".

  • Active Directory: reenvíos condicionales de DNS: un conjunto de reglas de reenvío de DNS contenidas en el servidor DNS de AD. Para la integración con OCI, se recomienda crear reglas de reenvío para todos los dominios basados en OCI, por ejemplo, el nombre DNS de la VCN, para la resolución de nombres privados a través de FastConnect/VPN.

En el siguiente diagrama se ilustra esta arquitectura de referencia.



integr-oci-msft-ad_dns_base-oracle.zip

Integración de OCI y AD - Extensión de dominio

AD utiliza la topología del sitio para agrupar los recursos en ubicaciones. Una topología de sitio de servicio de directorio es una representación lógica de la red física que ayuda a enrutar de manera eficaz las consultas de los clientes y el tráfico de replicación de AD. El diseño de una topología de sitio para los servicios de dominio de AD implica la planificación de la colocación del controlador de dominio y el diseño de sitios, subredes, enlaces a sitios y puentes de enlaces a sitios para garantizar un enrutamiento de consultas y una replicación de tráfico eficaces.

La topología del sitio afecta significativamente al rendimiento de la red y a la capacidad de los usuarios para acceder a los recursos de red. Las aplicaciones y los usuarios que aprovechan los servicios de AD requieren acceso a un controlador de dominio. Para garantizar un servicio coherente, la mayoría de las organizaciones colocan controladores de dominio regionales para todos los dominios regionales que están representados en una ubicación determinada.

Para obtener el máximo rendimiento y fiabilidad, se recomienda ampliar AD para incluir ubicaciones de OCI mediante la creación de una representación de sitio relevante para las regiones suscritas, la representación de subred para las VCN desplegadas y la implantación de controladores de dominio basados en OCI.

  • Controlador de dominio: la pieza central del servicio de Microsoft AD. Responsable de permitir el acceso de red a los recursos de dominio. autentica a los usuarios, almacena la información de host y cuenta de usuario y aplica políticas para un dominio. Los controladores de dominio pueden ser de escritura o de solo lectura (RODC), pero se necesita al menos un controlador de dominio de escritura por despliegue.
  • Sitio: objetos de AD que representan una o más subredes TCP/IP con conexiones de red rápidas y altamente fiables. La información del sitio permite a los administradores configurar el acceso a AD y la replicación para optimizar el uso de la red física. Los objetos de sitio están asociados con un conjunto de subredes y cada controlador de dominio de un bosque está asociado con un sitio de AD según su dirección IP. Los sitios pueden alojar controladores de dominio de más de un dominio, y un dominio puede representarse en más de un sitio.
  • Enlaces de sitio: objetos de AD que representan rutas lógicas que el comprobador de coherencia de conocimientos (KCC) utiliza para establecer una conexión para la replicación de AD. Un objeto de enlace de sitio representa un juego de sitios que se pueden comunicar a un costo uniforme mediante un transporte entre sitios especificado.
  • Subred de AD: representación lógica de un segmento de una red TCP/IP a la que se asigna un conjunto de direcciones IP. Las subredes agrupan los equipos de una manera que identifica su proximidad física en la red. Los objetos de subred en AD identifican las direcciones de red que se utilizan para asignar equipos a los sitios.
  • Esquema: Juego de reglas que define las clases de objetos y atributos que contiene el directorio, las restricciones y los límites de las instancias de estos objetos y el formato de sus nombres.
  • Catálogo global: contiene información sobre cada objeto del directorio. Esto permite a los usuarios y administradores buscar información del directorio independientemente del dominio del directorio que realmente contiene los datos.

En el siguiente diagrama se ilustra esta arquitectura de referencia.



integr-oci-msft-ad-arch-oracle.zip

La arquitectura tiene los siguientes componentes:

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y grandes distancias pueden separarlas (entre países e incluso continentes).

  • Red virtual en la nube (VCN) y subredes

    Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR que no se superpongan y que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, cuyo ámbito puede ser una región o un dominio de disponibilidad. Cada subred está formada por un rango de direcciones contiguas que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Gateway de enrutamiento dinámico (DRG)

    El DRG es un enrutador virtual que proporciona una ruta de acceso para el tráfico de red privada entre las VCN de la misma región, entre una VCN y una red fuera de la región, como una VCN de otra región de Oracle Cloud Infrastructure, una red local o una red de otro proveedor en la nube.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión dedicada y privada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de mayor ancho de banda y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

  • VPN de sitio a sitio

    La VPN de sitio a sitio proporciona conectividad VPN IPSec entre la red local y las VCN de Oracle Cloud Infrastructure. El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega.

  • Tabla de ruta

    Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways.

  • Lista de seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Sus requisitos pueden diferir de la arquitectura descrita aquí.
  • Controladores de Dominio

    Considere el despliegue de dos o más controladores de dominio para una alta disponibilidad. Si está desplegando más de un controlador de dominio, considere la posibilidad de realizar el despliegue en dominios de disponibilidad independientes.

  • Sitios

    Si se despliegan varios controladores de dominio en varios dominios de disponibilidad, es posible tratar cada dominio de disponibilidad como su propio sitio de AD al tiempo que se configuran los enlaces de sitio prioritarios para la disponibilidad y replicación interna de OCI.

  • DNS

    Una vez que se haya desplegado al menos un controlador de dominio en OCI, se recomienda editar las reglas de reenvío de DNS para resolverlas en el controlador de dominio de OCI local.

Consideraciones

Al implementar esta arquitectura de referencia, tenga en cuenta la siguiente opción.

  • DNS

    Todos los dominios de AD se deben reenviar, incluidos los subdominios y las carpetas SRV, como _msdsc. En algunos casos, pueden existir dominios personalizados adicionales (por ejemplo, si un dominio interno entra en conflicto con un dominio público). Se recomienda exportar una lista de todas las reglas y hacer coincidir las de OCI con una redirección al DNS de AD.

    El enrutamiento y el reenvío de DNS abarcan toda la VCN y no dependen de la unión de dominio.

Confirmaciones

  • Author: Maor Bracha
  • Contributors: Wei Han, Ejaz Akram