Estendi l'integrazione di Active Directory nel cloud ibrido
Negli ambienti cloud ibridi e multi-cloud orientati a Microsoft Windows, in cui alcune applicazioni dipendono dai servizi di directory, l'estensione e l'integrazione di Microsoft Active Directory (AD) con Oracle Cloud Infrastructure (OCI) sono importanti per le prestazioni e la sicurezza.
AD è un servizio Microsoft spesso implementato come framework per ambienti IT. AD memorizza le informazioni sugli oggetti nella rete e rende queste informazioni più facili da trovare e utilizzare per amministratori e utenti (ad esempio account, privilegi, criteri di sicurezza, DNS). AD utilizza un data store strutturato come base per un'organizzazione logica e gerarchica di informazioni sulle directory.
Nota:
Questa architettura di riferimento si basa sulla conoscenza di AD. Se nella propria organizzazione viene utilizzato AD, contattare l'amministratore di sistema per la corretta implementazione in OCI.Architettura
Questa architettura di riferimento descrive come estendere l'integrazione AD on premise con OCI in un ambiente cloud ibrido.
Integrazione di OCI e AD - DNS
AD si basa sulla propria funzione DNS per fornire i servizi all'interno di un dominio. L'integrazione DNS è un elemento fondamentale per estendere gli ambienti AD in OCI. Affinché i nuovi server e servizi basati su cloud possano utilizzare in modo affidabile determinate funzioni AD, devono prima essere in grado di risolvere i record DNS gestiti dal dominio e, in alcuni casi, anche il dominio a cui appartiene.
- Inoltro DNS: il processo mediante il quale un particolare set di query DNS viene inoltrato a un server designato per la risoluzione in base al nome di dominio DNS nella query, anziché essere gestito dal server iniziale contattato dal client.
Questo processo migliora le prestazioni e la resilienza della rete. Consente di risolvere le query dei nomi sia all'interno che all'esterno della rete passando agli spazi dei nomi o ai record delle risorse non contenuti nella zona di un server DNS locale a un server DNS remoto per la risoluzione.
Quando un server DNS è configurato per utilizzare un server di inoltro, se non è in grado di risolvere una query di nome utilizzando la zona primaria locale, la zona secondaria o la cache, inoltra la richiesta all'inoltro designato.
- DNS OCI - Resolver VCN: consente alle istanze di risolvere i nomi host DNS (che è possibile assegnare) di altre istanze nella stessa VCN.
- DNS OCI - Endpoint: si tratta di un IP assegnato al resolver VCN per inoltrare o ascoltare (ricevere) query DNS. Un endpoint di inoltro consentirà la creazione di regole per inoltrare query pertinenti che devono essere risolte dal DNS AD, mentre un listener accetterà e risolverà le query correlate all'infrastruttura OCI inoltrate dal DNS AD.
Si consiglia di creare regole di inoltro per tutti i domini AD, inclusi i sottodomini e le cartelle SRV come "
_msdsc". - Active Directory - Inoltri condizionali DNS: set di regole di inoltro DNS contenute nel server DNS AD. Per l'integrazione OCI, si consiglia di creare regole di inoltro per tutti i domini basati su OCI, ad esempio il nome DNS della VCN, per la risoluzione dei nomi privati su FastConnect/VPN.
Il seguente diagramma illustra questa architettura di riferimento.
integ-oci-msft-ad_dns_base-oracle.zip
Integrazione di OCI e AD - Estensione dominio
AD utilizza la topologia del sito per raggruppare le risorse in posizioni. La topologia di un sito del servizio di directory è una rappresentazione logica della rete fisica che consente di instradare in modo efficiente le query dei client e il traffico di replica AD. La progettazione di una topologia di sito per i servizi del dominio AD prevede la pianificazione per il posizionamento del controller del dominio e la progettazione di siti, subnet, collegamenti al sito e bridge di collegamento al sito per garantire l'instradamento delle query e la replica del traffico efficienti.
La topologia del sito influisce in modo significativo sulle prestazioni della rete e sulla capacità degli utenti di accedere alle risorse di rete. Le applicazioni e gli utenti che utilizzano i servizi AD richiedono l'accesso a un controller di dominio. Per garantire un servizio coerente, la maggior parte delle organizzazioni posiziona controller di dominio regionali per tutti i domini regionali rappresentati in una determinata posizione.
Per ottenere le massime prestazioni e l'affidabilità, si consiglia di estendere AD in modo che includa le posizioni OCI creando una rappresentazione del sito rilevante per le aree sottoscritte, una rappresentazione della subnet per i VCN distribuiti e l'implementazione dei controller di dominio basati su OCI.
- Controller di dominio: il fulcro del servizio Microsoft AD. Responsabile del consenso all'accesso di rete alle risorse del dominio. Esegue l'autenticazione degli utenti, memorizza le informazioni su account utente e host e applica i criteri per un dominio. I controller di dominio possono essere scrivibili o di sola lettura (RODC), ma è necessario almeno un controller di dominio scrivibile per ogni distribuzione.
- Sito: oggetti AD che rappresentano una o più subnet TCP/IP con connessioni di rete veloci e altamente affidabili. Le informazioni sul sito consentono agli amministratori di configurare l'accesso AD e la replica per ottimizzare l'uso della rete fisica. Gli oggetti sito sono associati a un set di subnet e ogni controller di dominio in una foresta è associato a un sito AD in base al relativo indirizzo IP. I siti possono ospitare controller di dominio provenienti da più domini e un dominio può essere rappresentato in più siti.
- Collegamenti sito: oggetti AD che rappresentano percorsi logici utilizzati dal Knowledge Consistency Checker (KCC) per stabilire una connessione per la replica AD. Un oggetto collegamento sito rappresenta un set di siti che possono comunicare a costi uniformi tramite un trasporto tra siti specificato.
- Subnet AD: rappresentazione logica di un segmento di una rete TCP/IP a cui è assegnato un set di indirizzi IP. Le subnet raggruppano i computer in modo da identificarne la prossimità fisica alla rete. Gli oggetti subnet in AD identificano gli indirizzi di rete utilizzati per mappare i computer ai siti.
- Schema: set di regole che definisce le classi di oggetti e attributi contenuti nella directory, i vincoli e i limiti sulle istanze di tali oggetti e il formato dei relativi nomi.
- Catalogo globale: contiene informazioni su ogni oggetto nella directory. Ciò consente a utenti e amministratori di trovare le informazioni sulla directory indipendentemente dal dominio nella directory che contiene effettivamente i dati.
Il seguente diagramma illustra questa architettura di riferimento.
integ-oci-msft-ad-arch-oracle.zip
L'architettura dispone dei seguenti componenti:
- Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che puoi modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Gateway di instradamento dinamico (DRG)
Il DRG è un router virtuale che fornisce un percorso per il traffico privato della rete tra VCN nella stessa area, tra una VCN e una rete esterna all'area, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete in locale o una rete in un altro provider cloud.
- FastConnect
Oracle Cloud Infrastructure FastConnect consente di creare facilmente una connessione dedicata e privata tra il data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni a maggiore larghezza di banda e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.
- VPN da sito a sito
La VPN da sito a sito fornisce la connettività VPN IPSec VPN tra la tua rete on premise e i VCN in Oracle Cloud Infrastructure. La suite di protocolli IPSec cifra il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico all'arrivo.
- Tabella di instradamento
Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite gateway.
- Lista di sicurezza
Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che deve essere consentito all'interno e all'esterno della subnet.
Suggerimenti
- Controller di dominio
Considerare la possibilità di distribuire due o più controller di dominio per l'alta disponibilità. Se si distribuiscono più controller di dominio, considerare la distribuzione in domini di disponibilità separati.
- Siti
Se più controller di dominio vengono distribuiti in più domini di disponibilità, è possibile considerare ogni dominio di disponibilità come sito AD personale durante la configurazione dei collegamenti ai siti con priorità per la replica e la disponibilità OCI interne.
- DNS
Quando nell'infrastruttura OCI viene distribuito almeno un controller di dominio, si consiglia di modificare le regole di inoltro DNS per risolvere il problema rispetto al controller di dominio OCI locale.
Considerazioni
Quando si implementa questa architettura di riferimento, considerare l'opzione riportata di seguito.
- DNS
Tutti i domini AD devono essere inoltrati, inclusi sottodomini e cartelle SRV come
_msdsc. In alcuni casi possono esistere altri domini personalizzati, ad esempio se un dominio interno è in conflitto con un dominio pubblico. Si consiglia di esportare un elenco di tutte le regole e di abbinarle a quelle nell'infrastruttura OCI con un reindirizzamento al DNS AD.L'instradamento, insieme all'inoltro DNS, interessa tutta la rete VCN e non dipende dal dominio che appartiene.