하이브리드 클라우드에서 Active Directory 통합 확장
일부 애플리케이션이 디렉토리 서비스에 종속되는 Microsoft Windows 지향 하이브리드 클라우드 및 다중 클라우드 환경에서는 AD(Microsoft Active Directory)를 확장 및 OCI(Oracle Cloud Infrastructure)와 통합하는 것이 성능과 보안에 중요합니다.
AD는 종종 IT 환경을 위한 프레임워크로 구현되는 Microsoft 서비스입니다. AD는 네트워크의 객체에 대한 정보를 저장하며 관리자와 사용자가 이 정보를 쉽게 찾고 사용할 수 있도록 합니다(예: 계정, 권한, 보안 정책, DNS). AD는 디렉토리 정보의 논리적 계층적 구성을 위한 기반으로 구조화된 데이터 저장소를 사용합니다.
참고:
이 참조 아키텍처는 AD 지식을 기반으로 합니다. 조직에서 AD가 사용되는 경우 시스템 관리자에게 문의하여 OCI에서 적절한 구현을 얻으십시오.구조
이 참조 아키텍처는 하이브리드 클라우드 환경에서 OCI와 온프레미스 AD 통합을 확장하는 방법을 설명합니다.
OCI 및 AD 통합 - DNS
AD는 DNS 기능을 사용하여 도메인 내에서 서비스를 제공합니다. DNS 통합은 OCI에서 AD 환경을 확장하는 데 있어 중요한 부분입니다. 새로운 클라우드 기반 서버와 서비스가 특정 AD 기능을 안정적으로 활용하려면 먼저 도메인에서 관리되는 DNS 레코드와 도메인에 결합된 레코드를 해결할 수 있어야 합니다.
- DNS 전달: 클라이언트가 연결한 초기 서버에서 처리하지 않고 질의의 DNS 도메인 이름에 따라 분석을 위해 특정 DNS 질의 세트가 지정된 서버로 전달되는 프로세스입니다.
이 프로세스는 네트워크 성능 및 복원성을 향상시킵니다. 로컬 DNS 서버의 영역에 포함되지 않은 이름 공간 또는 리소스 레코드를 원격 DNS 서버로 전달하여 네트워크 내부 및 외부에서 이름 질의를 해결할 수 있는 방법을 제공합니다.
DNS 서버가 전달자를 사용하도록 구성된 경우 로컬 기본 영역, 보조 영역 또는 캐시를 사용하여 이름 질의를 분석할 수 없으면 요청을 지정된 전달자에게 전달합니다.
- OCI DNS - VCN 분석기: 인스턴스가 동일한 VCN에 있는 다른 인스턴스의 DNS 호스트 이름(할당 가능한)을 분석할 수 있도록 합니다.
- OCI DNS - 끝점: 끝점은 DNS 질의를 전달하거나 수신(수신)하기 위해 VCN 분석기에 지정된 IP입니다. 전달 엔드포인트를 사용하면 규칙을 생성하여 AD DNS에서 확인할 수 있으며 리스너는 AD DNS에서 전달된 OCI 관련 쿼리를 수락하고 해결할 수 있습니다.
하위 도메인 및 SRV 폴더(예: "
_msdsc")를 비롯한 모든 AD 도메인에 대해 전달 규칙을 만드는 것이 좋습니다. - Active Directory - DNS 조건부 전달기: AD DNS 서버에 포함된 DNS 전달 규칙 세트입니다. OCI 통합의 경우 FastConnect/VPN을 통한 전용 이름 확인을 위해 모든 OCI 기반 도메인(예: VCN DNS 이름)에 대해 전달 규칙을 생성하는 것이 좋습니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
통합-oci-msft-ad_dns_base-oracle.zip
OCI 및 AD 통합 - 도메인 확장
AD는 사이트 토폴로지를 사용하여 리소스를 위치로 그룹화합니다. 디렉토리 서비스 사이트 토폴로지는 클라이언트 질의 및 AD 복제 트래픽을 효율적으로 경로 지정하는 데 도움이 되는 물리적 네트워크의 논리적 표현입니다. AD 도메인 서비스에 대한 사이트 토폴로지 설계에는 도메인 컨트롤러 배치를 계획하고 사이트, 서브넷, 사이트 링크 및 사이트 링크 브리지를 설계하여 효율적인 질의 경로 지정 및 트래픽 복제를 보장하는 작업이 포함됩니다.
사이트 토폴로지는 네트워크 성능과 사용자가 네트워크 리소스에 액세스할 수 있는 기능에 크게 영향을 줍니다. AD 서비스를 활용하는 응용 프로그램 및 사용자는 도메인 컨트롤러에 액세스해야 합니다. 일관된 서비스를 보장하기 위해 대부분의 조직은 지정된 위치에 표시되는 모든 지역 도메인에 대해 지역 도메인 컨트롤러를 배치합니다.
성능과 안정성을 최대화하려면 가입된 영역에 대한 관련 사이트 표현, 배치된 VCN에 대한 서브넷 표현 및 OCI 기반 도메인 컨트롤러의 구현을 생성하여 OCI 위치를 포함하도록 AD를 확장하는 것이 좋습니다.
- 도메인 컨트롤러: Microsoft AD 서비스의 핵심 요소입니다. 도메인 리소스에 대한 네트워크 액세스를 허용합니다. 사용자를 인증하고, 사용자 계정 및 호스트 정보를 저장하고, 도메인에 대한 정책을 적용합니다. 도메인 컨트롤러는 쓰기 가능 또는 읽기 전용(RODC)일 수 있지만 배치당 하나 이상의 쓰기 가능 도메인 컨트롤러가 필요합니다.
- 사이트: 매우 안정적이고 빠른 네트워크 연결을 포함하는 하나 이상의 TCP/IP 서브넷을 나타내는 AD 객체입니다. 관리자는 사이트 정보를 사용하여 물리적 네트워크 사용을 최적화하도록 AD 액세스 및 복제를 구성할 수 있습니다. 사이트 객체는 서브넷 세트와 연결되며 포리스트의 각 도메인 컨트롤러는 IP 주소에 따라 AD 사이트와 연결됩니다. 사이트는 둘 이상의 도메인에서 도메인 컨트롤러를 호스트할 수 있으며 도메인은 둘 이상의 사이트에 표시될 수 있습니다.
- Site Links: KCC(Knowledge Consistency Checker)가 AD 복제에 대한 접속을 설정하기 위해 사용하는 논리적 경로를 나타내는 AD 객체입니다. 사이트 링크 객체는 지정된 사이트 간 전송을 통해 일정 비용으로 통신할 수 있는 사이트 집합을 나타냅니다.
- AD 서브넷: 일련의 IP 주소가 할당되는 TCP/IP 네트워크 세그먼트의 논리적 표현입니다. 서브넷은 네트워크에서 물리적 근접성을 식별하는 방식으로 컴퓨터를 그룹화합니다. AD의 서브넷 객체는 컴퓨터를 사이트에 매핑하는 데 사용되는 네트워크 주소를 식별합니다.
- Schema: 디렉토리에 있는 객체 및 속성 클래스, 이러한 객체의 인스턴스에 대한 제약 조건 및 제한, 그리고 해당 이름의 형식을 정의하는 규칙 집합입니다.
- 전역 카탈로그: 디렉토리의 모든 객체에 대한 정보를 포함합니다. 이렇게 하면 실제로 데이터를 포함하는 디렉토리의 도메인에 관계없이 사용자와 관리자가 디렉토리 정보를 찾을 수 있습니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
통합-oci-msft-ad-arch-oracle.zip
이 구조에는 다음과 같은 구성 요소가 있습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과는 독립적이며, 광대한 거리는 국가 또는 대륙 간에 분리될 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN을 사용하면 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 하나의 영역 또는 가용성 도메인으로 범위를 지정할 수 있는 서브넷으로 분할할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- DRG(동적 경로 지정 게이트웨이)
DRG는 다른 Oracle Cloud Infrastructure 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 공급자의 네트워크와 같이 동일한 지역의 VCN과 지역 외부 네트워크 간에 전용 네트워크 트래픽 경로를 제공하는 가상 라우터입니다.
- FastConnect
Oracle Cloud Infrastructure FastConnect는 데이터 센터 및 Oracle Cloud Infrastructure 간 전용 개인 접속을 생성할 수 있는 쉬운 방법을 제공합니다. FastConnect는 고대역폭 옵션을 제공하며 인터넷 기반 연결과 비교할 때 보다 안정적인 네트워킹 환경을 제공합니다.
- 사이트 간 VPN
사이트 간 VPN은 Oracle Cloud Infrastructure에서 온프레미스 네트워크와 VCN 간에 IPSec VPN 접속을 제공합니다. IPSec 프로토콜 제품군은 패킷이 소스에서 대상으로 전송되기 전에 IP 트래픽을 암호화하고 트래픽이 도착할 때 트래픽을 해독합니다.
- 경로 테이블
가상 라우팅 테이블에는 일반적으로 게이트웨이를 통해 서브넷에서 VCN 외부 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
권장 사항
- 도메인 컨트롤러
고가용성을 위해 둘 이상의 도메인 컨트롤러를 배포하는 것이 좋습니다. 둘 이상의 도메인 컨트롤러를 배포하는 경우 별도의 가용성 도메인에서 배포를 고려하십시오.
- 사이트
여러 도메인 컨트롤러가 여러 가용성 도메인에 배포된 경우 내부 OCI 복제 및 가용성에 대한 우선 순위 사이트 링크를 구성하면서 각 가용성 도메인을 자체 AD 사이트로 처리할 수 있습니다.
- DNS
적어도 하나의 도메인 컨트롤러가 OCI에 배치되면 로컬 OCI 도메인 컨트롤러에 대해 분석되도록 DNS 전달 규칙을 편집하는 것이 좋습니다.
고려 사항
이 참조 아키텍처를 구현할 때 다음 옵션을 고려하십시오.
- DNS
하위 도메인 및 SRV 폴더(예:
_msdsc)를 비롯한 모든 AD 도메인을 전달해야 합니다. 경우에 따라 추가 사용자 정의 도메인이 존재할 수 있습니다(예: 내부 도메인이 공용 도메인과 충돌하는 경우). 모든 규칙 목록을 익스포트하여 OCI의 규칙과 AD DNS로의 재지정을 일치시키는 것이 좋습니다.DNS 전달과 라우팅은 VCN 전체이며 도메인 결합에 종속되지 않습니다.