Estenda a integração do Active Directory na Nuvem Híbrida
Em ambientes de nuvem híbrida e multinuvem orientados ao Microsoft Windows, nos quais alguns aplicativos dependem de serviços de diretório, estender e integrar o Microsoft Active Directory (AD) com o Oracle Cloud Infrastructure (OCI) é importante para o desempenho e a segurança.
O AD é um serviço da Microsoft muitas vezes implementado como uma estrutura para ambientes de TI. O AD armazena informações sobre objetos na rede e facilita a localização e o uso dessas informações por administradores e usuários (como contas, privilégios, políticas de segurança, DNS). O AD usa um armazenamento de dados estruturado como a base para uma organização lógica e hierárquica de informações de diretório.
Observação:
Essa arquitetura de referência baseia-se no conhecimento do AD. Se o AD for usado em sua organização, entre em contato com o administrador do sistema para obter uma implementação adequada no OCI.Arquitetura
Esta arquitetura de referência descreve como você pode estender a integração de AD local com OCI em um ambiente de nuvem híbrida.
Integração entre OCI e AD - DNS
O AD confia em sua funcionalidade de DNS para fornecer serviços dentro de um domínio. A integração do DNS é uma parte crucial na extensão dos ambientes de AD no OCI. Para que novos servidores e serviços baseados em nuvem aproveitem de forma confiável certos recursos do AD, primeiro eles devem ser capazes de resolver registros de DNS gerenciados pelo domínio e, em alguns casos, até mesmo unidos ao domínio.
- Encaminhamento de DNS: O processo pelo qual um conjunto específico de consultas de DNS é encaminhado para um servidor designado para resolução de acordo com o nome de domínio DNS na consulta, em vez de ser tratado pelo servidor inicial que foi contatado pelo cliente.
Esse processo melhora o desempenho e a resiliência da rede. Ele fornece uma maneira de resolver consultas de nome dentro e fora da rede, especificando namespaces ou registros de recursos que não estão contidos na zona de um servidor DNS local para um servidor DNS remoto para resolução.
Quando um servidor DNS está configurado para usar um encaminhador, se ele não puder resolver uma consulta de nome usando sua zona principal local, zona secundária ou cache, ele encaminha a solicitação para o encaminhador designado.
- Resolvedor de DNS do OCI - VCN: permite que as instâncias resolvam os nomes de host DNS (que você pode atribuir) de outras instâncias na mesma VCN.
- OCI DNS - Ponto Final: Um ponto final é um IP designado para o resolvedor de VCN encaminhar ou escutar consultas de DNS (recebidas). Um ponto final de encaminhamento permitirá que a criação de regras para encaminhar consultas relevantes seja resolvida pelo DNS do AD, enquanto um listener aceitará e resolverá consultas relacionadas ao OCI encaminhadas do DNS do AD.
É recomendável que as regras de encaminhamento sejam criadas para todos os domínios do AD, incluindo subdomínios e pastas SRV, como "
_msdsc". - Active Directory - Encaminhadores condicionais de DNS: Um conjunto de regras de encaminhamento de DNS contidas no servidor AD DNS. Para integração com o OCI, é recomendável que as regras de encaminhamento sejam criadas para todos os domínios baseados no OCI, por exemplo, o nome DNS da VCN, para resolução de nome privado em FastConnect/VPN.
O diagrama a seguir ilustra essa arquitetura de referência.
integration-oci-msft-ad_dns_base-oracle.zip
Integrando OCI e AD - Extensão de Domínio
O AD usa a topologia do site para agrupar recursos em locais. Uma topologia de site de serviço de diretório é uma representação lógica da sua rede física que ajuda a rotear de forma eficiente as consultas do cliente e o tráfego de replicação do AD. O design de uma topologia de site para Serviços de Domínio do AD envolve o planejamento para o posicionamento do controlador de domínio e o design de sites, sub-redes, links de site e pontes de link de site para garantir um roteamento de consultas eficiente e replicação de tráfego.
A topologia do site afeta significativamente o desempenho da rede e a capacidade dos usuários acessarem os recursos da rede. Aplicativos e usuários que utilizam serviços AD requerem acesso a um controlador de domínio. Para garantir um serviço consistente, a maioria das organizações coloca controladores de domínio regionais para todos os domínios regionais representados em um determinado local.
Para obter o máximo de desempenho e confiabilidade, recomenda-se estender o AD para incluir locais do OCI, criando uma representação de site relevante para as regiões assinadas, representação de sub-rede para as VCNs implantadas e implementação dos controladores de domínio baseados no OCI.
- Controlador de domínio: A peça central do serviço Microsoft AD. Responsável por permitir o acesso da rede aos recursos do domínio. Ele autentica usuários, armazena informações de host e conta de usuário e impõe políticas para um domínio. Os controladores de domínio podem ser graváveis ou somente leitura (RODC), mas é necessário pelo menos um controlador de domínio gravável por implantação.
- Site: Objetos do AD que representam uma ou mais sub-redes TCP/IP com conexões de rede altamente confiáveis e rápidas. As informações do site permitem que os administradores configurem o acesso e a replicação do AD para otimizar o uso da rede física. Os objetos do site estão associados a um conjunto de sub-redes, e cada controlador de domínio em uma floresta está associado a um site AD de acordo com seu endereço IP. Os sites podem hospedar controladores de domínio de mais de um domínio, e um domínio pode ser representado em mais de um site.
- Links do Site: objetos do AD que representam caminhos lógicos que o KCC (Knowledge Consistency Checker) usa para estabelecer uma conexão para replicação do AD. Um objeto de link de site representa um conjunto de sites que podem se comunicar a um custo uniforme por meio de um transporte entre sites especificado.
- Sub-rede do AD: Uma representação lógica de um segmento de uma rede TCP/IP à qual um conjunto de endereços IP é atribuído. As sub-redes agrupam os computadores de maneira a identificar sua proximidade física na rede. Os objetos de sub-rede no AD identificam os endereços de rede usados para mapear computadores para sites.
- Esquema: Um conjunto de regras que define as classes de objetos e atributos contidos no diretório, as restrições e os limites nas instâncias desses objetos e o formato de seus nomes.
- Catálogo Global: Contém informações sobre cada objeto do diretório. Isso permite que usuários e administradores encontrem informações de diretório, independentemente de qual domínio no diretório realmente contém os dados.
O diagrama a seguir ilustra essa arquitetura de referência.
integrar-oci-msft-ad-arch-oracle.zip
A arquitetura tem os seguintes componentes:
- Região
Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).
- Rede virtual na nuvem (VCN) e sub-redes
Uma VCN é uma rede personalizada e definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes de data center tradicionais, as VCNs dão a você controle total sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem ter escopo em uma região ou em um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobreem com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- Gateway de roteamento dinâmico (DRG)
O DRG é um roteador virtual que fornece um caminho para tráfego de rede privada entre VCNs na mesma região, entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.
- FastConnect
O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o data center e o Oracle Cloud Infrastructure. FastConnect fornece opções de maior largura de banda e uma experiência de rede mais confiável quando comparada com conexões baseadas na internet.
- VPN entre Sites
A VPN Site a Site fornece conectividade IPSec VPN entre sua rede local e VCNs no Oracle Cloud Infrastructure. O conjunto de protocolos IPSec criptografam o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega.
- Tabela de roteamento
As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways.
- Lista de segurança
Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.
Recomendações
- Controladores de Domínio
Considere a implantação de dois ou mais controladores de domínio para alta disponibilidade. Se estiver implantando mais de um controlador de domínio, considere a implantação em domínios de disponibilidade separados.
- Sites
Se vários controladores de domínio forem implantados em vários domínios de disponibilidade, será possível tratar cada domínio de disponibilidade como seu próprio site do AD, configurando os links do site de prioridade para replicação e disponibilidade internas do OCI.
- DNS
Quando pelo menos um controlador de domínio for implantado no OCI, recomenda-se editar as regras de encaminhamento de DNS para resolução com relação ao controlador de domínio do OCI local.
Considerações
Ao implementar essa arquitetura de referência, considere a opção a seguir.
- DNS
Todos os domínios do AD devem ser encaminhados, incluindo subdomínios e pastas SRV, como
_msdsc. Em alguns casos, podem existir outros domínios personalizados (por exemplo, se um domínio interno colidir com um domínio público). É recomendável exportar uma lista de todas as regras e corresponder às do OCI com um redirecionamento para o DNS do AD.O roteamento, bem como o encaminhamento de DNS, é feito em toda a VCN e não depende da junção de domínio.