扩展混合云中的 Active Directory 集成
在面向 Microsoft Windows 的混合云和多云环境中,某些应用程序依赖于目录服务,因此扩展 Microsoft Active Directory (AD) 并将其与 Oracle Cloud Infrastructure (OCI) 集成对性能和安全性非常重要。
AD 是通常作为 IT 环境框架实施的 Microsoft 服务。AD 在网络中存储有关对象的信息,并便于管理员和用户查找和使用这些信息(例如帐户、权限、安全策略、DNS)。AD 使用结构化数据存储作为目录信息的逻辑分层组织的基础。
注意:
此参考体系结构基于 AD 知识。如果您的组织中使用了 AD,请与系统管理员联系,以便在 OCI 上正确实施。体系结构
此参考架构介绍了如何在混合云环境中扩展与 OCI 的内部部署 AD 集成。
集成 OCI 和 AD - DNS
AD 依赖于其 DNS 功能在域中提供服务。在 OCI 上扩展 AD 环境时,DNS 集成至关重要。为了让新的基于云的服务器和服务可靠地利用某些 AD 功能,他们必须首先能够解析由域管理的 DNS 记录,在某些情况下甚至是加入域。
- DNS 转发:将一组特定的 DNS 查询转发到指定服务器以根据查询中的 DNS 域名进行解析,而不是由客户机联系的初始服务器进行处理的过程。
此过程可提高网络性能和弹性。通过将本地 DNS 服务器区域内未包含的名称空间或资源记录传递给远程 DNS 服务器进行解析,它提供了一种解决网络内外名称查询的方法。
当 DNS 服务器配置为使用转发器时,如果无法使用名称查询的本地主区域、辅助区域或高速缓存解析名称查询,则会将请求转发到指定的转发器。
- OCI DNS - VCN 解析程序:使实例可以解析同一 VCN 中其他实例的 DNS 主机名(您可以分配这些主机名)。
- OCI DNS - 端点:为 VCN 解析程序分配的 IP,用于转发或监听(接收)DNS 查询。通过转发端点,可以创建规则来转发相关查询,以便通过 AD DNS 进行解析,而监听程序将接受并解决从 AD DNS 转发的与 OCI 相关的查询。
建议为所有 AD 域创建转发规则,包括子域和 SRV 文件夹,如 "
_msdsc"。 - Active Directory-DNS 条件转发器:AD DNS 服务器中包含的一组 DNS 转发规则。对于 OCI 集成,建议为基于 OCI 的所有域(例如 VCN DNS 名称)创建转发规则,以通过 FastConnect/VPN 进行专用名称解析。
下图说明了此参考体系结构。
integration-oci-msft-ad_dns_base-oracle.zip
集成 OCI 和 AD - 域扩展
AD 使用站点拓扑将资源分组到位置。目录服务站点拓扑是物理网络的逻辑表示形式,有助于有效地路由客户机查询和 AD 复制通信。为 AD 域服务设计站点拓扑涉及规划域控制器放置以及设计站点、子网、站点链接和站点链接桥,以确保高效的查询路由和通信复制。
站点拓扑极大地影响网络性能和用户访问网络资源的能力。利用 AD 服务的应用程序和用户需要访问域控制器。为了确保一致的服务,大多数组织为给定位置表示的所有区域域放置区域域控制器。
为了实现卓越的性能和可靠性,建议通过为订阅的区域创建相关的站点表示、为部署的 VCN 创建子网表示以及实施基于 OCI 的域控制器来扩展 AD,使其包括 OCI 位置。
- 域控制器:Microsoft AD 服务的核心组件。负责允许对域资源进行网络访问。它对用户进行验证、存储用户帐户和主机信息以及强制执行域策略。域控制器可能是可写或只读 (writable or read-only,RODC),但每个部署至少需要一个可写域控制器。
- 站点:表示具有高度可靠和快速网络连接的一个或多个 TCP/IP 子网的 AD 对象。通过站点信息,管理员可以配置 AD 访问和复制来优化物理网络的使用。站点对象与一组子网关联,林中的每个域控制器都根据其 IP 地址与 AD 站点关联。站点可以承载来自多个域的域控制器,并且域可以表示在多个站点中。
- 站点链接:表示知识一致性检查器 (KCC) 用于建立 AD 复制连接的逻辑路径的 AD 对象。站点链接对象表示一组可以通过指定的站点间传输以统一成本进行通信的站点。
- AD 子网:分配了一组 IP 地址的 TCP/IP 网络段的逻辑表示。子网按标识计算机在网络上的物理接近程度的方式对计算机进行分组。AD 中的子网对象标识用于将计算机映射到站点的网络地址。
- 方案:一组规则,用于定义目录中包含的对象和属性的类、这些对象的实例的约束条件和限制及其名称的格式。
- 全局目录:包含有关目录中每个对象的信息。这允许用户和管理员查找目录信息,而不管目录中的哪个域实际包含数据。
下图说明了此参考体系结构。
integration-oci-msft-ad-arch-oracle.zip
该体系结构具有以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,其中包含一个或多个数据中心(称为可用性域)。地区独立于其他地区,广阔的距离可以分隔它们(在各国甚至大陆)。
- 虚拟云网络 (VCN) 和子网
VCN 是可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统数据中心网络一样,VCNs 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,创建 VCN 后您可以更改这些块。您可以将 VCN 细分到子网中,子网可以限定到某个区域或可用性域。每个子网都包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络流量提供路径。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可以在您的数据中心与 Oracle Cloud Infrastructure 之间轻松创建专用连接。与基于 Internet 的连接相比,FastConnect 提供更高的带宽选项和更可靠的网络体验。
- 站点到站点 VPN
站点到站点 VPN 在 Oracle Cloud Infrastructure 中提供内部部署网络与 VCN 之间的 IPSec VPN 连接。IPSec 协议套件在将数据包从源传输到目标之前对 IP 通信进行加密,并在通信到达时对通信进行解密。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 外部目标(通常通过网关)的规则。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的流量源、目标和类型。
建议
- 域控制器
考虑部署两个或多个域控制器以实现高可用性。如果部署多个域控制器,请考虑在单独的可用性域中进行部署。
- 站点
如果多个可用性域中部署了多个域控制器,则可以将每个可用性域视为自己的 AD 站点,同时配置用于内部 OCI 复制和可用性的优先级站点链接。
- DNS
在 OCI 上至少部署了一个域控制器后,建议编辑 DNS 转发规则以针对本地 OCI 域控制器进行解析。
考虑事项
实现此参考体系结构时,请考虑以下选项。
- DNS
应转发所有 AD 域,包括子域和 SRV 文件夹,例如
_msdsc。在某些情况下,可能存在其他定制域(例如,如果内部域与公共域相冲突)。建议导出所有规则的列表,并将重定向到 AD DNS 的 OCI 中的规则匹配。路由以及 DNS 转发均为 VCN 范围,不依赖于域联接。