在混合雲中擴充 Active Directory 整合
在 Microsoft Windows 導向的混合雲端和多雲端環境中,某些應用程式依賴目錄服務,擴充和整合 Microsoft Active Directory (AD) 與 Oracle Cloud Infrastructure (OCI) 對於效能和安全性至關重要。
AD 是一種 Microsoft 服務,經常作為 IT 環境的架構。AD 會儲存網路中物件的相關資訊,並且讓管理員和使用者更容易尋找和使用 (例如帳戶、權限、安全原則、DNS)。AD 使用結構化資料存放區作為目錄資訊之邏輯階層組織的基礎。
備註:
此參考架構以 AD 知識為基礎。如果您的組織使用 AD,請洽詢系統管理員以進行 OCI 的適當實行。架構
此參考架構說明如何在混合雲端環境中延伸與 OCI 的內部部署 AD 整合。
整合 OCI 和 AD - DNS
AD 仰賴其 DNS 功能在網域內提供服務。DNS 整合是擴充 OCI 上 AD 環境的關鍵部分。為了讓新的雲端伺服器和服務能夠可靠地運用某些 AD 功能,他們必須先能夠解析由網域管理的 DNS 記錄,在某些情況下甚至連繫網域。
- DNS 轉送:根據查詢中的 DNS 網域名稱,將一組特定 DNS 查詢轉送至指定的伺服器以進行解析的處理作業,而不是由從屬端連線的初始伺服器處理。
此流程可改善網路效能與抗逆力。它提供一個方法,藉由將本機 DNS 伺服器區域中不包含的命名空間或資源記錄傳送至遠端 DNS 伺服器以解析網路內外的名稱查詢。
當 DNS 伺服器設定為使用轉送器時,如果無法透過使用其本機主要區域、次要區域或快取來解析名稱查詢,就會將要求轉送至指定的轉送器。
- OCI DNS - VCN 解析器:可讓執行處理解析相同 VCN 中其他執行處理的 DNS 主機名稱 (可供指定)。
- OCI DNS - 端點:端點是 VCN 解析器指定的 IP,可作為轉送或監聽 (接收) DNS 查詢。轉送端點將允許建立規則來轉送要由 AD DNS 解析的相關查詢,而監聽器則接受並解決從 AD DNS 轉送的 OCI 相關查詢。
建議為所有 AD 網域 (包括子網域和 SRV 資料夾,例如 "
_msdsc") 建立轉送規則。 - Active Directory - DNS 條件轉送器:AD DNS 伺服器內含的一組 DNS 轉送規則。對於 OCI 整合,建議針對所有 OCI 網域 (例如 VCN DNS 名稱) 建立轉送規則,以透過 FastConnect/VPN 進行專用名稱解析。
下圖說明此參照架構。
整合 - 關聯 -msft-ad_dns_base-oracle.zip
整合 OCI 與 AD - 網域擴充
AD 會使用網站拓樸將資源群組至位置。目錄服務網站拓樸是實體網路的邏輯描述,可協助您有效率地遞送從屬端查詢和 AD 複製流量。設計 AD 網域服務的網站拓樸包括規劃網域控制器位置及設計網站、子網路、網站連結及網站連結橋接器,以確保有效率的查詢路由和流量複寫。
網站拓樸會大幅影響網路的效能,以及使用者存取網路資源的能力。運用 AD 服務的應用程式和使用者需要存取網域控制器。為了確保服務一致,大多數組織都會為指定位置代表的所有區域網域放置區域網域控制器。
為獲得最佳效能和可靠性,建議將 AD 擴展到包含 OCI 位置,方法是建立已訂閱區域的相關網站表示法、已部署 VCN 的子網路表示法以及導入 OCI 網域控制器。
- 網域控制器:Microsoft AD 服務的中心。負責允許網路存取網域資源。它會認證使用者、儲存使用者帳號和主機資訊,以及強制執行網域的策略。網域控制器可以是可寫入或唯讀 (RODC),但每個部署至少需要一個可寫入的網域控制器。
- 網站:代表一或多個具有高度可靠且快速網路連線的 TCP/IP 子網路的 AD 物件。網站資訊可讓管理員配置 AD 存取和複製,以最佳化實體網路的使用。網站物件會與一組子網路關聯,森林中的每個網域控制器會根據其 IP 位址與 AD 網站關聯。網站可以裝載來自多個網域的網域控制器,而網域可以在一個以上的網站中表示。
- 網站連結:代表「知識一致性檢查程式 (KCC)」用來建立 AD 複製連線之邏輯路徑的 AD 物件。網站連結物件代表一組可透過指定交點傳輸以統一成本進行通訊的網站。
- AD 子網路:指定一組 IP 位址之 TCP/IP 網路區段的邏輯表示法。子網路以識別電腦實體與網路距離的方式來分組電腦。AD 中的子網路物件會識別用來將電腦對應至網站的網路位址。
- 綱要 (Schema):一組定義目錄中包含之物件和屬性的類別、這些物件之執行處理的限制與限制,以及它們的名稱格式。
- 全域目錄:包含目錄中每個物件的相關資訊。這可讓使用者和管理員尋找目錄資訊,不論目錄中的哪個網域實際包含資料。
下圖說明此參照架構。
整合 - 關聯 -msft-ad-arch-oracle.zip
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域獨立於其他區域,因此廣大的距離可以劃分區域 (跨國家甚至大陸)。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統資料中心網路相同,VCN 可讓您完整控制網路環境。一個 VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 後進行變更。您可以將 VCN 分割成子網路,範圍可至區域或可用性網域。每個子網路均包含一系列不與 VCN 中其他子網路重疊的連續位址。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。
- 動態路由閘道 (DRG)
DRG 是一種虛擬路由器,可為相同區域中 VCN 之間的專用網路流量提供路徑,這些 VCN 與區域外部的網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個在您的資料中心和 Oracle Cloud Infrastructure 之間建立專屬私密連線的簡便方式。FastConnect 提供高頻寬選項,與網際網路型連線相比,提供更可靠的網路體驗。
- 站對站 VPN
網站至網站 VPN 可在企業內部部署網路與 Oracle Cloud Infrastructure 中的 VCN 之間提供 IPSec VPN 連線。IPSec 通訊協定套件會在封包從來源傳輸到目的地之前對 IP 流量進行加密,並在流量抵達時解密。
- 路由表
虛擬路由表包含規則,可將流量從子網路路由至 VCN 外部的目的地 (通常是透過閘道)。
- 安全清單
對於每個子網路,您可以建立安全規則,指定必須允許進出子網路的來源、目的地和流量類型。
建議
- 網域控制器
您可以考慮部署兩個或多個網域控制器,以提高可用性。如果部署多個網域控制器,請考慮在個別的可用性網域中部署。
- 網站
如果多個網域控制器部署在多個可用性網域中,則可以將每個可用性網域視為自己的 AD 網站,同時設定內部 OCI 複寫和可用性的優先順序網站連結。
- DNS
在 OCI 上部署至少一個網域控制器之後,建議您編輯 DNS 轉送規則,以根據本機 OCI 網域控制器進行解析。
注意事項
在實作此參考架構時,請考慮下列選項。
- DNS
必須轉送所有 AD 網域,包括子網域和 SRV 資料夾,例如
_msdsc。在某些情況下,可能會存在更進一步的自訂網域 (例如,內部網域與公用網域衝突時)。建議您匯出所有規則清單,並比對 OCI 上的規則,以重新導向至 AD DNS。路由和 DNS 轉送是全 VCN,且不依賴網域連接。