Sdílet prostřednictvím

Co je architektura Microsoft Entra?

  • Článek

Microsoft Entra ID umožňuje bezpečně spravovat přístup ke službám a prostředkům Azure pro vaše uživatele. Součástí Microsoft Entra ID je úplná sada možností správy identit. Informace o funkcích Microsoft Entra naleznete v tématu Co je Microsoft Entra ID?

Pomocí Microsoft Entra ID můžete vytvářet a spravovat uživatele a skupiny a povolit oprávnění povolit a odepřít přístup k podnikovým prostředkům. Informace o správě identit najdete v tématu věnovaném základům správy identit Azure.

Architektura Microsoft Entra

Geograficky distribuovaná architektura Microsoft Entra ID kombinuje rozsáhlé monitorování, automatizované přesměrování, převzetí služeb při selhání a možnosti obnovení za účelem zajištění dostupnosti a výkonu celé společnosti.

Tento článek se zabývá následujícími prvky návrhu:

  • Návrh architektury služeb
  • Škálovatelnost
  • Nepřetržitá dostupnost
  • Datová centra

Návrh architektury služeb

Nejběžnějším způsobem, jak vytvořit přístupný a použitelný systém s bohatými daty, je použít nezávislé stavební bloky nebo jednotky škálování. Pro datovou vrstvu Microsoft Entra se jednotky škálování nazývají oddíly.

Datová vrstva obsahuje několik front-endových služeb, které poskytují funkce pro čtení a zápis. Následující diagram znázorňuje, jak se komponenty oddílu s jedním adresářem doručují v geograficky distribuovaných datacentrech.

Diagram znázorňující komponenty oddílu s jedním adresářem v architektuře Microsoft Entra

Součástí architektury Microsoft Entra je primární replika a sekundární repliky.

Primární replika

Primární replika obdrží všechny zápisy pro oddíl, do kterého patří. Všechny operace zápisu se okamžitě replikují do sekundární repliky v jiném datovém centru. Teprve potom se volající informuje o úspěchu, aby se zajistila geograficky redundantní odolnost zápisů.

Sekundární repliky

Všechna čtení adresářů se obsluhují ze sekundárních replik umístěných v geograficky distribuovaných datacentrech. Data se replikují asynchronně napříč mnoha sekundárními replikami. Čtení adresářů, jako jsou žádosti o ověření, se obsluhují z datacenter, která jsou blízko zákazníků. Sekundární repliky zodpovídají za škálovatelnost čtení.

Škálovatelnost

Škálovatelnost je schopnost služby rozšířit se a plnit rostoucí požadavky na výkon. Škálovatelnosti zápisu se dosahuje dělením dat. Škálovatelnost čtení se zajišťuje replikací dat z jednoho oddílu do několika sekundárních replik distribuovaných po celém světě.

Požadavky z adresářových aplikací se směrují do nejbližšího datacentra. Zápisy se transparentně přesměrují na primární repliku, aby se zajistila konzistence čtení a zápisu. Sekundární repliky výrazně rozšiřují rozsah oddílů, protože adresáře obvykle většinu doby obsluhují čtení.

Aplikace adresáře se připojují k nejbližším datovým centrům. Toto připojení zlepšuje výkon, a proto je možné horizontální navýšení kapacity. Vzhledem k tomu, že oddíl adresáře může mít mnoho sekundárních replik, sekundární repliky mohou být umístěné blíž ke klientům adresáře. Jenom interní komponenty služby adresáře, které jsou náročné na zápis, přímo cílí na aktivní primární repliku.

Nepřetržitá dostupnost

Dostupnost (nebo doba provozuschopnosti) definuje schopnost systému pracovat bez přerušení. Klíčem k vysoké dostupnosti Microsoft Entra ID je, že služby můžou rychle přesouvat provoz napříč několika geograficky distribuovanými datovými centry. Každé datové centrum je nezávislé, což umožňuje režimy selhání, které korelují. Díky tomuto návrhu vysoké dostupnosti nevyžaduje ID Microsoft Entra žádné výpadky pro aktivity údržby.

Návrh oddílů Microsoft Entra ID je ve srovnání s návrhem podnikové služby Active Directory zjednodušený pomocí návrhu s jedním hlavním serverem, který zahrnuje pečlivě orchestrovaný a deterministický proces převzetí služeb při selhání primární repliky.

Odolnost proti chybám

Systém je k dispozici, pokud dokáže tolerovat selhání hardwaru, sítě a softwaru. Každý oddíl adresáře má vysoce dostupnou primární repliku, která zpracovává všechny operace zápisu. Tato primární replika se průběžně monitoruje a pokud se zjistí selhání, operace zápisu se okamžitě přesunou na jinou repliku. Tato replika se stane novou primární. Během tohoto procesu převzetí služeb při selhání může být dostupnost zápisu dočasně ovlivněna po dobu 1 až 2 minut, ale dostupnost čtení zůstává nedotčená.

Operace čtení (jejichž počet mnohonásobně převyšuje počet zápisů) jdou jenom do sekundárních replik. Vzhledem k tomu, že sekundární repliky jsou idempotentní, ztráta libovolné repliky v daném oddílu se dá snadno vykompenzovat přesměrováním čtení do jiné repliky, obvykle ve stejném datovém centru.

Odolnost dat

Zápis se před potvrzením trvale potvrdí alespoň do dvou datacenter. K tomu dochází tak, že nejprve potvrdíte zápis na primárním serveru a pak okamžitě replikuje zápis do alespoň jednoho jiného datacentra. Tato akce zápisu zajistí, že potenciální katastrofická ztráta datacentra hostujícího primární datacentrum nezpůsobí ztrátu dat.

Microsoft Entra ID udržuje nulový cíl doby obnovení (RTO), aby nepřišla o data při převzetí služeb při selhání. Sem patří:

  • Vystavování tokenů a čtení adresáře
  • Povolení pouze 5 minut RTO pro zápisy adresářů

Datová centra

Repliky Microsoft Entra se ukládají v datacentrech umístěných po celém světě. Další informace najdete v tématu Globální infrastruktura Azure.

Microsoft Entra ID funguje napříč datovými centry s následujícími vlastnostmi:

  • Ověřování, Graph a další služby Entra ID se nacházejí za službou Gateway. Brána spravuje vyrovnávání zatížení. Služba automaticky převezme služby při selhání všech serverů, které nejsou v pořádku, transakčními sondami stavu. Na základě těchto sond stavu brána dynamicky směruje provoz do datacenter, která jsou v pořádku.
  • Pro čtení má adresář sekundární repliky a odpovídající front-endové služby v konfiguraci aktivní-aktivní provoz v několika datacentrech. Pokud datacentrum selže, provoz se automaticky směruje do jiného datacentra.
  • V případě zápisů převezme adresář služby při selhání primární repliky napříč datovými centry prostřednictvím plánovaného (nového primárního serveru se synchronizuje se starým primárním) nebo postupů pro nouzové převzetí služeb při selhání. Stálost dat se dosahuje replikací jakéhokoli potvrzení do alespoň dvou datacenter.

Konzistence dat

Adresářový model je jedním z konečných konzistence. Jedním z typických problémů s distribuovanými asynchronně replikovanými systémy je, že data vrácená z "konkrétní" repliky nemusí být aktuální.

Microsoft Entra ID poskytuje konzistenci čtení a zápisu pro aplikace, které cílí na sekundární repliku, směrováním jeho zápisů na primární repliku a synchronním vyžádáním zápisů zpět do sekundární repliky.

Zápisy aplikací pomocí rozhraní Microsoft Graph API id Microsoft Entra se abstrahují od zachování spřažení s replikou adresáře pro konzistenci čtení i zápisu. Služba Microsoft Graph API udržuje logickou relaci, která má spřažení se sekundární replikou používanou pro čtení; spřažení je zachyceno v "tokenu repliky", který služba ukládá do mezipaměti pomocí distribuované mezipaměti v datacentru sekundární repliky. Tento token se potom využívá pro následné operace ve stejné logické relaci. Pokud chcete dál používat stejnou logickou relaci, musí být následné požadavky směrovány do stejného datacentra Microsoft Entra. Pokud se požadavky klientů adresáře směrují do více datacenter Microsoft Entra, není možné pokračovat v logické relaci; pokud k tomu dojde, klient má více logických relací, které mají nezávislé konzistence čtení a zápisu.

Poznámka:

Zápisy se okamžitě replikují do sekundární repliky, pro kterou byla provedena čtení logické relace.

Zálohování na úrovni služby

Microsoft Entra ID implementuje denní zálohování dat adresáře a může tyto zálohy použít k obnovení dat, pokud dojde k nějakému problému v celé službě.

Adresář také implementuje obnovitelné odstranění místo pevných odstranění pro vybrané typy objektů. Správce tenanta může všechny náhodné odstranění těchto objektů vrátit zpět do 30 dnů. Další informace najdete v rozhraní API pro obnovení odstraněných objektů.

Metriky a monitorování

Spouštění služby s vysokou dostupností vyžaduje špičkové metriky a možnosti monitorování. Microsoft Entra ID průběžně analyzuje a hlásí klíčové metriky stavu služby a kritéria úspěchu pro každou z jejích služeb. Existuje také průběžný vývoj a ladění metrik, monitorování a upozorňování pro každý scénář v rámci každé služby Microsoft Entra a napříč všemi službami.

Pokud některá služba Microsoft Entra nefunguje podle očekávání, okamžitá akce se provede k co nejrychlejšímu obnovení funkčnosti. Nejdůležitější metrika Microsoft Entra ID sleduje rychlost zjišťování a zmírnění problémů s živými weby pro zákazníky. Výrazně investujeme do monitorování a upozornění, abychom minimalizovali čas detekce (TTD) (cíl: <5 minut) a provozní připravenost pro minimalizaci času pro zmírnění (TTM) (cíl: <30 minut).

Bezpečný provoz

Microsoft Entra ID používá provozní ovládací prvky, jako je vícefaktorové ověřování pro všechny operace a auditování všech operací. Kromě toho používá systém zvýšení oprávnění za běhu k udělení nezbytného dočasného přístupu pro všechny provozní úlohy na vyžádání průběžně. Další informace najdete v tématu Důvěryhodný cloud.

Další kroky

Další informace o vývoji pomocí Microsoft Entra najdete v příručce pro vývojáře Microsoft Entra.