Sdílet prostřednictvím

Co je architektura Microsoft Entra?

  • Článek

Microsoft Entra ID umožňuje bezpečně spravovat přístup uživatelů ke službám a prostředkům Azure. Součástí Microsoft Entra ID je úplná sada možností správy identit. Informace o funkcích Microsoft Entra naleznete v tématu Co je Microsoft Entra ID?

Pomocí Microsoft Entra ID můžete vytvářet a spravovat uživatele a skupiny a povolit oprávnění povolit a odepřít přístup k podnikovým prostředkům. Informace o správě identit najdete v tématu věnovaném základům správy identit Azure.

Architektura Microsoft Entra

Microsoft Entra ID kombinuje rozsáhlé monitorování, automatizované přesměrování, převzetí služeb při selhání a možnosti obnovení v rámci své geograficky distribuované architektury za účelem zajištění dostupnosti a výkonu celé společnosti.

Tento článek se zabývá následujícími prvky návrhu:

  • Návrh architektury služeb
  • Škálovatelnost
  • Nepřetržitá dostupnost
  • Datová centra

Návrh architektury služeb

Nejběžnějším způsobem, jak vytvořit přístupný a použitelný systém s bohatými daty, je použít nezávislé stavební bloky nebo jednotky škálování. Pro datovou vrstvu Microsoft Entra se jednotky škálování nazývají oddíly.

Datová vrstva obsahuje několik front-endových služeb, které poskytují funkce pro čtení a zápis. Následující diagram znázorňuje, jak se komponenty oddílu s jedním adresářem doručují v geograficky distribuovaných datacentrech.

Diagram znázorňující komponenty oddílu s jedním adresářem v architektuře Microsoft Entra

Součástí architektury Microsoft Entra je primární replika a sekundární repliky.

Primární replika

Primární replika obdrží všechny zápisy pro oddíl, do kterého patří. Všechny operace zápisu se okamžitě replikují do sekundární repliky v jiném datacentru před vrácením úspěchu volajícímu a zajišťují geograficky redundantní odolnost zápisů.

Sekundární repliky

Všechna čtení adresářůse obsluhují ze sekundárních replik umístěných v geograficky distribuovaných datacentrech. Data se replikují asynchronně napříč mnoha sekundárními replikami. Čtení adresářů, jako jsou žádosti o ověření, se obsluhují z datacenter, která jsou blízko zákazníků. Sekundární repliky zodpovídají za škálovatelnost čtení.

Škálovatelnost

Škálovatelnost je schopnost služby rozšířit se a plnit rostoucí požadavky na výkon. Microsoft Entra rozděluje data, aby se dosáhlo škálovatelnosti zápisu. Škálovatelnost čtení se zajišťuje replikací dat z jednoho oddílu do několika sekundárních replik distribuovaných po celém světě.

Požadavky z adresářových aplikací se směrují do nejbližšího datacentra. Zápisy se transparentně přesměrují na primární repliku, aby se zajistila konzistence čtení a zápisu. Sekundární repliky výrazně rozšiřují rozsah oddílů, protože adresáře obvykle většinu doby obsluhují čtení.

Aplikace adresáře se připojují k nejbližším datovým centrům. Toto připojení zlepšuje výkon, a proto je možné horizontální navýšení kapacity. Vzhledem k tomu, že oddíl adresáře může mít mnoho sekundárních replik, sekundární repliky mohou být umístěné blíž ke klientům adresáře. Jenom interní komponenty služby adresáře, které jsou náročné na zápis, přímo cílí na aktivní primární repliku.

Nepřetržitá dostupnost

Dostupnost (nebo doba provozuschopnosti) definuje schopnost systému pracovat bez přerušení. Klíčem k vysoké dostupnosti Microsoft Entra ID je, že služby můžou rychle přesouvat provoz napříč několika geograficky distribuovanými datovými centry. Každé datové centrum je nezávislé, což umožňuje nesouvisející režimy selhání. Díky tomuto návrhu vysoké dostupnosti nevyžaduje ID Microsoft Entra žádné výpadky pro aktivity údržby.

Návrh oddílu Microsoft Entra ID je ve srovnání s návrhem podnikové služby Active Directory zjednodušený pomocí návrhu jednoho primárního serveru, který zahrnuje pečlivě orchestrovaný a deterministický proces převzetí služeb při selhání primární repliky.

Odolnost proti chybám

Systém je k dispozici, pokud dokáže tolerovat selhání hardwaru, sítě a softwaru. Každý oddíl adresáře má vysoce dostupnou primární repliku, která zpracovává všechny operace zápisu. Tato primární replika se průběžně monitoruje a pokud se zjistí selhání, operace zápisu se okamžitě přesunou na jinou repliku. Tato replika se stane novou primární. Během tohoto procesu převzetí služeb při selhání může být dostupnost zápisu dočasně ovlivněna po dobu 1 až 2 minut, ale dostupnost čtení zůstává nedotčená.

Operace čtení (jejichž počet mnohonásobně převyšuje počet zápisů) jdou jenom do sekundárních replik. Vzhledem k tomu, že sekundární repliky jsou idempotentní, ztráta libovolné repliky v daném oddílu se dá snadno vykompenzovat přesměrováním čtení do jiné repliky, obvykle ve stejném datovém centru.

Odolnost dat

Zápis je nezměnitelně potvrzen do alespoň dvou datacenter před potvrzením. Systém nejprve potvrdí zápis na primární server a pak okamžitě replikuje zápis do alespoň jednoho jiného datacentra. Tato akce zápisu zajistí, že potenciální katastrofická ztráta datacentra hostujícího primární datacentrum nezpůsobí ztrátu dat.

Microsoft Entra ID udržuje nulovou plánovanou dobu obnovení (RTO), aby nepřišla o data o převzetí služeb při selhání, včetně:

  • Vystavování tokenů a čtení adresáře
  • Povolení pouze 5 minut RTO pro zápisy adresářů

Datová centra

Repliky Microsoft Entra se ukládají v datacentrech umístěných po celém světě. Další informace najdete v tématu Globální infrastruktura Azure.

Microsoft Entra ID funguje napříč datovými centry s následujícími vlastnostmi:

  • Ověřování, Graph a další služby Microsoft Entra ID se nacházejí za službou Gateway. Brána spravuje vyrovnávání zatížení. Služba automaticky přepne nefunkční servery, které byly odhaleny transakčními zdravotními sondami. Na základě těchto sond stavu brána dynamicky směruje provoz do datacenter, která jsou v pořádku.
  • Pro čtení má adresář sekundární repliky a odpovídající front-endové služby v konfiguraci aktivní-aktivní provoz v několika datacentrech. Pokud datacentrum selže, provoz se automaticky směruje do jiného datacentra.
  • Pro zápisyadresář přepne z primární repliky mezi datovými centry prostřednictvím plánovaného (nový primární server je synchronizován se starým) nebo nouzového přechodu. Stálost dat se dosahuje replikací jakéhokoli potvrzení do alespoň dvou datacenter.

Konzistence dat

Adresářový model je jedním z konečných konzistence. Jedním z typických problémů s distribuovanými asynchronně replikovanými systémy je, že data vrácená z "konkrétní" repliky nemusí být aktuální.

Microsoft Entra ID poskytuje konzistenci čtení a zápisu pro aplikace, které cílí na sekundární repliku, směrováním jeho zápisů na primární repliku a synchronním vyžádáním zápisů zpět do sekundární repliky.

Zápisy aplikací pomocí rozhraní Microsoft Graph API id Microsoft Entra se abstrahují od zachování spřažení s replikou adresáře pro konzistenci čtení i zápisu. Služba Microsoft Graph API udržuje logickou relaci. Relace má afinitu k sekundární replikou, která se používá pro čtení. Afinit je zachycen v tokenu repliky, který služba ukládá do mezipaměti v sekundárním datovém centru repliky. Tento token se potom využívá pro následné operace ve stejné logické relaci. Pokud chcete dál používat stejnou logickou relaci, musí být následné požadavky směrovány do stejného datacentra Microsoft Entra. Pokud jsou požadavky klientů adresáře směrovány do více datacenter Microsoft Entra, není možné pokračovat v logické relaci. Pokud jsou relace rozdělené, klient má více logických relací, které mají nezávislé konzistence čtení i zápisu.

Poznámka:

Zápisy se okamžitě replikují do sekundární repliky, pro kterou byla provedena čtení logické relace.

Zálohování na úrovni služby

Microsoft Entra ID implementuje denní zálohování dat adresáře a může tyto zálohy použít k obnovení dat, pokud dojde k nějakému problému v celé službě.

Adresář také implementuje obnovitelné odstranění místo pevných odstranění pro vybrané typy objektů. Správce tenanta může všechny náhodné odstranění těchto objektů vrátit zpět do 30 dnů. Další informace najdete v rozhraní API pro obnovení odstraněných objektů.

Metriky a monitorování

Spouštění služby s vysokou dostupností vyžaduje špičkové metriky a možnosti monitorování. Microsoft Entra ID průběžně analyzuje a hlásí klíčové metriky stavu služby a kritéria úspěchu pro každou z jejích služeb. Existuje také průběžný vývoj a ladění metrik, monitorování a upozorňování pro každý scénář v rámci každé služby Microsoft Entra a napříč všemi službami.

Pokud některá služba Microsoft Entra nefunguje podle očekávání, okamžitá akce se provede k co nejrychlejšímu obnovení funkčnosti. Nejdůležitější metrikou, která sleduje ID Microsoft Entra, je rychlost detekce a migrace problémů zákazníků. Výrazně investujeme do monitorování a upozornění, abychom minimalizovali čas detekce (TTD) (cíl: <5 minut) a provozní připravenost pro minimalizaci času pro zmírnění (TTM) (cíl: <30 minut).

Bezpečný provoz

Microsoft Entra ID používá provozní ovládací prvky, jako je vícefaktorové ověřování pro všechny operace a auditování všech operací. Kromě toho používá systém zvýšení oprávnění za běhu k udělení nezbytného dočasného přístupu pro všechny provozní úlohy na vyžádání průběžně. Další informace najdete v tématu Důvěryhodný cloud.

Další kroky

Další informace o vývoji pomocí Microsoft Entra najdete v příručce pro vývojáře Microsoft Entra.