이 참조 아키텍처는 Azure에서 온-프레미스 AD 포리스트의 도메인에서 신뢰할 수 있는 별도의 Active Directory 도메인을 만드는 방법을 보여 줍니다.
별도의 Active Directory 도메인이 있는 보안 하이브리드 네트워크 아키텍처를 보여 주는 
"AD DS 포리스트" 아키텍처에 대한 Visio 파일 다운로드합니다.
AD DS(Active Directory Domain Services)는 ID 정보를 계층 구조에 저장합니다. 계층 구조의 최상위 노드를 포리스트라고 합니다. 포리스트에는 도메인이 포함되고 도메인에는 다른 유형의 개체가 포함됩니다. 이 참조 아키텍처는 온-프레미스 도메인과 단방향 나가는 트러스트 관계를 사용하여 Azure에서 AD DS 포리스트를 만듭니다. Azure의 포리스트에는 온-프레미스에 없는 도메인이 포함되어 있습니다. 트러스트 관계 때문에 온-프레미스 도메인에 대해 만들어진 로그온은 별도의 Azure 도메인의 리소스에 액세스하기 위해 신뢰할 수 있습니다.
이 아키텍처의 일반적인 용도로는 클라우드에 저장된 개체 및 ID에 대한 보안 분리를 유지하고 개별 도메인을 온-프레미스에서 클라우드로 마이그레이션하는 것이 포함됩니다.
추가 고려 사항은 Azure온-프레미스 Active Directory를 통합하기 위한 솔루션 선택을 참조하세요.
건축학
아키텍처에는 다음과 같은 구성 요소가 있습니다.
- 온-프레미스 네트워크 . 온-프레미스 네트워크에는 자체 Active Directory 포리스트 및 도메인이 포함되어 있습니다.
- Active Directory 서버 . 클라우드에서 VM으로 실행되는 도메인 서비스를 구현하는 도메인 컨트롤러입니다. 이러한 서버는 온-프레미스에 있는 도메인과는 별도로 하나 이상의 도메인을 포함하는 포리스트를 호스트합니다.
- 단방향 트러스트 관계 . 다이어그램의 예제에서는 Azure의 도메인에서 온-프레미스 도메인으로의 단방향 트러스트를 보여 줍니다. 이 관계를 통해 온-프레미스 사용자는 Azure의 도메인에 있는 리소스에 액세스할 수 있지만 다른 방법은 액세스할 수 없습니다.
- Active Directory 서브넷 . AD DS 서버는 별도의 서브넷에 호스트됩니다. NSG(네트워크 보안 그룹) 규칙은 AD DS 서버를 보호하고 예기치 않은 원본의 트래픽으로부터 방화벽을 제공합니다.
- Azure 게이트웨이 . Azure 게이트웨이는 온-프레미스 네트워크와 Azure VNet 간의 연결을 제공합니다. VPN 연결 또는 Azure ExpressRoute 수 있습니다. 자세한 내용은 VPN 게이트웨이 사용하여 온-프레미스 네트워크를 Azure에 연결하는참조하세요.
권장 사항
Azure에서 Active Directory 구현에 대한 구체적인 권장 사항은 AD DS(Active Directory Domain Services)를 Azure 확장하는참조하세요.
트러스트
온-프레미스 도메인은 클라우드의 도메인과 다른 포리스트 내에 포함됩니다. 클라우드에서 온-프레미스 사용자의 인증을 사용하도록 설정하려면 Azure의 도메인이 온-프레미스 포리스트의 로그온 도메인을 신뢰해야 합니다. 마찬가지로 클라우드가 외부 사용자에 대한 로그온 도메인을 제공하는 경우 온-프레미스 포리스트가 클라우드 도메인을 신뢰해야 할 수 있습니다.
포리스트 트러스트 만드는또는 도메인 수준에서 외부 트러스트 만드는포리스트 수준에서 트러스트를 설정할 수 있습니다. 포리스트 수준 트러스트는 두 포리스트의 모든 도메인 간에 관계를 만듭니다. 외부 도메인 수준 트러스트는 지정된 두 도메인 간의 관계만 만듭니다. 다른 포리스트의 도메인 간에 외부 도메인 수준 트러스트만 만들어야 합니다.
온-프레미스 Active Directory를 사용하는 트러스트는 단방향(단방향)일 뿐입니다. 단방향 트러스트를 사용하면 한 도메인 또는 포리스트(들어오는 도메인 또는 포리스트라고도 함)의 사용자가 다른 도메인 또는 포리스트에 있는 리소스(나가는 도메인 또는 포리스트)에 액세스할 수 있습니다.
다음 표에서는 몇 가지 간단한 시나리오에 대한 신뢰 구성을 요약합니다.
| 시나리오 | 온-프레미스 트러스트 | 클라우드 신뢰 |
|---|---|---|
| 온-프레미스 사용자는 클라우드의 리소스에 액세스해야 하지만 그 반대의 경우도 마찬가지입니다. | 단방향, 수신 | 단방향, 발신 |
| 클라우드의 사용자는 온-프레미스에 있는 리소스에 액세스해야 하지만 그 반대의 경우도 마찬가지입니다. | 단방향, 발신 | 단방향, 수신 |
고려 사항
이러한 고려 사항은 워크로드의 품질을 개선하는 데 사용할 수 있는 지침 원칙 집합인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework 참조하세요.
신뢰도
안정성을 통해 애플리케이션이 고객에 대한 약속을 충족할 수 있습니다. 자세한 내용은 안정성 대한디자인 검토 검사 목록을 참조하세요.
각 도메인에 대해 두 개 이상의 도메인 컨트롤러를 프로비전합니다. 이렇게 하면 서버 간에 자동 복제가 가능합니다. 각 도메인을 처리하는 Active Directory 서버 역할을 하는 VM에 대한 가용성 집합을 만듭니다. 이 가용성 집합에 두 개 이상의 서버를 배치합니다.
또한 유연한 FSMO(단일 마스터 작업) 역할로 작동하는 서버에 대한 연결이 실패할 경우 각 도메인에서 하나 이상의 서버를 대기 작업 마스터 지정하는 것이 좋습니다.
안전
보안은 의도적인 공격 및 중요한 데이터 및 시스템의 남용에 대한 보증을 제공합니다. 자세한 내용은 보안 대한디자인 검토 검사 목록을 참조하세요.
포리스트 수준 트러스트는 전이적입니다. 온-프레미스 포리스트와 클라우드의 포리스트 간에 포리스트 수준 트러스트를 설정하는 경우 이 트러스트는 두 포리스트에서 만든 다른 새 도메인으로 확장됩니다. 도메인을 사용하여 보안을 위해 분리를 제공하는 경우 도메인 수준에서만 트러스트를 만드는 것이 좋습니다. 도메인 수준 트러스트는 전이적이지 않습니다.
Active Directory 관련 보안 고려 사항은 AzureActive Directory 확장의 보안 고려 사항 섹션을 참조하세요.
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 개선하는 방법을 모색하는 것입니다. 자세한 내용은 비용 최적화 대한디자인 검토 검사 목록을 참조하세요.
Azure 가격 계산기 사용하여 비용을 예측합니다. 다른 고려 사항은 Microsoft Azure Well-Architected Framework 비용 섹션에 설명되어 있습니다.
이 아키텍처에서 사용되는 서비스에 대한 비용 고려 사항은 다음과 같습니다.
AD Domain Services
비용을 절감하기 위해 여러 워크로드에서 사용하는 공유 서비스로 Active Directory Domain Services를 사용하는 것이 좋습니다. 자세한 내용은 Active Directory Domain Services 가격 책정참조하세요.
Azure VPN Gateway
이 아키텍처의 주요 구성 요소는 VPN 게이트웨이 서비스입니다. 게이트웨이가 프로비전되고 사용 가능한 시간에 따라 요금이 청구됩니다.
모든 인바운드 트래픽은 무료이며 모든 아웃바운드 트래픽은 요금이 청구됩니다. 인터넷 대역폭 비용은 VPN 아웃바운드 트래픽에 적용됩니다.
자세한 내용은 VPN Gateway 가격 책정참조하세요.
운영 우수성
운영 우수성은 애플리케이션을 배포하고 프로덕션 환경에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 대한디자인 검토 검사 목록을 참조하세요.
DevOps
DevOps 고려 사항은 AD DS(Active Directory Domain Services)를 Azure 확장하는운영 우수성을 참조하세요.
관리
관리 및 모니터링 고려 사항에 대한 자세한 내용은 Active Directory를 Azure확장하는 방법을 참조하세요.
모니터링 Active Directory지침을 따릅니다. 관리 서브넷의 모니터링 서버에 microsoft Systems Center 같은 도구를 설치하여 이러한 작업을 수행할 수 있습니다.
성능 효율성
성능 효율성은 워크로드가 사용자가 효율적인 방식으로 요구 사항을 충족하는 기능입니다. 자세한 내용은 성능 효율성 대한디자인 검토 검사 목록을 참조하세요.
Active Directory는 동일한 도메인의 일부인 도메인 컨트롤러에 대해 자동으로 확장할 수 있습니다. 요청은 도메인 내의 모든 컨트롤러에 분산됩니다. 다른 도메인 컨트롤러를 추가할 수 있으며 도메인과 자동으로 동기화됩니다. 도메인 내의 컨트롤러로 트래픽을 보내도록 별도의 부하 분산 장치를 구성하지 마세요. 모든 도메인 컨트롤러에 도메인 데이터베이스를 처리할 수 있는 충분한 메모리 및 스토리지 리소스가 있는지 확인합니다. 모든 도메인 컨트롤러 VM의 크기를 동일하게 만듭니다.