Essa arquitetura de referência mostra como criar um domínio do Active Directory separado no Azure confiável por domínios em sua floresta do AD local.
Baixe um de arquivo do Visio para a arquitetura "Floresta do AD DS".
O AD DS (Active Directory Domain Services) armazena informações de identidade em uma estrutura hierárquica. O nó superior na estrutura hierárquica é conhecido como uma floresta. Uma floresta contém domínios e domínios contêm outros tipos de objetos. Essa arquitetura de referência cria uma floresta do AD DS no Azure com uma relação de confiança de saída unidirecional com um domínio local. A floresta no Azure contém um domínio que não existe localmente. Devido à relação de confiança, logons feitos em domínios locais podem ser confiáveis para acesso a recursos no domínio separado do Azure.
Os usos típicos dessa arquitetura incluem manter a separação de segurança para objetos e identidades mantidos na nuvem e migrar domínios individuais do local para a nuvem.
Para obter considerações adicionais, consulte Escolher uma solução para integrar o Active Directory local ao Azure.
Arquitetura
A arquitetura tem os seguintes componentes.
- de rede local. A rede local contém sua própria floresta e domínios do Active Directory.
- servidores do Active Directory. Estes são controladores de domínio implementando serviços de domínio em execução como VMs na nuvem. Esses servidores hospedam uma floresta que contém um ou mais domínios, separados daqueles localizados no local.
- relação de confiança unidirecional. O exemplo no diagrama mostra uma confiança unidirecional do domínio no Azure para o domínio local. Essa relação permite que os usuários locais acessem recursos no domínio no Azure, mas não o contrário.
- de sub-rede do Active Directory. Os servidores do AD DS são hospedados em uma sub-rede separada. As regras do NSG (grupo de segurança de rede) protegem os servidores do AD DS e fornecem um firewall contra o tráfego de fontes inesperadas.
- gateway do Azure. O gateway do Azure fornece uma conexão entre a rede local e a VNet do Azure. Isso pode ser um de conexão VPN ou do Azure ExpressRoute. Para obter mais informações, consulte Conectar uma rede local ao Azure usando um gateway de VPN.
Recomendações
Para obter recomendações específicas sobre como implementar o Active Directory no Azure, consulte Estendendo o AD DS (Active Directory Domain Services) para o Azure.
Confiar
Os domínios locais estão contidos em uma floresta diferente dos domínios na nuvem. Para habilitar a autenticação de usuários locais na nuvem, os domínios no Azure devem confiar no domínio de logon na floresta local. Da mesma forma, se a nuvem fornecer um domínio de logon para usuários externos, talvez seja necessário que a floresta local confie no domínio de nuvem.
Você pode estabelecer relações de confiança no nível da floresta criandode confiança de floresta ou no nível de domínio criando relações de confiança externas. Uma relação de confiança no nível da floresta cria uma relação entre todos os domínios em duas florestas. Uma relação de confiança no nível de domínio externo cria apenas uma relação entre dois domínios especificados. Você só deve criar relações de confiança no nível de domínio externo entre domínios em florestas diferentes.
As relações de confiança com um Active Directory local são apenas unidirecionais (unidirecionais). Uma confiança unidirecional permite que os usuários em um domínio ou floresta (conhecido como domínio ou floresta de entrada) acessem os recursos mantidos em outro (a de saída domínio ou floresta).
A tabela a seguir resume as configurações de confiança para alguns cenários simples:
| Cenário | Confiança local | Confiança na nuvem |
|---|---|---|
| Os usuários locais exigem acesso aos recursos na nuvem, mas não vice-versa | Unidirecional, entrada | Unidirecional, saída |
| Os usuários na nuvem exigem acesso aos recursos localizados localmente, mas não vice-versa | Unidirecional, saída | Unidirecional, entrada |
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
A confiabilidade garante que seu aplicativo possa atender aos compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design parade confiabilidade.
Provisione pelo menos dois controladores de domínio para cada domínio. Isso permite a replicação automática entre servidores. Crie um conjunto de disponibilidade para as VMs que atuam como servidores do Active Directory que manipulam cada domínio. Coloque pelo menos dois servidores nesse conjunto de disponibilidade.
Além disso, considere designar um ou mais servidores em cada domínio como mestres de operações em espera caso a conectividade com um servidor agindo como uma função FSMO (operação mestra única) flexível falhe.
Segurança
A segurança fornece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança.
As relações de confiança no nível da floresta são transitivas. Se você estabelecer uma confiança de nível de floresta entre uma floresta local e uma floresta na nuvem, essa confiança será estendida a outros novos domínios criados em qualquer floresta. Se você usar domínios para fornecer separação para fins de segurança, considere criar apenas relações de confiança no nível do domínio. As relações de confiança no nível do domínio não são transitivas.
Para considerações de segurança específicas do Active Directory, consulte a seção considerações de segurança em Estendendo o Active Directory para o Azure.
Otimização de custos
A Otimização de Custos trata-se de procurar maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design parade Otimização de Custos.
Use a calculadora de preços do Azure para estimar os custos. Outras considerações são descritas na seção Custo no Microsoft Azure Well-Architected Framework.
Aqui estão as considerações de custo para os serviços usados nesta arquitetura.
Serviços de Domínio do AD
Considere ter o Active Directory Domain Services como um serviço compartilhado que é consumido por várias cargas de trabalho para reduzir os custos. Para obter mais informações, consulte de preços do Active Directory Domain Services.
Azure VPN Gateway
O principal componente dessa arquitetura é o serviço de gateway de VPN. Você é cobrado com base na quantidade de tempo que o gateway está provisionado e disponível.
Todo o tráfego de entrada é gratuito, todo o tráfego de saída é cobrado. Os custos de largura de banda da Internet são aplicados ao tráfego de saída de VPN.
Para obter mais informações, consulte de preços do Gateway de VPN.
Excelência Operacional
A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design parade Excelência Operacional.
DevOps
Para considerações sobre o DevOps, consulte Excelência Operacional em Estendendo o AD DS (Active Directory Domain Services) para o Azure.
Gerenciamento
Para obter informações sobre considerações de gerenciamento e monitoramento, consulte Estendendo o Active Directory para o Azure.
Siga as diretrizes em Monitoramento do Active Directory. Você pode instalar ferramentas como o Microsoft Systems Center em um servidor de monitoramento na sub-rede de gerenciamento para ajudar a executar essas tarefas.
Eficiência de desempenho
A Eficiência de Desempenho é a capacidade da carga de trabalho de atender às demandas colocadas nele pelos usuários de maneira eficiente. Para obter mais informações, consulte Lista de verificação de design parade Eficiência de Desempenho.
O Active Directory é escalonável automaticamente para controladores de domínio que fazem parte do mesmo domínio. As solicitações são distribuídas entre todos os controladores em um domínio. Você pode adicionar outro controlador de domínio e ele é sincronizado automaticamente com o domínio. Não configure um balanceador de carga separado para direcionar o tráfego para controladores dentro do domínio. Verifique se todos os controladores de domínio têm recursos de memória e armazenamento suficientes para lidar com o banco de dados de domínio. Torne todas as VMs do controlador de domínio do mesmo tamanho.
Próximas etapas
- Conheça as práticas recomendadas para estender seu domínio do AD DS local para o Azure
- Conheça as práticas recomendadas para a criação de uma infraestrutura do AD FS no Azure.