19.06.2019

 

 

Azure´i pilveinfrastruktuuri teenused võimaldavad kasutada väga laia valikut rakendusi ja teenuseid. Näiteks Azure toetab muuhulgas selliseid süsteeme nagu Windows, Linux, SQL Server, Oracle, IBM, SAP, BizTalk. Seejuures peamine aspekt kohapeal olevate rakenduste migreerimisel Azure´sse on nende rakenduste kasutajate identifitseerimise haldamine.  

 

Domeenist teadlikud rakendused tuginevad lihtsustatud domeeniprotokollile (LDAP), et saada ligipääsu ettevõtte domeenile või lõppkasutajate autentimisel Windows´i integreeritud autentimisele (kasutades Kerberost või NTLM-i). Windows Server´i tegevusalarakendusi (LOB) juurutatakse tavaliselt ühisdomeenidega masinates, et neid saaks hallata turvaliselt, kasutades teenust Group Policy. Kohapealsete rakenduste pilveserverile nihutamiseks tuleb ettevõtte identiteedi infrastruktuurist sõltuvad väljakutsed lahendada. 

 

Selleks, et täita Azure´i pilveteenusesse paigutatud rakenduste vajadusi, on seni oldud erinevate valikute ees:  

  • Luua Azure´i infrastruktuuri ja ettevõtte domeeni vaheline VPN ühendus. 
  • Laiendada ettevõtte AD domeeni infrastruktuuri, seadistades oma domeeni domeenikontrolleri koopia, kasutades Azure´i virtuaalseid servereid. 
  • Juurutada Azure´i pilves eraldiseisev domeen, kasutades domeenikontrollereid, mida rakendatakse kui Azure´i virtuaalseid masinaid. 

 

Kõik need lähenemisviisid on kulukad ja liiga suurte halduse üldkuludega. Azure´i kasutavad administraatorid peavad juurutama domeenikontrollereid, kasutades virtuaalseid masinaid. Lisaks sellele peavad nad virtuaalseid masinaid haldama, turvama, lappima, seirama, varundama ning leidma vigu jne. Kohapealsete domeenide juures VPN ühendustele toetumine muudab Azure´i pilve paigutatud töökoormused haavatavaks ajutiste võrgutõrgete ja seisakute suhtes. Võrguseisakud põhjustavad nende rakenduste juures omakorda vähenenud ülalolekuaega ja usaldusväärsust. 

Just väljakutsete haldamiseks on loodud Azure Domain Services (ADS) teenus. 

 

 

Mis on Azure Domain Services (ADS) teenus? 

ADS pakub hallatud domeeniteenuseid, nagu domeenide ühendamine, Group Policy, LDAP, Kerberos/NTLM autentimine, mis on täielikult kohandatav tootega Windows Server Active Directory. Neid domeeniteenuseid kasutades pole teil vajadust juurutada, hallata ega lappida pilves olevaid domeenikontrollereid. ADS integreerub juba olemasoleva  Azure AD domeeniga, mistõttu on võimalik sisselogimisel kasutada oma ettevõtte kontosid. Lisaks sellele saate ressurssidele turvalise juurdepääsu tagamaks kasutada olemasolevaid gruppe ja kasutajate kontosid, tagades sujuvama kohapealsete ressursside nihutamise Azure´i infrastruktuuri teenusesse. 

 

ADS funktsionaalsus toimib sujuvalt olenemata sellest, kas teie domeen on ainult pilvepõhine või kohapealse Active Directory infokataloogiga sünkroniseeritud. 

 

 

Azure Domain Services Cloud Only organisatsioonidele 

Cloud Only arhitektuuris puudub nn. maapeale domeenikontroller täielikult. Teisisõnu, kasutajakontod, nende salasõnad ja gruppide liikmeskonnad on ainult pilves, mille on loonud ja mida haldab Azure AD teenus.. 

 

 

 

 

 

 

 

 

 

 

 

 

Joonis 1. ADS Cloud Only domeenis 

 

Domeeni IT administraator võib oma Azure AD domeeni jaoks Azure ADS teenused aktiveerida ning vajadusel need virtuaalvõrgus kättesaadavaks teha. Seejärel sätestab ADS hallatud domeeni ja teeb selle virtuaalses võrgus kättesaadavaks. Kõik konkreetse keskkonna Azure AD kättesaadavad kasutajakontod, gruppide liikmeskonnad ja kasutajate mandaadid on kättesaadavad ka selles vastloodud ADS domeenis. See eriomadus võimaldab ettevõtte kasutajatel domeeni sisselogimiseks kasutada oma ettevõtte kontot – näiteks domeeniga ühendatud masinatega kaugtöölaua kaudu jms. Administraatorid võivad tagada juurdepääsu domeeni ressurssidele, kasutades olemasoleva grupi liikmeskondi. Virtuaalses võrgus olevates virtuaalsetes masinates juurutatud rakendused saavad kasutada selliseid eriomadusi, nagu domeenide liitmine, LDAP lugemine, LDAP sidumine, NTLM ja Kerberose autentimine ning rakendust Group Policy. 

 

Mõningad Azure AD domeeniteenuse poolt hallatud domeenide põhilisemad aspektid on järgnevad: 

  • IT administraator ei pea oma domeeni või domeenikontrollerite juures midagi haldama, lappima või seirama. 
  • ADS domeeni juures puudub vajadus hallata AD tiražeerimist. Kasutajakontod, gruppide liikmeskonnad ning Azure AD kontod on selle hallatud domeeni juures saadaval automaatselt. 
  • Kuna seda domeeni haldab Azure AD domeeniteenus, ei ole IT administraatoril domeeni administraatori (Domain Administrator) ega ettevõtte administraatori (Enterprise Administrator) privileege. 

 

 

Hübriidorganisatsioonide jaoks mõeldud Azure AD domeeniteenused 

Hübriid IT infrastruktuuridega organisatsioonid tarbivad nii pilve-ressursse, kui ka „maapealseid“ ressursse. Sellised organisatsioonid sünkroniseerivad kohapealset domeeni Azure AD domeeniga. Samas hübriidsed organisatsioonid otsivad sageli võimalust migreerida pilve aina rohkem oma kohapealseid rakendusi ja teenuseid,  mistõttu on Azure AD domeeniteenus neile vajalik. 

 

 

 

 

 

 

 

 

 

 

 

 

Joonis 2. ADS hübriid-domeenis 

 

 

Identiteetide sünkroniseerimiseks kasutatakse Azure AD Connect teenust, et sünkroonida maapealset domeeni Azure AD domeeniga. Sünkroonitud informatsioon sisaldab kasutajakontosid, autentimise jaoks vajalikke mandaate (parooli räsi sünkroonimist) ning gruppide liikmeskondi. 

 

PS! Salasõna räsi sünkroonimine on hübriidsetele organisatsioonidele Azure AD domeeniteenuse kasutamise juures kohustuslik tegevus.  

 

 

Hüved 

 

ADS domeeniteenus loob järgnevad hüved: 

  • Lihtne kasutada – saate täita Azure´i infrastruktuuri teenustes juurutatud virtuaalsete masinate identiteedi vajadusi vaid mõne lihtsa klikiga. Pole vajadust juurutada või hallata Azure´i identiteedi infrastruktuuri või seadistada ühenduvust tagasi oma kohapealsele infrastruktuurile. 

  • Integreeritud –ADS domeeniteenused on teie Azure AD domeeniga integreeritud. Saate kasutada Azure AD teenust integreeritud pilvepõhise ettevõtte domeenina, mis vastab nii teie kaasaegsete rakenduste, kui ka traditsiooniliste rakenduste vajadustele. 
  • Ühilduv –ADS domeeniteenus on ehitatud Windows Server Active Directory infrastruktuurile, mis on ennast aastakümneid õigustanud. Seega saavad teie rakendused toetuda Windows Server Active Directory rakenduste ühildumisele. ADS domeeniteenuse juures pole saadaval kõiki Windows Server AD rakendusi. Siiski ühilduvad saadaolevad eriomadused vastavate Windows Server AD eriomadustega, millele toetute oma kohapealse infrastruktuuri juures. LDAP, Kerberos, NTLM, Group Policy ning domeenide liitmise võimekus moodustavad koos korraliku koosluse, mida on testitud ja täiustatud läbi erinevate Windows Serveri versioonide. 

  • Kulutõhus –ADS domeeniteenusega saate vältida infrastruktuuri ja haldamisega kaasaskäivat koormat, mis seostub identiteedi infrastruktuuri haldamisega, et toetada traditsioonilisi domeeni rakendusi.  

 

 

 

 

Mihhail Shumenkov
Pilveteenuste arhitekt

See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.