Mi a Microsoft Entra architektúrája?
A Microsoft Entra ID lehetővé teszi az Azure-szolgáltatásokhoz és -erőforrásokhoz való hozzáférés biztonságos kezelését a felhasználók számára. A Microsoft Entra ID tartalmazza az identitáskezelési képességek teljes csomagját. További információ a Microsoft Entra funkcióiról: Mi a Microsoft Entra-azonosító?
A Microsoft Entra-azonosítóval felhasználókat és csoportokat hozhat létre és kezelhet, valamint engedélyezheti a vállalati erőforrásokhoz való hozzáférést engedélyező és megtagadó engedélyeket. Az identitáskezeléssel kapcsolatos információért tekintse meg az Azure-identitáskezelés alapjait leíró szakaszt.
A Microsoft Entra architektúrája
A Microsoft Entra ID földrajzilag elosztott architektúrája a kiterjedt monitorozási, automatizált átirányítási, feladatátvételi és helyreállítási képességeket egyesíti, amelyek vállalati szintű rendelkezésre állást és teljesítményt biztosítanak az ügyfelek számára.
Ez a cikk a következő architektúraelemeket tárgyalja:
- Szolgáltatásarchitektúra kialakítása
- Méretezhetőség
- Folyamatos rendelkezésre állás
- Adatközpontok
Szolgáltatásarchitektúra kialakítása
Az akadálymentes és használható, adatgazdag rendszerek létrehozásának leggyakoribb módja a független építőelemek vagy skálázási egységek. A Microsoft Entra adatszint esetében a méretezési egységeket partícióknak nevezzük.
Az adatréteg több front-end szolgáltatással rendelkezik, amelyek olvasási és írási képességeket nyújtanak. Az alábbi ábra bemutatja, hogyan történik az egykönyvtáras partíciók összetevőinek kézbesítése a földrajzilag elosztott adatközpontokban.
A Microsoft Entra architektúra összetevői közé tartozik egy elsődleges replika és egy másodlagos replika.
Elsődleges replika
Az elsődleges replika fogadja azon partíció összes írását, amelyhez tartozik. Minden írási művelet azonnal replikálódik egy másik adatközpontban lévő másodlagos replikára, mielőtt a rendszer sikert jelezne a hívónak. Ezáltal biztosítható az írások georedundáns tartóssága.
Másodlagos replikák
Az összes könyvtárolvasásmásodlagos replikákból van szervizelve, amelyek fizikailag különböző földrajzi helyeken található adatközpontokban találhatók. Sok másodlagos replika van, mivel az adatok replikálása aszinkron módon történik. A címtárolvasások, például a hitelesítési kérések az ügyfelekhez közeli adatközpontokból vannak kiszolgálva. A másodlagos replikák felelősek az olvasás méretezhetőségéért.
Méretezhetőség
A méretezhetőség azon képesség, amellyel a szolgáltatások ki tudnak bővülni a növekvő teljesítményigények kielégítése érdekében. Az írás méretezhetősége az adatok particionálásával érhető el. Az olvasás méretezhetősége az adatok egy partícióról több, a világ számos részén elosztott másodlagos replikákra történő replikálásával érhető el.
A címtáralkalmazások kérelmei a legközelebbi adatközpontba lesznek irányítva. Az írások transzparens módon vannak átirányítva az elsődleges replikához az írás-olvasás konzisztenciájának biztosítása érdekében. A másodlagos replikák jelentősen kibővítik a partíciók méretét, mert a címtárak leginkább olvasásokat szolgáltatnak.
A címtáralkalmazások a legközelebbi adatközpontokhoz csatlakoznak. Ez a kapcsolat javítja a teljesítményt, ezért a horizontális felskálázás lehetséges. Mivel egy címtárpartíció sok másodlagos replikával rendelkezhet, a másodlagos replikák közelebb helyezhetők a címtár ügyfeleihez. Csak a belső címtárszolgáltatás írásigényes összetevői célozzák meg közvetlenül az aktív elsődleges replikát.
Folyamatos rendelkezésre állás
A rendelkezésre állás (vagy üzemidő) határozza meg, hogy egy rendszer mennyire tud zavartalanul működni. A Microsoft Entra ID magas rendelkezésre állásának kulcsa, hogy a szolgáltatások gyorsan áthelyezhetik a forgalmat több földrajzilag elosztott adatközpontban. Minden adatközpont független, ami lehetővé teszi a korrelált hibamódok megszüntetését. A magas rendelkezésre állási kialakítás révén a Microsoft Entra ID nem igényel állásidőt a karbantartási tevékenységekhez.
A Microsoft Entra ID partíciótervezése a vállalati AD-tervhez képest egyszerűbb, egy főkiszolgálós kialakítással, amely gondosan vezényelt és determinisztikus elsődleges replika feladatátvételi folyamatot tartalmaz.
Hibatűrés
A rendszereknek jobb a rendelkezésre állása, ha képesek tűrni a hardveres, hálózati és szoftverhibákat. A címtárban lévő összes partícióhoz tartozik egy magas rendelkezésre állású főreplika. Ez az elsődleges replika. Ezen a replikán csak a partíció írása történik. Ez a replika folyamatos megfigyelés alatt áll, és az írások azonnal egy másik replikára helyezhetők (amely az új elsődleges replikává válik), ha a rendszer hibát észlel. Feladatátvétel esetén általában 1-2 percig megszűnhet az írás rendelkezésre állása. Az olvasási rendelkezésre állásra ez idő alatt nincs hatással.
Az olvasási műveletek (amelyek száma nagyságrendekkel meghaladja az írásokét) csak a másodlagos replikákhoz érkeznek. Mivel a másodlagos replikák idempotensek, egy adott partíció bármely replikájának elvesztése könnyedén orvosolható az olvasások egy másik replikára történő irányításával, általában ugyanabban az adatközpontban.
Adatok tartóssága
Az írást a nyugtázás előtt legalább két adatközpontban tartósan el kell kötelezni. Ez úgy történik, hogy először véglegesíti az írást az elsődlegesen, majd azonnal replikálja az írást legalább egy másik adatközpontba. Ez az írási művelet biztosítja, hogy az elsődleges adatközpont esetleges katasztrofális elvesztése ne eredményezze az adatvesztést.
A Microsoft Entra ID nulla helyreállítási időkorlátot (RTO) tart fenn, hogy ne veszítse el az adatokat a feladatátvételeken. Ide tartoznak az alábbiak:
- Jogkivonatok kiállítása és könyvtárolvasások
- A címtárírások esetében csak körülbelül 5 perc RTO engedélyezése
Adatközpontok
A Microsoft Entra-replikák a világ minden részén található adatközpontokban vannak tárolva. További információkért tekintse meg az Azure globális infrastruktúrát.
A Microsoft Entra ID az adatközpontok között az alábbi jellemzőkkel működik:
- A hitelesítés, a Graph és más AD-szolgáltatások az átjárószolgáltatás mögött találhatók. Az átjáró kezeli ezen szolgáltatások terheléselosztását. A feladatátvétel automatikusan megtörténik, ha a rendszer tranzakciós állapotminták használatával észleli a nem megfelelő állapotú kiszolgálókat. Ezen állapotminták alapján az átjáró dinamikusan irányítja a forgalmat kifogástalan állapotú adatközpontokhoz.
- Olvasás esetén a címtár másodlagos replikákkal és megfelelő előtér-szolgáltatásokkal rendelkezik egy aktív-aktív konfigurációban, amely több adatközpontban működik. Ha egy adatközpont meghibásodik, a rendszer automatikusan egy másik adatközpontba irányítja a forgalmat.
- Az írások esetében a címtár a tervezett (új elsődleges és régi elsődleges) vagy vészhelyzeti feladatátvételi eljárásokkal fogja átvenni az elsődleges replikát az adatközpontokban. Az adatok tartóssága úgy érhető el, hogy bármely véglegesítést legalább két adatközpontba replikál.
Adatkonzisztencia
A címtármodell az egyik végleges konzisztencia. Az elosztott aszinkron replikálási rendszerek egyik tipikus problémája, hogy az "adott" replikából visszaadott adatok nem feltétlenül naprakészek.
A Microsoft Entra ID olvasási-írási konzisztenciát biztosít a másodlagos replikát megcélzó alkalmazások számára azáltal, hogy az írásokat az elsődleges replikához irányítja, és szinkron módon visszaküldi az írásokat a másodlagos replikára.
A Microsoft Entra ID Microsoft Graph API-jával végzett alkalmazásírások absztrakcióra kerülnek az olvasási-írási konzisztencia érdekében a címtárreplikához való affinitás fenntartásától. A Microsoft Graph API szolgáltatás egy logikai munkamenetet tart fenn, amely affinitással rendelkezik az olvasáshoz használt másodlagos replikához; az affinitás egy "replika jogkivonatban" van rögzítve, amelyet a szolgáltatás egy elosztott gyorsítótár használatával gyorsítótáraz a másodlagos replika-adatközpontban. A jogkivonat ezután a logikai munkamenet következő műveleteihez lesz felhasználva. Ha továbbra is ugyanazt a logikai munkamenetet szeretné használni, a későbbi kéréseket ugyanahhoz a Microsoft Entra-adatközponthoz kell irányítani. Nem folytatható a logikai munkamenet, ha a címtárügyfél-kérelmeket több Microsoft Entra-adatközponthoz irányítják; ha ez történik, az ügyfél több logikai munkamenetet is használ, amelyek független írási-olvasási konzisztenciával rendelkeznek.
Feljegyzés
Az írásokat a rendszer azonnal replikálja arra a másodlagos replikára, amelyre a logikai munkamenet olvasásai ki lettek adva.
Szolgáltatásszintű biztonsági mentés
A Microsoft Entra ID a címtáradatok napi biztonsági mentését valósítja meg, és a biztonsági másolatok használatával visszaállíthatja az adatokat, ha bármilyen szolgáltatásszintű probléma merül fel.
A címtár helyreállítható törléseket is implementál a kijelölt objektumtípusokhoz való kemény törlés helyett. A bérlői rendszergazda 30 napon belül visszavonhatja az objektumok véletlen törlését. További információkért tekintse meg az API-t a törölt objektumok visszaállításához.
Mérőszámok és figyelők
Egy magas rendelkezésre állású szolgáltatás futtatásához világszínvonalú metrikára és monitorozási képességekre van szükség. A Microsoft Entra ID folyamatosan elemzi és jelenti az egyes szolgáltatások legfontosabb szolgáltatásállapot-mérőszámait és sikerességi kritériumait. A metrikák, valamint a monitorozás és riasztások folyamatos fejlesztése és finomhangolása is történik az egyes forgatókönyvek esetében, az egyes Microsoft Entra-szolgáltatásokban és az összes szolgáltatásban.
Ha egy Microsoft Entra-szolgáltatás nem a várt módon működik, a rendszer azonnal végrehajtja a szükséges lépéseket a funkciók lehető leggyorsabb visszaállításához. A Microsoft Entra ID legfontosabb metrikái az, hogy milyen gyorsan észlelhetők és elháríthatók az ügyfelek számára az élő webhelyekkel kapcsolatos problémák. Nagy mértékben fektetünk be a figyelésbe és riasztásokba, hogy minimalizáljuk az észlelési időt (TTD-cél: <5 perc) és a működési felkészültséget, hogy minimalizáljuk a mérsékelhető időt (TTM-cél: <30 perc).
Biztonságos műveletek
Működési vezérlők, például többtényezős hitelesítés használata bármilyen művelethez, és az összes művelet naplózása. Emellett egy igény szerinti jogosultságszint-emelési rendszer használatával folyamatosan biztosíthatja a szükséges ideiglenes hozzáférést az igény szerinti üzemeltetési feladatokhoz. További információkért lásd: A megbízható felhő.