Mimarinin Azure Active Directory nedir?

  • Makale
  • Okumak için 6 dakika

Azure Active Directory (Azure AD), kullanıcılarınız için Azure hizmet ve kaynaklarına erişimi güvenli bir şekilde yönetmenizi sağlar. Azure AD ile birlikte eksiksiz kimlik yönetimi olanakları sunulur. Azure AD özellikleri hakkında daha fazla bilgi için bkz. Azure Active Directory nedir?

Azure AD ile kullanıcı ve gruplar oluşturup bunları yönetebilir, ayrıca kurumsal kaynaklara erişim izni vermek ya da erişimi reddetmek için izinleri etkinleştirebilirsiniz. Kimlik yönetimi hakkında bilgi için bkz. Azure kimlik yönetimi ile ilgili temel bilgiler.

Azure AD mimarisi

Azure AD'nin coğrafi olarak dağıtılmış mimarisi, müşterilere şirket genelinde kullanılabilirlik ve performans sunan kapsamlı izleme, otomatik yeniden yönlendirme, yük devretme ve kurtarma özelliklerini birleştirir.

Bu makalede aşağıdaki mimari öğeler ele alınmaktadır:

  • Hizmet mimarisi tasarımı
  • Ölçeklenebilirlik
  • Sürekli kullanılabilirlik
  • Veri merkezleri

Hizmet mimarisi tasarımı

Erişilebilir ve kullanılabilir, veri açısından zengin bir sistem oluşturmanın en yaygın yolu bağımsız yapı taşları veya ölçek birimleridir. Azure AD veri katmanı için ölçek birimleri bölümler olarak adlandırılan bir alandır.

Veri katmanında, okuma-yazma özelliği sağlayan çok sayıda ön uç hizmeti bulunur. Aşağıdaki diyagramda tek dizinli bölüm bileşenlerinin coğrafi olarak dağıtılmış veri merkezlerine nasıl teslim edildiğini görebilirsiniz.

Tek dizinli bölüm diyagramı

Azure AD mimarisinin bileşenleri, birincil çoğaltma ve ikincil çoğaltma öğelerini içerir.

Birincil çoğaltma

Birincil çoğaltma, ait olduğu bölüm için yazma işlemlerini alır. Her yazma işlemi, çağırana başarılı sonucu döndürmeden önce hemen farklı bir veri merkezindeki ikincil çoğaltmaya çoğaltılır, böylece yazma işlemlerinin coğrafi olarak yedekli dayanıklılığı sağlanır.

İkincil çoğaltmalar

Tüm dizin okumaları, fiziksel olarak farklı coğrafyalarda bulunan veri merkezlerinde bulunan ikincil çoğaltmalardan hizmet sağlar. Veriler zaman uyumsuz olarak kopyalandığı için çok sayıda ikincil çoğaltma vardır. Kimlik doğrulama istekleri gibi dizin okumaları, müşterilere yakın veri merkezlerinden hizmet verir. İkincil çoğaltmalar, okuma ölçeklenebilirliğinden sorumludur.

Ölçeklenebilirlik

Ölçeklenebilirlik, bir hizmetin artan performans taleplerine göre genişleyebilme becerisidir. Yazma ölçeklenebilirliği, veri bölümlendirilerek sağlanır. Okuma ölçeklenebilirliği, bir bölümden dünyanın dört bir yanına dağıtılmış birden fazla ikincil çoğaltmaya verilerin çoğaltılması yoluyla sağlanır.

Dizin uygulamalarından gelen istekler, fiziksel olarak en yakın oldukları veri merkezine yönlendirildi. Yazma işlemleri, okuma-yazma tutarlılığı sağlamak üzere şeffaf bir şekilde birincil çoğaltmaya yönlendirilir. Dizinler çoğu zaman okuma işlemlerini sunduğundan, ikincil çoğaltmalar bölümlerin ölçeğini önemli ölçüde genişletir.

Dizin uygulamaları en yakın veri merkezlerine bağlanır. Bu bağlantı performansı artırır ve bu nedenle ölçeği genişletme mümkündür. Bir dizin bölümünde çok sayıda ikincil çoğaltma olabileceğinden, ikincil çoğaltmalar dizin istemcilerine daha yakın yerleştirilebilir. Yalnızca yazma yoğunluklu olan iç dizin hizmeti bileşenleri, etkin birincil çoğaltmayı doğrudan hedefler.

Sürekli kullanılabilirlik

Kullanılabilirlik (veya çalışma süresi) bir sistemin kesintisiz çalışma yeteneğini tanımlar. Azure AD'nin yüksek kullanılabilirlik özelliği, hizmetlerin trafiği coğrafi olarak dağıtılmış birden çok veri merkezinde hızlı bir şekilde kaydırama durumuna sahip olmasıdır. Her veri merkezi birbirinden bağımsızdır ve bu da ilişkili olmayan hata modlarına olanak sağlar. Bu yüksek kullanılabilirlik tasarımı sayesinde, Azure AD bakım etkinlikleri için kapalı kalma süresi gerektirmez.

Azure AD'nin bölüm tasarımı kurumsal AD tasarımına kıyasla basitleştirilmiştir ve dikkatli bir şekilde organize ve belirlenimci birincil çoğaltma yük devretme işlemi içeren tek ana kaynak bir tasarım kullanılarak basitleştirilmiştir.

Hataya dayanıklılık

Bir sistem donanım, ağ ve yazılım hatalarına dayanıklı ise kullanılabilirliği daha yüksektir. Dizin üzerindeki her bölüm için yüksek oranda kullanılabilir bir ana çoğaltma mevcuttur: birincil çoğaltma. Bu çoğaltma üzerinde yalnızca bölüme yazma işlemleri gerçekleştirilir. Bu çoğaltma sürekli olarak ve yakından izlenirken, bir hata algılanması durumunda yazma işlemleri hemen başka bir çoğaltmaya kaydırılabilir (bu çoğaltma yeni birincil çoğaltma olur). Yük devretme sırasında genellikle 1-2 dakikalık yazma kullanılabilirliği kaybı olabilir. Bu süre boyunca okuma kullanılabilirliği etkilenmez.

Okuma işlemleri (yazma işlemlerinden onlarca kat fazladır) yalnızca ikincil çoğaltmalara gider. İkincil çoğaltmalar bir kez etkili olduğundan, okumalar genellikle aynı veri merkezinde bulunan başka bir çoğaltmaya yönlendirilerek belirli bir bölümdeki herhangi bir çoğaltmanın kaybı kolayca telafi edilebilir.

Veri dayanıklılığı

Yazma, onaydan önce en az iki veri merkezi için kararlıdır. Bu, ilk olarak yazma birincile işlenerek ve ardından yazma hemen en az bir veri merkezinde çoğaltarak gerçekleşir. Bu yazma eylemi, birincili barındıran veri merkezinde olası bir yıkıcı kaybın veri kaybına neden olmaz.

Azure AD, yük devretmelerde veri kaybetmemelerini sağlamak için sıfır Kurtarma Süresi Hedefi (RTO) sunar. Şunları içerir:

  • Belirteç verme ve dizin okumaları
  • Dizin yazmaları için yalnızca yaklaşık 5 dakikalık RTO'ya izin verme

Veri merkezleri

Azure AD çoğaltmaları, dünyanın dört bir yanında bulunan veri merkezlerinde depolanır. Daha fazla bilgi için bkz. Azure genel altyapısı.

Azure AD, aşağıdaki özelliklere sahip veri merkezleri arasında çalışır:

  • Kimlik doğrulaması, Graph ve diğer AD hizmetleri Ağ Geçidi hizmetinin arkasında yer alan. Gateway bu hizmetlerin yük dengelemesini yönetir. İşlem durumu yoklamaları kullanılarak herhangi bir iyi durumda olmayan sunucu algılanırsa otomatik olarak yük devretmesi yapılır. Ağ Geçidi, bu durum yoklamalarını temel alarak trafiği dinamik olarak sağlıklı veri merkezlerine yönlendirmektedir.
  • Okumalar için, dizinin birden çok veri merkezinde çalışan etkin-etkin bir yapılandırmada ikincil çoğaltmaları ve karşılık gelen ön uç hizmetleri vardır. Veri merkezi tamamının başarısız olması durumunda trafik otomatik olarak farklı bir veri merkezine yönlendirilir. *Yazma işlemleri için dizin, planlı (yeni birincil eski birincil ile eşitlenir) veya acil durum yük devretme yordamları aracılığıyla veri merkezleri arasında birincil (ana) çoğaltmaya yük devretme işlemi üstlenir. Veri dayanıklılığı, herhangi bir işleme en az iki veri merkezinde çoğaltarak elde edilir.

Veri tutarlılığı

Dizin modeli, nihai tutarlılıklardan biri. Zaman uyumsuz olarak çoğaltan dağıtılmış sistemlerle ilgili tipik bir sorun, "belirli" bir çoğaltmadan döndürülen verilerin güncel olmayan olmasıdır.

Azure AD, yazma işlemlerini birincil çoğaltmaya yönlendirerek ve eşzamanlı olarak ikincil çoğaltmaya geri çekerek, ikincil çoğaltmayı hedefleyen uygulamalar için okuma-yazma tutarlılığı sağlar.

Azure AD'nin Microsoft Graph API'si kullanılarak yapılan uygulama yazmaları, okuma-yazma tutarlılığı için bir dizin çoğaltması ile benzeşin elde etmekten soyutlanır. Microsoft Graph API hizmeti, okumalar için kullanılan ikincil çoğaltmaya benzeşimli bir mantıksal oturum sürdürür; benzeşim, hizmetin ikincil çoğaltma veri merkezinde dağıtılmış önbellek kullanarak önbelleğe alan bir "çoğaltma belirtecinde" yakalanır. Bu belirteç aynı mantıksal oturumun daha sonraki işlemleri için kullanılır. Aynı mantıksal oturumu kullanmaya devam etmek için, sonraki isteklerin aynı Azure AD veri merkezine yönlendirilen olması gerekir. Dizin istemcisi istekleri birden çok Azure AD veri merkezine yönlendiriyorsa mantıksal oturuma devam etmek mümkün değildir; Bu durumda istemci, bağımsız okuma-yazma tutarlılığı olan birden çok mantıksal oturuma sahip olur.

Not

Yazma işlemleri, mantıksal oturumdaki okumaların verildiği ikincil çoğaltmaya hemen çoğaltılır.

Hizmet düzeyinde yedekleme

Azure AD, dizin verilerini günlük olarak yedekler ve hizmet genelinde herhangi bir sorun durumunda verileri geri yüklemek için bu yedeklemeleri kullanabilir.

Dizin ayrıca seçili nesne türleri için sabit silmeler yerine yazılım silmeleri de gerçekleştirecek. Kiracı yöneticisi bu nesnelerin yanlışlıkla silinmesini 30 gün içinde geri alabilir. Daha fazla bilgi için silinen nesneleri geri yüklemek için API'ye bakın.

Ölçümler ve izleyiciler

Yüksek oranda kullanılabilir bir hizmetin çalıştırılması için birinci sınıf ölçüm ve izleme özellikleri gerekir. Azure AD, temel hizmet durumu ölçümlerini ve her bir hizmetinin başarı ölçütlerini sürekli olarak analiz edip raporlar. Ayrıca her Azure AD hizmeti içinde ve tüm hizmetlerde her senaryo için ölçümler ve izleme ve uyarı geliştirme ve ayarlamalar da vardır.

Herhangi bir Azure AD hizmeti beklendiği gibi çalışmıyorsa, işlevselliği mümkün olan en hızlı şekilde geri yüklemek için hemen eylem atılmalıdır. Azure AD'nin takip eden en önemli ölçümü, canlı site sorunlarının müşteriler için ne kadar hızlı algılandığından ve azaltılabileceğidir. Algılama süresini azaltmak (TTD Hedefi: <5 dakika) için izleme ve uyarılara, önlem alma süresini azaltmak için (TTM Hedefi: <30 dakika) operasyonel hazırlığa önemli ölçüde yatırım yapıyoruz.

Güvenli işlemler

Her işlem için çok faktörlü kimlik doğrulaması (MFA) gibi işletimsel denetimleri kullanma ve tüm işlemlerin denetimi. Ayrıca, isteğe bağlı olarak herhangi bir işlem görevi için gerekli geçici erişimi sağlamak üzere tam zamanında yükseltme sistemi kullanma. Daha fazla bilgi için bkz. Güvenilir Bulut.

Sonraki adımlar

Azure Active Directory geliştirici kılavuzu