Hybrid-Cloud-Architekturen
Cloud-LösungenWenn Sie eine hybride Cloud nutzen, um Windows-Anwendungen und -Dienste wie Office 365 bereitzustellen, ist die Bereitstellung der Federation Services (ADFS) von Microsoft Active Directory mit kompatiblen, global aktivierten Load Balancern eine hervorragende Möglichkeit, um konsistente Identitätsdienste im gesamten Unternehmensrechenzentrum und in der öffentlichen Cloud zu gewährleisten.
Einfach ausgedrückt ist ADFS eine Active Directory-Komponente, die Benutzern eine einmalige Anmeldung bei Systemen und Anwendungen ermöglicht, die sich außerhalb der typischen Unternehmensgrenzen befinden, sei es bei einem Partner, einem anderen Standort oder einem Cloud-Dienst. ADFS erfordert zusätzlich zu den Windows-Domänencontrollern ADFS-Server, um zu funktionieren.
Die beste Möglichkeit, die Hochverfügbarkeit, Notfallwiederherstellung und Geschäftskontinuität einer hybriden Cloud-Architektur zu nutzen, besteht in der Bereitstellung von Active Directory-Domänencontrollern, ADFS-Diensten und Lastausgleichssoftware mit globalen Lastausgleichsfunktionen auf beiden Seiten der Verbindung zwischen Rechenzentrum und Cloud.
Wie bei den meisten IaaS- und PaaS-Cloud-Diensten ermöglicht Microsoft Azure den Erwerb und die Bereitstellung all dieser Komponenten, einschließlich eines virtuellen Software-Lastausgleichs auf der Microsoft Azure-Seite der Verbindung.
Auf der Seite des Unternehmensrechenzentrums dieser Architektur wird ein Load Balancer mit globalen Diensten vor zwei ADFS-Servern eingesetzt, um Skalierbarkeit und ADFS-Ausfallsicherheit im Falle eines Server- oder Anwendungsausfalls zu gewährleisten. Wenn ein ADFS-Server ausfällt, erkennt die Load Balancer-Anwendung und die Server-Zustandsprüfung den Ausfall und leitet Anfragen an den verbleibenden funktionierenden Server weiter. Die Azure-Umgebung umfasst auch einen Domänencontroller und einen oder zwei ADFS-Server mit einem global aktivierten Load Balancer. Wenn ein Benutzer versucht, sich bei Windows oder Office 365 anzumelden, stellt ein Load Balancer eine IP-Adresse eines verfügbaren ADFS-Servers bereit.
Es gibt mindestens zwei mögliche Einsatzszenarien, je nach Ihren Anforderungen. In einem Szenario würde der Load Balancer den Datenverkehr an den am wenigsten ausgelasteten ADFS-Server des Unternehmensrechenzentrums leiten, wobei im Falle eines Ausfalls des Unternehmensrechenzentrums ein globales Failover zum ADFS-Server des Azure-Rechenzentrums erfolgt. Ein anderes Szenario könnte den Datenverkehr an den besten ADFS-Server leiten - entweder vor Ort oder in der Cloud - je nach Standort des Benutzers oder der Nähe zu einer der beiden Umgebungen.
Diese Lösung kann auch mit Microsoft Azure als primärem Standort konfiguriert werden, wenn dies aus geschäftlichen Gründen erforderlich ist.
Der Benutzer muss nicht wissen, welcher ADFS-Server oder welches Rechenzentrum verwendet wird. Er oder sie würde sich einfach wie immer bei Windows und Microsoft Office 365 anmelden.
Das Schöne an dieser Konfiguration ist nicht nur das Single Sign-On für den Benutzer und die hohe Verfügbarkeit. Es ist auch die Ausfallsicherheit des Standorts. Angenommen, eine lokale Katastrophe oder ein anderer Fehler führt zum Ausfall des gesamten Unternehmensrechenzentrums oder nur des Domänencontrollers oder ADFS-Servers. Globale Lastausgleichs-Zustandsprüfungsdienste würden den Ausfall erkennen und den gesamten Benutzerzugriff auf die ADFS-Server leiten, die auf der Microsoft Azure-Site laufen, so dass Benutzer, die zu Hause, unterwegs oder sogar vor Ort arbeiten, vollen Office 365-Zugriff haben.
Je nach Anwendung oder Dienst können auch andere optionale Load Balancer-Angebote wie SSL-Terminierung, Authentifizierung und Zugriffskontrolle (typischerweise für Websites und Anwendungen), Intrusion Prevention und Firewall auf Anwendungsebene eingesetzt werden.