Cloud Computing

Extending On-Premise Active Directory to the Cloud with Microsoft Azure–Bölüm 1

Bildiğiniz gibi pek çok uygulama Active Directory ile entegre çalışmaktadır. Bu entegrasyondaki asıl gereksinim ise, yazılımların ihtiyaç duydukları kimlik doğrulama ve yetkilendirme işlemleri için AD veri tabanını kullanmasıdır.

Eğer siz mevcut uygulamalarınızı bulut üzerine aktarır veya bulut tabanlı uygulama geliştirirseniz bu gereksinim devam edecektir.

Tabiki mevcut AD yapınızı bulut üzerine genişletmek sadece uygulama ihtiyaçları için gerekli değildir. Mevcut bir AD yapına disaster site DR-site oluşturmak için de bulut üzerine genişletme yapabilirsiniz. Bu sayede mevcut veri merkezinizdeki fiziksel bir takım sorunlar nedeni ile sunucularınız ulaşılamaz duruma gelse bile azure üzerindeki directory servisiniz hizmet vermeye devam edecektir.

Bulut üzerindeki AD seçenekleri

Temelde iki seçeneğiniz vardır;

Microsoft Azure Active Directory

Bulut tabanlı kimlik doğrulama sistemi ( cloud-based authentication ) olarak isimlendirebileceğimiz Microsoft Azure Active Directory hizmeti aslında yerleşik ( on-premise ) Active Directory gibi çalışmak ile beraber ilk olarak bulut üzerinde geliştirilen uygulamalara özel tasarlanmıştır.

Windows Server Active Directory on Windows Azure VMs

Bu yöntemde ise Azure üzerinde bir sanal makine oluşturup mevcut site yapınıza azure network bilgisini ekleyip bu network üzerindeki sanal makineyi ADC olarak kuruyorsunuz. Yani aslında herhangi bir hosting firmasındaki bir makineden farklı değil.

Ben bu makalemde sizlere bu ikinci adımı anlatacağım.

Öncelikle ikinci senaryonun hayata geçmesi için Microsoft Azure network’ u ile şirket organizasyonunuz arasında bir VPN bağlantısı oluşturmanız gerekmektedir. ( Site-to-Site IPsec VPN tunnel )

clip_image001

 

Yukarıdaki senaryo gereği yapacağımız işlem adımları aşağıdaki gibi olacaktır;

1.On-Premise Active Directory üzerinde Site ve Subnet ayarlarının yapılması.

2.Azure üzerinde DNS Server register işleminin yapılması.

3.Microsoft Azure Virtual Network ile yerleşik network arasında Site-to-Site VPN kurulması.

4.Azure üzerinde yeni domain controller kurulumu.

 

İlk olarak mevcut active directory yapımızın site mimarisini bir kontrol edelim.

clip_image002

Tek bir site, buna bağlı bir subnet ve bir DCV var. Hemen Azure için bir site ve subnet ekleyelim.

 

clip_image003

 

clip_image004

Site için bir isim veriyoruz ve var olan IP link’ e bağlıyoruz.

 

clip_image005

Site işlemi tamamlandıktan sonra bu site için bir subnet tanımlıyoruz.

 

clip_image006

Azure üzerindeki network ID bilgisini veriyorum. Eğer bundan emin değilseniz, Azure üzerinde network oluşturduktan sonra bu bölümü gelip değiştirmeniz gerekli.

 

Şimdi sıra DNS register işlemine geldi, bunun için azure hesabımıza ulaşıyoruz.

https://manage.windowsazure.com

Not: Microsoft Azure sektör ihtiyaçlarını hızlı bir şekilde karşılamak için gelen talepler doğrultusunda güncellenmektedir. Bu nedenle bu makalemde geçen bazı ekranlarda farklılıklar olabilir. Makalelerimizi yazarken kullandığımız bazı limitler ve seçenekler belki bundan 3 veya 6 ay sonra değişmiş olabilir, bunu lütfen aklınızdan çıkarmayın.

İki temel adımız var, ilk önce yerleşik dns için register işlemi yapacağız (On-Premise Active Directory-integrated DNS Server ) ardından Azure üzerindeki dns server için (Cloud-based Active Directory-integrated DNS Server )

Register the On-Premise Active Directory-integrated DNS Server

Portala giriş yapıyoruz ve sol ekrandan Network linkine tıklıyoruz. Ardından ekranın en alt bölümündeki “New” butonuna tıklıyoruz.

clip_image007

 

Aşağıdaki yolu izliyoruz

Networks Services | Virtual Network | Register DNS Server

clip_image008

clip_image009

Bir isim veriyoruz, ardından iç network üzerindeki DNS server için geçerli olan ip adresini tanımlıyoruz.

clip_image010

Şimdi sıra Azure üzerindeki DNS server için kayıt işleminde. ( bunu Azure üzerinde ADC kurduktan sonra yapabilirsiniz )

Register the Cloud-based Active Directory-integrated DNS Server

Yukarıdaki aynı adımları tekrarlıyoruz. ( IP olarak sunucu ip adresi değişmesi durumunda bunuda güncellemek gerekli, bu nedenle bu işlemi Azure üzerinde sunucu kurulumundan sonraya bırakmak mantıklıdır.)

clip_image011

Bu işlemi de tamamlamış olduk.

clip_image012

Şimdi sıra VPN oluşturma adımına geldi.

Bunun için network oluşturmamız gerekiyor, ancak ondan önce network için bir affinity group tanımı yapacağız.

Bunun için ilk olarak yönetim portalında sol menüden ayarlara geliyoruz. Daha sonra sağ üst menülerden “Affinity Group” linkine tıklıyoruz.

clip_image013

 

clip_image014

Benzersiz bir isim veriyoruz ve bu affinity group’ a bağlanacak olan sanal makinelerin hangi veri merkezinde oluşturulacağını seçiyoruz. Bulunduğunuz ülkeye en yakın lokasyonu seçmeniz tavsiye edilir.

Şimdi Network oluşturmaya başlayabiliriz, aşağıdaki adımları izliyoruz;

Networks | Virtual Network | Custom Create

clip_image015

 

İsim olarak “MicrosoftAzureNetwork01” veriyorum.

clip_image016

Affinity group olarak biraz önce açtığım affinity group’ u seçiyorum.

Eğer karşınıza Affinity Group seçeneği çıkmaz ise aşağıdaki gibi bir ekran seçimi ile devam edebilirsiniz.

clip_image017

clip_image018

DNS olarak On-Premises üzerindeki DNS sunucusunu seçiyorum. Ardından “Configure a site-to-site VPN” kutucuğunu işaretliyorum.

clip_image019

Bu bölümde VPN konusunda tecrübeli olanların hemen anlayacağı gibi bir network tanımlıyorum. Yani Azure ortamına benim OnPremNet isminde bir lokasyonum var, bu lokasyona 188.132.200.28 nolu ip den ulaşabilirsin, bu network 192.168.0.0/24 iplerini barındırmaktadır.

Teknik olarak, network için bir isim veriyorsunuz, bu network’ un gerçek ip adresi yani Firewall veya ADSL modem yani VPN’ i karşılayacak cihazın gerçek ip adresi ne ise onu yazıyor ve şirket iç network ip havuzunuzu belirtiyoruz.

clip_image020

Bu bölümde ise ilk olarak Azure üzerindeki adres aralığını belirliyoruz. Çünkü siz site-to-site VPN ile tüm Azure ağınızı açacaksınız, ancak bu ağı isterseniz yukarıdaki şekilde de görüldüğü gibi subnetlere bölebilirsiniz. Directory gibi makineleri bir subnet altına, uygulama makineleri ayrı bir subnet altına alabilirsiniz. Ben Azure üzerinde şu anlık sadece DC kuracağım için tek bir subnet açtım, zaten bunu makalemin ilerleyen bölümlerinde sanal makine oluştururken seçeceğim.

Daha sonra alt bölümde ilk olarak azure üzerinde kullanılmak için bir ip aralığı belirledim, makine sayınıza göre bu aralığı siz istediğiniz gibi yapabilirsiniz.

Ben Azure sanal makineler için bir subnet tanımladım, siz isterseniz bir den çok subnet tanımlayabilirsiniz. Daha sonra bir makine kurarken bunu size soruyor zaten.

Daha sonra “add gateway subnet” diyerek bir GW subnet ekliyoruz.

clip_image021

Şimdi bir Gateway eklememiz gerekmektedir.

Bunun için ilgili network üzerine tıklıyoruz ve ardından üst menüden Dashboard linkine basıyoruz

clip_image022

Daha sonra en alt bölümden Dynamic Routing ile bir gateway ekliyoruz.

 

clip_image023

 

Yeri gelmişken bu konudan da bahsetmek istiyorum. Bu iki seçenek arasındaki farklar nelerdir?

Aslında bu site-to-site vpn noktasında karşı cihazın özelliklerine göre seçtiğimiz bir özelliktir.

Static routing

Static routing için karşı tarafta bir static routing VPN gateway olması gerekmektedir. Bu gateway’ in özelliği policy tabanlı çalışmasıdır.

Dynamic routing

Dynamic routing için karşı tarafta dynamic routing VPN gateway olması gerekmektedir. Bu gateway’ in özelliği routing bazlı çalışmasıdır.

Farkları aşağıdaki gibi tablo halinde görebilirsiniz.

clip_image024

 

Gateway ekleme işlemi ile beraber Azure üzerindeki ayarları bitirmiş olduk. Şimdi sıra RRAS üzerindeki ayarlara geldi. Bunu da makalemin ikinci bölümünde anlatacağım.

 

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu