Bildiğiniz gibi pek çok uygulama Active Directory ile entegre çalışmaktadır. Bu entegrasyondaki asıl gereksinim ise, yazılımların ihtiyaç duydukları kimlik doğrulama ve yetkilendirme işlemleri için AD veri tabanını kullanmasıdır.
Eğer siz mevcut uygulamalarınızı bulut üzerine aktarır veya bulut tabanlı uygulama geliştirirseniz bu gereksinim devam edecektir.
Tabiki mevcut AD yapınızı bulut üzerine genişletmek sadece uygulama ihtiyaçları için gerekli değildir. Mevcut bir AD yapına disaster site DR-site oluşturmak için de bulut üzerine genişletme yapabilirsiniz. Bu sayede mevcut veri merkezinizdeki fiziksel bir takım sorunlar nedeni ile sunucularınız ulaşılamaz duruma gelse bile azure üzerindeki directory servisiniz hizmet vermeye devam edecektir.
Bulut üzerindeki AD seçenekleri
Temelde iki seçeneğiniz vardır;
Microsoft Azure Active Directory
Bulut tabanlı kimlik doğrulama sistemi ( cloud-based authentication ) olarak isimlendirebileceğimiz Microsoft Azure Active Directory hizmeti aslında yerleşik ( on-premise ) Active Directory gibi çalışmak ile beraber ilk olarak bulut üzerinde geliştirilen uygulamalara özel tasarlanmıştır.
Windows Server Active Directory on Windows Azure VMs
Bu yöntemde ise Azure üzerinde bir sanal makine oluşturup mevcut site yapınıza azure network bilgisini ekleyip bu network üzerindeki sanal makineyi ADC olarak kuruyorsunuz. Yani aslında herhangi bir hosting firmasındaki bir makineden farklı değil.
Ben bu makalemde sizlere bu ikinci adımı anlatacağım.
Öncelikle ikinci senaryonun hayata geçmesi için Microsoft Azure network’ u ile şirket organizasyonunuz arasında bir VPN bağlantısı oluşturmanız gerekmektedir. ( Site-to-Site IPsec VPN tunnel )
Yukarıdaki senaryo gereği yapacağımız işlem adımları aşağıdaki gibi olacaktır;
1.On-Premise Active Directory üzerinde Site ve Subnet ayarlarının yapılması.
2.Azure üzerinde DNS Server register işleminin yapılması.
3.Microsoft Azure Virtual Network ile yerleşik network arasında Site-to-Site VPN kurulması.
4.Azure üzerinde yeni domain controller kurulumu.
İlk olarak mevcut active directory yapımızın site mimarisini bir kontrol edelim.
Tek bir site, buna bağlı bir subnet ve bir DCV var. Hemen Azure için bir site ve subnet ekleyelim.
Site için bir isim veriyoruz ve var olan IP link’ e bağlıyoruz.
Site işlemi tamamlandıktan sonra bu site için bir subnet tanımlıyoruz.
Azure üzerindeki network ID bilgisini veriyorum. Eğer bundan emin değilseniz, Azure üzerinde network oluşturduktan sonra bu bölümü gelip değiştirmeniz gerekli.
Şimdi sıra DNS register işlemine geldi, bunun için azure hesabımıza ulaşıyoruz.
https://manage.windowsazure.com
Not: Microsoft Azure sektör ihtiyaçlarını hızlı bir şekilde karşılamak için gelen talepler doğrultusunda güncellenmektedir. Bu nedenle bu makalemde geçen bazı ekranlarda farklılıklar olabilir. Makalelerimizi yazarken kullandığımız bazı limitler ve seçenekler belki bundan 3 veya 6 ay sonra değişmiş olabilir, bunu lütfen aklınızdan çıkarmayın.
İki temel adımız var, ilk önce yerleşik dns için register işlemi yapacağız (On-Premise Active Directory-integrated DNS Server ) ardından Azure üzerindeki dns server için (Cloud-based Active Directory-integrated DNS Server )
Register the On-Premise Active Directory-integrated DNS Server
Portala giriş yapıyoruz ve sol ekrandan Network linkine tıklıyoruz. Ardından ekranın en alt bölümündeki “New” butonuna tıklıyoruz.
Aşağıdaki yolu izliyoruz
Networks Services | Virtual Network | Register DNS Server
Bir isim veriyoruz, ardından iç network üzerindeki DNS server için geçerli olan ip adresini tanımlıyoruz.
Şimdi sıra Azure üzerindeki DNS server için kayıt işleminde. ( bunu Azure üzerinde ADC kurduktan sonra yapabilirsiniz )
Register the Cloud-based Active Directory-integrated DNS Server
Yukarıdaki aynı adımları tekrarlıyoruz. ( IP olarak sunucu ip adresi değişmesi durumunda bunuda güncellemek gerekli, bu nedenle bu işlemi Azure üzerinde sunucu kurulumundan sonraya bırakmak mantıklıdır.)
Bu işlemi de tamamlamış olduk.
Şimdi sıra VPN oluşturma adımına geldi.
Bunun için network oluşturmamız gerekiyor, ancak ondan önce network için bir affinity group tanımı yapacağız.
Bunun için ilk olarak yönetim portalında sol menüden ayarlara geliyoruz. Daha sonra sağ üst menülerden “Affinity Group” linkine tıklıyoruz.
Benzersiz bir isim veriyoruz ve bu affinity group’ a bağlanacak olan sanal makinelerin hangi veri merkezinde oluşturulacağını seçiyoruz. Bulunduğunuz ülkeye en yakın lokasyonu seçmeniz tavsiye edilir.
Şimdi Network oluşturmaya başlayabiliriz, aşağıdaki adımları izliyoruz;
Networks | Virtual Network | Custom Create
İsim olarak “MicrosoftAzureNetwork01” veriyorum.
Affinity group olarak biraz önce açtığım affinity group’ u seçiyorum.
Eğer karşınıza Affinity Group seçeneği çıkmaz ise aşağıdaki gibi bir ekran seçimi ile devam edebilirsiniz.
DNS olarak On-Premises üzerindeki DNS sunucusunu seçiyorum. Ardından “Configure a site-to-site VPN” kutucuğunu işaretliyorum.
Bu bölümde VPN konusunda tecrübeli olanların hemen anlayacağı gibi bir network tanımlıyorum. Yani Azure ortamına benim OnPremNet isminde bir lokasyonum var, bu lokasyona 188.132.200.28 nolu ip den ulaşabilirsin, bu network 192.168.0.0/24 iplerini barındırmaktadır.
Teknik olarak, network için bir isim veriyorsunuz, bu network’ un gerçek ip adresi yani Firewall veya ADSL modem yani VPN’ i karşılayacak cihazın gerçek ip adresi ne ise onu yazıyor ve şirket iç network ip havuzunuzu belirtiyoruz.
Bu bölümde ise ilk olarak Azure üzerindeki adres aralığını belirliyoruz. Çünkü siz site-to-site VPN ile tüm Azure ağınızı açacaksınız, ancak bu ağı isterseniz yukarıdaki şekilde de görüldüğü gibi subnetlere bölebilirsiniz. Directory gibi makineleri bir subnet altına, uygulama makineleri ayrı bir subnet altına alabilirsiniz. Ben Azure üzerinde şu anlık sadece DC kuracağım için tek bir subnet açtım, zaten bunu makalemin ilerleyen bölümlerinde sanal makine oluştururken seçeceğim.
Daha sonra alt bölümde ilk olarak azure üzerinde kullanılmak için bir ip aralığı belirledim, makine sayınıza göre bu aralığı siz istediğiniz gibi yapabilirsiniz.
Ben Azure sanal makineler için bir subnet tanımladım, siz isterseniz bir den çok subnet tanımlayabilirsiniz. Daha sonra bir makine kurarken bunu size soruyor zaten.
Daha sonra “add gateway subnet” diyerek bir GW subnet ekliyoruz.
Şimdi bir Gateway eklememiz gerekmektedir.
Bunun için ilgili network üzerine tıklıyoruz ve ardından üst menüden Dashboard linkine basıyoruz
Daha sonra en alt bölümden Dynamic Routing ile bir gateway ekliyoruz.
Yeri gelmişken bu konudan da bahsetmek istiyorum. Bu iki seçenek arasındaki farklar nelerdir?
Aslında bu site-to-site vpn noktasında karşı cihazın özelliklerine göre seçtiğimiz bir özelliktir.
Static routing
Static routing için karşı tarafta bir static routing VPN gateway olması gerekmektedir. Bu gateway’ in özelliği policy tabanlı çalışmasıdır.
Dynamic routing
Dynamic routing için karşı tarafta dynamic routing VPN gateway olması gerekmektedir. Bu gateway’ in özelliği routing bazlı çalışmasıdır.
Farkları aşağıdaki gibi tablo halinde görebilirsiniz.
Gateway ekleme işlemi ile beraber Azure üzerindeki ayarları bitirmiş olduk. Şimdi sıra RRAS üzerindeki ayarlara geldi. Bunu da makalemin ikinci bölümünde anlatacağım.