我们正在将一些 VM 和云服务迁移到 Azure,但我们仍需要这些服务连接回我们合作伙伴的 AD。我是一名开发人员,而不是系统管理员,所以我不确定如何做到这一点,或者是否可能。
根据我的理解,我们需要做这样的事情:
- 在 Azure 中设置虚拟网络
- 在 Azure 和合作伙伴的数据中心之间设置站点到站点 VPN
- 在 Azure 中设置云服务/VM(在 #1 的 VNet 内)
- 在 Azure AD 中设置域,假设我们称之为“AzureDomain”
- 在 Azure AD 域和我们合作伙伴的 AD 域(“PartnerDomain”)之间建立信任。
- 在 Azure 云服务/VM 中设置 Windows 服务/IIS AppPools 以在我们 Azure AD 域中的帐户下运行,例如“AzureDomain\service_account”
- 让合作伙伴授予“AzureDomain\service_account”权限以访问它需要的任何网络共享/数据库/等资源。
我错过了任何步骤吗?例如,是否需要某种 AD 同步,AzureDomain => 合作伙伴的 DC,或 PartnerDomain => Azure DC?
我不在乎 Azure 基础结构中的服务是在 Azure AD 中的帐户下运行,还是在合作伙伴的 AD 中运行。我只想要最简单的解决方案,它允许 Azure 中的服务访问合作伙伴数据中心中的资源。