Il dominio simplebooking.local¶
Active Directory¶
La gestione del dominio avviene per mezzo di Microsoft Active Directory.
In ogni sito sono presenti due istanze di AD e tutte le AD sincronizzano tra loro la base dati di utenti, gruppi, etc...
| Sito | Istanze |
|---|---|
office |
10.216.0.11 10.216.0.12 |
playnet |
10.56.0.11 10.56.0.12 |
siziano |
10.6.0.11 10.6.0.12 |
Gli applicativi che necessitano di integrarsi con AD lo fanno verso le istanze presenti nel proprio sito geografico di appartenenza.
DNS¶
Le istanze di AD operano come nameservers ultimativi di riferimento di tutti gli applicativi distribuiti nei siti geografici.
Le istanze di AD gestiscono la zona DNS di simplebooking.local prevedendo sia l'impostazione diretta di records,
che la delega ad altri servizi per la risoluzione di sottoalberi del dominio principale, come ad esempio nel caso di servizi erogati tramite kubernetes.
Organizzazione dei sotto domini¶
Il valori primari di un nome host sono la sua memorizzabilità e/o la sua predicibilità.
Nei casi, come il nostro, di una distribuzione articolata di servizi e applicazioni la predicibilità assume una rilevanza preminente.
Per tale motivo utiliziamo quando possibile il terzo livello per identificare il sito:
office.simplebooking.localplaynet.simplebooking.localsiziano.simplebooking.local
Inoltre cerchiamo di costruire un alberatura il più possibile rappresentativa delle topologie di distribuzione.
Ad esempio:
ui.argocd.management.k8s.siziano.simplebooking.local
aka
{k8s-service}.{k8s-namespace}.{k8s-cluster}.k8s.{sito}.simplebooking.local.
Utenti, gruppi e permessi¶
Gli utenti (umani e macchine) e i loro gruppi di appartenenza sono definiti nella base dati LDAP di AD.
Le passwords degli utenti umani sono soggette a scadenza.
I gruppi di utenti definiti nella directory dovrebbero essere rappresentativi dell'organizzazione aziendale.
Ciò non esclude che, per motivi di ergonomia IT, vengano creati gruppi ulteriori, ciò non di meno una rappresentazione allineata ai reali ruoli aziendali agevola considerevolmente il mantenimento di policies aziendali efficienti.
Infatti i gruppi dovrebbero essere utilizzati come riferimento primario nella distribuzione di accessi e permessi da parte delle applicazioni che si integrano con AD (firewalls, API Kubernetes, ArgoCD, Grafana, ...).