亚马逊AWS官方博客
通过 AWS Managed Microsoft Active Directory 运行混合 Active Directory 服务
使用 AWS Managed Microsoft AD 的好处
借助 AWS Managed Microsoft AD,您可以在云端启动 AWS 托管目录,并利用企业目录服务的可扩展性和高可用性,同时添加与其他 AWS 服务的无缝集成。
此外,您仍可以使用现有管理工具和方法访问 AWS Managed Microsoft AD,例如,将管理权限委派给企业中的选定组。AWS Directory Service 管理指南中描述了可委派的权限的完整列表。
使用单个 AWS 账户设计 Active Directory 服务的注意事项
单个区域
单个 AWS 账户是旅程的起点:一个简单的使用案例可能是您需要在云中从头开始部署新的解决方案的场景(图 1)。
在单个 AWS 账户和单区域模型中,本地 Active Directory 在本地数据中心配置了“company.com”域。在 AWS 区域的两个可用区中设置 AWS Managed Microsoft AD 以实现高可用性。它配置了单个域“na.company.com”。本地 Active Directory 配置为信任通过 AWS Direct Connect 或 VPN 进行网络连接的 AWS Managed Microsoft AD。在 EC2 实例上运行的 Active Directory 感知型应用程序已加入 na.company.com 域,选定的 AWS 托管式服务(例如,适用于 SQL Server 的 Amazon Relational Database Service)也是如此。
多区域
随着您的云足迹扩展到更多 AWS 区域,您还可以通过两种方式来扩展 AWS Managed Microsoft AD,具体取决于所使用的 AWS Managed Microsoft AD 版本(图 2):
- 借助 AWS Managed Microsoft AD 企业版,您可以启用多区域复制功能来自动配置区域间网络连接、部署域控制器以及跨多个区域复制所有 Active Directory 数据。这可确保驻留在这些区域的 Active Directory 感知型工作负载能够以低延迟连接到和使用 AWS Managed Microsoft AD,并实现高性能。
- 借助 AWS Managed Microsoft AD 标准版,您需要通过在每个区域创建独立的 AWS Managed Microsoft AD 目录来添加域。在图 2 中,添加了“eu.company.com”域,AWS Transit Gateway 在两个 AWS 区域内的 Active Directory 感知型应用程序之间路由流量。本地 Active Directory 配置为信任通过 Direct Connect 或 VPN 连接的 AWS Managed Microsoft AD。
使用多个 AWS 账户设计 Active Directory 服务的注意事项
大型企业使用多个 AWS 账户实施管理委托和计费。通常,这将通过 AWS Control Tower 服务或 AWS Control Tower 登录区解决方案来实施。
单个区域
您可以与一个 AWS 区域内的多个 AWS 账户共享一个 AWS Managed Microsoft AD。利用此功能,可以更简单、更经济高效地跨账户和 Amazon Virtual Private Cloud(VPC)管理单个目录中的 Active Directory 感知型工作负载。此选项还允许您将适用于 Windows 的 EC2 实例无缝加入到 AWS Managed Microsoft AD。
最佳实践是将 AWS Managed Microsoft AD 置于单独的 AWS 账户中,虽然仅具有有限的管理员访问权限,但可以与其他 AWS 账户共享服务。共享服务并配置路由后,Active Directory 感知型应用程序(例如 Microsoft SharePoint)可无缝加入 Active Directory 域服务并保持对所有管理任务的控制。在共享 AWS Managed AD 目录教程中查找有关共享 AWS Managed Microsoft AD 的更多详细信息。
多区域
对于多个 AWS 账户和多个 AWS 区域模式,我们建议使用 AWS 托管微软 AD 企业版。在图 3 中,AWS Managed Microsoft AD 企业版支持在提供 AWS Managed Microsoft AD 的所有 AWS 区域中自动执行多区域复制。在 AWS Managed Microsoft AD 多区域复制中,Active Directory 感知型应用程序使用本地目录来实现高性能,但仍保留多区域以实现高弹性。
域名系统解析设计
要使 Active Directory 感知型应用程序能够在本地数据中心和 AWS Cloud 之间进行通信,需要一个可靠的域名系统(DNS,Domain Name System)解析解决方案。您可以将 Amazon VPC 动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)选项集设置为 AWS Managed Microsoft AD 或本地 Active Directory;然后将它分配给所需的 Active Directory 感知型应用程序所在的每个 VPC。Amazon Virtual Private Cloud 用户指南中描述了使用 DHCP 选项集的选项的完整列表。
配置 DHCP 选项集的好处是,允许 VPC 中的任何 EC2 实例通过指向指定的域和 DNS 服务器来解析其域名。这样一来,便无需在 EC2 实例上手动配置 DNS 了。不过,由于无法跨 AWS 账户共享 DHCP 选项集,因此,还需要在其他账户中创建 DHCP 选项集。
另一种选择是创建 Amazon Route 53 Resolver。这使客户能够利用 Amazon 提供的 DNS 和 Route 53 Resolver 端点将 DNS 查询转发到本地 Active Directory 或 AWS Managed Microsoft AD。这是多账户设置和需要 Hub/Spoke DNS 管理的客户的理想之选。
此替代解决方案采用托管式可扩展解决方案,消除了创建和管理作为 DNS 转发器运行的 EC2 实例的需求,因为可以与其他 AWS 账户共享 Route 53 Resolver 转发规则。图 5 演示了 Route 53 Resolver 将 DNS 查询转发到本地 Active Directory。
结论
在本博文中,我们介绍了使用 AWS Managed Microsoft AD 与本地 Active Directory 集成的好处。我们还讨论了在使用 AWS Managed Microsoft AD 构建混合 Active Directory 服务时需要探究的一系列设计注意事项。从单个 AWS 账户和区域到多个 AWS 账户和多个区域,审查了不同的设计方案。我们还讨论了如何在 Amazon VPC DHCP 选项集和用于 DNS 解析的 Route 53 Resolver 之间做出选择。
延伸阅读