O blog da AWS

Utilizando o Azure Active Directory Domain Services em seu ambiente Amazon WorkSpaces

Por Caio Ribeiro César e Claudia Charro

 

O Amazon WorkSpaces é uma solução de desktop como serviço (DaaS) gerenciada e segura.

Você pode usar o Amazon WorkSpaces para provisionar desktops Windows ou Linux em apenas alguns minutos e escalar rapidamente para oferecer milhares de desktops para funcionários em todo o mundo. O Amazon WorkSpaces ajuda a eliminar a complexidade do gerenciamento de inventário de hardware, versões e patches de SO e infraestrutura de desktops virtuais (VDI), simplificando a estratégia de entrega de desktops.

Com o Amazon WorkSpaces, os usuários obtêm um desktop rápido e responsivo à sua escolha que pode ser acessado em qualquer lugar, a qualquer momento, de qualquer dispositivo compatível. Confira aqui se seu dispositivo é compatível.

O Amazon WorkSpaces usa diretórios para armazenar e gerenciar informações para seus WorkSpaces e usuários. Para seu diretório, você pode escolher entre:

  • Simple Active Directory.
  • Active Directory Connector.
  • AWS Directory Service para o Microsoft Active Directory, também conhecido como “Managed AD”
  • Diretórios externos, como o Azure Active Directory Domain Services.

O gerenciamento eficiente das identidades dos usuários em larga escala requer novas soluções que conectam múltiplas fontes de identidade, utilizadas por muitas organizações. Ao longo da jornada na nuvem, nossos clientes optam por estabelecer uma única fonte de identidade (IdP) como uma estratégia de acesso para o Service Provider incluindo seus próprios aplicativos, SaaS e AWS.

Neste post, iremos utilizar o AD Connector e o Azure Active Directory Domain Services para gerenciar suas WorkSpaces.

 

Passo 1 – Conectividade

Antes de iniciarmos a configuração de diretório e WorkSpaces, temos que ter conectividade entre os ambientes. Em outras palavras, o ambiente Azure e AWS devem ter alguma comunicação. Iremos então criar uma VPN entre uma Amazon Virtual Private Cloud (VPC) e Azure Virtual Network (VNET).

Se você já possui uma comunicação entre as nuvens AWS e Azure, siga diretamente para o passo 2.

a. Crie um novo resource group no Azure, ou utilize um criado anteriormente.

b. Crie uma Virtual Network (VNET) ou utilize uma criada anteriormente (esta VNET deve possuir 2 Subnets, uma para o AD DS e uma para o Virtual Network Gateway). No momento da criação do Virtual Network Gateway, ele irá criar sua própria subnet, então iremos criar apenas uma neste passo.

c. Crie um Virtual Network Gateway, que será o software de VPN do lado do Azure para a sua VNET. Ele é necessário para a VPN entre Azure e AWS.

Mais informações a respeito de SKU (stock keeping unit) para este serviço: https://docs.microsoft.com/pt-br/azure/vpn-gateway/vpn-gateway-about-vpngateways

 

Após a criação, copie a informação de IP Público deste Virtual Gateway e a Subnet clicando no recurso e selecionando a opção Properties, pois iremos utilizar na configuração AWS.

d. Agora no portal AWS, iremos criar uma Amazon VPC com pelo menos duas subnets privadas, pois mais a frente iremos precisar para criar o AD Connector multi-az e duas subnets públicas para acomodar as instâncias do WorkSpaces. Você pode criar uma nova Amazon VPC seguindo o tutorial da documentação ou utilizar uma já existente.

Importante: os endereços IPs devem ser diferentes do ambiente Azure (CIDR) e o Internet Gateway deve estar especificado na tabela de roteamento.

e. Para permitir que seu Amazon WorkSpaces acesse a internet, será necessário criar um Internet Gateway. Para um passo a passo detalhado, acesse a documentação através deste link.

f. Em seguida, para as subnets públicas, crie uma rota para o Internet Gateway com 0.0.0.0/0.

g. Agora iremos utilizar as informações coletadas no passo c para a criação de um Customer Gateway e posteriormente um Virtual Private Gateway.

Após criar o Customer Gateway, seu estado deve ser available.

h. Para o Virtual Private Gateway, iremos adicionar uma rota para o CIDR do Azure.

Após criar o Virtual Private Gateway, seu estado deve ser detached.

i. Associe seu Virtual Private Gateway à Amazon VPC criada anteriormente.

Após associar, o status do Virtual Private Gateway deve ser attached.

j. Para a tabela de rotas da subnets privadas, crie a rota para o Virtual Private Gateway com o CIDR da VNET do Azure .

k. Agora iremos criar a conexão VPN (Site-to-Site VPN Connections), adicionando a VNET do Azure no nosso prefixo.

l. Informe o CIDR da VNET do Azure.

Aguarde até que a VPN esteja com estado available.

m. Selecione a VPN e clique em download configuration para fazer o download do arquivo de configuração para as informações do Virtual Private Gateway e Pre-SharedKey, que serão adicionadas nos próximos passos.

n. Ao fazer download, anote o IP do Virtual Private Gateway da sessão Outside IP Addresses.

Exemplo de arquivo com configurações de VPN.

Sessão Outside IP Addresses.

Sessão #1: Internet Key Exchange Configuration

o. De volta ao portal do Azure, iremos então criar um “Local Network Gateway” com as informações obtidas no passo n.

p. Ainda no Azure, no Virtual Network Gateway, selecione a opção “Connections” e então “Add”. Preencha as informações com os dados coletados no ambiente AWS ao fazer o download das configurações de VPN no passo n.

Após a criação o Status deve ser Connected.

q. Após finalizar os passos no lado do Azure, volte para o console da AWS e confira se o status do tunnel está UP.

r. Para testar a comunicação entre as redes, basta executar uma Virtual Machine no Azure e uma EC2 no AWS e efetuar um teste de rede em uma porta que está liberada no firewall.

 

[ec2-user@ip-172-16-0-163 ~]$ telnet 192.168.128.6 22

Trying 192.168.128.6… Connected to 192.168.128.6.

SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3

Exemplo de um teste de comunicação na porta 22 de uma instância EC2 na AWS para uma Virtual Machine no Azure.

 

Importante: Lembre-se de configurar as regras inbound security group da Amazon VPC que está associado à sua instância Amazon EC2 de teste do lado da AWS. O mesmo se aplica para as regras de firewall do lado do Azure, para o inbound da instância que você utilizará para testar.

Observação: Uma vez que a arquitetura AWS está em um ambiente Multi-AZ, o ideal é configurar dois túneis IPsec para não que o ambiente não possua um ponto único de falha.

 

Passo 2 – Active Directory Domain Services & WorkSpaces.

Para que o Amazon WorkSpaces possa efetuar um domain join no Azure, precisamos habilitar o Active Directory Domain Services. Esta parte do post faz referência ao artigo criado pelo Justin Stokes, Principal Specialized Solutions Architect da AWS.

a. No mesmo resource group dos recursos em que temos o Virtual Network Gateway, VNET e as subnets, vamos criar um resource “Azure AD Domain Services”.

b. Assim que o recurso aparecer como “Running”, copie as informações de “DNS domain name” e “IP Address on virtual network”.

c. Crie um usuário de serviço e adicione ao grupo do Azure AD DC. Essa conta executa as pesquisas de usuário ao criar WorkSpaces e é usada para associar o WorkSpaces ao seu domínio do Azure. Portanto, ele deve ser um membro do grupo de administradores do Azure AD DC.

O comando abaixo deve ser executado no Azure Pshell.

Connect-AzureAD

$password = “Password123!”

$displayName = “Amazon WorkSpaces Service Account”

$upn = “awssvc@seudominio.com”

$mailName = “awssvc”

$aadAdmins = “AAD DC Administrators”

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile

$PasswordProfile.ForceChangePasswordNextLogin = $false

$PasswordProfile.Password = $password

$newaaduser = New-AzureADUser -DisplayName $displayName -PasswordProfile $PasswordProfile -UserPrincipalName $upn -AccountEnabled $true -MailNickName $mailName

Get-AzureADGroup |where {$_.displayname -like $aadAdmins} |Add-AzureADGroupMember -RefObjectId $newaaduser.ObjectId

 

Passo 3 – Criando o AWS Directory Service

Agora iremos utilizar as informações coletadas no passo “b” para configurar o diretório do Amazon WorkSpaces.

d. Acesse o console do Amazon WorkSpaces e escolha a região em que deseja criar suas instâncias através https://console.aws.amazon.com/workspaces/ e acesse o menu Directories.

e. Em seguida clique em Setup Directory e escolha o tipo de diretório AD Connector.

f. Escolha o tamanho do diretório, conforme a quantidade de usuários. Para saber mais, acesse a documentação através deste link.

g. Selecione a Amazon VPC criada anteriormente, assim como as duas subnets privadas.

h. Selecione a Amazon VPC criada anteriormente, assim como as duas subnets privadas. Os DNS IPs correspondem ao passo b.

i. Aguarde até que seu diretório esteja com o Status “Active”.

 

Passo 4 – Criando um desktop virtual com o Amazon Workspaces

Nesta etapa final, iremos criar os desktops virtuais do Amazon Workspaces associando a um usuário do Azure DS.

j. Acesse o console do Amazon WorkSpaces e escolha a região em que deseja criar suas instâncias através https://console.aws.amazon.com/workspaces/ e acesse o menu WorkSpaces.

k. Em seguida clique em Launch Workspaces e escolha o diretório criado no passo anterior.

l. Busque o usuário que deseja associar a este desktop virtual e clique em Add Selected. A seguir complete os passos posteriores até a criação do desktop virtual. Para conhecer os tipos de Bundle e configurações adicionais acesse a documentação através deste link.

m. Ao final cheque se seu diretório está com status Active e registered como Yes.

 

Conclusão

Neste post, discutimos sobre a integração de ambientes AWS e Azure, utilizando o Amazon WorkSpaces e métodos de identidade via Active Directory Domain Services. Os WorkSpaces são executados em instâncias do Amazon EC2 hospedadas na VPC. A comunicação entre o EC2 e o cliente é gerenciada pelo protocolo PCoIP (PC sobre IP). A conexão do cliente deve permitir conexões  de saída TCP e UDP na porta 4172, juntamente com conexões de saída TCP na porta 443. Para mais informações sobre o WorkSpaces, visite https://aws.amazon.com/pt/workspaces/.

 


Sobre os autores

Claudia Charro é Arquiteta de Soluções na AWS desde 2015. Seu foco são as ferramentas de governança e trabalha em conjunto com clientes enterprise para que trilhem uma jornada bem sucedida para a nuvem da AWS.

Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 13 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.