透過 Amazon Managed Microsoft AD 執行混合 AD 服務

亞馬遜雲開發者發表於2023-03-31

企業客戶通常需要構建混合 Active Directory 解決方案,以支援在現有本地企業資料中心和 Amazon Cloud 中執行的應用程式。這樣做的理由有很多,例如,保持與本地舊版應用程式的整合、保持對基礎設施資源的控制以及滿足特定的行業合規性要求。為了將本地 Active Directory 環境擴充套件到 Amazon,一些客戶在為兩個環境設定連線後,選擇在自行管理的 Amazon Elastic Compute Cloud(EC2,Elastic Compute Cloud)例項上部署 Active Directory 服務。儘管此設定很有用,但在 EC2 例項操作管理、Windows 作業系統以及 Active Directory 服務修補和備份方面,它也帶來了管理和操作方面的挑戰。這個時候 Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD)就可以發揮作用了。

亞馬遜雲科技開發者社群為開發者們提供全球的開發技術資源。這裡有技術文件、開發案例、技術專欄、培訓影片、活動與競賽等。幫助中國開發者對接世界最前沿技術,觀點,和專案,並將中國優秀開發者或技術推薦給全球雲社群。如果你還沒有關注/收藏,看到這裡請一定不要匆匆劃過,點這裡讓它成為你的技術寶庫!

使用 Amazon Managed Microsoft AD 的好處

藉助 Amazon Managed Microsoft AD,您可以在雲端啟動 Amazon 託管目錄,並利用企業目錄服務的可擴充套件性和高可用性,同時新增與其他 Amazon 服務的無縫整合。

此外,您仍可以使用現有管理工具和方法訪問 Amazon Managed Microsoft AD,例如,將管理許可權委派給企業中的選定組。Amazon Directory Service 管理指南中描述了可委派的許可權的完整列表。

使用單個 Amazon 賬戶設計 Active Directory 服務的注意事項

單個區域

單個 Amazon 賬戶是旅程的起點:一個簡單的使用案例可能是您需要在雲中從頭開始部署新的解決方案的場景(圖 1)。

圖 1.單個 Amazon 賬戶和單區域模型

在單個 Amazon 賬戶和單區域模型中,本地 Active Directory 在本地資料中心配置了“company.com”域。在 Amazon 區域的兩個可用區中設定 Amazon Managed Microsoft AD 以實現高可用性。它配置了單個域“na.company.com”。本地 Active Directory 配置為信任透過 Amazon Direct Connect 或 VPN 進行網路連線的 Amazon Managed Microsoft AD。在 EC2 例項上執行的 Active Directory 感知型應用程式已加入 na.company.com 域,選定的 Amazon 託管式服務(例如,適用於 SQL Server 的 Amazon Relational Database Service)也是如此。

多區域

隨著您的雲足跡擴充套件到更多 Amazon 區域,您還可以透過兩種方式來擴充套件 Amazon Managed Microsoft AD,具體取決於所使用的 Amazon Managed Microsoft AD 版本(圖 2):

  1. 藉助 Amazon Managed Microsoft AD 企業版,您可以啟用多區域複製功能來自動配置區域間網路連線、部署域控制器以及跨多個區域複製所有 Active Directory 資料。這可確保駐留在這些區域的 Active Directory 感知型工作負載能夠以低延遲連線到和使用 Amazon Managed Microsoft AD,並實現高效能。
  2. 藉助 Amazon Managed Microsoft AD 標準版,您需要透過在每個區域建立獨立的 Amazon Managed Microsoft AD 目錄來新增域。在圖 2 中,新增了“eu.company.com”域,Amazon Transit Gateway 在兩個 Amazon 區域內的 Active Directory 感知型應用程式之間路由流量。本地 Active Directory 配置為信任透過 Direct Connect 或 VPN 連線的 Amazon Managed Microsoft AD。

圖 2.單個 Amazon 賬戶和多區域模型

使用多個 Amazon 賬戶設計 Active Directory 服務的注意事項

大型企業使用多個 Amazon 賬戶實施管理委託和計費。通常,這將透過 Amazon Control Tower 服務或 Amazon Control Tower 登入區解決方案來實施。

單個區域

您可以與一個 Amazon 區域內的多個 Amazon 賬戶共享一個 Amazon Managed Microsoft AD。利用此功能,可以更簡單、更經濟高效地跨賬戶和 Amazon Virtual Private Cloud(VPC)管理單個目錄中的 Active Directory 感知型工作負載。此選項還允許您將適用於 Windows 的 EC2 例項無縫加入到 Amazon Managed Microsoft AD。

最佳實踐是將 Amazon Managed Microsoft AD 置於單獨的 Amazon 賬戶中,雖然僅具有有限的管理員訪問許可權,但可以與其他 Amazon 賬戶共享服務。共享服務並配置路由後,Active Directory 感知型應用程式(例如 Microsoft SharePoint)可無縫加入 Active Directory 域服務並保持對所有管理任務的控制。在共享 Amazon Managed AD 目錄教程中查詢有關共享 Amazon Managed Microsoft AD 的更多詳細資訊。

多區域

對於多個 Amazon 賬戶和多個 Amazon 區域模式,我們建議使用 Amazon 託管微軟 AD 企業版。在圖 3 中,Amazon Managed Microsoft AD 企業版支援在提供 Amazon Managed Microsoft AD 的所有 Amazon 區域中自動執行多區域複製。在 Amazon Managed Microsoft AD 多區域複製中,Active Directory 感知型應用程式使用本地目錄來實現高效能,但仍保留多區域以實現高彈性。

圖 3.多個 Amazon 賬戶和多區域模型

域名系統解析設計

要使 Active Directory 感知型應用程式能夠在本地資料中心和 Amazon Cloud 之間進行通訊,需要一個可靠的域名系統(DNS,Domain Name System)解析解決方案。您可以將 Amazon VPC 動態主機配置協議(DHCP,Dynamic Host Configuration Protocol)選項集設定為 Amazon Managed Microsoft AD 或本地 Active Directory;然後將它分配給所需的 Active Directory 感知型應用程式所在的每個 VPC。Amazon Virtual Private Cloud 使用者指南中描述了使用 DHCP 選項集的選項的完整列表。

配置 DHCP 選項集的好處是,允許 VPC 中的任何 EC2 例項透過指向指定的域和 DNS 伺服器來解析其域名。這樣一來,便無需在 EC2 例項上手動配置 DNS 了。不過,由於無法跨 Amazon 賬戶共享 DHCP 選項集,因此,還需要在其他賬戶中建立 DHCP 選項集。

圖 4.DHCP 選項集

另一種選擇是建立 Amazon Route 53 Resolver。這使客戶能夠利用 Amazon 提供的 DNS 和 Route 53 Resolver 端點將 DNS 查詢轉發到本地 Active Directory 或 Amazon Managed Microsoft AD。這是多賬戶設定和需要 Hub/Spoke DNS 管理的客戶的理想之選。

此替代解決方案採用託管式可擴充套件解決方案,消除了建立和管理作為 DNS 轉發器執行的 EC2 例項的需求,因為可以與其他 Amazon 賬戶共享 Route 53 Resolver 轉發規則。圖 5 演示了 Route 53 Resolver 將 DNS 查詢轉發到本地 Active Directory。

圖 5.Route 53 Resolver

結論

在本博文中,我們介紹了使用 Amazon Managed Microsoft AD 與本地 Active Directory 整合的好處。我們還討論了在使用 Amazon Managed Microsoft AD 構建混合 Active Directory 服務時需要探究的一系列設計注意事項。從單個 Amazon 賬戶和區域到多個 Amazon 賬戶和多個區域,審查了不同的設計方案。我們還討論瞭如何在 Amazon VPC DHCP 選項集和用於 DNS 解析的 Route 53 Resolver 之間做出選擇。

延伸閱讀

Lewis Tang

Lewis Tang 是澳大利亞悉尼的 Amazon Web Services 高階解決方案架構師。Lewis 為合作伙伴提供有關各種 Amazon 服務的指導,並幫助合作伙伴加快 Amazon 業務的發展。

文章來源:https://dev.amazoncloud.cn/column/article/6309923aafd24c6ba21...

相關文章