乐趣区

关于amazon:通过-Amazon-Managed-Microsoft-AD-运行混合-AD-服务

企业客户通常须要构建混合 Active Directory 解决方案,以反对在现有本地企业数据中心和 Amazon Cloud 中运行的应用程序。这样做的理由有很多,例如,放弃与本地旧版应用程序的集成、放弃对基础设施资源的管制以及满足特定的行业合规性要求。为了将本地 Active Directory 环境扩大到 Amazon,一些客户在为两个环境设置连贯后,抉择在自行治理的 Amazon Elastic Compute Cloud(EC2,Elastic Compute Cloud)实例上部署 Active Directory 服务。只管此设置很有用,但在 EC2 实例操作治理、Windows 操作系统以及 Active Directory 服务修补和备份方面,它也带来了治理和操作方面的挑战。这个时候 Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD)就能够发挥作用了。

亚马逊云科技开发者社区为开发者们提供寰球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、流动与比赛等。帮忙中国开发者对接世界最前沿技术,观点,和我的项目,并将中国优良开发者或技术举荐给寰球云社区。如果你还没有关注 / 珍藏,看到这里请肯定不要匆匆划过,点这里让它成为你的技术宝库!

应用 Amazon Managed Microsoft AD 的益处

借助 Amazon Managed Microsoft AD,您能够在云端启动 Amazon 托管目录,并利用企业目录服务的可扩展性和高可用性,同时增加与其余 Amazon 服务的无缝集成。

此外,您仍能够应用现有管理工具和办法拜访 Amazon Managed Microsoft AD,例如,将管理权限委派给企业中的选定组。Amazon Directory Service 治理指南中形容了可委派的权限的残缺列表。

应用单个 Amazon 账户设计 Active Directory 服务的注意事项

单个区域

单个 Amazon 账户是旅程的终点:一个简略的应用案例可能是您须要在云中从头开始部署新的解决方案的场景(图 1)。

图 1. 单个 Amazon 账户和单区域模型

在单个 Amazon 账户和单区域模型中,本地 Active Directory 在本地数据中心配置了“company.com”域。在 Amazon 区域的两个可用区中设置 Amazon Managed Microsoft AD 以实现高可用性。它配置了单个域“na.company.com”。本地 Active Directory 配置为信赖通过 Amazon Direct Connect 或 VPN 进行网络连接的 Amazon Managed Microsoft AD。在 EC2 实例上运行的 Active Directory 感知型应用程序已退出 na.company.com 域,选定的 Amazon 托管式服务(例如,实用于 SQL Server 的 Amazon Relational Database Service)也是如此。

多区域

随着您的云脚印扩大到更多 Amazon 区域,您还能够通过两种形式来扩大 Amazon Managed Microsoft AD,具体取决于所应用的 Amazon Managed Microsoft AD 版本(图 2):

  1. 借助 Amazon Managed Microsoft AD 企业版 ,您能够启用多区域复制性能来主动配置区域间网络连接、部署域控制器以及跨多个区域复制所有 Active Directory 数据。这可确保驻留在这些区域的 Active Directory 感知型工作负载可能以低提早连贯到和应用 Amazon Managed Microsoft AD,并实现高性能。
  2. 借助 Amazon Managed Microsoft AD 标准版 ,您须要通过在每个区域创立独立的 Amazon Managed Microsoft AD 目录来增加域。在图 2 中,增加了“eu.company.com”域,Amazon Transit Gateway 在两个 Amazon 区域内的 Active Directory 感知型应用程序之间路由流量。本地 Active Directory 配置为信赖通过 Direct Connect 或 VPN 连贯的 Amazon Managed Microsoft AD。

图 2. 单个 Amazon 账户和多区域模型

应用多个 Amazon 账户设计 Active Directory 服务的注意事项

大型企业应用多个 Amazon 账户施行治理委托和计费。通常,这将通过 Amazon Control Tower 服务或 Amazon Control Tower 登录区解决方案来施行。

单个区域

您能够与一个 Amazon 区域内的多个 Amazon 账户共享一个 Amazon Managed Microsoft AD。利用此性能,能够更简略、更经济高效地跨账户和 Amazon Virtual Private Cloud(VPC)治理单个目录中的 Active Directory 感知型工作负载。此选项还容许您将实用于 Windows 的 EC2 实例无缝退出到 Amazon Managed Microsoft AD。

最佳实际是将 Amazon Managed Microsoft AD 置于独自的 Amazon 账户中,尽管仅具备无限的管理员拜访权限,但能够与其余 Amazon 账户共享服务。共享服务并配置路由后,Active Directory 感知型应用程序(例如 Microsoft SharePoint)可无缝退出 Active Directory 域服务并放弃对所有治理工作的管制。在共享 Amazon Managed AD 目录教程中查找无关共享 Amazon Managed Microsoft AD 的更多详细信息。

多区域

对于多个 Amazon 账户和多个 Amazon 区域模式,咱们倡议应用 Amazon 托管微软 AD 企业版。在图 3 中,Amazon Managed Microsoft AD 企业版反对在提供 Amazon Managed Microsoft AD 的所有 Amazon 区域中主动执行多区域复制。在 Amazon Managed Microsoft AD 多区域复制中,Active Directory 感知型应用程序应用本地目录来实现高性能,但仍保留多区域以实现高弹性。

图 3. 多个 Amazon 账户和多区域模型

域名零碎解析设计

要使 Active Directory 感知型应用程序可能在本地数据中心和 Amazon Cloud 之间进行通信,须要一个牢靠的域名零碎(DNS,Domain Name System)解析解决方案。您能够将 Amazon VPC 动静主机配置协定(DHCP,Dynamic Host Configuration Protocol)选项集设置为 Amazon Managed Microsoft AD 或本地 Active Directory;而后将它调配给所需的 Active Directory 感知型应用程序所在的每个 VPC。Amazon Virtual Private Cloud 用户指南中形容了应用 DHCP 选项集的选项的残缺列表。

配置 DHCP 选项集的益处是,容许 VPC 中的任何 EC2 实例通过指向指定的域和 DNS 服务器来解析其域名。这样一来,便无需在 EC2 实例上手动配置 DNS 了。不过,因为无奈跨 Amazon 账户共享 DHCP 选项集,因而,还须要在其余账户中创立 DHCP 选项集。

图 4.DHCP 选项集

另一种抉择是创立 Amazon Route 53 Resolver。这使客户可能利用 Amazon 提供的 DNS 和 Route 53 Resolver 端点将 DNS 查问转发到本地 Active Directory 或 Amazon Managed Microsoft AD。这是多账户设置和须要 Hub/Spoke DNS 治理的客户的现实之选。

此代替解决方案采纳托管式可扩大解决方案,打消了创立和治理作为 DNS 转发器运行的 EC2 实例的需要,因为能够与其余 Amazon 账户共享 Route 53 Resolver 转发规定。图 5 演示了 Route 53 Resolver 将 DNS 查问转发到本地 Active Directory。

图 5.Route 53 Resolver

论断

在本博文中,咱们介绍了应用 Amazon Managed Microsoft AD 与本地 Active Directory 集成的益处。咱们还探讨了在应用 Amazon Managed Microsoft AD 构建混合 Active Directory 服务时须要探索的一系列设计注意事项。从单个 Amazon 账户和区域到多个 Amazon 账户和多个区域,审查了不同的设计方案。咱们还探讨了如何在 Amazon VPC DHCP 选项集和用于 DNS 解析的 Route 53 Resolver 之间做出抉择。

延长浏览

  • 将目录服务的 DNS 解析与 Amazon Route 53 Resolver 集成
  • 带 Active Directory 的 Amazon 混合 DNS

Lewis Tang

Lewis Tang 是澳大利亚悉尼的 Amazon Web Services 高级解决方案架构师。Lewis 为合作伙伴提供无关各种 Amazon 服务的领导,并帮忙合作伙伴放慢 Amazon 业务的倒退。

文章起源:https://dev.amazoncloud.cn/column/article/6309923aafd24c6ba21…

退出移动版