Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zentralisieren Sie die DNS-Auflösung mithilfe von AWS Managed Microsoft AD und lokalem Microsoft Active Directory
Erstellt von Brian Westmoreland (AWS)
Umgebung: Produktion | Technologien: Infrastruktur; Netzwerke DevOps; Sicherheit, Identität, Compliance; Betriebssysteme | Arbeitslast: Microsoft |
AWS-Services: AWS Managed Microsoft AD; Amazon Route 53; AWS RAM; AWS Directory Service; AWS Organizations; AWS Direct Connect; AWS CLI |
Übersicht
Dieses Muster bietet Anleitungen zur Zentralisierung der DNS-Auflösung (Domain Name System) in einer AWS-Umgebung mit mehreren Konten mithilfe von AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD). In diesem Muster ist der AWS-DNS-Namespace eine Unterdomäne des lokalen DNS-Namespace. Dieses Muster bietet auch Anleitungen zur Konfiguration der lokalen DNS-Server für die Weiterleitung von Abfragen an AWS, wenn die lokale DNS-Lösung Microsoft Active Directory verwendet.
Voraussetzungen und Einschränkungen
Voraussetzungen
Eine AWS-Umgebung mit mehreren Konten, die mithilfe von AWS Organizations eingerichtet wurde.
Netzwerkkonnektivität zwischen AWS-Konten hergestellt.
Netzwerkkonnektivität zwischen AWS und der lokalen Umgebung hergestellt (mithilfe von AWS Direct Connect oder einer beliebigen VPN-Verbindung).
AWS-Befehlszeilenschnittstelle (AWS CLI), die auf einer lokalen Workstation konfiguriert ist.
AWS Resource Access Manager (AWS RAM) wurde verwendet, um Amazon Route 53 53-Regeln zwischen Konten gemeinsam zu nutzen. Daher muss das Teilen in der Umgebung von AWS Organizations aktiviert sein, wie im Abschnitt Epics beschrieben.
Einschränkungen
Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien.
Die AWS Managed Microsoft AD Enterprise Edition hat ein Limit von 125 Aktien.
Diese Lösung in diesem Muster ist auf AWS-Regionen beschränkt, die die gemeinsame Nutzung über AWS-RAM unterstützen.
Produktversionen
Microsoft Active Directory wird auf Windows Server 2008, 2012, 2012 R2 oder 2016 ausgeführt
Architektur
Zielarchitektur
![Architektur für zentralisierte DNS-Auflösung auf AWS](images/pattern-img/91430e2a-f7f6-4dbe-9fe7-8abed1f764a7/images/9b5fc51d-590b-468f-80f7-1949f3b3b258.png)
In diesem Design ist AWS Managed Microsoft AD im AWS-Konto für gemeinsame Dienste installiert. Obwohl dies keine Anforderung ist, geht dieses Muster von dieser Konfiguration aus. Wenn Sie AWS Managed Microsoft AD in einem anderen AWS-Konto konfigurieren, müssen Sie möglicherweise die Schritte im Abschnitt Epics entsprechend ändern.
Dieses Design verwendet Route 53 53-Resolver, um die Namensauflösung mithilfe von Route 53 53-Regeln zu unterstützen. Wenn die lokale DNS-Lösung Microsoft DNS verwendet, ist die Erstellung einer bedingten Weiterleitungsregel für den AWS-Namespace (aws.company.com
), der eine Unterdomäne des Unternehmens-DNS-Namespace (company.com
) ist, nicht einfach. Wenn Sie versuchen, eine herkömmliche bedingte Weiterleitung zu erstellen, führt dies zu einem Fehler. Dies liegt daran, dass Microsoft Active Directory bereits für jede Subdomain von als maßgeblich angesehen wird. company.com
Um diesen Fehler zu umgehen, müssen Sie zunächst eine Delegierung erstellen, um die Autorität für diesen aws.company.com
Namespace zu delegieren. Anschließend können Sie die bedingte Weiterleitung erstellen.
Die Virtual Private Cloud (VPC) für jedes Spoke-Konto kann einen eigenen eindeutigen DNS-Namespace haben, der auf dem AWS-Stammnamespace basiert. In diesem Design hängt jedes Spoke-Konto eine Abkürzung des Kontonamens an den AWS-Basisnamespace an. Nachdem die privaten gehosteten Zonen im Spoke-Konto erstellt wurden, werden die Zonen mit der VPC im Spoke-Konto sowie mit der VPC im zentralen AWS-Netzwerkkonto verknüpft. Dadurch kann das zentrale AWS-Netzwerkkonto DNS-Anfragen beantworten, die sich auf die Spoke-Konten beziehen.
Automatisierung und Skalierung
Dieses Design verwendet Route 53 Resolver-Endpunkte, um DNS-Abfragen zwischen AWS und Ihrer lokalen Umgebung zu skalieren. Jeder Route 53 Resolver-Endpunkt umfasst mehrere elastische Netzwerkschnittstellen (verteilt auf mehrere Availability Zones), und jede Netzwerkschnittstelle kann bis zu 10.000 Abfragen pro Sekunde verarbeiten. Route 53 Resolver unterstützt bis zu 6 IP-Adressen pro Endpunkt, sodass dieses Design insgesamt bis zu 60.000 DNS-Abfragen pro Sekunde unterstützt, die über mehrere Availability Zones verteilt sind, um eine hohe Verfügbarkeit zu gewährleisten.
Darüber hinaus berücksichtigt dieses Muster automatisch das future Wachstum innerhalb von AWS. Die vor Ort konfigurierten DNS-Weiterleitungsregeln müssen nicht geändert werden, um neue VPCs und die zugehörigen privaten Hosting-Zonen zu unterstützen, die zu AWS hinzugefügt werden.
Tools
AWS-Services
AWS Directory Service für Microsoft Active Directory ermöglicht Ihren verzeichnissensitiven Workloads und AWS-Ressourcen die Nutzung von Microsoft Active Directory in der AWS-Cloud.
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
Mit AWS Resource Access Manager (AWS RAM) können Sie Ihre Ressourcen sicher für mehrere AWS-Konten gemeinsam nutzen, um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS-Web-Service.
Tools
AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie über Befehle in Ihrer Befehlszeilen-Shell mit AWS-Services interagieren können. In diesem Muster wird die AWS-CLI verwendet, um Route 53 53-Autorisierungen zu konfigurieren.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Stellen Sie AWS Managed Microsoft AD bereit. |
| AWS-Administrator |
Teilen Sie das Verzeichnis. | Nachdem das Verzeichnis erstellt wurde, teilen Sie es mit anderen AWS-Konten in der AWS-Organisation. Anweisungen finden Sie unter Ihr Verzeichnis teilen im AWS Directory Service Administration Guide. Hinweis: Die AWS Managed Microsoft AD Standard Edition hat ein Limit von 5 Aktien. Die Enterprise Edition hat ein Limit von 125 Aktien. | AWS-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie Route 53 53-Resolver. | Route 53 53-Resolver erleichtern die Auflösung von DNS-Abfragen zwischen AWS und dem lokalen Rechenzentrum.
Hinweis: Die Verwendung der zentralen AWS-Netzwerkkonto-VPC ist zwar nicht erforderlich, die verbleibenden Schritte gehen jedoch von dieser Konfiguration aus. | AWS-Administrator |
Erstellen Sie Route 53 53-Regeln. | Ihr spezieller Anwendungsfall erfordert möglicherweise eine große Anzahl von Route 53 53-Regeln, aber Sie müssen die folgenden Regeln als Grundlage konfigurieren:
Weitere Informationen finden Sie unter Managing Forwarding Rules im Route 53 Developer Guide. | AWS-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie die Delegation. | Verwenden Sie das Microsoft DNS-Snap-In ( | Active Directory |
Erstellen Sie den bedingten Forwarder. | Verwenden Sie das Microsoft DNS-Snap-In ( | Active Directory |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie die privaten gehosteten Zonen von Route 53 | Erstellen Sie in jedem Spoke-Konto eine private gehostete Route 53 53-Zone. Ordnen Sie diese privat gehostete Zone der Spoke-Konto-VPC zu. Eine ausführliche Anleitung finden Sie unter Creating a private hosted zone im Route 53 Developer Guide. | AWS-Administrator |
Autorisierungen erstellen. | Verwenden Sie die AWS-CLI, um eine Autorisierung für die zentrale AWS-Netzwerkkonto-VPC zu erstellen. Führen Sie diesen Befehl im Kontext jedes Spoke-AWS-Kontos aus:
Wobei:
| AWS-Administrator |
Erstellen Sie Assoziationen. | Erstellen Sie mithilfe der AWS-CLI die Route 53 53-Zuordnung für die private gehostete Zone für die zentrale AWS-Netzwerkkonto-VPC. Führen Sie diesen Befehl im Kontext des zentralen AWS-Netzwerkkontos aus:
Wobei:
| AWS-Administrator |
Zugehörige Ressourcen
Vereinfachen Sie das DNS-Management in einer Umgebung mit mehreren Konten mit Route 53 Resolver
(AWS-Blogbeitrag von Mahmoud Matouk) Erstellen eines Verzeichnisses mit AWS Managed Microsoft AD (Dokumentation zu AWS Directory Service)
Teilen eines von AWS verwalteten Microsoft AD-Verzeichnisses (AWS Directory Service Service-Dokumentation)
Installation eines Route 53 53-Resolvers (Amazon Route 53 53-Dokumentation)
Erstellen einer privaten, gehosteten Route 53 53-Zone (Amazon Route 53 53-Dokumentation)