Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Skenario 2: Memperluas AD DS lokal menjadi AWS (replika)
Skenario ini mirip dengan skenario 1. Namun, dalam skenario ini, replika AD DS pelanggan digunakan AWS dalam kombinasi dengan AD Connector. Ini mengurangi latensi otentikasi atau permintaan kueri ke AD DS yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2). Gambar berikut menunjukkan tampilan tingkat tinggi dari masing-masing komponen dan aliran otentikasi pengguna.
Gambar 7: Memperluas Domain Direktori Aktif pelanggan ke cloud
Seperti dalam skenario 1, AD Connector digunakan untuk semua pengguna atau otentikasi MFA, yang pada gilirannya diproksi ke AD DS pelanggan (lihat gambar sebelumnya). Dalam skenario ini, AD DS pelanggan diterapkan di seluruh AZ di instans Amazon EC2 yang dipromosikan menjadi pengontrol domain di hutan AD lokal
Setelah WorkSpaces instance diterapkan, mereka memiliki akses ke pengontrol domain berbasis cloud untuk layanan direktori latensi rendah dan aman dan DNS. Semua lalu lintas jaringan, termasuk komunikasi AD DS, permintaan otentikasi, dan replikasi AD, diamankan baik di dalam subnet pribadi atau di terowongan VPN pelanggan atau Direct Connect.
Arsitektur ini menggunakan komponen atau konstruksi berikut:
AWS
-
Amazon VPC - Pembuatan VPC Amazon dengan setidaknya empat subnet pribadi di dua AZ - dua untuk AD DS pelanggan, dua untuk AD Connector atau Amazon. WorkSpaces
-
Set Opsi DHCP - Pembuatan set opsi Amazon VPC DHCP. Hal ini memungkinkan pelanggan untuk menentukan nama domain tertentu dan DNS (AD DS lokal). Untuk informasi selengkapnya, lihat DHCP Options Sets.
-
Amazon Virtual Private Gateway — Aktifkan komunikasi dengan jaringan milik pelanggan melalui terowongan atau koneksi VPN IPsec. AWS Direct Connect
-
Amazon EC2
-
Pengontrol domain AD DS perusahaan pelanggan yang digunakan di instans Amazon EC2 dalam subnet VPC pribadi khusus.
-
Server RADIUS pelanggan (opsional) untuk MFA di instans Amazon EC2 dalam subnet VPC pribadi khusus.
-
-
AWS Layanan Direktori — AD Connector digunakan ke sepasang subnet pribadi Amazon VPC.
-
Amazon WorkSpaces — WorkSpaces digunakan ke subnet pribadi yang sama dengan AD Connector. Untuk informasi selengkapnya, lihat bagian Direktori Aktif: Situs dan Layanan pada dokumen ini.
Pelanggan
-
Konektivitas jaringan — VPN Perusahaan atau AWS Direct Connect titik akhir.
-
AD DS — AD DS Perusahaan (diperlukan untuk replikasi).
-
MFA (opsional) - Server RADIUS Perusahaan.
-
Perangkat pengguna akhir — Perangkat pengguna akhir perusahaan atau BYOL (seperti Windows, Mac, iPad, tablet Android, nol klien, dan Chromebook) yang digunakan untuk mengakses layanan Amazon. WorkSpaces Lihat daftar aplikasi klien untuk perangkat dan browser web yang didukung. Solusi ini tidak memiliki peringatan yang sama dengan skenario 1. Amazon WorkSpaces dan AWS Directory Service tidak memiliki ketergantungan pada konektivitas yang ada.
-
Ketergantungan pada konektivitas — Jika konektivitas ke pusat data pelanggan hilang, pengguna akhir dapat terus bekerja karena otentikasi dan MFA opsional diproses secara lokal.
-
Latensi — Dengan pengecualian lalu lintas replikasi, semua otentikasi bersifat lokal dan latensi rendah. Lihat bagian Direktori Aktif: Situs dan Layanan dari dokumen ini.
-
Biaya lalu lintas — Dalam skenario ini, otentikasi bersifat lokal, dengan hanya replikasi AD DS yang harus melintasi tautan VPN atau Direct Connect, mengurangi transfer data.
Secara umum, WorkSpaces pengalaman ditingkatkan dan konektivitas tidak terlalu bergantung pada pengontrol domain lokal, seperti yang ditunjukkan pada gambar sebelumnya. Ini juga terjadi ketika pelanggan ingin menskalakan WorkSpaces ke ribuan desktop, terutama dalam kaitannya dengan kueri katalog global AD DS, karena lalu lintas ini tetap lokal ke lingkungan. WorkSpaces
