Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e Microsoft Active Directory locale
Creato da Brian Westmoreland (AWS)
Ambiente: produzione | Tecnologie: infrastruttura; rete DevOps; sicurezza, identità, conformità; sistemi operativi | Carico di lavoro: Microsoft |
Servizi AWS: AWS Managed Microsoft AD; Amazon Route 53; AWS RAM; AWS Directory Service; AWS Organizations; AWS Direct Connect; AWS CLI |
Riepilogo
Questo modello fornisce linee guida per centralizzare la risoluzione del Domain Name System (DNS) all'interno di un ambiente AWS multi-account utilizzando AWS Directory Service per Microsoft Active Directory (AWS Managed Microsoft AD). In questo modello, lo spazio dei nomi DNS AWS è un sottodominio dello spazio dei nomi DNS locale. Questo modello fornisce anche indicazioni su come configurare i server DNS locali per inoltrare le query ad AWS quando la soluzione DNS locale utilizza Microsoft Active Directory.
Prerequisiti e limitazioni
Prerequisiti
Un ambiente AWS multi-account configurato utilizzando AWS Organizations.
Connettività di rete stabilita tra account AWS.
Connettività di rete stabilita tra AWS e l'ambiente locale (utilizzando AWS Direct Connect o qualsiasi tipo di connessione VPN).
AWS Command Line Interface (AWS CLI) configurata su una workstation locale.
AWS Resource Access Manager (AWS RAM) utilizzato per condividere le regole di Amazon Route 53 tra account. Pertanto, la condivisione deve essere abilitata all'interno dell'ambiente AWS Organizations, come descritto nella sezione Epics.
Limitazioni
AWS Managed Microsoft AD Standard Edition ha un limite di 5 condivisioni.
AWS Managed Microsoft AD Enterprise Edition ha un limite di 125 condivisioni.
Questa soluzione in questo modello è limitata alle regioni AWS che supportano la condivisione tramite RAM AWS.
Versioni del prodotto
Microsoft Active Directory in esecuzione su Windows Server 2008, 2012, 2012 R2 o 2016
Architettura
Architettura Target
In questo design, AWS Managed Microsoft AD è installato nell'account AWS dei servizi condivisi. Sebbene questo non sia un requisito, questo modello presuppone questa configurazione. Se configuri AWS Managed Microsoft AD in un altro account AWS, potresti dover modificare di conseguenza i passaggi nella sezione Epics.
Questo design utilizza i Resolver Route 53 per supportare la risoluzione dei nomi tramite l'uso delle regole Route 53. Se la soluzione DNS locale utilizza Microsoft DNS, la creazione di una regola di inoltro condizionale per il namespace AWS aws.company.com
(), che è un sottodominio dello spazio dei nomi DNS dell'azienda (), non è semplice. company.com
Se si tenta di creare un server d'inoltro condizionale tradizionale, si verificherà un errore. Questo perché Microsoft Active Directory è già considerato autorevole per qualsiasi sottodominio di. company.com
Per aggirare questo errore, devi prima creare una aws.company.com
delega per delegare l'autorità di quel namespace. È quindi possibile creare il server d'inoltro condizionale.
Il cloud privato virtuale (VPC) per ogni account spoke può avere il proprio spazio dei nomi DNS univoco basato sullo spazio dei nomi principale di AWS. In questo design, ogni account spoke aggiunge un'abbreviazione del nome dell'account allo spazio dei nomi AWS di base. Dopo aver creato le zone ospitate private nell'account spoke, le zone vengono associate al VPC nell'account spoke e al VPC nell'account di rete AWS centrale. Ciò consente all'account di rete AWS centrale di rispondere alle domande DNS relative agli account spoke.
Automazione e scalabilità
Questo design utilizza gli endpoint Route 53 Resolver per scalare le query DNS tra AWS e l'ambiente locale. Ogni endpoint Route 53 Resolver comprende più interfacce di rete elastiche (distribuite su più zone di disponibilità) e ogni interfaccia di rete può gestire fino a 10.000 query al secondo. Route 53 Resolver supporta fino a 6 indirizzi IP per endpoint, quindi complessivamente questo design supporta fino a 60.000 query DNS al secondo distribuite su più zone di disponibilità per un'elevata disponibilità.
Inoltre, questo modello tiene conto automaticamente delle future crescite all'interno di AWS. Le regole di inoltro DNS configurate in locale non devono essere modificate per supportare nuovi VPC e le relative zone private ospitate associate che vengono aggiunte ad AWS.
Strumenti
Servizi AWS
AWS Directory Service per Microsoft Active Directory consente ai carichi di lavoro compatibili con le directory e alle risorse AWS di utilizzare Microsoft Active Directory nel cloud AWS.
AWS Organizations è un servizio di gestione degli account che ti aiuta a consolidare più account AWS in un'organizzazione da creare e gestire centralmente.
AWS Resource Access Manager (AWS RAM) ti aiuta a condividere in modo sicuro le tue risorse tra gli account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
Amazon Route 53 è un servizio Web DNS altamente scalabile e disponibile.
Strumenti
AWS Command Line Interface (AWS CLI) è uno strumento open source che ti aiuta a interagire con i servizi AWS tramite comandi nella tua shell a riga di comando. In questo modello, la CLI AWS viene utilizzata per configurare le autorizzazioni Route 53.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Implementa AWS Managed Microsoft AD. |
| Amministratore AWS |
Condividi la directory. | Dopo aver creato la directory, condividila con altri account AWS nell'organizzazione AWS. Per istruzioni, consulta Condividi la tua directory nella AWS Directory Service Administration Guide. Nota: AWS Managed Microsoft AD Standard Edition ha un limite di 5 condivisioni. Enterprise Edition ha un limite di 125 condivisioni. | Amministratore AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea Resolver Route 53. | I Route 53 Resolver facilitano la risoluzione delle query DNS tra AWS e il data center locale.
Nota: sebbene l'utilizzo dell'account di rete AWS centrale VPC non sia un requisito, i passaggi rimanenti presuppongono questa configurazione. | Amministratore AWS |
Crea regole per la Route 53. | Il tuo caso d'uso specifico potrebbe richiedere un gran numero di regole Route 53, ma dovrai configurare le seguenti regole come base:
Per ulteriori informazioni, consulta Managing forwarding rules nella Route 53 Developer Guide. | Amministratore AWS |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea la delega. | Utilizza lo snap-in Microsoft DNS ( | Active Directory |
Crea lo spedizioniere condizionale. | Usa lo snap-in Microsoft DNS ( | Active Directory |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea le zone ospitate private della Route 53. | Crea una zona ospitata privata Route 53 in ogni account spoke. Associa questa zona ospitata privata al VPC dell'account spoke. Per i passaggi dettagliati, consulta Creazione di una zona ospitata privata nella Route 53 Developer Guide. | Amministratore AWS |
Crea autorizzazioni. | Utilizza l'AWS CLI per creare un'autorizzazione per l'account di rete AWS centrale (VPC). Esegui questo comando dal contesto di ogni account AWS spoke:
dove:
| Amministratore AWS |
Creare associazioni. | Crea l'associazione di zone ospitate private Route 53 per il VPC dell'account di rete AWS centrale utilizzando la CLI AWS. Esegui questo comando dal contesto dell'account di rete AWS centrale:
dove:
| Amministratore AWS |
Risorse correlate
Semplifica la gestione DNS in un ambiente multi-account con Route 53 Resolver
(post sul blog AWS di Mahmoud Matouk) Creazione di una directory con AWS Managed Microsoft AD (documentazione di AWS Directory Service)
Condivisione di una directory AWS Managed Microsoft AD (documentazione di AWS Directory Service)
Installazione di un Route 53 Resolver (documentazione Amazon Route 53)
Creazione di una zona ospitata privata Route 53 (documentazione di Amazon Route 53)