マルチリージョンレプリケーションの仕組み
マルチリージョンレプリケーションの機能を使用すると、AWS Managed Microsoft AD により、グローバル AD インフラストラクチャを管理する、差別化につながらない手間のかかる作業がなくなります。これを設定すると、AWS が、ユーザー、グループ、グループポリシー、スキーマなどすべての顧客ディレクトリデータを複数の AWS リージョンにレプリケートします。
新しいリージョンが追加されると、図に示すように次の操作が自動的に実行されます。
-
AWS Managed Microsoft AD が、選択された VPC に 2 つのドメインコントローラーを作成し、同じ AWS アカウントの新しいリージョンにこれらをデプロイします。ディレクトリ識別子 (
directory_id) はすべてのリージョンで同じままです。必要に応じて、ドメインコントローラーを後から追加できます。 -
AWS Managed Microsoft AD が、プライマリリージョンと新しいリージョンの間にネットワーク接続を設定します。
-
AWS Managed Microsoft AD が、新しい Active Directory のサイトを作成し、そこにリージョンと同じ名前 (us-east-1 など) を付けます。この名前は、Active Directory サイトとサービスのツールを使用して後から変更することも可能です。
-
AWS Managed Microsoft AD が、ユーザー、グループ、グループポリシー、AD の信頼、組織単位、AD スキーマなど、AD のすべてのオブジェクトと設定を新しいリージョンにレプリケートします。Active Directory のサイトのリンクは、変更通知
を使用するように設定されています。サイト間の変更通知を有効にすると、変更 (緊急のレプリケーションを必要とする変更を含む) が、ソースサイト内で伝達される場合と同じ頻度でリモートサイトに伝達されます。 -
初めて追加したリージョンの場合、AWS Managed Microsoft AD により、すべての機能がマルチリージョン対応になります。詳細については、「グローバル機能とリージョン機能」を参照してください。
Active Directory のサイト
マルチリージョンレプリケーションでは、複数の Active Directory サイト (リージョンごとに 1 つの AD サイト) がサポートされます。新しいリージョンが追加されると、リージョンと同じ名前が付けられます (us-east-1 など)。この名前は、Active Directory サイトとサービスを使って後から変更することも可能です。
AWS のサービス
Amazon RDS for SQL Server や Amazon FSx などの AWS のサービスは、グローバルディレクトリのローカルインスタンスに接続します。これによりユーザーは、AWS で実行している AD 対応アプリケーションだけでなく、AWS リージョンにある Amazon RDS for SQL Server のような AWS のサービスにも 1 回でサインインできます。これを行うには、ユーザーは、AWS Managed Microsoft AD との信頼を作成するときに、AWS Managed Microsoft AD またはオンプレミスの Active Directory の認証情報が必要になります。
マルチリージョンレプリケーション機能を備えた以下の AWS のサービスが使用できます。
-
Amazon EC2
-
FSx for Windows File Server
-
Amazon RDS for SQL Server
-
Amazon RDS for Oracle
-
Amazon RDS for MySQL
-
Amazon RDS for PostgreSQL
-
Amazon RDS for MariaDB
-
Amazon Aurora for MySQL
-
Amazon Aurora for PostgreSQL
フェイルオーバー
1 つのリージョンのすべてのドメインコントローラーがダウンした場合、AWS Managed Microsoft AD が、ドメインコントローラーを復旧しディレクトリデータを自動的にレプリケートします。その間、他のリージョンのドメインコントローラーは稼働したままです。
