シナリオ 3: AWS クラウドの AWS Directory Service を使用したスタンドアロンの独立したデプロイ - デプロイのベストプラクティス WorkSpaces
AWSお客様

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シナリオ 3: AWS クラウドの AWS Directory Service を使用したスタンドアロンの独立したデプロイ

次の図に示すこのシナリオでは、AD DS をスタンドアロンの分離環境で AWS クラウドにデプロイしています。 AWS Directory Service はこのシナリオでのみ使用されます。AD DS を完全に管理する代わりに、可用性の高いディレクトリトポロジの構築、ドメインコントローラーのモニタリング、バックアップとスナップショットの設定などのタスクに AWS Directory Service を使用できます。

スタンドアロンの分離環境で AWS クラウドにデプロイされた AD DS を示すサンプルアーキテクチャ。

図 8: クラウドのみ: AWS ディレクトリサービス (Microsoft AD)

シナリオ 2 と同様に、AD DS (Microsoft AD) は 2 つの AZs にまたがる専用サブネットにデプロイされるため、AD DS は AWS クラウドで高可用性を実現できます。Microsoft AD に加えて、AD Connector (3 つのシナリオすべて) は WorkSpaces 認証または MFA 用にデプロイされます。これにより、Amazon VPC 内のロールまたは関数が分離されます。これは標準的なベストプラクティスです。詳細については、このドキュメントの「設計上の考慮事項」セクションを参照してください。

シナリオ 3 は、 AWS Directory Service のデプロイ、パッチ適用、高可用性、モニタリング AWS を管理したいお客様に適した標準オールイン設定です。このシナリオは、分離モードのため、概念、ラボ、本番環境の証明にも適しています。

AWS Directory Service の配置に加えて、この図は、ユーザーからワークスペースへのトラフィックのフローと、ワークスペースが AD サーバーおよび MFA サーバーとやり取りする方法を示しています。

このアーキテクチャでは、次のコンポーネントまたはコンストラクトを使用します。

AWS

  • Amazon VPC — 2 つの AZs にまたがる少なくとも 4 つのプライベートサブネットを持つ Amazon VPC の作成。2 つは AD DS Microsoft AD 用、2 つは AD Connector または 用です WorkSpaces。

  • DHCP オプションセット — Amazon VPC DHCP オプションセットの作成。これにより、お客様は指定されたドメイン名と DNS (Microsoft AD) を定義できます。詳細については、「DHCP オプションセット」を参照してください。

  • オプション: Amazon Virtual Private Gateway — IPsec VPN トンネル (VPN) または AWS Direct Connect 接続を介した顧客所有のネットワークとの通信を有効にします。を使用して、オンプレミスのバックエンドシステムにアクセスします。

  • AWS Directory Service — VPC サブネットの専用ペア (AD DS Managed Service) にデプロイされた Microsoft AD。

  • Amazon EC2 — MFA 用の「オプション」RADIUS サーバーのお客様。

  • AWS ディレクトリサービス — AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます。

  • Amazon WorkSpaces — AD Connector と同じプライベートサブネットに WorkSpaces デプロイされます。詳細については、このドキュメントの「Active Directory: サイトとサービス」セクションを参照してください。

カスタマー

シナリオ 2 と同様に、このシナリオでは、お客様のオンプレミスデータセンターへの接続、レイテンシー、データ転送コスト (VPC WorkSpaces 内でインターネットアクセスが有効になっている場合を除く) に依存しません。これは設計上、分離されたシナリオまたはクラウドのみのシナリオであるためです。