시나리오 2: 온-프레미스 AD DS를 AWS (복제본) 으로 확장 - 배포 모범 사례 WorkSpaces
AWS고객

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

시나리오 2: 온-프레미스 AD DS를 AWS (복제본) 으로 확장

이 시나리오는 시나리오 1과 비슷합니다. 하지만 이 시나리오에서는 고객 AD DS의 복제본이 AD Connector와 함께 배포됩니다. AWS 이렇게 하면 Amazon Elastic Compute Cloud (Amazon EC2) 에서 실행되는 AD DS에 대한 인증 또는 쿼리 요청의 지연 시간이 줄어듭니다. 다음 그림은 각 구성 요소와 사용자 인증 흐름을 개괄적으로 보여줍니다.

고객 AD DS의 복제본을 보여 주는 샘플 아키텍처는 AD Connector와 함께 배포됩니다. AWS

그림 7: 고객 Active Directory 도메인을 클라우드로 확장

시나리오 1에서와 같이 AD Connector는 모든 사용자 또는 MFA 인증에 사용되며, 이 인증은 고객 AD DS로 프록시됩니다 (이전 그림 참조). 이 시나리오에서 고객 AD DS는 클라우드에서 실행되는 고객의 온프레미스 AD 포리스트에 있는 도메인 컨트롤러로 승격되는 Amazon EC2 인스턴스의 AZ에 배포됩니다. AWS 각 도메인 컨트롤러는 VPC 프라이빗 서브넷에 배포되어 클라우드에서 AD DS의 가용성을 높일 수 있습니다. AWS AD DS를 배포하기 위한 모범 사례는 이 문서의 설계 고려 사항 섹션을 참조하십시오. AWS

WorkSpaces 인스턴스를 배포한 후에는 클라우드 기반 도메인 컨트롤러에 액세스하여 안전하고 지연 시간이 짧은 디렉터리 서비스와 DNS를 사용할 수 있습니다. AD DS 통신, 인증 요청, AD 복제를 비롯한 모든 네트워크 트래픽은 프라이빗 서브넷 내에서 또는 고객 VPN 터널 또는 Direct Connect를 통해 보호됩니다.

이 아키텍처는 다음과 같은 구성 요소 또는 구조를 사용합니다.

AWS

  • Amazon VPC — 두 개의 AZ에 걸쳐 최소 네 개의 프라이빗 서브넷을 포함하는 Amazon VPC 생성 (고객 AD DS용 2개, AD Connector 또는 Amazon용 2개) WorkSpaces

  • DHCP 옵션 세트 — Amazon VPC DHCP 옵션 세트 생성. 이를 통해 고객은 지정된 도메인 이름과 DNS (AD DS 로컬) 를 정의할 수 있습니다. 자세한 내용은 DHCP 옵션 세트를 참조하십시오.

  • Amazon 가상 사설 게이트웨이 — IPsec VPN 터널 또는 연결을 통해 고객 소유 네트워크와 통신할 수 있습니다. AWS Direct Connect

  • Amazon EC2

    • 전용 프라이빗 VPC 서브넷의 Amazon EC2 인스턴스에 배포된 고객 기업 AD DS 도메인 컨트롤러

    • 전용 프라이빗 VPC 서브넷에 있는 Amazon EC2 인스턴스의 MFA용 고객 (선택 사항) RADIUS 서버.

  • AWS 디렉터리 서비스 — AD Connector는 한 쌍의 Amazon VPC 프라이빗 서브넷에 배포됩니다.

  • Amazon WorkSpaces — AD Connector와 동일한 프라이빗 서브넷에 WorkSpaces 배포됩니다. 자세한 내용은 이 문서의 Active Directory: 사이트 및 서비스 섹션을 참조하십시오.

고객

  • 네트워크 연결 — 기업 VPN 또는 AWS Direct Connect 엔드포인트.

  • AD DS - 기업 AD DS (복제에 필요).

  • MFA (선택 사항) — 기업 RADIUS 서버.

  • 최종 사용자 디바이스 — Amazon 서비스에 액세스하는 데 사용되는 기업용 또는 BYOL 최종 사용자 디바이스 (예: 윈도우, 맥, 아이패드, 안드로이드 태블릿, 제로 클라이언트, 크롬북). WorkSpaces 지원되는 장치 및 웹 브라우저에 대한 클라이언트 애플리케이션 목록을 참조하십시오. 이 솔루션에는 시나리오 1과 같은 주의 사항이 없습니다. WorkSpaces Amazon과 AWS Directory Service는 현재의 연결성에 의존하지 않습니다.

  • 연결에 대한 의존 — 고객 데이터 센터와의 연결이 끊어져도 인증 및 선택적 MFA가 로컬에서 처리되므로 최종 사용자는 계속 작업할 수 있습니다.

  • 지연 시간 — 복제 트래픽을 제외한 모든 인증은 로컬에서 수행되며 지연 시간이 짧습니다. 이 문서의 Active Directory: 사이트 및 서비스 섹션을 참조하십시오.

  • 트래픽 비용 - 이 시나리오에서는 인증이 로컬에서 이루어지므로 AD DS 복제만 VPN 또는 Direct Connect 링크를 통과하면 되므로 데이터 전송이 줄어듭니다.

일반적으로 이전 그림에서 볼 수 있듯이 WorkSpaces 환경은 향상되며 온-프레미스 도메인 컨트롤러에 대한 연결에 크게 의존하지 않습니다. 고객이 특히 AD DS 글로벌 카탈로그 쿼리와 관련하여 수천 대의 데스크톱으로 WorkSpaces 확장하려는 경우에도 마찬가지입니다. 이 트래픽은 환경에 국한되기 때문입니다. WorkSpaces