Cenário 2: Estendendo o AD DS local para AWS (réplica) - Melhores práticas para implantação WorkSpaces
AWSCliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cenário 2: Estendendo o AD DS local para AWS (réplica)

Esse cenário é semelhante ao cenário 1. No entanto, nesse cenário, uma réplica do AD DS do cliente é implantada AWS em combinação com o AD Connector. Isso reduz a latência das solicitações de autenticação ou consulta para o AD DS em execução no Amazon Elastic Compute Cloud (Amazon EC2). A figura a seguir mostra uma visão de alto nível de cada um dos componentes e do fluxo de autenticação do usuário.

Exemplo de arquitetura mostrando uma réplica do cliente em que o AD DS está implantado AWS em combinação com o AD Connector.

Figura 7: Estenda o domínio do Active Directory do cliente para a nuvem

Como no cenário 1, o AD Connector é usado para todas as autenticações de usuários ou MFA, que, por sua vez, são enviadas por proxy para o AD DS do cliente (consulte a figura anterior). Nesse cenário, o AD DS do cliente é implantado em AZs em instâncias do Amazon EC2 que são promovidas a controladoras de domínio na floresta AD local do cliente, em execução na nuvem. AWS Cada controlador de domínio é implantado em sub-redes privadas da VPC para tornar o AD DS altamente disponível na nuvem. AWS Para obter as melhores práticas para implantar o AD DS em AWS, consulte a seção Considerações de design deste documento.

Depois que as WorkSpaces instâncias são implantadas, elas têm acesso aos controladores de domínio baseados em nuvem para serviços de diretório e DNS seguros e de baixa latência. Todo o tráfego de rede, incluindo comunicação do AD DS, solicitações de autenticação e replicação do AD, é protegido nas sub-redes privadas ou no túnel VPN do cliente ou no Direct Connect.

Essa arquitetura usa os seguintes componentes ou construções:

AWS

  • Amazon VPC — Criação de uma Amazon VPC com pelo menos quatro sub-redes privadas em duas AZs — duas para o cliente AD DS, duas para o AD Connector ou Amazon. WorkSpaces

  • Conjunto de opções DHCP — Criação de um conjunto de opções DHCP da Amazon VPC. Isso permite que o cliente defina um nome de domínio e DNSs específicos (AD DS local). Para obter mais informações, consulte Conjuntos de opções de DHCP.

  • Amazon Virtual Private Gateway — Habilite a comunicação com uma rede de propriedade do cliente por meio de um túnel ou conexão VPN IPsec. AWS Direct Connect

  • Amazon EC2

    • Controladores de domínio AD DS corporativos do cliente implantados em instâncias do Amazon EC2 em sub-redes VPC privadas dedicadas.

    • Servidores RADIUS do cliente (opcionais) para MFA em instâncias do Amazon EC2 em sub-redes VPC privadas dedicadas.

  • AWS Serviços de diretório — O AD Connector é implantado em um par de sub-redes privadas da Amazon VPC.

  • Amazon WorkSpaces — WorkSpaces são implantados nas mesmas sub-redes privadas do AD Connector. Para obter mais informações, consulte a seção Active Directory: Sites e Serviços deste documento.

Cliente

  • Conectividade de rede — VPN corporativa ou AWS Direct Connect endpoints.

  • AD DS — AD DS corporativo (necessário para replicação).

  • MFA (opcional) — servidor RADIUS corporativo.

  • Dispositivos de usuário final — dispositivos de usuário final corporativos ou BYOL (como Windows, Macs, iPads, tablets Android, zero clients e Chromebooks) usados para acessar o serviço da Amazon. WorkSpaces Consulte a lista de aplicativos cliente para dispositivos e navegadores da Web compatíveis. Essa solução não tem as mesmas ressalvas do cenário 1. A Amazon WorkSpaces e o AWS Directory Service não dependem da conectividade existente.

  • Confiança na conectividade — Se a conectividade com o data center do cliente for perdida, os usuários finais poderão continuar trabalhando porque a autenticação e a MFA opcional são processadas localmente.

  • Latência — Com exceção do tráfego de replicação, toda autenticação é local e tem baixa latência. Consulte a seção Active Directory: Sites e Serviços deste documento.

  • Custos de tráfego — Nesse cenário, a autenticação é local, com apenas a replicação do AD DS precisando atravessar o link da VPN ou do Direct Connect, reduzindo a transferência de dados.

Em geral, a WorkSpaces experiência é aprimorada e não depende muito da conectividade com os controladores de domínio locais, conforme mostrado na figura anterior. Esse também é o caso quando um cliente deseja escalar WorkSpaces para milhares de desktops, especialmente em relação às consultas do catálogo global do AD DS, pois esse tráfego permanece local para o WorkSpaces ambiente.