本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 EC2 上自行管理的活动目录
概述
本节为降低在亚马逊弹性计算云 (Amazon EC2) 上运行 Active Directory 的成本提供了建议。主要重点是确保您可以适当地调整 Active Directory 域控制器的大小,并利用的 AWS Cloud 灵活性根据环境的需要进行调整。 AWS 可以帮助您轻松停止实例并调整其大小以满足不断变化的需求,或者在扩展速度过快时缩小实例的大小。选择正确的实例大小和类型可以节省大量资金。
成本影响
下表显示了选择突发性能实例系列实例而不是通用实例之间的区别。这种选择每月可以为您节省大量资金。对您的实例进行适当的规划和规模可以帮助您管理成本。
| 实例类型 | 实例的数量 | vCPU | 内存 | 费用 |
|---|---|---|---|---|
| t3a.medium | 2 | 2 | 8 | 81.76 美元/月 |
| m5a.large | 2 | 2 | 8 | 每月 259.88 美元 |
有关成本的更多信息,请参阅 AWS Pricing Calculator 估算值
每月节省 178.12 美元,您的域控制器每年可节省超过 2,000 美元。请记住,在一个账户中只有两个域控制器的占用空间很小。如果有多个账户和额外的域控制器,这样的节省加起来可以显著降低成本。
成本优化建议
当你部署活动目录环境时,Microsoft 会提供容量规划建议
-
内存
-
网络
-
存储
-
处理器
在记住这些主要组件的同时,您可以选择一种对您的 Active Directory 环境有意义的实例类型 AWS。本节介绍 AWS 部署场景的几个活动目录示例。这些场景清楚地表明,如果您不打算像在本地环境中 AWS那样处理相同数量的用户和计算机,则没有必要在中复制本地环境。
下表重点介绍了与 vCPU、内存和磁盘有关的重要组件,以占用您的 AWS 占用空间。
| 组件 | 估计 |
|---|---|
| 存储/数据库大小 | 每位用户 40—60 KB |
| RAM | 数据库大小 基本操作系统建议 第三方应用程序 |
| 网络 | 1 GB |
| CPU | 每个内核有 1,000 个并发用户 |
混合部署场景
下图显示了 Active Directory 混合部署的示例架构。
如图所示,您通常拥有本地占地面积,然后将其扩展到 AWS Cloud。在迁移的初始阶段,通常不会部署所有用户和服务器 AWS。这就是为什么最初部署较小的占地面积以节省迁移费用很重要的原因。
如果您要保持本地占用空间,让服务器和用户在本地进行身份验证,那么您就不需要为域控制器使用相同的占用空间。 AWS通过遵循 Active Directory 最佳实践,您可以实施适当的 A ctive Directory 网站和服务
通过调整大小进行 AWS 迁移优化
如果您要为用户部署新的 Active Directory 实例,或者计划完全迁移到 AWS Active Directory 基础架构,我们建议您根据上表中实例选择的 microsoft 对 vCPU、内存和磁盘空间的建议来规划规模。
如果这是一个新的占用空间,你可以从小处着手,利用轻松更改实例类型的功能,随着环境的发展,调整环境的大小 AWS。本指南的 “亚马逊 EC2 上的 Windows” 部分向您展示了如何监控和查看您的 CPU 和内存使用率 AWS。这样,您就可以知道何时增加 EC2 实例的大小。
如果您要将本地 Active Directory 环境完全迁移到 AWS,则可以实施相同的规模调整计划以确保适当的性能。在复制本地内容之前 AWS,我们建议您完成对 Active Directory 环境的全面审查。这可以帮助您防止过度配置。请务必使用性能监控器来收集有关现有域控制器的流量和利用率的信息。这可以让你了解总体使用情况,这样你就可以调整规模并最终降低成本。
在 “优化活动目录” AWS
如果您在上运行 Active Directory AWS,则还必须持续监控利用率并根据需要更改实例大小以减少开支。您可以使用 AWS Compute Optimizer 来获取有关您正在运行的资源的信息 AWS。有关使用 Compute Optimizer 调整您的 Windows 工作负载大小的信息,请参阅本指南的 “亚马逊 EC2 上的 Windows” 部分。要进行更全面的深入研究,您可以使用性能监控器来监控 Active Directory 域控制器的利用率,评估性能,然后相应地调整大小。
您还可以 CloudWatch 使用监控域控制器的性能。要优化您的域控制器(向上或向下扩展),您可以使用中提供的指标 CloudWatch 来帮助您做出正确的决策。您可以使用 CloudWatch代理配置要发送以收集数据的自定义性能监控指标。有关说明,请参阅如何使用 CloudWatch 代理在 Windows 服务器上查看性能监控器的指标?
部署 CloudWatch 代理后,可以在代理配置文件中的下配置以下指标metrics_collected:
| 指标类别 | 指标名称 |
|---|---|
| 数据库到实例 (NTDSA) | 数据库缓存% 命中 |
| I/O 数据库读取平均延迟 | |
| I/O 数据库读取量/秒 | |
| I/O 日志写入平均延迟 | |
| DirectoryServices (NTDS) | LDAP 绑定时间 |
| DRA 待处理的复制操作 | |
| DRA 待处理的复制同步 | |
| DNS | 递归查询次数/秒 |
| 递归查询失败/秒 | |
| 每秒收到的 TCP 查询次数 | |
| 每秒收到的查询总数 | |
| 每秒发送的响应总数 | |
| 收到的 UDP 查询/秒 | |
| LogicalDisk | 磁盘队列的平均长度 |
| % 可用空间 | |
| 内存 | 已使用的已提交字节百分比 |
| 长期平均待机缓存寿命 (秒) | |
| 网络接口 | 每秒发送的字节数 |
| Bytes Received/sec | |
| 当前带宽 | |
| NTDS | ATQ 估计队列延迟 |
| ATQ 请求延迟 | |
| DS 目录读取/秒 | |
| DS 目录搜索量/秒 | |
| DS 目录写入次数/秒 | |
| LDAP 客户端会话 | |
| LDAP 搜索次数/秒 | |
| LDAP 成功绑定次数/秒 | |
| 处理器 | % 处理器时间 |
| 安全系统范围的统计数据 | Kerberos 身份验证 |
| NTLM 身份验证 |
其他 资源
-
A@@ ctive Directory 域服务的容量规划
(微软文档) -
在 EC2 实例上运行 Active Directory 的设计注意事项(AWS 白皮书)
