方案 4:AWS Microsoft AD 以及与本地部署的双向可传递信任 - 部署 Amazon WorkSpaces 的最佳实践

方案 4:AWS Microsoft AD 以及与本地部署的双向可传递信任

此方案(如图 8 中所示)将 AWS Managed AD 部署在 AWS 云中,AWS Managed AD 具有与客户本地部署 Active Directory 的双向可传递信任。用户账户和 WorkSpaces 是在 Managed AD 中创建的,具有允许在本地部署环境中访问资源的 Active Directory 信任。

显示 AWS Microsoft AD 以及与本地部署位置的双向可传递信任的示意图。

图 8 – AWS Microsoft AD 以及与本地部署位置的双向可传递信任

与在方案 3 中一样,AD DS(Microsoft AD)部署到跨两个可用区的专用子网中,从而使 AD DS 在 AWS 云中具有高可用性。

此方案非常适合希望拥有完全托管式 AWS Directory Service(包括 AWS 云的部署、修补、高可用性和监控)的客户。此方案还允许 WorkSpaces 用户访问其现有网络上已联接 AD 的资源。此方案需要建立域信任。安全组和防火墙规则需要允许两个活动目录之间的通信。

除了 AWS Directory Service 位置,图 8 还显示了从用户到 WorkSpace 的流量,以及 WorkSpace 与 AD 服务器和 MFA 服务器的交互方式。

此架构使用以下组件或构造:

AWS

  • Amazon VPC – 创建一个 Amazon VPC,其中至少有四个跨两个可用区的私有子网(两个用于 AD DS Microsoft AD,两个用于 AD Connector 或 WorkSpaces)。

  • DHCP 选项集 – 创建一个 Amazon VPC DHCP 选项集。这允许客户定义指定的域名和 DNS(Microsoft AD)。有关更多信息,请参阅 DHCP 选项集

  • 可选:Amazon 虚拟私有网关 – 能够通过 IPsec VPN 隧道(VPN)或 AWS Direct Connect 连接与客户拥有的网络进行通信。用于访问本地部署后端系统。

  • AWS Directory Service – 部署到一对专用 VPC 子网中的 Microsoft AD(AD DS 托管服务)。

  • Amazon EC2 – 用于 MFA 的客户“可选”RADIUS 服务器。

  • Amazon WorkSpaces – WorkSpaces 部署到 AD Connector 所在的私有子网中。有关更多信息,请参阅本文档的“Active Directory:站点和服务”部分。

客户

  • 网络连接 – 企业 VPN 或 AWS Direct Connect 终端节点。

  • 终端用户设备 – 用于访问 Amazon WorkSpaces 服务的企业或 BYOL 终端用户设备(例如 Windows、Mac、iPad、安卓平板电脑、零客户端和 Chromebook)。请参阅此适用于受支持的设备和 Web 浏览器的客户端应用程序列表

    此解决方案需要连接到客户本地部署数据中心,以允许信任流程正常运行。如果 WorkSpaces 用户使用本地部署网络上的资源,则需要考虑延迟和出站数据传输成本。