本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
场景 5: AWS 微软 AD 使用共享服务虚拟私有云 (VPC) Private Cloud
如下图所示,该场景在 AWS 云中部署了 AWS 托管 AD,为已经托管在更广泛的迁移中 AWS 或计划作为更广泛迁移的一部分的工作负载提供身份验证服务。最佳实践建议是将 Amazon 置 WorkSpaces 于专用 VPC 中。客户还应创建特定的 AD OU 来整理 WorkSpaces 计算机对象。
要 WorkSpaces 使用托管托管 AD 的共享服务 VPC 进行部署,请使用在托管 AD 中创建的 ADC 服务账户部署 AD Connector (ADC)。服务帐户需要权限才能在共享服务 Managed AD 的 WorkSpaces指定 OU 中创建计算机对象。
此架构使用以下组件或结构。
AWS
-
亚马逊 VPC — 创建在两个可用区中至少有两个私有子网的亚马逊 VPC(两个用于 AD Connector 和 WorkSpaces)。
-
DHCP 选项集 — 创建亚马逊 VPC DHCP 选项集。这允许客户定义指定的域名和 DNS(Microsoft AD)。有关更多信息,请参阅 DHCP 选项集。
-
可选:Amazon 虚拟专用网关-允许通过 IPsec VPN 隧道 (VPN) 或 AWS Direct Connect 连接与客户拥有的网络进行通信。用于访问本地后端系统。
-
AWS Directory Ser vice — 部署到一对专用的 VPC 子网(AD DS 托管服务)、AD Connector 中的微软 AD
-
AWS Transit Gateway/VPC 对等互连 — 启用工作空间 VPC 和共享服务 VPC 之间的连接
-
亚马逊 EC2 — 客户可选 RADIUS 服务器,适用于 MFA。
-
亚马逊 WorkSpaces — 部署 WorkSpaces 在与 AD Connector 相同的私有子网中。有关更多信息,请参阅本文档的 “活动目录:网站和服务” 部分。
客户
-
网络连接-企业 VPN 或 AWS Direct Connect 端点。
-
最终用户设备 — 用于访问亚马逊服务的企业或自带终端用户设备(例如 Windows、Mac、iPad、安卓平板电脑、零客户端和 Chromebook)。 WorkSpaces 请参阅支持的设备和 Web 浏览器的客户端应用程序列表。