本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EC2 上的自我管理活動目錄
概觀
本節提供有關降低在 Amazon 彈性運算雲(亞馬遜 EC2)上運行活動目錄的成本的建議。主要焦點是確定您可以適當調整 Active Directory 網域控制站的大小,並使用的彈性 AWS 雲端 來調整您的環境所需。 AWS 可協助您輕鬆停止執行個體並調整其大小以符合您不斷變化的需求;如果擴充速度太快,則可縮小執行個體的大小。選擇正確的執行個體大小和類型可大幅節省成本。
成本影響
下表顯示選擇高載執行個體系列執行個體與一般用途執行個體之間的差異。這種選擇每個月可以為您節省大量資金。適當的規劃和調整執行個體大小可協助您管理成本。
| 執行個體類型 | 執行個體的數目 | vCPU | 記憶體 | 費用 |
|---|---|---|---|---|
| t3a.medium | 2 | 2 | 8 | 每月 |
| m5a.large | 2 | 2 | 8 | 每月 |
如需有關成本的詳細資訊,請參閱 AWS Pricing Calculator 估算值
每月節省 178.12 美元的網域控制站每年可省下超過 2,000 美元的費用。請記住,在一個帳戶中只有兩個域控制站的佔用空間很小。大規模搭配多個帳戶和額外的網域控制站,這樣的節省可大幅降低成本。
成本最佳化建議
當您部署您的使用中目錄環境時,Microsoft 會提供容量規劃建議
-
記憶體
-
網路
-
儲存
-
處理器
在牢記這些主要元件的同時,您可以選取對 Active Directory 環境有意義的執行個體類型 AWS。本節涵蓋 AWS 部署案例的幾個作用中目錄範例。這些案例明確表示 AWS,如果您不打算處理與內部部署環境中相同數目的使用者和電腦,就不需要在中複寫內部部署環境。
下表針對 AWS 佔用空間重點說明 vCPU、記憶體和磁碟的重要元件。
| 元件 | 估計 |
|---|---|
| 儲存空間/資料庫大小 | 每位使用者可使用 40 至 60 KB |
| RAM | 資料庫大小 基本作業系統建議 第三方應用 |
| 網路 | 1 GB |
| CPU | 每個核心可同時使用 1,000 名使用 |
混合式部署案例
下圖顯示使用中目錄的混合式部署的範例架構。
如圖所示,您通常擁有內部部署的佔用空間,然後將其擴展到 AWS 雲端. 在遷移的初始階段,您通常不會將所有使用者和伺服器都部署在 AWS. 這就是為什麼最初部署較小尺寸的佔用空間以節省遷移工作的成本很重要的原因。
如果您要維護內部部署使用伺服器和使用者在 AWS內部部署進行驗證的內部部署佔用空間,則不需要中的網域控制站使用相同的佔用空間。遵循 Active Directory 的最佳做法,您可以實作適當的 Active Directory 站台和服務
透過適當的調整大小來優化 AWS 移轉
如果您要為使用者部署新的 Active Directory 執行個體,或打算針 AWS 對 Active Directory 基礎結構完全移轉至,建議您針對上表中選擇的執行個體,根據 Microsoft 針對 vCPU、記憶體和磁碟空間的建議規劃大小。
如果這是新的佔用空間,您可以從小規模開始,並利用輕鬆變更執行個體類型的功能,以便在環境成長時調整其大小 AWS。本指南的 Amazon EC2 上的 Windows 一節說明如何監控和檢閱上的 CPU 和記憶體使用率 AWS。這樣,您就知道何時增加 EC2 執行個體的大小。
如果您要將內部部署 Active Directory 環境完全移轉至 AWS,您可以實作相同的大小規模計劃,以確保適當的效能。在複製內部部署中的內容之前 AWS,我們建議您完成 Active Directory 環境的全面檢閱。這可協助您避免過度佈建。請務必使用效能監視器來收集有關您現有網域控制站的流量和使用量的資訊。這可以讓您了解整體使用情況,以便您可以正確規模並最終降低成本。
最佳化作用中目錄 AWS
如果您正在執行 Active Directory AWS,也必須持續監控使用率,並視需要變更執行個體大小以減少支出。您可以使用 AWS Compute Optimizer 來取得您正在執行之資源的相關資訊 AWS。如需使用 Compute Optimizer 調整 Windows 工作負載大小的相關資訊,請參閱本指南中的 Amazon EC2 上的 Windows 一節。如需更全面的深入探討,您可以使用效能監視器來監視 Active Directory 網域控制站的使用率、評估效能,然後相應地調整大小。
您也可以使用 CloudWatch 來監視網域控制站的效能。若要最佳化您的網域控制站 (擴充或縮減),您可以使用中提供的指標 CloudWatch 來協助您做出正確的決策。您可以使用 CloudWatch代理程式來設定要傳送資料收集的自訂效能監視器測量結果。如需指示,請參閱如何使用 CloudWatch 代理程式來檢視 Windows 伺服器上效能監視器的度量?
部署 CloudWatch 代理程式之後,您可以在代理程式組態檔案下設定下列測量結果metrics_collected:
| 指標類別 | 指標名稱 |
|---|---|
| 資料庫對執行個體 (NTDSA) | 資料庫快取命中率 |
| I/O 資料庫讀取平均延遲 | |
| I/O 資料庫讀取數/秒 | |
| I/O 記錄寫入平均延遲 | |
| DirectoryServices (新台幣) | 連結時間 |
| DRA 擱置中複寫作業 | |
| DRA 擱置複寫同步處理 | |
| DNS | 遞查詢/秒 |
| 每秒遞迴查詢失敗 | |
| 接收的TCP 查詢/每秒 | |
| 收到的查詢總數/秒 | |
| 每秒傳送回應總數 | |
| 收到的UDP查詢/每秒 | |
| LogicalDisk | 平均磁碟佇列長度 |
| % 可用空間 | |
| 記憶體 | % 使用中的認可位元組 |
| 長期平均待命快取存留期 | |
| 網路介面 | 傳送位元組/秒 |
| 接收的位元組/秒 | |
| 目前頻寬 | |
| NTDS | ATQ 預估佇列延遲 |
| ATQ 請求延遲 | |
| DS 目錄讀取/秒 | |
| 每秒 DS 目錄搜尋 | |
| DS 目錄寫入次數/秒 | |
| LDAP 用戶端工作階 | |
| 每秒 LDAP 搜尋 | |
| LDAP 成功繫結 (每秒) | |
| 處理器 | % 處理器時間 |
| 整個系統的安全統計 | 凱伯洛斯身份驗證 |
| NTLM 驗證 |
其他資源
-
使用中的目錄網域服務 AWS:合作夥伴解決方案部署指南
(AWS 文件) -
作用中目錄網域服務的容量規劃
(Microsoft 說明文件) -
在 EC2 執行個體上執行作用中目錄的設計考量 (AWS 白皮書)
