Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados

Centralice DNS la resolución mediante Microsoft AD AWS administrado y Microsoft Active Directory local

Creado por Brian Westmoreland () AWS

Entorno: producción	Tecnologías: infraestructura; redes DevOps; seguridad, identidad y conformidad; sistemas operativos	Carga de trabajo: Microsoft
AWSservicios: AWS Managed Microsoft AD; Amazon Route 53 AWSRAM; AWS Directory Service; AWS Organizations; AWS Direct Connect; AWS CLI

Resumen

Este patrón proporciona orientación para centralizar la resolución del Sistema de nombres de dominio (DNS) en un entorno de AWS varias cuentas mediante AWS Directory Service for Microsoft Active Directory (Managed AWS Microsoft AD). En este patrón, el espacio de AWS DNS nombres es un subdominio del espacio de nombres local. DNS Este patrón también proporciona instrucciones sobre cómo configurar los DNS servidores locales para que reenvíen consultas AWS cuando la DNS solución local utilice Microsoft Active Directory.

Requisitos previos y limitaciones

Requisitos previos

Un entorno de AWS varias cuentas configurado mediante AWS Organizations.
Conectividad de red establecida entre AWS cuentas.
Conectividad de red establecida entre el entorno local AWS y el entorno local (mediante AWS Direct Connect o cualquier tipo de VPN conexión).
AWSInterfaz de línea de comandos (AWSCLI) configurada en una estación de trabajo local.
AWSResource Access Manager (AWSRAM) se utiliza para compartir las reglas de Amazon Route 53 entre cuentas. Por lo tanto, el uso compartido debe estar habilitado en el entorno de AWS Organizations, como se describe en la sección Epics.

Limitaciones

AWSManaged Microsoft AD Standard Edition tiene un límite de 5 acciones.
AWSManaged Microsoft AD Enterprise Edition tiene un límite de 125 acciones.
Esta solución, que sigue este patrón, se limita a AWS las regiones que admiten el uso compartido AWSRAM.

Versiones de producto

Microsoft Active Directory ejecutado en Windows Server 2008, 2012 R2 o 2016

Arquitectura

Arquitectura de destino

En este diseño, AWS Managed Microsoft AD se instala en la AWS cuenta de servicios compartidos. Si bien no es un requisito, este patrón presupone dicha configuración. Si configuras Microsoft AD AWS administrado en una AWS cuenta diferente, es posible que tengas que modificar los pasos de la sección Epics en consecuencia.

Este diseño emplea Route 53 Resolvers para admitir la resolución de nombres mediante el uso de reglas de Route 53. Si la DNS solución local usa MicrosoftDNS, crear una regla de reenvío condicional para el espacio de AWS nombres (aws.company.com), que es un subdominio del espacio de DNS nombres de la empresa (), no es sencillo. company.com Si intenta crear un reenviador condicional tradicional, se producirá un error. Esto se debe a que Microsoft Active Directory ya se considera autorizado para cualquier subdominio de company.com. Para evitar este error, primero debe crear una delegación para aws.company.com que permita delegar la autoridad de ese espacio de nombres. A continuación, puede crear el reenviador condicional.

La nube privada virtual (VPC) de cada cuenta radial puede tener su propio espacio de nombres único DNS basado en el espacio de nombres raíz. AWS En este diseño, cada cuenta radial añade una abreviatura del nombre de la cuenta al espacio de nombres base. AWS Una vez creadas las zonas alojadas privadas en la cuenta radial, las zonas se asocian a la VPC cuenta radial y a la cuenta central de VPC la red. AWS Esto permite a la cuenta AWS de red central responder a DNS las consultas relacionadas con las cuentas habladas.

Automatizar y escalar

Este diseño utiliza los puntos finales de Route 53 Resolver para escalar DNS las consultas entre AWS y su entorno local. Cada punto de conexión de Route 53 Resolver incluye varias interfaces de red elásticas (distribuidas en varias zonas de disponibilidad), y cada interfaz de red puede gestionar hasta 10 000 consultas por segundo. Route 53 Resolver admite hasta 6 direcciones IP por punto final, por lo que, en total, este diseño admite hasta 60 000 DNS consultas por segundo distribuidas en varias zonas de disponibilidad para lograr una alta disponibilidad.

Además, este patrón explica automáticamente el futuro crecimiento internoAWS. Las reglas de DNS reenvío configuradas localmente no tienen que modificarse para que sean compatibles con las nuevas zonas alojadas privadas VPCs y las asociadas que se agreguen a AWS ellas.

Herramientas

AWSservicios

AWSDirectory Service para Microsoft Active Directory permite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Microsoft Active Directory en la nube. AWS
AWSOrganizations es un servicio de administración de cuentas que le ayuda a consolidar varias AWS cuentas en una organización que usted crea y administra de forma centralizada.
AWSResource Access Manager (AWSRAM) le ayuda a compartir de forma segura sus recursos entre AWS las cuentas para reducir los gastos operativos y ofrecer visibilidad y auditabilidad.
Amazon Route 53 es un servicio DNS web escalable y de alta disponibilidad.

Herramientas

AWSLa interfaz de línea de comandos (AWSCLI) es una herramienta de código abierto que le ayuda a interactuar con AWS los servicios mediante comandos en su shell de línea de comandos. En este patrón, AWS CLI se usa para configurar las autorizaciones de Route 53.

Epics

Tarea	Descripción	Habilidades requeridas
Implemente Microsoft AD AWS administrado.	Crear y configurar un nuevo directorio. Para ver los pasos detallados, consulte Crear un directorio AWS administrado de Microsoft AD en la Guía de administración de AWS Directory Service. Registre las direcciones IP de los controladores de dominio AWS gestionados de Microsoft AD. Se emplearán en un paso posterior.	AWSadministrador
Compartir el directorio.	Una vez creado el directorio, compártalo con otras AWS cuentas de la AWS organización. Para obtener instrucciones, consulte Compartir su directorio en la Guía de administración de AWS Directory Service. Nota: AWS Managed Microsoft AD Standard Edition tiene un límite de 5 acciones. La Edición Enterprise tiene un límite de 125 acciones.	AWSadministrador

Tarea

Descripción

Habilidades requeridas

Implemente Microsoft AD AWS administrado.

Crear y configurar un nuevo directorio. Para ver los pasos detallados, consulte Crear un directorio AWS administrado de Microsoft AD en la Guía de administración de AWS Directory Service.
Registre las direcciones IP de los controladores de dominio AWS gestionados de Microsoft AD. Se emplearán en un paso posterior.

AWSadministrador

Compartir el directorio.

Una vez creado el directorio, compártalo con otras AWS cuentas de la AWS organización. Para obtener instrucciones, consulte Compartir su directorio en la Guía de administración de AWS Directory Service.

Nota: AWS Managed Microsoft AD Standard Edition tiene un límite de 5 acciones. La Edición Enterprise tiene un límite de 125 acciones.

AWSadministrador

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree Route 53 Resolvers.	Los solucionadores Route 53 facilitan la resolución de DNS consultas entre el centro de datos local AWS y el centro de datos local. Instale Route 53 Resolvers siguiendo las instrucciones de la Guía del desarrollador de Route 53. Configure los Resolvers de Route 53 en subredes privadas de al menos dos zonas de disponibilidad dentro de la cuenta de AWS red central VPC para obtener una alta disponibilidad. Nota: Si bien el uso de la cuenta AWS de red central VPC no es obligatorio, en los pasos restantes se asume esta configuración.	AWSadministrador
Cree reglas de Route 53.	Es posible que su caso de uso específico requiera una gran cantidad de reglas de Route 53, pero tendrá que configurar las siguientes reglas como base: Una regla de salida para el espacio de nombres en las instalaciones (`company.com`) mediante Resolvers salientes de Route 53. Comparte esta regla con Spoke AWS Accounts. Asocia esta regla a la cuenta radialVPCs. Una regla de salida para el espacio de AWS nombres (`aws.company.com`) que apunta a la cuenta de red central Route 53 Inbound Resolvers. Comparta esta regla con las cuentas de Spoke. AWS Asocia la regla a la cuenta radialVPCs. No asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers). Una segunda regla de salida para el espacio de AWS nombres (`aws.company.com`) que apunta a los controladores de dominio gestionados de AWS Microsoft AD (utilice la IPs de la epopeya anterior). Asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers). No comparta ni asocie esta regla con otras AWS cuentas. Para más información, consulte Gestión de reglas de reenvío en la Guía del desarrollador de Route 53.	AWSadministrador

Cree Route 53 Resolvers.

Los solucionadores Route 53 facilitan la resolución de DNS consultas entre el centro de datos local AWS y el centro de datos local.

Instale Route 53 Resolvers siguiendo las instrucciones de la Guía del desarrollador de Route 53.
Configure los Resolvers de Route 53 en subredes privadas de al menos dos zonas de disponibilidad dentro de la cuenta de AWS red central VPC para obtener una alta disponibilidad.

Nota: Si bien el uso de la cuenta AWS de red central VPC no es obligatorio, en los pasos restantes se asume esta configuración.

AWSadministrador

Cree reglas de Route 53.

Es posible que su caso de uso específico requiera una gran cantidad de reglas de Route 53, pero tendrá que configurar las siguientes reglas como base:

Una regla de salida para el espacio de nombres en las instalaciones (company.com) mediante Resolvers salientes de Route 53.
- Comparte esta regla con Spoke AWS Accounts.
- Asocia esta regla a la cuenta radialVPCs.
Una regla de salida para el espacio de AWS nombres (aws.company.com) que apunta a la cuenta de red central Route 53 Inbound Resolvers.
- Comparta esta regla con las cuentas de Spoke. AWS
- Asocia la regla a la cuenta radialVPCs.
- No asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers).
Una segunda regla de salida para el espacio de AWS nombres (aws.company.com) que apunta a los controladores de dominio gestionados de AWS Microsoft AD (utilice la IPs de la epopeya anterior).
- Asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers).
- No comparta ni asocie esta regla con otras AWS cuentas.

Para más información, consulte Gestión de reglas de reenvío en la Guía del desarrollador de Route 53.

AWSadministrador

Tarea	Descripción	Habilidades requeridas
Cree la delegación.	Use el DNS complemento Microsoft (`dnsmgmt.msc`) para crear una nueva delegación para el espacio de `company.com` nombres de Active Directory. El nombre del dominio delegado debe ser `aws`. Esto hace que el nombre de dominio completo (FQDN) de la delegación sea el nombre de dominio completo. `aws.company.com` Para los servidores de nombres, utilice las direcciones IP de los Resolvers de AWS Route 53 entrantes en la DNS AWS cuenta central para los valores de IP y utilícelas `server.aws.company.com` para el nombre.	Active Directory
Cree el reenviador condicional.	Use el DNS complemento Microsoft (`dnsmgmt.msc`) para crear un nuevo reenviador condicional para. `aws.company.com` Utilice las direcciones IP de los controladores de dominio AWS gestionados de Microsoft AD para el destino del reenviador condicional.	Active Directory

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree las zonas alojadas privadas de Route 53.	Crear una zona alojada privada de Route 53 en cada cuenta radial. Asocie esta zona alojada privada a la cuenta SpokeVPC. Para ver los pasos detallados, consulte Crear una zona alojada privada en la Guía del desarrollador de Route 53.	AWSadministrador
Cree autorizaciones.	Úselo AWS CLI para crear una autorización para la cuenta AWS de red centralVPC. Ejecute este comando desde el contexto de cada AWS cuenta radial: `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` donde: `<hosted-zone-id>` es la zona alojada privada de Route 53 en la cuenta radial. `<region>`y `<vpc-id>` son la AWS región y el VPC identificador de la cuenta de AWS red centralVPC.	AWSadministrador
Cree asociaciones.	Cree la asociación de zonas alojadas privadas de Route 53 para la cuenta de la AWS red central VPC mediante AWSCLI. Ejecute este comando desde el contexto de la cuenta de AWS red central: `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` donde: `<hosted-zone-id>` es la zona alojada privada de Route 53 en la cuenta radial. `<region>`y `<vpc-id>` son la AWS región y el VPC identificador de la cuenta de la AWS red central.	AWSadministrador

Cree las zonas alojadas privadas de Route 53.

Crear una zona alojada privada de Route 53 en cada cuenta radial. Asocie esta zona alojada privada a la cuenta SpokeVPC. Para ver los pasos detallados, consulte Crear una zona alojada privada en la Guía del desarrollador de Route 53.

AWSadministrador

Cree autorizaciones.

Úselo AWS CLI para crear una autorización para la cuenta AWS de red centralVPC. Ejecute este comando desde el contexto de cada AWS cuenta radial:


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

donde:

<hosted-zone-id> es la zona alojada privada de Route 53 en la cuenta radial.
<region>y <vpc-id> son la AWS región y el VPC identificador de la cuenta de AWS red centralVPC.

AWSadministrador

Cree asociaciones.

Cree la asociación de zonas alojadas privadas de Route 53 para la cuenta de la AWS red central VPC mediante AWSCLI. Ejecute este comando desde el contexto de la cuenta de AWS red central:


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

donde:

<hosted-zone-id> es la zona alojada privada de Route 53 en la cuenta radial.
<region>y <vpc-id> son la AWS región y el VPC identificador de la cuenta de la AWS red central.

AWSadministrador

Recursos relacionados

Simplifique DNS la administración en un entorno de múltiples cuentas con Route 53 Resolver (entrada de AWS blog de Mahmoud Matouk)
Creación de un directorio con AWS Managed Microsoft AD (documentación de AWS Directory Service)
Compartir un directorio AWS administrado de Microsoft AD (documentación de AWS Directory Service)
Instalación de Route 53 Resolver (documentación de Amazon Route 53)
Creación de una zona alojada privada en Route 53 (documentación de Amazon Route 53)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceda a un host bastión mediante Session Manager y Amazon EC2 Instance Connect

Centralice la supervisión mediante Observability Access Manager