Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados

Centralice la resolución de DNS mediante AWS Managed Microsoft AD Microsoft Active Directory local

Creado por Brian Westmoreland (AWS)

Resumen

Este patrón proporciona orientación para centralizar la resolución de DNS en un entorno de AWS varias cuentas mediante AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) y Amazon Route 53. En este patrón, el espacio de nombres AWS DNS es un subdominio del espacio de nombres DNS local. Este patrón también proporciona instrucciones sobre cómo configurar los servidores DNS locales para que reenvíen consultas AWS cuando la solución DNS local utilice Microsoft Active Directory.

Requisitos previos y limitaciones

Requisitos previos

Un entorno AWS de varias cuentas configurado mediante. AWS Organizations
Conectividad de red establecida entre Cuentas de AWS.
Conectividad de red establecida entre el entorno local AWS y el entorno local (mediante el uso de AWS Direct Connect cualquier tipo de conexión VPN).
AWS Command Line Interface (AWS CLI) configurado en una estación de trabajo local.
AWS Resource Access Manager (AWS RAM) se utiliza para compartir las reglas de Route 53 entre cuentas. Por lo tanto, el uso compartido debe estar habilitado en el AWS Organizations entorno, como se describe en la sección Epics.

Limitaciones

AWS Managed Microsoft AD La Edición Estándar tiene un límite de 5 acciones.
AWS Managed Microsoft AD La Edición Enterprise tiene un límite de 125 acciones.
La solución de este patrón se limita a Regiones de AWS que el soporte se comparta a través de él AWS RAM.

Versiones de producto

Microsoft Active Directory que se ejecuta en Windows Server 2008, 2012, 2012 R2 o 2016.

Arquitectura

Arquitectura de destino

En este diseño, AWS Managed Microsoft AD se instala en los servicios compartidos Cuenta de AWS. Aunque no es un requisito, este patrón asume esta configuración. Si la configuras AWS Managed Microsoft AD de forma diferente Cuenta de AWS, es posible que tengas que modificar los pasos de la sección Epics en consecuencia.

Este diseño emplea Route 53 Resolvers para admitir la resolución de nombres mediante el uso de reglas de Route 53. Si la solución de DNS en las instalaciones usa Microsoft DNS, no es fácil crear una regla de reenvío condicional para el espacio de nombres de AWS (aws.company.com), que es un subdominio del espacio de nombres DNS (company.com) de la empresa. Si intenta crear un reenviador condicional tradicional, se producirá un error. Esto se debe a que Microsoft Active Directory ya se considera autorizado para cualquier subdominio de company.com. Para evitar este error, primero debe crear una delegación para aws.company.com que permita delegar la autoridad de ese espacio de nombres. A continuación, puede crear el reenviador condicional.

La nube privada virtual (VPC) de cada cuenta radial puede tener su propio espacio de nombres DNS único basado en el espacio de nombres raíz. AWS En este diseño, cada cuenta radial añade una abreviatura del nombre de cuenta al espacio de nombres base de AWS. Una vez creadas las zonas alojadas privadas en la cuenta de radio, las zonas se asocian a la VPC local de la cuenta de radio y a la VPC de la cuenta de red central. AWS Esto permite que la cuenta de AWS red central responda a las consultas de DNS relacionadas con las cuentas de radio. De esta manera, tanto Route 53 como Route 53 AWS Managed Microsoft AD trabajan juntos para compartir la responsabilidad de administrar el espacio de AWS nombres ()aws.company.com.

Automatizar y escalar

Este diseño utiliza los puntos finales de Route 53 Resolver para escalar las consultas de DNS entre el entorno local AWS y el entorno local. Cada punto de conexión de Route 53 Resolver incluye varias interfaces de red elásticas (distribuidas en varias zonas de disponibilidad), y cada interfaz de red puede gestionar hasta 10 000 consultas por segundo. Route 53 Resolver admite hasta 6 direcciones IP por punto de conexión, por lo que, en total, este diseño admite hasta 60 000 consultas de DNS por segundo distribuidas en varias zonas de disponibilidad para lograr una alta disponibilidad.

Además, este patrón explica automáticamente el futuro crecimiento interno AWS. Las reglas de reenvío de DNS configuradas localmente no tienen que modificarse para admitir las nuevas zonas alojadas privadas VPCs y las asociadas que se agreguen a AWS ellas.

Herramientas

Servicios de AWS

AWS Directory Service for Microsoft Active Directorypermite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Microsoft Active Directory en. Nube de AWS
AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar varias cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada.
AWS Resource Access Manager (AWS RAM) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y ofrecer visibilidad y capacidad de auditoría.
Amazon Route 53 es un servicio web de sistema de nombres de dominio (DNS) escalable y de alta disponibilidad.

Herramientas

AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que te ayuda a interactuar Servicios de AWS mediante los comandos de tu consola de línea de comandos. En este patrón, AWS CLI se usa para configurar las autorizaciones de Route 53.

Epics

Tarea	Descripción	Habilidades requeridas
Implementar AWS Managed Microsoft AD.	Crear y configurar un nuevo directorio. Para ver los pasos detallados, consulte Creación del suyo AWS Managed Microsoft AD en la Guía de AWS Directory Service administración. Registre las direcciones IP de los controladores de AWS Managed Microsoft AD dominio. Se emplearán en un paso posterior.	Administrador de AWS
Compartir el directorio.	Una vez creado el directorio, compártalo con otros miembros Cuentas de AWS de la AWS organización. Para obtener instrucciones, consulte Compartir el directorio en la Guía de AWS Directory Service administración. nota AWS Managed Microsoft AD La edición estándar tiene un límite de 5 acciones. La Edición Enterprise tiene un límite de 125 acciones.	Administrador de AWS

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree Route 53 Resolvers.	Los solucionadores Route 53 facilitan la resolución de consultas de DNS entre el centro de datos local AWS y el centro de datos local. Instale Route 53 Resolvers siguiendo las instrucciones de la Guía del desarrollador de Route 53. Configure los resolvers de Route 53 en subredes privadas de al menos dos zonas de disponibilidad dentro de la VPC de la cuenta de AWS red central para obtener una alta disponibilidad. nota Si bien el uso de la VPC de la cuenta de AWS red central no es obligatorio, en los pasos restantes se asume esta configuración.	Administrador de AWS
Cree reglas de Route 53.	Es posible que su caso de uso específico requiera una gran cantidad de reglas de Route 53, pero tendrá que configurar las siguientes reglas como base: Una regla de salida para el espacio de nombres local (`company.com`) mediante la cuenta de red central Outbound Route 53 Resolvers. Las direcciones IP de destino son los servidores DNS locales. Asocie esta regla a la VPC de la cuenta de red central. Una regla de salida para el espacio de AWS nombres (`aws.company.com`) mediante la cuenta de red central Outbound Route 53 Resolvers. Las direcciones IP de destino son las direcciones IP entrantes de Route 53 Resolver de la cuenta de red central. No asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers). Una segunda regla de salida para el espacio de AWS nombres (`aws.company.com`) que apunta a los controladores de AWS Managed Microsoft AD dominio (utilice la IPs de la epopeya anterior). Asocie esta regla a la cuenta de AWS red central VPC (que aloja los Route 53 Resolvers). No comparta ni asocie esta regla con otras. Cuentas de AWS Para más información, consulte Gestión de reglas de reenvío en la Guía del desarrollador de Route 53.	Administrador de AWS
Configure un perfil de Route 53.	Se utiliza un perfil de Route 53 para compartir las reglas con las cuentas de radio. Cree un nuevo perfil de Route 53 en la cuenta de red central siguiendo las instrucciones de la Guía para desarrolladores de Route 53. Agregue la regla para el espacio de nombres local (`company.com`) al perfil. Agregue al perfil la primera regla para el espacio de AWS nombres (`aws.company.com`), que apunta a las direcciones IP de los resolutores entrantes de Route 53. Comparta el perfil de Route 53 con la organización. AWS Acepte el recurso compartido del perfil de Route 53 en cada cuenta de radio. Asocie el perfil de Route 53 a cada VPC de cuenta radial.	Administrador de AWS

Cree Route 53 Resolvers.

Los solucionadores Route 53 facilitan la resolución de consultas de DNS entre el centro de datos local AWS y el centro de datos local.

Instale Route 53 Resolvers siguiendo las instrucciones de la Guía del desarrollador de Route 53.
Configure los resolvers de Route 53 en subredes privadas de al menos dos zonas de disponibilidad dentro de la VPC de la cuenta de AWS red central para obtener una alta disponibilidad.

nota

Si bien el uso de la VPC de la cuenta de AWS red central no es obligatorio, en los pasos restantes se asume esta configuración.

Administrador de AWS

Cree reglas de Route 53.

Es posible que su caso de uso específico requiera una gran cantidad de reglas de Route 53, pero tendrá que configurar las siguientes reglas como base:

Una regla de salida para el espacio de nombres local (company.com) mediante la cuenta de red central Outbound Route 53 Resolvers. Las direcciones IP de destino son los servidores DNS locales.
- Asocie esta regla a la VPC de la cuenta de red central.
Una regla de salida para el espacio de AWS nombres (aws.company.com) mediante la cuenta de red central Outbound Route 53 Resolvers. Las direcciones IP de destino son las direcciones IP entrantes de Route 53 Resolver de la cuenta de red central.
- No asocie esta regla a la cuenta de AWS red central VPC (que alberga los Route 53 Resolvers).
Una segunda regla de salida para el espacio de AWS nombres (aws.company.com) que apunta a los controladores de AWS Managed Microsoft AD dominio (utilice la IPs de la epopeya anterior).
- Asocie esta regla a la cuenta de AWS red central VPC (que aloja los Route 53 Resolvers).
- No comparta ni asocie esta regla con otras. Cuentas de AWS

Para más información, consulte Gestión de reglas de reenvío en la Guía del desarrollador de Route 53.

Administrador de AWS

Configure un perfil de Route 53.

Se utiliza un perfil de Route 53 para compartir las reglas con las cuentas de radio.

Cree un nuevo perfil de Route 53 en la cuenta de red central siguiendo las instrucciones de la Guía para desarrolladores de Route 53.
Agregue la regla para el espacio de nombres local (company.com) al perfil.
Agregue al perfil la primera regla para el espacio de AWS nombres (aws.company.com), que apunta a las direcciones IP de los resolutores entrantes de Route 53.
Comparta el perfil de Route 53 con la organización. AWS
Acepte el recurso compartido del perfil de Route 53 en cada cuenta de radio.
Asocie el perfil de Route 53 a cada VPC de cuenta radial.

Administrador de AWS

Tarea	Descripción	Habilidades requeridas
Cree la delegación.	Use el complemento DNS de Microsoft (`dnsmgmt.msc`) para crear una nueva delegación para el espacio de nombres `company.com` de Active Directory. El nombre del dominio delegado debe ser `aws`. Esto lo convierte en el nombre completo del dominio (FQDN) de la delegación `aws.company.com`. Utilice las direcciones IP de los controladores de AWS Managed Microsoft AD dominio para los valores de IP del servidor de nombres y utilícelas `server.aws.company.com` para el nombre. (Esta delegación es solo por redundancia, ya que se creará un reenviador condicional para este espacio de nombres que tendrá prioridad sobre la delegación).	Active Directory
Cree el reenviador condicional.	Use el complemento DNS de Microsoft (`dnsmgmt.msc`) para crear un nuevo reenviador condicional para `aws.company.com`. Utilice las direcciones IP de los Resolvers de AWS Route 53 entrantes en el DNS central Cuenta de AWS para el destino del reenviador condicional.	Active Directory

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree las zonas alojadas privadas de Route 53.	Crear una zona alojada privada de Route 53 en cada cuenta radial. Asocie esta zona alojada privada con la VPC de la cuenta radial. Para ver los pasos detallados, consulte Crear una zona alojada privada en la Guía del desarrollador de Route 53.	Administrador de AWS
Cree autorizaciones.	Utilice el AWS CLI para crear una autorización para la VPC de la cuenta AWS de red central. Ejecute este comando desde el contexto de cada radio: Cuenta de AWS `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` donde: `<hosted-zone-id>` es la zona alojada privada de Route 53 en la cuenta radial. `<region>`y `<vpc-id>` son el Región de AWS ID de VPC de la cuenta de AWS red central VPC.	Administrador de AWS
Cree asociaciones.	Cree la asociación de zonas alojadas privadas de Route 53 para la VPC de la cuenta de AWS red central mediante. AWS CLI Ejecute este comando desde el contexto de la cuenta de AWS red central: `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` donde: `<hosted-zone-id>` es la zona alojada privada de Route 53 en la cuenta radial. `<region>`y `<vpc-id>` son el Región de AWS ID de VPC de la cuenta de AWS red central.	Administrador de AWS

Cree las zonas alojadas privadas de Route 53.

Crear una zona alojada privada de Route 53 en cada cuenta radial. Asocie esta zona alojada privada con la VPC de la cuenta radial. Para ver los pasos detallados, consulte Crear una zona alojada privada en la Guía del desarrollador de Route 53.

Administrador de AWS

Cree autorizaciones.

Utilice el AWS CLI para crear una autorización para la VPC de la cuenta AWS de red central. Ejecute este comando desde el contexto de cada radio: Cuenta de AWS


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

donde:

<hosted-zone-id> es la zona alojada privada de Route 53 en la cuenta radial.
<region>y <vpc-id> son el Región de AWS ID de VPC de la cuenta de AWS red central VPC.

Administrador de AWS

Cree asociaciones.

Cree la asociación de zonas alojadas privadas de Route 53 para la VPC de la cuenta de AWS red central mediante. AWS CLI Ejecute este comando desde el contexto de la cuenta de AWS red central:


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

donde:

<hosted-zone-id> es la zona alojada privada de Route 53 en la cuenta radial.
<region>y <vpc-id> son el Región de AWS ID de VPC de la cuenta de AWS red central.

Administrador de AWS

Recursos relacionados

Simplifique la administración del DNS en un entorno con varias cuentas con Route 53 Resolver (AWS entrada del blog)
Creando su AWS Managed Microsoft AD (AWS Directory Service documentación)
Compartir un AWS Managed Microsoft AD directorio (AWS Directory Service documentación)
¿Qué es Amazon Route 53 Resolver? (documentación de Amazon Route 53)
Creación de una zona alojada privada (documentación de Amazon Route 53)
¿Qué son los perfiles de Amazon Route 53? (documentación de Amazon Route 53)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceda a un host bastión mediante Session Manager y Amazon EC2 Instance Connect

Centralice la supervisión mediante Observability Access Manager