Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Centralizza la DNS risoluzione utilizzando AWS Managed Microsoft AD e Microsoft Active Directory locale
Creato da Brian Westmoreland () AWS
Ambiente: produzione | Tecnologie: infrastruttura; rete DevOps; sicurezza, identità, conformità; sistemi operativi | Carico di lavoro: Microsoft |
AWSservizi: Microsoft AD AWS gestito; Amazon Route 53; AWS Directory Service AWSRAM; AWS Organizations; AWS Direct Connect; AWS CLI |
Riepilogo
Questo modello fornisce indicazioni per centralizzare la risoluzione del Domain Name System (DNS) all'interno di un ambiente AWS multi-account utilizzando AWS Directory Service for Microsoft Active Directory (Managed AWS Microsoft AD). In questo modello, lo spazio dei AWS DNS nomi è un sottodominio dello spazio dei nomi locale. DNS Questo modello fornisce inoltre indicazioni su come configurare i DNS server locali per inoltrare le query a AWS quando la soluzione locale DNS utilizza Microsoft Active Directory.
Prerequisiti e limitazioni
Prerequisiti
Un ambiente AWS multi-account configurato utilizzando AWS Organizations.
Connettività di rete stabilita tra AWS account.
Connettività di rete stabilita tra AWS e l'ambiente locale (utilizzando AWS Direct Connect o qualsiasi tipo di VPN connessione).
AWSCommand Line Interface (AWSCLI) configurata su una workstation locale.
AWSResource Access Manager (AWSRAM) utilizzato per condividere le regole di Amazon Route 53 tra account. Pertanto, la condivisione deve essere abilitata all'interno dell'ambiente AWS Organizations, come descritto nella sezione Epics.
Limitazioni
AWSManaged Microsoft AD Standard Edition ha un limite di 5 condivisioni.
AWSLa versione gestita di Microsoft AD Enterprise Edition ha un limite di 125 condivisioni.
Questa soluzione in questo modello è limitata alle AWS regioni che supportano la condivisione tramite AWSRAM.
Versioni del prodotto
Microsoft Active Directory in esecuzione su Windows Server 2008, 2012, 2012 R2 o 2016
Architettura
Architettura Target
In questo design, AWS Managed Microsoft AD è installato nell'AWSaccount dei servizi condivisi. Sebbene questo non sia un requisito, questo modello presuppone questa configurazione. Se configuri AWS Managed Microsoft AD in un AWS account diverso, potresti dover modificare di conseguenza i passaggi nella sezione Epics.
Questo design utilizza i Resolver Route 53 per supportare la risoluzione dei nomi tramite l'uso delle regole Route 53. Se la DNS soluzione locale utilizza MicrosoftDNS, la creazione di una regola di inoltro condizionale per il AWS namespace (aws.company.com), che è un sottodominio dello spazio dei DNS nomi dell'azienda (), non è semplice. company.com Se si tenta di creare un server d'inoltro condizionale tradizionale, si verificherà un errore. Questo perché Microsoft Active Directory è già considerato autorevole per qualsiasi sottodominio di. company.com Per aggirare questo errore, devi prima creare una aws.company.com delega per delegare l'autorità di quel namespace. È quindi possibile creare il server d'inoltro condizionale.
Il cloud privato virtuale (VPC) per ogni account spoke può avere un proprio spazio dei DNS nomi univoco basato sullo spazio dei nomi root. AWS In questo design, ogni account spoke aggiunge un'abbreviazione del nome dell'account al namespace di base. AWS Dopo aver creato le zone private ospitate nell'account spoke, le zone vengono associate sia all'account VPC in the spoke che all'account della rete VPC centrale. AWS Ciò consente all'account della AWS rete centrale di rispondere alle DNS domande relative agli account spoke.
Automazione e scalabilità
Questo design utilizza gli endpoint Route 53 Resolver per scalare DNS le query tra AWS e l'ambiente locale. Ogni endpoint Route 53 Resolver comprende più interfacce di rete elastiche (distribuite su più zone di disponibilità) e ogni interfaccia di rete può gestire fino a 10.000 query al secondo. Route 53 Resolver supporta fino a 6 indirizzi IP per endpoint, quindi complessivamente questo design supporta fino a 60.000 DNS query al secondo distribuite su più zone di disponibilità per un'elevata disponibilità.
Inoltre, questo modello tiene automaticamente conto delle crescite future interneAWS. Le regole di DNS inoltro configurate in locale non devono essere modificate per supportare le nuove zone ospitate private VPCs e le relative zone ospitate private associate che vengono aggiunte. AWS
Strumenti
AWSservizi
AWSDirectory Service per Microsoft Active Directory consente ai carichi di lavoro e AWS alle risorse compatibili con le directory di utilizzare Microsoft Active Directory nel cloud. AWS
AWSOrganizations è un servizio di gestione degli account che consente di consolidare più AWS account in un'organizzazione da creare e gestire centralmente.
AWSResource Access Manager (AWSRAM) consente di condividere in modo sicuro le risorse tra AWS gli account per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
Amazon Route 53 è un servizio DNS Web altamente disponibile e scalabile.
Strumenti
AWSCommand Line Interface (AWSCLI) è uno strumento open source che ti aiuta a interagire con i AWS servizi tramite comandi nella shell della riga di comando. In questo modello, AWS CLI viene utilizzato per configurare le autorizzazioni Route 53.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
AWSImplementa Managed Microsoft AD. |
| AWSamministratore |
Condividi la rubrica. | Dopo aver creato la directory, condividila con altri AWS account dell'AWSorganizzazione. Per istruzioni, consulta Condividere la AWS directory nella Directory Service Administration Guide. Nota: AWS Managed Microsoft AD Standard Edition ha un limite di 5 condivisioni. Enterprise Edition ha un limite di 125 condivisioni. | AWSamministratore |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea Resolver Route 53. | I Resolver Route 53 facilitano la risoluzione delle DNS interrogazioni tra AWS e il data center locale.
Nota: sebbene l'utilizzo dell'account di AWS rete centrale VPC non sia un requisito, i passaggi rimanenti presuppongono questa configurazione. | AWSamministratore |
Crea regole per la Route 53. | Il tuo caso d'uso specifico potrebbe richiedere un gran numero di regole Route 53, ma dovrai configurare le seguenti regole come base:
Per ulteriori informazioni, consulta Managing forwarding rules nella Route 53 Developer Guide. | AWSamministratore |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea la delega. | Usa Microsoft DNS snap-in ( | Active Directory |
Crea lo spedizioniere condizionale. | Usa lo DNS snap-in Microsoft ( | Active Directory |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea le zone ospitate private della Route 53. | Crea una zona ospitata privata Route 53 in ogni account spoke. Associa questa zona ospitata privata all'account spokeVPC. Per i passaggi dettagliati, consulta Creazione di una zona ospitata privata nella Route 53 Developer Guide. | AWSamministratore |
Crea autorizzazioni. | Utilizzare il AWS CLI per creare un'autorizzazione per l'account VPC di AWS rete centrale. Esegui questo comando dal contesto di ogni AWS account spoke:
dove:
| AWSamministratore |
Creare associazioni. | Creare l'associazione di zona ospitata privata Route 53 per l'account VPC di AWS rete centrale utilizzando AWSCLI. Esegui questo comando dal contesto dell'account di AWS rete centrale:
dove:
| AWSamministratore |
Risorse correlate
Semplifica la DNS gestione in un ambiente multi-account con Route 53 Resolver
(post AWS sul blog di Mahmoud Matouk) Creazione di una directory con AWS Managed Microsoft AD (documentazione del AWS Directory Service)
Condivisione di una directory Microsoft AD AWS gestita (documentazione del AWS Directory Service)
Installazione di un Route 53 Resolver (documentazione Amazon Route 53)
Creazione di una zona ospitata privata Route 53 (documentazione Amazon Route 53)
