Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e localmente Microsoft Active Directory
Creato da Brian Westmoreland (AWS)
Riepilogo
Questo modello fornisce indicazioni per centralizzare la risoluzione DNS all'interno di un ambiente AWS multi-account utilizzando sia AWS Directory Service for Microsoft Active Directory () che Amazon Route AWS Managed Microsoft AD 53. In questo modello, lo spazio dei nomi AWS DNS è un sottodominio dello spazio dei nomi DNS locale. Questo modello fornisce anche indicazioni su come configurare i server DNS locali per inoltrare le query a AWS quando la soluzione DNS locale utilizza Microsoft Active Directory.
Prerequisiti e limitazioni
Prerequisiti
Un ambiente AWS multi-account configurato utilizzando. AWS Organizations
Connettività di rete stabilita tra Account AWS.
Connettività di rete stabilita tra AWS e l'ambiente locale (utilizzando AWS Direct Connect o qualsiasi tipo di connessione VPN).
AWS Command Line Interface (AWS CLI) configurato su una workstation locale.
AWS Resource Access Manager (AWS RAM) utilizzato per condividere le regole della Route 53 tra account. Pertanto, la condivisione deve essere abilitata all'interno AWS Organizations dell'ambiente, come descritto nella sezione Epics.
Limitazioni
AWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni.
AWS Managed Microsoft AD Enterprise Edition ha un limite di 125 condivisioni.
La soluzione in questo modello si limita alla Regioni AWS condivisione del supporto AWS RAM.
Versioni del prodotto
Microsoft Active Directory in esecuzione su Windows Server 2008, 2012, 2012 R2 o 2016.
Architettura
Architettura Target
In questo design, AWS Managed Microsoft AD viene installato nei servizi condivisi. Account AWS Sebbene non sia un requisito, questo modello presuppone questa configurazione. Se configuri AWS Managed Microsoft AD in modo diverso Account AWS, potresti dover modificare di conseguenza i passaggi nella sezione Epics.
Questo design utilizza i Resolver Route 53 per supportare la risoluzione dei nomi tramite l'uso delle regole Route 53. Se la soluzione DNS locale utilizza Microsoft DNS, la creazione di una regola di inoltro condizionale per il namespace AWS aws.company.com (), che è un sottodominio dello spazio dei nomi DNS dell'azienda (), non è semplice. company.com Se si tenta di creare un server d'inoltro condizionale tradizionale, si verificherà un errore. Questo perché Microsoft Active Directory è già considerato autorevole per qualsiasi sottodominio di. company.com Per aggirare questo errore, devi prima creare una aws.company.com delega per delegare l'autorità di quel namespace. È quindi possibile creare il server d'inoltro condizionale.
Il cloud privato virtuale (VPC) per ogni account spoke può avere il proprio spazio dei nomi DNS univoco basato sullo spazio dei nomi root. AWS In questo design, ogni account spoke aggiunge un'abbreviazione del nome dell'account allo spazio dei nomi AWS di base. Dopo aver creato le zone ospitate private nell'account spoke, le zone vengono associate al VPC locale nell'account spoke e al VPC nell'account di rete centrale. AWS Ciò consente all'account di AWS rete centrale di rispondere alle domande DNS relative agli account spoke. In questo modo, sia Route 53 che Route 53 AWS Managed Microsoft AD collaboriamo per condividere la responsabilità della gestione del AWS namespace (). aws.company.com
Automazione e scalabilità
Questo design utilizza gli endpoint Route 53 Resolver per scalare le query DNS tra AWS l'ambiente locale e l'ambiente locale. Ogni endpoint Route 53 Resolver comprende più interfacce di rete elastiche (distribuite su più zone di disponibilità) e ogni interfaccia di rete può gestire fino a 10.000 query al secondo. Route 53 Resolver supporta fino a 6 indirizzi IP per endpoint, quindi complessivamente questo design supporta fino a 60.000 query DNS al secondo distribuite su più zone di disponibilità per un'elevata disponibilità.
Inoltre, questo modello tiene automaticamente conto delle crescite future interne AWS. Le regole di inoltro DNS configurate in locale non devono essere modificate per supportare le nuove zone ospitate private VPCs e le relative zone ospitate private associate che vengono aggiunte. AWS
Strumenti
Servizi AWS
AWS Directory Service for Microsoft Active Directoryconsente ai carichi di lavoro e alle risorse compatibili con le directory di AWS utilizzare Microsoft Active Directory in. Cloud AWS
AWS Organizationsè un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione creata e gestita centralmente.
AWS Resource Access Manager (AWS RAM) ti aiuta a condividere in modo sicuro le tue risorse Account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
Amazon Route 53 è un servizio Web DNS altamente scalabile e disponibile.
Strumenti
AWS Command Line Interface (AWS CLI) è uno strumento open source che consente di interagire Servizi AWS tramite comandi nella shell della riga di comando. In questo modello, AWS CLI viene utilizzato per configurare le autorizzazioni di Route 53.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Implementazione. AWS Managed Microsoft AD |
| Amministratore AWS |
Condividi la directory. | Dopo aver creato la directory, condividila con altri Account AWS membri dell' AWS organizzazione. Per istruzioni, consulta Condividere la directory nella Guida all'AWS Directory Service amministrazione. NotaAWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni. Enterprise Edition ha un limite di 125 condivisioni. | Amministratore AWS |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea risolutori Route 53. | I resolver Route 53 facilitano la risoluzione delle query DNS tra e il data center locale. AWS
NotaSebbene l'utilizzo dell'account di AWS rete centrale VPC non sia un requisito, i passaggi rimanenti presuppongono questa configurazione. | Amministratore AWS |
Crea regole Route 53. | Il tuo caso d'uso specifico potrebbe richiedere un gran numero di regole Route 53, ma dovrai configurare le seguenti regole come base:
Per ulteriori informazioni, consulta Managing forwarding rules nella Route 53 Developer Guide. | Amministratore AWS |
Configura un profilo Route 53. | Un profilo Route 53 viene utilizzato per condividere le regole con gli account Spoke.
| Amministratore AWS |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea la delega. | Utilizza lo snap-in Microsoft DNS ( | Active Directory |
Crea lo spedizioniere condizionale. | Usa lo snap-in Microsoft DNS ( | Active Directory |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Crea le zone ospitate private di Route 53. | Crea una zona ospitata privata sulla Route 53 in ogni account spoke. Associa questa zona ospitata privata al VPC dell'account spoke. Per i passaggi dettagliati, consulta Creazione di una zona ospitata privata nella Route 53 Developer Guide. | Amministratore AWS |
Crea autorizzazioni. | Utilizza AWS CLI per creare un'autorizzazione per l'account di AWS rete centrale VPC. Esegui questo comando dal contesto di ogni spoke Account AWS:
dove:
| Amministratore AWS |
Creare associazioni. | Crea l'associazione di zona ospitata privata Route 53 per l'account di AWS rete centrale VPC utilizzando. AWS CLI Esegui questo comando dal contesto dell'account di AWS rete centrale:
dove:
| Amministratore AWS |
Risorse correlate
Semplifica la gestione DNS in un ambiente multi-account con Route 53 Resolver
(post sul blog)AWS Creando la tua (documentazione) AWS Managed Microsoft ADAWS Directory Service
Condivisione di una AWS Managed Microsoft AD directory (AWS Directory Service documentazione)
Che cos'è Amazon Route 53 Resolver? (documentazione Amazon Route 53)
Creazione di una zona ospitata privata (documentazione Amazon Route 53)
Cosa sono i profili Amazon Route 53? (documentazione Amazon Route 53)
