Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e localmente Microsoft Active Directory - Prontuario AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e localmente Microsoft Active Directory

Creato da Brian Westmoreland (AWS)

Riepilogo

Questo modello fornisce indicazioni per centralizzare la risoluzione DNS all'interno di un ambiente AWS multi-account utilizzando sia AWS Directory Service for Microsoft Active Directory () che Amazon Route AWS Managed Microsoft AD 53. In questo modello, lo spazio dei nomi AWS DNS è un sottodominio dello spazio dei nomi DNS locale. Questo modello fornisce anche indicazioni su come configurare i server DNS locali per inoltrare le query a AWS quando la soluzione DNS locale utilizza Microsoft Active Directory.  

Prerequisiti e limitazioni

Prerequisiti

  • Un ambiente AWS multi-account configurato utilizzando. AWS Organizations

  • Connettività di rete stabilita tra Account AWS.

  • Connettività di rete stabilita tra AWS e l'ambiente locale (utilizzando AWS Direct Connect o qualsiasi tipo di connessione VPN).

  • AWS Command Line Interface (AWS CLI) configurato su una workstation locale.

  • AWS Resource Access Manager (AWS RAM) utilizzato per condividere le regole della Route 53 tra account. Pertanto, la condivisione deve essere abilitata all'interno AWS Organizations dell'ambiente, come descritto nella sezione Epics.

Limitazioni

  • AWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni.

  • AWS Managed Microsoft AD Enterprise Edition ha un limite di 125 condivisioni.

  • La soluzione in questo modello si limita alla Regioni AWS condivisione del supporto AWS RAM.

Versioni del prodotto

  • Microsoft Active Directory in esecuzione su Windows Server 2008, 2012, 2012 R2 o 2016.

Architettura

Architettura Target

Architettura per la risoluzione DNS centralizzata su AWS.

In questo design, AWS Managed Microsoft AD viene installato nei servizi condivisi. Account AWS Sebbene non sia un requisito, questo modello presuppone questa configurazione. Se configuri AWS Managed Microsoft AD in modo diverso Account AWS, potresti dover modificare di conseguenza i passaggi nella sezione Epics.

Questo design utilizza i Resolver Route 53 per supportare la risoluzione dei nomi tramite l'uso delle regole Route 53. Se la soluzione DNS locale utilizza Microsoft DNS, la creazione di una regola di inoltro condizionale per il namespace AWS aws.company.com (), che è un sottodominio dello spazio dei nomi DNS dell'azienda (), non è semplice. company.com Se si tenta di creare un server d'inoltro condizionale tradizionale, si verificherà un errore. Questo perché Microsoft Active Directory è già considerato autorevole per qualsiasi sottodominio di. company.com Per aggirare questo errore, devi prima creare una aws.company.com delega per delegare l'autorità di quel namespace. È quindi possibile creare il server d'inoltro condizionale.

Il cloud privato virtuale (VPC) per ogni account spoke può avere il proprio spazio dei nomi DNS univoco basato sullo spazio dei nomi root. AWS In questo design, ogni account spoke aggiunge un'abbreviazione del nome dell'account allo spazio dei nomi AWS di base. Dopo aver creato le zone ospitate private nell'account spoke, le zone vengono associate al VPC locale nell'account spoke e al VPC nell'account di rete centrale. AWS Ciò consente all'account di AWS rete centrale di rispondere alle domande DNS relative agli account spoke. In questo modo, sia Route 53 che Route 53 AWS Managed Microsoft AD collaboriamo per condividere la responsabilità della gestione del AWS namespace (). aws.company.com

Automazione e scalabilità

Questo design utilizza gli endpoint Route 53 Resolver per scalare le query DNS tra AWS l'ambiente locale e l'ambiente locale. Ogni endpoint Route 53 Resolver comprende più interfacce di rete elastiche (distribuite su più zone di disponibilità) e ogni interfaccia di rete può gestire fino a 10.000 query al secondo. Route 53 Resolver supporta fino a 6 indirizzi IP per endpoint, quindi complessivamente questo design supporta fino a 60.000 query DNS al secondo distribuite su più zone di disponibilità per un'elevata disponibilità.  

Inoltre, questo modello tiene automaticamente conto delle crescite future interne AWS. Le regole di inoltro DNS configurate in locale non devono essere modificate per supportare le nuove zone ospitate private VPCs e le relative zone ospitate private associate che vengono aggiunte. AWS 

Strumenti

Servizi AWS

Strumenti

  • AWS Command Line Interface (AWS CLI) è uno strumento open source che consente di interagire Servizi AWS tramite comandi nella shell della riga di comando. In questo modello, AWS CLI viene utilizzato per configurare le autorizzazioni di Route 53.

Epiche

AttivitàDescrizioneCompetenze richieste

Implementazione. AWS Managed Microsoft AD

  1. Crea e configura una nuova directory. Per i passaggi dettagliati, consulta Creating your AWS Managed Microsoft AD nella AWS Directory Service Administration Guide.  

  2. Registra gli indirizzi IP dei controller di AWS Managed Microsoft AD dominio.  A questi verrà fatto riferimento in un passaggio successivo.

Amministratore AWS

Condividi la directory.

Dopo aver creato la directory, condividila con altri Account AWS membri dell' AWS organizzazione. Per istruzioni, consulta Condividere la directory nella Guida all'AWS Directory Service amministrazione.  

Nota

AWS Managed Microsoft AD La Standard Edition ha un limite di 5 condivisioni. Enterprise Edition ha un limite di 125 condivisioni.

Amministratore AWS
AttivitàDescrizioneCompetenze richieste

Crea risolutori Route 53.

I resolver Route 53 facilitano la risoluzione delle query DNS tra e il data center locale. AWS  

  1. Installa i risolutori Route 53 seguendo le istruzioni contenute nella Guida per gli sviluppatori di Route 53. 

  2. Configura i Resolver Route 53 in sottoreti private in almeno due zone di disponibilità all'interno dell' AWS account di rete centrale VPC per un'elevata disponibilità.

Nota

Sebbene l'utilizzo dell'account di AWS rete centrale VPC non sia un requisito, i passaggi rimanenti presuppongono questa configurazione.

Amministratore AWS

Crea regole Route 53.

Il tuo caso d'uso specifico potrebbe richiedere un gran numero di regole Route 53, ma dovrai configurare le seguenti regole come base:

  • Una regola in uscita per lo spazio dei nomi locale (company.com) che utilizza l'account di rete centrale Route 53 Resolvers in uscita. Gli indirizzi IP di destinazione sono i server DNS locali.

    • Associa questa regola all'account di rete centrale VPC.

  • Una regola in uscita per il AWS namespace (aws.company.com) utilizzando l'account di rete centrale Route 53 Resolvers in uscita. Gli indirizzi IP di destinazione sono gli indirizzi IP di Route 53 Resolver in entrata dell'account di rete centrale.

    • Non associare questa regola all'account di AWS rete centrale VPC (che ospita i Resolver Route 53).

  • Una seconda regola in uscita per il AWS namespace (aws.company.com) che punta ai controller di AWS Managed Microsoft AD dominio (usa quella dell'epic precedente). IPs

    • Associate questa regola all'account di AWS rete centrale VPC (che ospita i Resolver Route 53).

    • Non condividere o associare questa regola ad altri. Account AWS

Per ulteriori informazioni, consulta Managing forwarding rules nella Route 53 Developer Guide.

Amministratore AWS

Configura un profilo Route 53.

Un profilo Route 53 viene utilizzato per condividere le regole con gli account Spoke.

  1. Crea un nuovo profilo Route 53 nell'account di rete centrale seguendo le istruzioni nella Route 53 Developer Guide.

  2. Aggiungi la regola per lo spazio dei nomi locale (company.com) al profilo.

  3. Aggiungi la prima regola per il AWS namespace (aws.company.com), che ha come target gli indirizzi IP dei resolver in ingresso della Route 53, al profilo.

  4. Condividi il profilo Route 53 con l'organizzazione. AWS

  5. Accetta la condivisione delle risorse del profilo Route 53 in ogni account spoke.

  6. Associa il profilo Route 53 a ciascun VPC dell'account spoke.

Amministratore AWS
AttivitàDescrizioneCompetenze richieste

Crea la delega.

Utilizza lo snap-in Microsoft DNS (dnsmgmt.msc) per creare una nuova delega per lo spazio dei company.com nomi all'interno di Active Directory. Il nome del dominio delegato deve essere. aws Ciò costituisce il nome di dominio completo (FQDN) della delegazione. aws.company.com Utilizza gli indirizzi IP dei controller di AWS Managed Microsoft AD dominio per i valori IP del name server e usali server.aws.company.com per il nome. (Questa delega serve solo per la ridondanza, poiché per questo spazio dei nomi verrà creato un server d'inoltro condizionale che ha la precedenza sulla delega.)

Active Directory

Crea lo spedizioniere condizionale.

Usa lo snap-in Microsoft DNS (dnsmgmt.msc) per creare un nuovo server d'inoltro condizionale per. aws.company.com  Utilizza gli indirizzi IP dei Resolver Route 53 AWS in ingresso nel DNS centrale per la destinazione del server d'inoltro condizionale. Account AWS   

Active Directory
AttivitàDescrizioneCompetenze richieste

Crea le zone ospitate private di Route 53.

Crea una zona ospitata privata sulla Route 53 in ogni account spoke. Associa questa zona ospitata privata al VPC dell'account spoke. Per i passaggi dettagliati, consulta Creazione di una zona ospitata privata nella Route 53 Developer Guide.

Amministratore AWS

Crea autorizzazioni.

Utilizza AWS CLI per creare un'autorizzazione per l'account di AWS rete centrale VPC. Esegui questo comando dal contesto di ogni spoke Account AWS:

aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>

dove:

  • <hosted-zone-id>è la zona ospitata privata di Route 53 nell'account spoke.

  • <region>e <vpc-id> sono l' Regione AWS ID VPC dell'account di AWS rete centrale VPC.

Amministratore AWS

Creare associazioni.

Crea l'associazione di zona ospitata privata Route 53 per l'account di AWS rete centrale VPC utilizzando. AWS CLI Esegui questo comando dal contesto dell'account di AWS rete centrale:

aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>

dove:

  • <hosted-zone-id>è la zona ospitata privata di Route 53 nell'account spoke.

  • <region>e <vpc-id> sono l'ID Regione AWS e il VPC dell'account di AWS rete centrale.

Amministratore AWS

Risorse correlate