1단계: AWS 관리형 Microsoft AD를 위한 AWS 환경 설정
AWS 테스트 랩에서 AWS Managed Microsoft AD를 생성하려면 먼저 모든 로그인 데이터가 암호화되도록 Amazon EC2 키 페어를 설정해야 합니다.
키 페어 생성
이미 키 페어가 있다면 이 단계를 생략할 수 있습니다. Amazon EC2 키 페어에 대한 자세한 내용은 키 페어 생성을 참조하세요.
키 페어를 생성하는 방법
AWS Management Console에 로그인하고 https://console.aws.amazon.com/ec2/
에서 Amazon EC2 콘솔을 엽니다. -
탐색 창의 [Network & Security]에서 [Key Pairs]를 선택하고 [Create Key Pair]를 선택합니다.
-
키 페어 이름에
AWS-DS-KP
를 입력합니다. Key pair file format(키 페어 파일 형식)에 대해 pem을 선택한 다음 생성을 선택합니다. -
브라우저에서 프라이빗 키 파일이 자동으로 다운로드됩니다. 파일 이름은 키 페어를 생성할 때 지정한 이름이며 확장명은
.pem
입니다. 안전한 장소에 프라이빗 키 파일을 저장합니다.중요
이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다. 인스턴스를 시작할 때 키 페어의 이름을 제공하고, 인스턴스의 암호를 복호화할 때마다 해당 프라이빗 키를 제공해야 합니다.
두 Amazon VPC 생성, 구성, 피어링
다음 그림과 같이 이 다단계 프로세스를 마치면 퍼블릭 VPC 두 개, VPC당 퍼블릭 서브넷 두 개, VPC당 인터넷 게이트웨이 한 개, VPC 간 VPC 피어링 연결 한 개를 생성하고 구성한 것입니다. 단순성 및 비용을 위해 퍼블릭 VPC 및 서브넷을 사용하기로 결정했습니다. 프로덕션 워크로드의 경우 프라이빗 VPC를 사용하는 것이 좋습니다. VPC 보안 향상에 대한 자세한 내용은 Amazon Virtual Private Cloud의 보안을 참조하세요.
모든 AWS CLI 및 PowerShell 예제는 아래의 VPC 정보를 사용하며 us-west-2에 구축되었습니다. 환경을 구축할 지원되는 리전을 선택할 수 있습니다. 일반적인 내용은 Amazon VPC란?을 참조하세요.
1단계: 두 개의 VPC 생성
이 단계에서는 다음 표의 지정된 파라미터를 사용하여 동일한 계정으로 두 개의 VPC를 생성해야 합니다. AWS Managed Microsoft AD는 이 AWS 관리형 Microsoft AD를 공유합니다 기능을 통해 별도 계정의 사용을 지원합니다. 첫 번째 VPC는 AWS Managed Microsoft AD용으로 사용됩니다. 두 번째 VPC는 나중에 자습서: AWS Managed Microsoft AD로부터 Amazon EC2의 자체 관리형 Active Directory 설치로 신뢰 관계 설정에서 사용할 수 있는 리소스에 사용됩니다.
관리형 Active Directory VPC 정보 |
온프레미스 VPC 정보 |
---|---|
이름 태그: AWS-DS-VPC01 IPv4 CIDR 블록: 10.0.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 |
이름 태그: AWS-OnPrem-VPC01 IPv4 CIDR 블록: 10.100.0.0/16 IPv6 CIDR block: No IPv6 CIDR Block 테넌시: 기본값 |
자세한 지침은 VPC 생성을 참조하세요.
2단계: VPC당 두 개의 서브넷 생성
VPC를 생성한 후에는 다음 표의 지정된 파라미터를 사용하여 VPC당 두 개의 서브넷을 생성해야 합니다. 이 테스트 랩의 경우 각 서브넷은 /24가 됩니다. 이렇게 하면 서브넷당 최대 256개의 주소를 발급할 수 있습니다. 각 서브넷은 별도의 AZ에 있어야 합니다. AZ에서 각 서브넷을 별도로 배치하는 것은 AWS 관리형 Microsoft AD를 생성하기 위한 사전 조건 중 하나입니다.
AWS-DS-VPC01 서브넷 정보: |
AWS-OnPrem-VPC01 서브넷 정보 |
---|---|
이름 태그: AWS-DS-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.0.0.0/24 |
이름 태그: AWS-OnPrem-VPC01-Subnet01 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2a IPv4 CIDR 블록: 10.100.0.0/24 |
이름 태그: AWS-DS-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.0.1.0/24 |
이름 태그: AWS-OnPrem-VPC01-Subnet02 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 가용 영역: us-west-2b IPv4 CIDR 블록: 10.100.1.0/24 |
자세한 지침은 VPC에서 서브넷 생성을 참조하세요.
3단계: 인터넷 게이트웨이 생성 및 VPC에 연결
퍼블릭 VPC를 사용하고 있으므로 다음 표의 지정된 파라미터를 사용하여 인터넷 게이트웨이를 생성하고 VPC에 연결해야 합니다. 이렇게 하면 EC2 인스턴스에 연결하고 관리할 수 있습니다.
AWS-DS-VPC01 인터넷 게이트웨이 정보 |
AWS-OnPrem-VPC01 인터넷 게이트웨이 정보 |
---|---|
이름 태그: AWS-DS-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
이름 태그: AWS-OnPrem-VPC01-IGW VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
자세한 지침은 인터넷 게이트웨이를 참조하세요.
4단계: AWS-DS-VPC01과 -OnPrem-VPC01 간의 VPC 피어링 연결 구성AWS
이전에 이미 두 개의 VPC를 생성했으므로 다음 표의 지정된 파라미터를 사용하여 VPC 피어링으로 이 두 VPC를 함께 네트워크로 연결해야 합니다. VPC를 연결하는 방법은 여러 가지가 있지만 이 자습서에서는 VPC 피어링을 사용합니다. AWS Managed Microsoft AD는 VPC를 연결하는 다양한 솔루션을 지원하며, 그 중 일부에는 VPC 피어링, Transit Gateway, VPN이 포함됩니다.
피어링 연결 이름 태그: AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer VPC(요청자): vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 계정: 내 계정 리전: 이 리전 VPC(수락자): vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
계정에 있는 다른 VPC와의 VPC 피어링 연결을 생성하는 방법에 대한 지침은 계정에 있는 다른 VPC와의 VPC 피어링 연결 생성을 참조하세요.
5단계: 각 VPC의 기본 라우팅 테이블에 두 개의 라우팅 추가
이전 단계에서 생성된 인터넷 게이트웨이 및 VPC 피어링 연결이 작동하려면 다음 표의 지정된 파라미터를 사용하여 두 VPC의 기본 라우팅 테이블을 업데이트해야 합니다. 라우팅 테이블에 명시적으로 알려지지 않은 모든 대상으로 라우팅되는 0.0.0.0/0과 위에 설정된 VPC 피어링 연결을 통해 각 VPC로 라우팅되는 10.0.0.0/16 또는 10.100.0.0/16인 두 라우팅을 추가합니다.
VPC 이름 태그(AWS-DS-VPC01 또는 AWS-OnPrem-VPC01)를 필터링하여 각 VPC에 대한 올바른 라우팅 테이블을 쉽게 찾을 수 있습니다.
AWS-DS-VPC01 라우팅 1 정보 |
AWS-DS-VPC01 라우팅 2 정보 |
AWS-OnPrem-VPC01 라우팅 1 정보 |
AWS-OnPrem-VPC01 라우팅 2 정보 |
---|---|---|---|
대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxx AWS-DS-VPC01-IGW |
대상 주소: 10.100.0.0/16 대상: pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
대상 주소: 0.0.0.0/0 대상: igw-xxxxxxxxxxxxxxxxx AWS-Onprem-VPC01 |
대상 주소: 10.0.0.0/16 대상: pcx-xxxxxxxxxxxxxxxxx AWS-DS-VPC01&AWS-OnPrem-VPC01-Peer |
VPC 라우팅 테이블에 라우팅을 추가하는 방법에 대한 지침은 라우팅 테이블에서 라우팅 추가 및 제거를 참조하세요.
Amazon EC2 인스턴스에 대한 보안 그룹 생성
기본적으로 AWS Managed Microsoft AD는 도메인 컨트롤러 간 트래픽을 관리하기 위해 보안 그룹을 생성합니다. 이 단원에서는 다음 표의 지정된 파라미터를 사용하여 EC2 인스턴스의 VPC 내 트래픽을 관리하는 데 사용할 두 개의 보안 그룹(VPC당 하나씩)을 생성해야 합니다. 또한 모든 위치에서 들어오는 RDP(3389) 트래픽을 허용하고 로컬 VPC에서 들어오는 모든 트래픽 유형을 허용하는 규칙도 추가합니다. 자세한 내용은 Amazon EC2 Windows 인스턴스에 대한 Amazon EC2 보안 그룹 단원을 참조하세요.
AWS-DS-VPC01 보안 그룹 정보: |
---|
보안 그룹 이름: AWS DS 테스트 랩 보안 그룹 설명: AWS DS 테스트 랩 보안 그룹 VPC: vpc-xxxxxxxxxxxxxxxxx AWS-DS-VPC01 |
AWS-DS-VPC01에 대한 보안 그룹 인바운드 규칙
유형 | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
---|---|---|---|---|
사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
모든 트래픽 | 모두 | 모두 | 10.0.0.0/16 | 모든 로컬 VPC 트래픽 |
AWS-DS-VPC01에 대한 보안 그룹 아웃바운드 규칙
유형 | 프로토콜 | 포트 범위 | 대상 | 트래픽 유형 |
---|---|---|---|---|
모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
AWS-OnPrem-VPC01 보안 그룹 정보: |
---|
보안 그룹 이름: AWS OnPrem 테스트 랩 보안 그룹. 설명: AWS OnPrem 테스트 랩 보안 그룹. VPC: vpc-xxxxxxxxxxxxxxxxx AWS-OnPrem-VPC01 |
AWS-OnPrem-VPC01에 대한 보안 그룹 인바운드 규칙
유형 | 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 |
---|---|---|---|---|
사용자 지정 TCP 규칙 | TCP | 3389 | 내 IP | 원격 데스크톱 |
사용자 지정 TCP 규칙 | TCP | 53 | 10.0.0.0/16 | DNS |
사용자 지정 TCP 규칙 | TCP | 88 | 10.0.0.0/16 | Kerberos |
사용자 지정 TCP 규칙 | TCP | 389 | 10.0.0.0/16 | LDAP |
사용자 지정 TCP 규칙 | TCP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
사용자 지정 TCP 규칙 | TCP | 445 | 10.0.0.0/16 | SMB/CIFS |
사용자 지정 TCP 규칙 | TCP | 135 | 10.0.0.0/16 | 복제 |
사용자 지정 TCP 규칙 | TCP | 636 | 10.0.0.0/16 | LDAP SSL |
사용자 지정 TCP 규칙 | TCP | 49,152~65,535 | 10.0.0.0/16 | RPC |
사용자 지정 TCP 규칙 | TCP | 3268 - 3269 | 10.0.0.0/16 | LDAP GC 및 LDAP GC SSL |
사용자 지정 UDP 규칙 | UDP | 53 | 10.0.0.0/16 | DNS |
사용자 지정 UDP 규칙 | UDP | 88 | 10.0.0.0/16 | Kerberos |
사용자 지정 UDP 규칙 | UDP | 123 | 10.0.0.0/16 | Windows 시간 |
사용자 지정 UDP 규칙 | UDP | 389 | 10.0.0.0/16 | LDAP |
사용자 지정 UDP 규칙 | UDP | 464 | 10.0.0.0/16 | Kerberos 암호 변경/설정 |
모든 트래픽 | 모두 | 모두 | 10.100.0.0/16 | 모든 로컬 VPC 트래픽 |
AWS-OnPrem-VPC01에 대한 보안 그룹 아웃바운드 규칙
유형 | 프로토콜 | 포트 범위 | 대상 | 트래픽 유형 |
---|---|---|---|---|
모든 트래픽 | 모두 | 모두 | 0.0.0.0/0 | 모든 트래픽 |
규칙을 생성하고 보안 그룹에 추가하는 방법에 대한 세부 지침은 보안 그룹 작업을 참조하세요.