AWS Managed Microsoft AD 및 온프레미스 Microsoft Active Directory를 사용하여 DNS 확인 중앙 집중화

작성자: Brian Westmoreland(AWS)

요약

이 패턴은 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)와 Amazon Route 53을 모두 사용하여 AWS 다중 계정 환경 내에서 DNS 확인을 중앙 집중화하기 위한 지침을 제공합니다. 이 패턴에서 AWS DNS 네임스페이스는 온프레미스 DNS 네임스페이스의 하위 도메인입니다. 또한이 패턴은 온프레미스 DNS 솔루션이 Microsoft Active Directory를 사용하는 AWS 경우 쿼리를에 전달하도록 온프레미스 DNS 서버를 구성하는 방법에 대한 지침을 제공합니다.

사전 조건 및 제한 사항

사전 조건

를 사용하여 설정된 AWS 다중 계정 환경입니다 AWS Organizations.
네트워크 연결이 설정되었습니다 AWS 계정.
AWS 와 온프레미스 환경 간에 설정된 네트워크 연결( AWS Direct Connect 또는 모든 유형의 VPN 연결 사용).
AWS Command Line Interface 로컬 워크스테이션에 구성된 (AWS CLI)
AWS Resource Access Manager 계정 간에 Route 53 규칙을 공유하는 데 사용되는 (AWS RAM)입니다. 따라서 에픽 섹션에 설명된 대로 AWS Organizations 환경 내에서 공유를 활성화해야 합니다.

제한 사항

AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다.
AWS Managed Microsoft AD Enterprise Edition의 공유 한도는 125입니다.
이 패턴의 솔루션은를 통한 공유 AWS 리전 를 지원하는 로 제한됩니다 AWS RAM.

제품 버전

Windows Server 2008, 2012, 2012 R2 또는 2016에서 실행되는 Microsoft Active Directory.

아키텍처

대상 아키텍처

이 설계에서는 AWS Managed Microsoft AD 가 공유 서비스에 설치됩니다 AWS 계정. 필수 사항은 아니지만이 패턴은이 구성을 가정합니다. 다른 AWS Managed Microsoft AD 에서를 구성하는 경우 AWS 계정에픽 섹션의 단계를 적절히 수정해야 할 수 있습니다.

이 설계에서는 Route 53 Resolver를 사용하여 Route 53 규칙 사용을 통한 이름 확인을 지원합니다. 온프레미스 DNS 솔루션에서 Microsoft DNS를 사용하는 경우 회사 DNS 네임스페이스(company.com)의 하위 도메인인 AWS 네임스페이스(aws.company.com)에 대한 조건부 전달 규칙을 생성하는 것은 간단하지 않습니다. 기존 조건부 전달자를 생성하려고 하면 오류가 발생합니다. Microsoft Active Directory가 이미 company.com의 모든 하위 도메인에 대해 신뢰할 수 있는 것으로 간주되기 때문입니다. 이 오류를 해결하려면 먼저 aws.company.com에 대한 위임을 생성하여 해당 네임스페이스의 권한을 위임해야 합니다. 그런 다음 조건부 전달자를 생성할 수 있습니다.

각 스포크 계정의 Virtual Private Cloud(VPC)에는 루트 네임스페이스를 기반으로 고유한 DNS 네 AWS 임스페이스가 있을 수 있습니다. 이 설계에서는 각 스포크 계정이 계정 이름의 약어를 기본 AWS 네임스페이스에 추가합니다. 스포크 계정의 프라이빗 호스팅 영역이 생성되면 영역은 스포크 계정의 로컬 VPC 및 중앙 AWS 네트워크 계정의 VPC와 연결됩니다. 이렇게 하면 중앙 AWS 네트워크 계정이 스포크 계정과 관련된 DNS 쿼리에 응답할 수 있습니다. 이렇게 하면 Route 53와가 함께 AWS Managed Microsoft AD 작동하여 AWS 네임스페이스()를 관리할 책임을 공유합니다aws.company.com.

자동화 및 규모 조정

이 설계는 Route 53 Resolver 엔드포인트를 사용하여 AWS 와 온프레미스 환경 간에 DNS 쿼리를 확장합니다. 각 Route 53 Resolver 엔드포인트는 여러 개의 탄력적 네트워크 인터페이스(여러 가용 영역에 분산되어 있음)로 구성되며, 각 네트워크 인터페이스는 초당 최대 10,000개의 쿼리를 처리할 수 있습니다. Route 53 Resolver는 엔드포인트당 6개까지 IP 주소를 지원하므로 이 설계에서는 고가용성을 위해 DNS 쿼리를 초당 60,000개까지 여러 가용 영역에서 분산 지원합니다.

또한이 패턴은 내 향후 성장을 자동으로 고려합니다 AWS. 온프레미스에 구성된 DNS 전달 규칙은 새 VPCs 및에 추가된 연결된 프라이빗 호스팅 영역을 지원하도록 수정할 필요가 없습니다 AWS.

도구

서비스

AWS Directory Service for Microsoft Active Directory를 사용하면 디렉터리 인식 워크로드 및 AWS 리소스가에서 Microsoft Active Directory를 사용할 수 있습니다 AWS 클라우드.
AWS Organizations는 여러를 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다.
AWS Resource Access Manager (AWS RAM)를 사용하면에서 리소스를 안전하게 공유 AWS 계정 하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다.
Amazon Route 53는 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.

도구

AWS Command Line Interface (AWS CLI)는 명령줄 셸의 명령을 AWS 서비스 통해와 상호 작용하는 데 도움이 되는 오픈 소스 도구입니다. 이 패턴에서 AWS CLI 는 Route 53 권한 부여를 구성하는 데 사용됩니다.

에픽

작업	설명	필요한 기술
배포 AWS Managed Microsoft AD.	새 디렉터리를 생성하고 구성합니다. 자세한 단계는 AWS Directory Service 관리 안내서의 생성을 참조하세요 AWS Managed Microsoft AD. AWS Managed Microsoft AD 도메인 컨트롤러의 IP 주소를 기록합니다. 이후 단계에서 이 주소를 참조합니다.	AWS 관리자
디렉터리를 공유합니다.	디렉터리를 빌드한 후 AWS 조직의 다른와 공유 AWS 계정 하세요. 지침은 AWS Directory Service 관리 안내서의 디렉터리 공유를 참조하세요. 참고 AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다. Enterprise Edition의 공유 제한은 125개입니다.	관리자

작업 설명 필요한 기술

작업	설명	필요한 기술
Route 53 Resolver를 생성합니다.	Route 53 Resolver는 AWS 와 온프레미스 데이터 센터 간의 DNS 쿼리 해결을 용이하게 합니다. Route 53 개발자 안내서의 지침에 따라 Route 53 Resolver를 설치합니다. 고가용성을 위해 중앙 AWS 네트워크 계정 VPC 내 최소 2개의 가용 영역에 있는 프라이빗 서브넷에서 Route 53 Resolver를 구성합니다. 참고 중앙 AWS 네트워크 계정 VPC를 사용하는 것은 필수 사항은 아니지만 나머지 단계에서는이 구성을 가정합니다.	관리자
Route 53 규칙을 생성합니다.	특정 사용 사례에는 많은 수의 Route 53 규칙이 필요할 수 있지만 다음 규칙을 기준으로 구성해야 합니다. 중앙 네트워크 계정 아웃바운드 Route 53 Resolver를 사용하여 온프레미스 네임스페이스(`company.com`)에 대한 발신 규칙입니다. 대상 IP 주소는 온프레미스 DNS 서버입니다. 이 규칙을 중앙 네트워크 계정 VPC와 연결합니다. 중앙 네트워크 계정 아웃바운드 Route 53 Resolver를 사용하여 AWS 네임스페이스(`aws.company.com`)에 대한 발신 규칙입니다. 대상 IP 주소는 중앙 네트워크 계정 인바운드 Route 53 Resolver IP 주소입니다. 이 규칙을 중앙 AWS 네트워크 계정 VPC(Route 53 Resolver가 있는)와 연결하지 마십시오. AWS Managed Microsoft AD 도메인 컨트롤러를 가리키는 AWS 네임스페이스(`aws.company.com`)에 대한 두 번째 발신 규칙입니다(이전 에픽의 IPs 사용). 이 규칙을 중앙 AWS 네트워크 계정 VPC(Route 53 Resolver가 들어 있음)와 연결합니다. 이 규칙을 다른 규칙과 공유하거나 연결하지 마세요 AWS 계정. 자세한 내용은 Route 53 개발자 안내서의 전달 규칙 관리를 참조하세요.	관리자
Route 53 Profile을 구성합니다.	Route 53 Profile은 스포크 계정과 규칙을 공유하는 데 사용됩니다. Route 53 개발자 안내서의 지침에 따라 중앙 네트워킹 계정에 새 Route 53 프로파일을 생성합니다. 온프레미스 네임스페이스(`company.com`)에 대한 규칙을 프로파일에 추가합니다. Route 53 인바운드 해석기의 IP 주소를 대상으로 하는 AWS 네임스페이스(`aws.company.com`)의 첫 번째 규칙을 프로파일에 추가합니다. Route 53 Profile을 AWS 조직과 공유합니다. 각 스포크 계정에서 Route 53 Profile 리소스 공유를 수락합니다. Route 53 Profile을 각 스포크 계정 VPC와 연결합니다.	관리자

Route 53 Resolver를 생성합니다.

Route 53 Resolver는 AWS 와 온프레미스 데이터 센터 간의 DNS 쿼리 해결을 용이하게 합니다.

Route 53 개발자 안내서의 지침에 따라 Route 53 Resolver를 설치합니다.
고가용성을 위해 중앙 AWS 네트워크 계정 VPC 내 최소 2개의 가용 영역에 있는 프라이빗 서브넷에서 Route 53 Resolver를 구성합니다.

참고

중앙 AWS 네트워크 계정 VPC를 사용하는 것은 필수 사항은 아니지만 나머지 단계에서는이 구성을 가정합니다.

관리자

Route 53 규칙을 생성합니다.

특정 사용 사례에는 많은 수의 Route 53 규칙이 필요할 수 있지만 다음 규칙을 기준으로 구성해야 합니다.

중앙 네트워크 계정 아웃바운드 Route 53 Resolver를 사용하여 온프레미스 네임스페이스(company.com)에 대한 발신 규칙입니다. 대상 IP 주소는 온프레미스 DNS 서버입니다.
- 이 규칙을 중앙 네트워크 계정 VPC와 연결합니다.
중앙 네트워크 계정 아웃바운드 Route 53 Resolver를 사용하여 AWS 네임스페이스(aws.company.com)에 대한 발신 규칙입니다. 대상 IP 주소는 중앙 네트워크 계정 인바운드 Route 53 Resolver IP 주소입니다.
- 이 규칙을 중앙 AWS 네트워크 계정 VPC(Route 53 Resolver가 있는)와 연결하지 마십시오.
AWS Managed Microsoft AD 도메인 컨트롤러를 가리키는 AWS 네임스페이스(aws.company.com)에 대한 두 번째 발신 규칙입니다(이전 에픽의 IPs 사용).
- 이 규칙을 중앙 AWS 네트워크 계정 VPC(Route 53 Resolver가 들어 있음)와 연결합니다.
- 이 규칙을 다른 규칙과 공유하거나 연결하지 마세요 AWS 계정.

자세한 내용은 Route 53 개발자 안내서의 전달 규칙 관리를 참조하세요.

관리자

Route 53 Profile을 구성합니다.

Route 53 Profile은 스포크 계정과 규칙을 공유하는 데 사용됩니다.

Route 53 개발자 안내서의 지침에 따라 중앙 네트워킹 계정에 새 Route 53 프로파일을 생성합니다.
온프레미스 네임스페이스(company.com)에 대한 규칙을 프로파일에 추가합니다.
Route 53 인바운드 해석기의 IP 주소를 대상으로 하는 AWS 네임스페이스(aws.company.com)의 첫 번째 규칙을 프로파일에 추가합니다.
Route 53 Profile을 AWS 조직과 공유합니다.
각 스포크 계정에서 Route 53 Profile 리소스 공유를 수락합니다.
Route 53 Profile을 각 스포크 계정 VPC와 연결합니다.

관리자

작업	설명	필요한 기술
위임을 생성합니다.	Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 Active Directory 내에서 `company.com` 네임스페이스에 대한 새 위임을 생성합니다. 위임된 도메인의 이름은 `aws`여야 합니다. 이렇게 하면 위임의 정규화된 도메인 이름(FQDN)은 `aws.company.com`이 됩니다. 이름 서버 IP 값에 AWS Managed Microsoft AD 도메인 컨트롤러의 IP 주소를 사용하고 이름`server.aws.company.com`에를 사용합니다. (이 위임은 중복성을 위한 것입니다. 위임보다 우선하는이 네임스페이스에 대한 조건부 전달자가 생성되기 때문입니다.)	Active Directory
조건부 전달자를 생성합니다.	Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 `aws.company.com`에 대한 새 조건부 전달자를 생성합니다. 조건부 전달자의 대상에 AWS 계정 대해 중앙 DNS에 AWS 있는 인바운드 Route 53 Resolver의 IP 주소를 사용합니다.	Active Directory

작업 설명 필요한 기술

작업	설명	필요한 기술
Route 53 프라이빗 호스팅 영역을 생성합니다.	각 스포크 계정에 Route 53 프라이빗 호스팅 영역을 생성합니다. 이 프라이빗 호스팅 영역을 스포크 계정 VPC와 연결합니다. 자세한 단계는 Route 53 개발자 안내서의 프라이빗 호스팅 영역 생성을 참조하세요.	AWS 관리자
권한 부여를 생성합니다.	AWS CLI 를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 권한 부여를 생성합니다. 각 스포크의 컨텍스트에서이 명령을 실행합니다 AWS 계정. `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` 여기서 각 항목은 다음과 같습니다. `<hosted-zone-id>`는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다. `<region>` 및 `<vpc-id>`는 중앙 AWS 네트워크 계정 VPC의 AWS 리전 및 VPC ID입니다.	관리자
연결을 생성합니다.	를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 Route 53 프라이빗 호스팅 영역 연결을 생성합니다 AWS CLI. 중앙 AWS 네트워크 계정의 컨텍스트에서이 명령을 실행합니다. `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` 여기서 각 항목은 다음과 같습니다. `<hosted-zone-id>`는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다. `<region>` 및 `<vpc-id>`는 중앙 AWS 네트워크 계정의 AWS 리전 및 VPC ID입니다.	관리자

Route 53 프라이빗 호스팅 영역을 생성합니다.

각 스포크 계정에 Route 53 프라이빗 호스팅 영역을 생성합니다. 이 프라이빗 호스팅 영역을 스포크 계정 VPC와 연결합니다. 자세한 단계는 Route 53 개발자 안내서의 프라이빗 호스팅 영역 생성을 참조하세요.

AWS 관리자

권한 부여를 생성합니다.

AWS CLI 를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 권한 부여를 생성합니다. 각 스포크의 컨텍스트에서이 명령을 실행합니다 AWS 계정.


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

여기서 각 항목은 다음과 같습니다.

<hosted-zone-id>는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다.
<region> 및 <vpc-id>는 중앙 AWS 네트워크 계정 VPC의 AWS 리전 및 VPC ID입니다.

관리자

연결을 생성합니다.

를 사용하여 중앙 AWS 네트워크 계정 VPC에 대한 Route 53 프라이빗 호스팅 영역 연결을 생성합니다 AWS CLI. 중앙 AWS 네트워크 계정의 컨텍스트에서이 명령을 실행합니다.


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

여기서 각 항목은 다음과 같습니다.

<hosted-zone-id>는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다.
<region> 및 <vpc-id>는 중앙 AWS 네트워크 계정의 AWS 리전 및 VPC ID입니다.

관리자

AWS Managed Microsoft AD 및 온프레미스 Microsoft Active Directory를 사용하여 DNS 확인 중앙 집중화

요약

사전 조건 및 제한 사항

아키텍처

도구

에픽

참고

참고

관련 리소스