AWS Managed Microsoft AD 및 온프레미스 Microsoft Active Directory를 사용하여 DNS 해결 중앙 집중화

작성자: Brian Westmoreland(AWS)

환경: 프로덕션	기술: 인프라, 네트워킹 DevOps, 보안, 자격 증명, 규정 준수, 운영 체제	워크로드: Microsoft
AWS 서비스: AWS 관리형 Microsoft AD, Amazon Route 53, AWS RAM, AWS 디렉터리 서비스, AWS 조직, AWS Direct Connect, AWS CLI

요약

이 패턴은 Microsoft Active Directory용 AWS Directory Service( Managed Microsoft ADDNS)를 사용하여 AWS 다중 계정 환경 내에서 도메인 이름 시스템(AWS) 확인을 중앙 집중화하기 위한 지침을 제공합니다. 이 패턴에서 AWS DNS 네임스페이스는 온프레미스 DNS 네임스페이스의 하위 도메인입니다. 또한 이 패턴은 온프레미스 DNS 솔루션이 Microsoft Active Directory를 사용하는 AWS 에 쿼리를 전달하도록 온프레미스 DNS 서버를 구성하는 방법에 대한 지침을 제공합니다.

사전 조건 및 제한 사항

사전 조건

AWS Organizations를 사용하여 설정된 AWS 다중 계정 환경입니다.
AWS 계정 간에 설정된 네트워크 연결입니다.
AWS 와 온프레미스 환경 간에 설정된 네트워크 연결(AWSDirect Connect 또는 모든 유형의 VPN 연결을 사용).
AWS 로컬 워크스테이션에 구성된 명령줄 인터페이스(AWS CLI)입니다.
AWS 계정 간에 Amazon Route 53 규칙을 공유하는 데 사용되는 Resource Access Manager(AWS RAM)입니다. 따라서 에픽 섹션에 설명된 대로 AWS 조직 환경 내에서 공유를 활성화해야 합니다.

제한 사항

AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다.
AWS Managed Microsoft AD Enterprise Edition의 공유 한도는 125입니다.
이 패턴의 이 솔루션은 AWS 를 통한 공유를 지원하는 AWS 리전으로 제한됩니다RAM.

제품 버전

Windows Server 2008, 2012, 2012 R2 또는 2016에서 실행되는 Microsoft Active Directory

아키텍처

대상 아키텍처

이 설계에서는 AWS Managed Microsoft AD가 공유 서비스 AWS 계정에 설치됩니다. 필수 사항은 아니지만 이 패턴은 이 구성을 가정합니다. 다른 AWS 계정에서 AWS Managed Microsoft AD를 구성하는 경우 Epics 섹션의 단계를 적절하게 수정해야 할 수 있습니다.

이 설계에서는 Route 53 Resolver를 사용하여 Route 53 규칙 사용을 통한 이름 확인을 지원합니다. 온프레미스 DNS 솔루션이 Microsoft 를 사용하는 경우 회사 네임스페이스(aws.company.com)의 하위 도메인인 AWS 네DNS임스페이스(company.com)에 대한 조건부 전달 규칙을 DNS생성하는 것은 간단하지 않습니다. 기존 조건부 전달자를 생성하려고 하면 오류가 발생합니다. Microsoft Active Directory가 이미 company.com의 모든 하위 도메인에 대해 신뢰할 수 있는 것으로 간주되기 때문입니다. 이 오류를 해결하려면 먼저 aws.company.com에 대한 위임을 생성하여 해당 네임스페이스의 권한을 위임해야 합니다. 그런 다음 조건부 전달자를 생성할 수 있습니다.

각 스포크 계정의 가상 프라이빗 클라우드(VPC)에는 루트 DNS 네임스페이스를 기반으로 고유한 AWS 네임스페이스가 있을 수 있습니다. 이 설계에서 각 스포크 계정은 계정 이름의 약어를 기본 AWS 네임스페이스에 추가합니다. 스포크 계정의 프라이빗 호스팅 영역이 생성되면 해당 영역은 스포크 계정VPC의 와 연결되고 중앙 AWS 네트워크 계정VPC의 와 연결됩니다. 이렇게 하면 중앙 AWS 네트워크 계정이 스포크 계정과 관련된 DNS 쿼리에 응답할 수 있습니다.

자동화 및 규모 조정

이 설계에서는 Route 53 Resolver 엔드포인트를 사용하여 AWS 및 온프레미스 환경 간에 DNS 쿼리를 확장합니다. 각 Route 53 Resolver 엔드포인트는 여러 개의 탄력적 네트워크 인터페이스(여러 가용 영역에 분산되어 있음)로 구성되며, 각 네트워크 인터페이스는 초당 최대 10,000개의 쿼리를 처리할 수 있습니다. Route 53 Resolver는 엔드포인트당 최대 6개의 IP 주소를 지원하므로 이 설계는 고가용성을 위해 여러 가용 영역에 걸쳐 초당 최대 60,000개의 DNS 쿼리를 지원합니다.

또한 이 패턴은 내에서의 향후 성장을 자동으로 고려합니다AWS. 온프레미스에 구성된 DNS 전달 규칙은 에 추가된 새 프라이빗 호스팅 영역 VPCs 및 연결된 프라이빗 호스팅 영역을 지원하도록 수정할 필요가 없습니다AWS.

도구

AWS 서비스

AWS 디렉터리 서비스 for Microsoft Active Directory를 사용하면 디렉터리 인식 워크로드 및 AWS 리소스가 AWS 클라우드에서 Microsoft Active Directory를 사용할 수 있습니다.
AWS Organizations는 여러 계정을 생성하고 중앙에서 관리하는 조직으로 통합하는 데 도움이 되는 AWS 계정 관리 서비스입니다.
AWS Resource Access Manager(AWS RAM)를 사용하면 AWS 계정 간에 리소스를 안전하게 공유하여 운영 오버헤드를 줄이고 가시성 및 감사 가능성을 제공할 수 있습니다.
Amazon Route 53은 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다.

도구

AWS 명령줄 인터페이스(AWS CLI)는 명령줄 쉘의 명령을 통해 AWS 서비스와 상호 작용하는 데 도움이 되는 오픈 소스 도구입니다. 이 패턴에서 AWSCLI는 Route 53 권한 부여를 구성하는 데 사용됩니다.

에픽

작업	설명	필요한 기술
AWS Managed Microsoft AD를 배포합니다.	새 디렉터리를 생성하고 구성합니다. 자세한 단계는 AWS Directory Service Administration Guide의 AWS Managed Microsoft AD 디렉터리 생성을 참조하세요. AWS Managed Microsoft AD 도메인 컨트롤러의 IP 주소를 기록합니다. 이후 단계에서 이 주소를 참조합니다.	AWS 관리자
디렉터리를 공유합니다.	디렉터리를 빌드한 후 AWS 조직의 다른 AWS 계정과 공유하세요. 지침은 디렉터리 AWS 서비스 관리 가이드의 디렉터리 공유를 참조하세요. 참고: AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다. Enterprise Edition의 공유 제한은 125개입니다.	AWS 관리자

작업

설명

필요한 기술

AWS Managed Microsoft AD를 배포합니다.

새 디렉터리를 생성하고 구성합니다. 자세한 단계는 AWS Directory Service Administration Guide의 AWS Managed Microsoft AD 디렉터리 생성을 참조하세요.
AWS Managed Microsoft AD 도메인 컨트롤러의 IP 주소를 기록합니다. 이후 단계에서 이 주소를 참조합니다.

AWS 관리자

디렉터리를 공유합니다.

디렉터리를 빌드한 후 AWS 조직의 다른 AWS 계정과 공유하세요. 지침은 디렉터리 AWS 서비스 관리 가이드의 디렉터리 공유를 참조하세요.

참고: AWS Managed Microsoft AD Standard Edition의 공유 제한은 5개입니다. Enterprise Edition의 공유 제한은 125개입니다.

AWS 관리자

작업 설명 필요한 기술

작업	설명	필요한 기술
Route 53 Resolver를 생성합니다.	Route 53 Resolver는 AWS 및 온프레미스 데이터 센터 간의 DNS 쿼리 해결을 용이하게 합니다. Route 53 개발자 안내서의 지침에 따라 Route 53 Resolver를 설치합니다. 고가용성을 VPC 위해 중앙 AWS 네트워크 계정 내의 가용 영역이 두 개 이상인 프라이빗 서브넷에서 Route 53 Resolver를 구성합니다. 참고: 중앙 AWS 네트워크 계정을 사용하는 VPC 것은 필수 사항은 아니지만 나머지 단계에서는 이 구성을 가정합니다.	AWS 관리자
Route 53 규칙을 생성합니다.	특정 사용 사례에는 많은 수의 Route 53 규칙이 필요할 수 있지만 다음 규칙을 기준으로 구성해야 합니다. 아웃바운드 Route 53 Resolver를 사용하여 온프레미스 네임스페이스(`company.com`)에 대한 발신 규칙. 이 규칙을 스포크 AWS 계정과 공유합니다. 이 규칙을 스포크 계정 과 연결합니다VPCs. 중앙 네트워크 계정 Route 53 인바운드 Resolver를 가리키는 AWS 네임스페이스(`aws.company.com`)의 발신 규칙입니다. 이 규칙을 스포크 AWS 계정과 공유합니다. 규칙을 스포크 계정 과 연결합니다VPCs. 이 규칙을 중앙 AWS 네트워크 계정VPC(Route 53 Resolver가 있는 계정)과 연결하지 마십시오. AWS Managed Microsoft AD 도메인 컨트롤러를 가리키는 AWS 네임스페이스(`aws.company.com`)에 대한 두 번째 발신 규칙입니다(이전 에픽IPs의 사용). 이 규칙을 중앙 AWS 네트워크 계정VPC(Route 53 Resolver가 들어 있는 계정)과 연결합니다. 이 규칙을 다른 AWS 계정과 공유하거나 연결하지 마세요. 자세한 내용은 Route 53 개발자 안내서의 전달 규칙 관리를 참조하세요.	AWS 관리자

Route 53 Resolver를 생성합니다.

Route 53 Resolver는 AWS 및 온프레미스 데이터 센터 간의 DNS 쿼리 해결을 용이하게 합니다.

Route 53 개발자 안내서의 지침에 따라 Route 53 Resolver를 설치합니다.
고가용성을 VPC 위해 중앙 AWS 네트워크 계정 내의 가용 영역이 두 개 이상인 프라이빗 서브넷에서 Route 53 Resolver를 구성합니다.

참고: 중앙 AWS 네트워크 계정을 사용하는 VPC 것은 필수 사항은 아니지만 나머지 단계에서는 이 구성을 가정합니다.

AWS 관리자

Route 53 규칙을 생성합니다.

특정 사용 사례에는 많은 수의 Route 53 규칙이 필요할 수 있지만 다음 규칙을 기준으로 구성해야 합니다.

아웃바운드 Route 53 Resolver를 사용하여 온프레미스 네임스페이스(company.com)에 대한 발신 규칙.
- 이 규칙을 스포크 AWS 계정과 공유합니다.
- 이 규칙을 스포크 계정 과 연결합니다VPCs.
중앙 네트워크 계정 Route 53 인바운드 Resolver를 가리키는 AWS 네임스페이스(aws.company.com)의 발신 규칙입니다.
- 이 규칙을 스포크 AWS 계정과 공유합니다.
- 규칙을 스포크 계정 과 연결합니다VPCs.
- 이 규칙을 중앙 AWS 네트워크 계정VPC(Route 53 Resolver가 있는 계정)과 연결하지 마십시오.
AWS Managed Microsoft AD 도메인 컨트롤러를 가리키는 AWS 네임스페이스(aws.company.com)에 대한 두 번째 발신 규칙입니다(이전 에픽IPs의 사용).
- 이 규칙을 중앙 AWS 네트워크 계정VPC(Route 53 Resolver가 들어 있는 계정)과 연결합니다.
- 이 규칙을 다른 AWS 계정과 공유하거나 연결하지 마세요.

자세한 내용은 Route 53 개발자 안내서의 전달 규칙 관리를 참조하세요.

AWS 관리자

작업	설명	필요한 기술
위임을 생성합니다.	Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 Active Directory 내 `company.com` 네임스페이스에 대한 새 위임을 생성합니다. 위임된 도메인의 이름은 `aws`여야 합니다. 이렇게 하면 위임 의 정규화된 도메인 이름(FQDN)이 생성됩니다`aws.company.com`. 이름 서버의 경우 IP 값에 중앙 DNS AWS 계정의 AWS 인바운드 Route 53 Resolver의 IP 주소를 사용하고 이름`server.aws.company.com`에 를 사용합니다.	Active Directory
조건부 전달자를 생성합니다.	Microsoft DNS 스냅인(`dnsmgmt.msc`)을 사용하여 에 대한 새 조건부 전달자를 생성합니다`aws.company.com`. 조건부 전달자의 대상에 Managed AWS Microsoft AD 도메인 컨트롤러의 IP 주소를 사용합니다.	Active Directory

작업 설명 필요한 기술

작업	설명	필요한 기술
Route 53 프라이빗 호스팅 영역을 생성합니다.	각 스포크 계정에 Route 53 프라이빗 호스팅 영역을 생성합니다. 이 프라이빗 호스팅 영역을 스포크 계정 과 연결합니다VPC. 자세한 단계는 Route 53 개발자 안내서의 프라이빗 호스팅 영역 생성을 참조하세요.	AWS 관리자
권한 부여를 생성합니다.	AWS CLI 를 사용하여 중앙 AWS 네트워크 계정 에 대한 권한을 생성합니다VPC. 각 스포크 AWS 계정의 컨텍스트에서 이 명령을 실행합니다. `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` 여기서 각 항목은 다음과 같습니다. `<hosted-zone-id>`는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다. `<region>` 및 `<vpc-id>`는 중앙 AWS 네트워크 계정 의 AWS 리전 및 VPC ID입니다VPC.	AWS 관리자
연결을 생성합니다.	를 VPC 사용하여 중앙 AWS 네트워크 계정에 대한 Route 53 프라이빗 호스팅 영역 연결을 생성합니다AWSCLI. 중앙 AWS 네트워크 계정의 컨텍스트에서 이 명령을 실행합니다. `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` 여기서 각 항목은 다음과 같습니다. `<hosted-zone-id>`는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다. `<region>` 및 `<vpc-id>`는 중앙 AWS 네트워크 계정의 AWS 리전 및 VPC ID입니다.	AWS 관리자

Route 53 프라이빗 호스팅 영역을 생성합니다.

각 스포크 계정에 Route 53 프라이빗 호스팅 영역을 생성합니다. 이 프라이빗 호스팅 영역을 스포크 계정 과 연결합니다VPC. 자세한 단계는 Route 53 개발자 안내서의 프라이빗 호스팅 영역 생성을 참조하세요.

AWS 관리자

권한 부여를 생성합니다.

AWS CLI 를 사용하여 중앙 AWS 네트워크 계정 에 대한 권한을 생성합니다VPC. 각 스포크 AWS 계정의 컨텍스트에서 이 명령을 실행합니다.


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

여기서 각 항목은 다음과 같습니다.

<hosted-zone-id>는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다.
<region> 및 <vpc-id>는 중앙 AWS 네트워크 계정 의 AWS 리전 및 VPC ID입니다VPC.

AWS 관리자

연결을 생성합니다.

를 VPC 사용하여 중앙 AWS 네트워크 계정에 대한 Route 53 프라이빗 호스팅 영역 연결을 생성합니다AWSCLI. 중앙 AWS 네트워크 계정의 컨텍스트에서 이 명령을 실행합니다.


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

여기서 각 항목은 다음과 같습니다.

<hosted-zone-id>는 스포크 계정의 Route 53 프라이빗 호스팅 영역입니다.
<region> 및 <vpc-id>는 중앙 AWS 네트워크 계정의 AWS 리전 및 VPC ID입니다.

AWS 관리자

AWS Managed Microsoft AD 및 온프레미스 Microsoft Active Directory를 사용하여 DNS 해결 중앙 집중화

요약

사전 조건 및 제한 사항

아키텍처

도구

에픽

관련 리소스