Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie die AD-Infrastruktur
Wählen Sie die Registerkarte *Automatisiert*, um die Active Directory (AD) -Infrastruktur mit einer CloudFormation Schnellerstellungsvorlage zu erstellen.
Wählen Sie die Registerkarte *Manuell*, um die AD-Infrastruktur manuell zu erstellen.
## Automatisiert
1. Melden Sie sich bei der an AWS-Managementkonsole.
1. Öffnen [Sie CloudFormation Quick Create (Region us-east-1)](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/create/review?stackName=pcluster-ad&templateURL=https://us-east-1-aws-parallelcluster.s3.amazonaws.com/templates/1-click/ad-integration.yaml), um die folgenden Ressourcen in der CloudFormation Konsole zu erstellen:
+ Eine VPC mit zwei Subnetzen und Routing für den öffentlichen Zugriff, wenn keine VPC angegeben ist.
+ AWS Managed Microsoft AD Ein.
+ Eine Amazon EC2 EC2-Instance, die mit dem AD verknüpft ist und mit der Sie das Verzeichnis verwalten können.
1. Geben Sie im Abschnitt **Parameter** der **Quick Create-Stack-Seite** Passwörter für die folgenden Parameter ein:
+ **AdminPassword**
+ **ReadOnlyPassword**
+ **UserPassword**
Notieren Sie sich die Passwörter. Sie verwenden sie später in diesem Tutorial.
1. Geben Sie für **DomainName** den Wert **corp.example.com** ein.
1. Geben Sie für **Keypair** den Namen eines Amazon EC2 EC2-Schlüsselpaars ein.
1. Markieren Sie die Kästchen, um die einzelnen Zugriffsmöglichkeiten unten auf der Seite zu bestätigen.
1. Wählen Sie **Stack erstellen** aus.
1. Nachdem der CloudFormation Stapel den `CREATE_COMPLETE` Status erreicht hat, wählen Sie die Registerkarte **Ausgaben** des Stapels aus. Notieren Sie sich die Namen der Ausgaberessourcen und IDs warum Sie sie in späteren Schritten verwenden müssen. Die Ausgaben enthalten die Informationen, die für die Erstellung des Clusters benötigt werden.
![\[Ein Diagramm, das die erstellten Stack-Ausgaben in der zeigt AWS-Managementkonsole.\]](http://docs.aws.amazon.com/de_de/parallelcluster/latest/ug/images/ad-cfn.png)
1. Um die Übungen durchführen zu können[(Optional) AD-Benutzer und -Gruppen verwalten](tutorials_05_multi-user-ad-step2.md), benötigen Sie die Verzeichnis-ID. Wählen Sie **Ressourcen** und scrollen Sie nach unten, um sich die Verzeichnis-ID zu notieren.
1. Fahren Sie mit [(Optional) AD-Benutzer und -Gruppen verwalten](tutorials_05_multi-user-ad-step2.md) oder fort[Den Cluster erstellen](tutorials_05_multi-user-ad-step3.md).
## Manuell
Erstellen Sie eine VPC für den Verzeichnisdienst mit zwei Subnetzen in verschiedenen Availability Zones und einem. AWS Managed Microsoft AD
### Erstellen Sie das AD
**Anmerkung**
Das Verzeichnis und der Domainname sind`corp.example.com`. Der Kurzname ist`CORP`.
Ändern Sie das `Admin` Passwort im Skript.
Die Erstellung des Active Directory (AD) dauert mindestens 15 Minuten.
Verwenden Sie das folgende Python-Skript, um die VPC, Subnetze und AD-Ressourcen in Ihrem lokalen System zu erstellen. AWS-Region Speichern Sie diese Datei unter `ad.py` und führen Sie sie aus.
```
import boto3
import time
from pprint import pprint
vpc_name = "PclusterVPC"
ad_domain = "corp.example.com"
admin_password = "asdfASDF1234"
ec2 = boto3.client("ec2")
ds = boto3.client("ds")
region = boto3.Session().region_name
# Create the VPC, Subnets, IGW, Routes
vpc = ec2.create_vpc(CidrBlock="10.0.0.0/16")["Vpc"]
vpc_id = vpc["VpcId"]
time.sleep(30)
ec2.create_tags(Resources=[vpc_id], Tags=[{"Key": "Name", "Value": vpc_name}])
subnet1 = ec2.create_subnet(VpcId=vpc_id, CidrBlock="10.0.0.0/17", AvailabilityZone=f"{region}a")["Subnet"]
subnet1_id = subnet1["SubnetId"]
time.sleep(30)
ec2.create_tags(Resources=[subnet1_id], Tags=[{"Key": "Name", "Value": f"{vpc_name}/subnet1"}])
ec2.modify_subnet_attribute(SubnetId=subnet1_id, MapPublicIpOnLaunch={"Value": True})
subnet2 = ec2.create_subnet(VpcId=vpc_id, CidrBlock="10.0.128.0/17", AvailabilityZone=f"{region}b")["Subnet"]
subnet2_id = subnet2["SubnetId"]
time.sleep(30)
ec2.create_tags(Resources=[subnet2_id], Tags=[{"Key": "Name", "Value": f"{vpc_name}/subnet2"}])
ec2.modify_subnet_attribute(SubnetId=subnet2_id, MapPublicIpOnLaunch={"Value": True})
igw = ec2.create_internet_gateway()["InternetGateway"]
ec2.attach_internet_gateway(InternetGatewayId=igw["InternetGatewayId"], VpcId=vpc_id)
route_table = ec2.describe_route_tables(Filters=[{"Name": "vpc-id", "Values": [vpc_id]}])["RouteTables"][0]
ec2.create_route(RouteTableId=route_table["RouteTableId"], DestinationCidrBlock="0.0.0.0/0", GatewayId=igw["InternetGatewayId"])
ec2.modify_vpc_attribute(VpcId=vpc_id, EnableDnsSupport={"Value": True})
ec2.modify_vpc_attribute(VpcId=vpc_id, EnableDnsHostnames={"Value": True})
# Create the Active Directory
ad = ds.create_microsoft_ad(
Name=ad_domain,
Password=admin_password,
Description="ParallelCluster AD",
VpcSettings={"VpcId": vpc_id, "SubnetIds": [subnet1_id, subnet2_id]},
Edition="Standard",
)
directory_id = ad["DirectoryId"]
# Wait for completion
print("Waiting for the directory to be created...")
directories = ds.describe_directories(DirectoryIds=[directory_id])["DirectoryDescriptions"]
directory = directories[0]
while directory["Stage"] in {"Requested", "Creating"}:
time.sleep(3)
directories = ds.describe_directories(DirectoryIds=[directory_id])["DirectoryDescriptions"]
directory = directories[0]
dns_ip_addrs = directory["DnsIpAddrs"]
pprint({"directory_id": directory_id,
"vpc_id": vpc_id,
"subnet1_id": subnet1_id,
"subnet2_id": subnet2_id,
"dns_ip_addrs": dns_ip_addrs})
```
Das Folgende ist eine Beispielausgabe aus dem Python-Skript.
```
{
"directory_id": "d-abcdef01234567890",
"dns_ip_addrs": ["192.0.2.254", "203.0.113.237"],
"subnet1_id": "subnet-021345abcdef6789",
"subnet2_id": "subnet-1234567890abcdef0",
"vpc_id": "vpc-021345abcdef6789"
}
```
Notieren Sie sich die Namen der Ausgaberessourcen und IDs. Sie verwenden sie in späteren Schritten.
Fahren Sie nach Abschluss des Skripts mit dem nächsten Schritt fort.
### Erstellen einer Amazon-EC2-Instance
------
#### [ New Amazon EC2 console ]
1. Melden Sie sich bei der an AWS-Managementkonsole.
1. Wenn Sie keine Rolle haben, der die in Schritt 4 aufgeführten Richtlinien zugeordnet sind, öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Fahren Sie andernfalls mit Schritt 5 fort.
1. Erstellen Sie die `ResetUserPassword` Richtlinie und ersetzen Sie den rot hervorgehobenen Inhalt durch Ihre AWS-Region ID, Konto-ID und die Verzeichnis-ID aus der Ausgabe des Skripts, das Sie zur Erstellung des AD ausgeführt haben.
ResetUserPassword
```
{
"Statement": [
{
"Action": [
"ds:ResetUserPassword"
],
"Resource": "arn:aws:ds:region-id:123456789012:directory/d-abcdef01234567890",
"Effect": "Allow"
}
]
}
```
1. Erstellen Sie eine IAM-Rolle mit den folgenden angehängten Richtlinien.
+ AWS verwaltete Richtlinie [Amazon SSMManaged InstanceCore](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore)
+ AWS verwaltete Richtlinie [Amazon SSMDirectory ServiceAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess)
+ ResetUserPassword Richtlinie
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im **Amazon EC2 EC2-Dashboard** **Launch Instance** aus.
1. Wählen Sie unter **Anwendungs- und Betriebssystemimages** ein aktuelles Amazon Linux 2-AMI aus.
1. Wählen Sie als **Instance-Typ** die Option t2.micro aus.
1. Wählen Sie für **key pair** ein Schlüsselpaar aus.
1. Wählen Sie für **Netzwerkeinstellungen** die Option **Bearbeiten** aus.
1. Wählen Sie für **VPC** das Verzeichnis VPC aus.
1. Scrollen Sie nach unten und wählen Sie **Erweiterte** Details aus.
1. Wählen Sie unter **Erweiterte Details** unter **Verzeichnis für Domänenbeitritt** die Option aus**corp.example.com**.
1. Wählen Sie für das **IAM-Instanzprofil** die Rolle aus, die Sie in Schritt 1 erstellt haben, oder eine Rolle, der die in Schritt 4 aufgeführten Richtlinien beigefügt sind.
1. Wählen Sie unter **Zusammenfassung** die Option **Launch instance** aus.
1. Notieren Sie sich die Instanz-ID (z. B. i-1234567890abcdef0) und warten Sie, bis der Start der Instance abgeschlossen ist.
1. Fahren Sie nach dem Start der Instance mit dem nächsten Schritt fort.
------
#### [ Old Amazon EC2 console ]
1. Melden Sie sich bei der an AWS-Managementkonsole.
1. Wenn Sie keine Rolle haben, der die in Schritt 4 aufgeführten Richtlinien zugeordnet sind, öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Fahren Sie andernfalls mit Schritt 5 fort.
1. Erstellen Sie die `ResetUserPassword` Richtlinie. Ersetzen Sie den rot hervorgehobenen Inhalt durch Ihre AWS-Region AWS-Konto ID, ID und die Verzeichnis-ID aus der Ausgabe des Skripts, das Sie zur Erstellung des Active Directory (AD) ausgeführt haben.
ResetUserPassword
```
{
"Statement": [
{
"Action": [
"ds:ResetUserPassword"
],
"Resource": "arn:aws:ds:region-id:123456789012:directory/d-abcdef01234567890",
"Effect": "Allow"
}
]
}
```
1. Erstellen Sie eine IAM-Rolle mit den folgenden angehängten Richtlinien.
+ AWS verwaltete Richtlinie [Amazon SSMManaged InstanceCore](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore)
+ AWS verwaltete Richtlinie [Amazon SSMDirectory ServiceAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess)
+ ResetUserPassword-Richtlinie
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im **Amazon EC2 EC2-Dashboard** **Launch Instance** aus.
1. Wählen Sie unter **Anwendungs- und Betriebssystemimages** ein aktuelles Amazon Linux 2-AMI aus.
1. Wählen Sie für **Instance type** die Option t2.micro aus.
1. Wählen Sie für **key pair** ein Schlüsselpaar aus.
1. Wählen Sie für **Netzwerkeinstellungen** die Option **Bearbeiten** aus.
1. Wählen Sie unter **Netzwerkeinstellungen**, **VPC**, das Verzeichnis VPC aus.
1. Scrollen Sie nach unten und wählen Sie **Erweiterte** Details aus.
1. Wählen Sie unter **Erweiterte Details** unter **Verzeichnis für Domänenbeitritt** die Option aus**corp.example.com**.
1. Wählen Sie **unter Erweiterte Details**, **Instanzprofil**, die Rolle aus, die Sie in Schritt 1 erstellt haben, oder eine Rolle, der die in Schritt 4 aufgeführten Richtlinien beigefügt sind.
1. Wählen Sie unter **Zusammenfassung** die Option **Instanz starten** aus.
1. Notieren Sie sich die Instanz-ID (z. B.i-1234567890abcdef0) und warten Sie, bis der Start der Instance abgeschlossen ist.
1. Fahren Sie nach dem Start der Instance mit dem nächsten Schritt fort.
------
### Verbinden Sie Ihre Instance mit dem AD
1.
**Connect zu Ihrer Instance her und treten Sie dem AD-Realm als bei`admin`.**
Führen Sie die folgenden Befehle aus, um eine Verbindung mit der Instanz herzustellen.
```
$ INSTANCE_ID="i-1234567890abcdef0"
```
```
$ PUBLIC_IP=$(aws ec2 describe-instances \
--instance-ids $INSTANCE_ID \
--query "Reservations[0].Instances[0].PublicIpAddress" \
--output text)
```
```
$ ssh -i ~/.ssh/keys/keypair.pem ec2-user@$PUBLIC_IP
```
1.
**Installieren Sie die erforderliche Software und treten Sie dem Realm bei.**
```
$ sudo yum -y install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python
```
1.
**Ersetzen Sie das Admin-Passwort durch Ihr `admin` Passwort.**
```
$ ADMIN_PW="asdfASDF1234"
```
```
$ echo $ADMIN_PW | sudo realm join -U Admin corp.example.com
Password for Admin:
```
Wenn der vorherige Vorgang erfolgreich war, sind Sie dem Realm beigetreten und können mit dem nächsten Schritt fortfahren.
### Fügen Sie Benutzer zum AD hinzu
1.
**Erstellen Sie den ReadOnlyUser und einen weiteren Benutzer.**
In diesem Schritt verwenden Sie die Tools [adcli](https://www.mankier.com/package/adcli) und [openldap-Clients](https://www.mankier.com/package/openldap-clients), die Sie in einem vorherigen Schritt installiert haben.
```
$ echo $ADMIN_PW | adcli create-user -x -U Admin --domain=corp.example.com --display-name=ReadOnlyUser ReadOnlyUser
```
```
$ echo $ADMIN_PW | adcli create-user -x -U Admin --domain=corp.example.com --display-name=user000 user000
```
1. **Stellen Sie sicher, dass die Benutzer erstellt wurden:**
Die Verzeichnis-DNS-IP-Adressen sind Ausgaben des Python-Skripts.
```
$ DIRECTORY_IP="192.0.2.254"
```
```
$ ldapsearch -x -h $DIRECTORY_IP -D Admin -w $ADMIN_PW -b "cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com"
```
```
$ ldapsearch -x -h $DIRECTORY_IP -D Admin -w $ADMIN_PW -b "cn=user000,ou=Users,ou=CORP,dc=corp,dc=example,dc=com"
```
Wenn Sie einen Benutzer mit dem erstellen`ad-cli`, ist der Benutzer standardmäßig deaktiviert.
1.
****Setzen Sie die Benutzerkennwörter von Ihrem lokalen Computer aus zurück und aktivieren Sie sie:****
Melden Sie sich von Ihrer Amazon EC2 EC2-Instance ab.
**Anmerkung**
`ro-p@ssw0rd`ist das Passwort von`ReadOnlyUser`, abgerufen von AWS Secrets Manager.
`user-p@ssw0rd`ist das Passwort eines Cluster-Benutzers, das angegeben wird, wenn Sie eine Verbindung (`ssh`) mit dem Cluster herstellen.
Das `directory-id` ist eine Ausgabe des Python-Skripts.
```
$ DIRECTORY_ID="d-abcdef01234567890"
```
```
$ aws ds reset-user-password \
--directory-id $DIRECTORY_ID \
--user-name "ReadOnlyUser" \
--new-password "ro-p@ssw0rd" \
--region "region-id"
```
```
$ aws ds reset-user-password \
--directory-id $DIRECTORY_ID \
--user-name "user000" \
--new-password "user-p@ssw0rd" \
--region "region-id"
```
1. **Fügen Sie das Passwort zu einem Secrets Manager Manager-Geheimnis hinzu.**
Nachdem Sie nun ein Passwort erstellt `ReadOnlyUser` und festgelegt haben, speichern Sie es in einem geheimen Ordner, der für die Validierung von Anmeldungen AWS ParallelCluster verwendet wird.
Verwenden Sie Secrets Manager, um ein neues Geheimnis zu erstellen, das das Passwort für `ReadOnlyUser` als Wert enthält. Das geheime Wertformat darf nur Klartext sein (kein JSON-Format). Notieren Sie sich den geheimen ARN für future Schritte.
```
$ aws secretsmanager create-secret --name "ADSecretPassword" \
--region region_id \
--secret-string "ro-p@ssw0rd" \
--query ARN \
--output text
arn:aws:secretsmanager:region-id:123456789012:secret:ADSecretPassword-1234
```
### Einrichtung von LDAPS mit Zertifikatsverifizierung (empfohlen)
Notieren Sie sich die Ressource IDs. Sie verwenden sie später schrittweise.
1.
**Generieren Sie lokal ein Domänenzertifikat.**
```
$ PRIVATE_KEY="corp-example-com.key"
CERTIFICATE="corp-example-com.crt"
printf ".\n.\n.\n.\n.\ncorp.example.com\n.\n" | openssl req -x509 -sha256 -nodes -newkey rsa:2048 -keyout $PRIVATE_KEY -days 365 -out $CERTIFICATE
```
1.
**Speichern Sie das Zertifikat in Secrets Manager, damit es später innerhalb des Clusters abgerufen werden kann.**
```
$ aws secretsmanager create-secret --name example-cert \
--secret-string file://$CERTIFICATE \
--region region-id
{
"ARN": "arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc",
"Name": "example-cert",
"VersionId": "14866070-092a-4d5a-bcdd-9219d0566b9c"
}
```
1. Fügen Sie der IAM-Rolle, die Sie erstellt haben, um die Amazon EC2 EC2-Instance der AD-Domain hinzuzufügen, die folgende Richtlinie hinzu.
`PutDomainCertificateSecrets`
```
{
"Statement": [
{
"Action": [
"secretsmanager:PutSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:region-id:123456789012:secret:example-cert-123abc"
],
"Effect": "Allow"
}
]
}
```
1.
**Importieren Sie das Zertifikat nach AWS Certificate Manager (ACM).**
```
$ aws acm import-certificate --certificate fileb://$CERTIFICATE \
--private-key fileb://$PRIVATE_KEY \
--region region-id
{
"CertificateArn": "arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72"
}
```
1.
**Erstellen Sie und den Load Balancer, der vor den Active Directory-Endpunkten platziert wird.**
```
$ aws elbv2 create-load-balancer --name CorpExampleCom-NLB \
--type network \
--scheme internal \
--subnets subnet-1234567890abcdef0 subnet-021345abcdef6789 \
--region region-id
{
"LoadBalancers": [
{
"LoadBalancerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4",
"DNSName": "CorpExampleCom-NLB-3afe296bf4ba80d4.elb.region-id.amazonaws.com",
"CanonicalHostedZoneId": "Z2IFOLAFXWLO4F",
"CreatedTime": "2022-05-05T12:56:55.988000+00:00",
"LoadBalancerName": "CorpExampleCom-NLB",
"Scheme": "internal",
"VpcId": "vpc-021345abcdef6789",
"State": {
"Code": "provisioning"
},
"Type": "network",
"AvailabilityZones": [
{
"ZoneName": "region-idb",
"SubnetId": "subnet-021345abcdef6789",
"LoadBalancerAddresses": []
},
{
"ZoneName": "region-ida",
"SubnetId": "subnet-1234567890abcdef0",
"LoadBalancerAddresses": []
}
],
"IpAddressType": "ipv4"
}
]
}
```
1.
**Erstellen Sie die Zielgruppe, die auf die Active Directory-Endpunkte abzielt.**
```
$ aws elbv2 create-target-group --name CorpExampleCom-Targets --protocol TCP \
--port 389 \
--target-type ip \
--vpc-id vpc-021345abcdef6789 \
--region region-id
{
"TargetGroups": [
{
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81",
"TargetGroupName": "CorpExampleCom-Targets",
"Protocol": "TCP",
"Port": 389,
"VpcId": "vpc-021345abcdef6789",
"HealthCheckProtocol": "TCP",
"HealthCheckPort": "traffic-port",
"HealthCheckEnabled": true,
"HealthCheckIntervalSeconds": 30,
"HealthCheckTimeoutSeconds": 10,
"HealthyThresholdCount": 3,
"UnhealthyThresholdCount": 3,
"TargetType": "ip",
"IpAddressType": "ipv4"
}
]
}
```
1.
**Registrieren Sie die Active Directory (AD) -Endpunkte in der Zielgruppe.**
```
$ aws elbv2 register-targets --target-group-arn arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81 \
--targets Id=192.0.2.254,Port=389 Id=203.0.113.237,Port=389 \
--region region-id
```
1.
**Erstellen Sie den LB-Listener mit dem Zertifikat.**
```
$ aws elbv2 create-listener --load-balancer-arn arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4 \
--protocol TLS \
--port 636 \
--default-actions Type=forward,TargetGroupArn=arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81 \
--ssl-policy ELBSecurityPolicy-TLS-1-2-2017-01 \
--certificates CertificateArn=arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72 \
--region region-id
"Listeners": [
{
"ListenerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:listener/net/CorpExampleCom-NLB/3afe296bf4ba80d4/a8f9d97318743d4b",
"LoadBalancerArn": "arn:aws:elasticloadbalancing:region-id:123456789012:loadbalancer/net/CorpExampleCom-NLB/3afe296bf4ba80d4",
"Port": 636,
"Protocol": "TLS",
"Certificates": [
{
"CertificateArn": "arn:aws:acm:region-id:123456789012:certificate/343db133-490f-4077-b8d4-3da5bfd89e72"
}
],
"SslPolicy": "ELBSecurityPolicy-TLS-1-2-2017-01",
"DefaultActions": [
{
"Type": "forward",
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81",
"ForwardConfig": {
"TargetGroups": [
{
"TargetGroupArn": "arn:aws:elasticloadbalancing:region-id:123456789012:targetgroup/CorpExampleCom-Targets/44577c583b695e81"
}
]
}
}
]
}
]
}
```
1.
**Erstellen Sie die Hosting-Zone, damit die Domain innerhalb der Cluster-VPC auffindbar ist.**
```
$ aws route53 create-hosted-zone --name corp.example.com \
--vpc VPCRegion=region-id,VPCId=vpc-021345abcdef6789 \
--caller-reference "ParallelCluster AD Tutorial"
{
"Location": "https://route53.amazonaws.com/2013-04-01/hostedzone/Z09020002B5MZQNXMSJUB",
"HostedZone": {
"Id": "/hostedzone/Z09020002B5MZQNXMSJUB",
"Name": "corp.example.com.",
"CallerReference": "ParallelCluster AD Tutorial",
"Config": {
"PrivateZone": true
},
"ResourceRecordSetCount": 2
},
"ChangeInfo": {
"Id": "/change/C05533343BF3IKSORW1TQ",
"Status": "PENDING",
"SubmittedAt": "2022-05-05T13:21:53.863000+00:00"
},
"VPC": {
"VPCRegion": "region-id",
"VPCId": "vpc-021345abcdef6789"
}
}
```
1.
**Erstellen Sie eine Datei, die `recordset-change.json` den folgenden Inhalt hat. `HostedZoneId`ist die kanonische Hosting-Zonen-ID des Load Balancers.**
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "corp.example.com",
"Type": "A",
"Region": "region-id",
"SetIdentifier": "example-active-directory",
"AliasTarget": {
"HostedZoneId": "Z2IFOLAFXWLO4F",
"DNSName": "CorpExampleCom-NLB-3afe296bf4ba80d4.elb.region-id.amazonaws.com",
"EvaluateTargetHealth": true
}
}
}
]
}
```
1.
**Sendet die Änderung der Datensatzgruppe an die Hosting-Zone, diesmal unter Verwendung der Hosting-Zonen-ID.**
```
$ aws route53 change-resource-record-sets --hosted-zone-id Z09020002B5MZQNXMSJUB \
--change-batch file://recordset-change.json
{
"ChangeInfo": {
"Id": "/change/C0137926I56R3GC7XW2Y",
"Status": "PENDING",
"SubmittedAt": "2022-05-05T13:40:36.553000+00:00"
}
}
```
1.
**Erstellen Sie ein Richtliniendokument `policy.json` mit dem folgenden Inhalt.**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:123456789012:secret:example-cert-abc123"
],
"Effect": "Allow"
}
]
}
```
------
1.
**Erstellen Sie ein Richtliniendokument, das `policy.json` den folgenden Inhalt hat.**
```
$ aws iam create-policy --policy-name ReadCertExample \
--policy-document file://policy.json
{
"Policy": {
"PolicyName": "ReadCertExample",
"PolicyId": "ANPAUUXUVBC42VZSI4LDY",
"Arn": "arn:aws:iam::123456789012:policy/ReadCertExample-efg456",
"Path": "/",
"DefaultVersionId": "v1",
"AttachmentCount": 0,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"CreateDate": "2022-05-05T13:42:18+00:00",
"UpdateDate": "2022-05-05T13:42:18+00:00"
}
}
```
1. Folgen Sie weiterhin den Schritten unter [(Optional) AD-Benutzer und -Gruppen verwalten](tutorials_05_multi-user-ad-step2.md) oder[Den Cluster erstellen](tutorials_05_multi-user-ad-step3.md).