Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Escenario 3: Implementación aislada e independiente mediante AWS Directory Service en la nube AWS
En este escenario, que se muestra en la siguiente figura, AD DS se implementa en la AWS nube en un entorno aislado e independiente. AWS Directory Service se utiliza exclusivamente en este escenario. En lugar de administrar completamente AD DS, los clientes pueden confiar en AWS Directory Service para tareas como crear una topología de directorios de alta disponibilidad, monitorear los controladores de dominio y configurar copias de seguridad e instantáneas.
Figura 8: Solo en la nube: servicios de AWS directorio (Microsoft AD)
Como en el escenario 2, el AD DS (Microsoft AD) se implementa en subredes dedicadas que abarcan dos zonas de disponibilidad, lo que hace que AD DS esté altamente disponible en la AWS nube. Además de Microsoft AD, AD Connector (en los tres escenarios) se implementa para la WorkSpaces autenticación o la MFA. Esto garantiza la separación de roles o funciones dentro de Amazon VPC, que es una práctica recomendada estándar. Para obtener más información, consulte la sección Consideraciones de diseño de este documento.
El escenario 3 es una configuración estándar e integral que funciona bien para los clientes que desean AWS gestionar la implementación, los parches, la alta disponibilidad y la supervisión del AWS Directory Service. El escenario también funciona bien para entornos de prueba de concepto y de laboratorio y de producción debido a su modo de aislamiento.
Además de la ubicación de AWS Directory Service, en esta figura se muestra el flujo de tráfico de un usuario a un espacio de trabajo y la forma en que el espacio de trabajo interactúa con el servidor AD y el servidor MFA.
Esta arquitectura utiliza los siguientes componentes o estructuras.
AWS
-
Amazon VPC: creación de una Amazon VPC con al menos cuatro subredes privadas en dos zonas de disponibilidad: dos para AD DS Microsoft AD, dos para AD Connector o. WorkSpaces
-
Conjunto de opciones de DHCP: creación de un conjunto de opciones de DHCP de Amazon VPC. Esto permite al cliente definir un nombre de dominio y un DNS (Microsoft AD) específicos. Para obtener más información, consulte los conjuntos de opciones de DHCP.
-
Opcional: puerta de enlace privada virtual de Amazon: habilita la comunicación con una red propiedad del cliente a través de un túnel VPN (VPN) o una conexión IPSec. AWS Direct Connect Se utiliza para acceder a los sistemas de back-end locales.
-
AWS Directory Service: Microsoft AD se implementó en un par dedicado de subredes de VPC (AD DS Managed Service).
-
Amazon EC2: servidores RADIUS «opcionales» del cliente para MFA.
-
AWS Servicios de directorio: AD Connector se implementa en un par de subredes privadas de Amazon VPC.
-
Amazon WorkSpaces: WorkSpaces se implementan en las mismas subredes privadas que el AD Connector. Para obtener más información, consulte la sección Active Directory: sitios y servicios de este documento.
Cliente
-
Opcional: conectividad de red: VPN corporativa o AWS Direct Connect puntos finales.
-
Dispositivos de usuario final: dispositivos corporativos o BYOL para usuarios finales (como Windows, Mac, iPads, tabletas Android, cero clientes y Chromebooks) que se utilizan para acceder al servicio de Amazon. WorkSpaces Consulte esta lista de aplicaciones cliente para ver los dispositivos y navegadores web compatibles.
Al igual que en el escenario 2, este escenario no presenta problemas relacionados con la conectividad con el centro de datos local del cliente, la latencia o los costos de transferencia de datos salientes (excepto cuando el acceso a Internet está habilitado WorkSpaces dentro de la VPC) porque, por diseño, se trata de un escenario aislado o solo en la nube.
