Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait

Memusatkan resolusi DNS dengan menggunakan Microsoft Active AWS Managed Microsoft AD Directory dan lokal

Brian Westmoreland, Amazon Web Services

Ringkasan

Pola ini memberikan panduan untuk memusatkan resolusi DNS dalam lingkungan AWS multi-akun dengan menggunakan AWS Directory Service for Microsoft Active Directory ()AWS Managed Microsoft AD dan Amazon Route 53. Dalam pola ini namespace AWS DNS adalah subdomain dari namespace DNS lokal. Pola ini juga memberikan panduan tentang cara mengonfigurasi server DNS lokal untuk meneruskan kueri AWS saat solusi DNS lokal menggunakan Microsoft Active Directory.

Prasyarat dan batasan

Prasyarat

Lingkungan AWS multi-akun yang disiapkan dengan menggunakan AWS Organizations.
Konektivitas jaringan dibangun antara Akun AWS.
Konektivitas jaringan yang dibangun antara AWS dan lingkungan lokal (dengan menggunakan AWS Direct Connect atau jenis koneksi VPN apa pun).
AWS Command Line Interface (AWS CLI) dikonfigurasi pada workstation lokal.
AWS Resource Access Manager (AWS RAM) digunakan untuk membagikan aturan Route 53 antar akun. Oleh karena itu, berbagi harus diaktifkan di dalam AWS Organizations lingkungan, seperti yang dijelaskan di bagian Epik.

Batasan

AWS Managed Microsoft AD Standard Edition memiliki batas 5 saham.
AWS Managed Microsoft AD Enterprise Edition memiliki batas 125 saham.
Solusi dalam pola ini terbatas pada berbagi dukungan Wilayah AWS itu AWS RAM.

Versi produk

Microsoft Active Directory berjalan pada Windows Server 2008, 2012, 2012 R2, atau 2016.

Arsitektur

Arsitektur target

Dalam desain ini, AWS Managed Microsoft AD dipasang di layanan bersama Akun AWS. Meskipun ini bukan persyaratan, pola ini mengasumsikan konfigurasi ini. Jika Anda mengkonfigurasi AWS Managed Microsoft AD yang berbeda Akun AWS, Anda mungkin harus memodifikasi langkah-langkah di bagian Epik yang sesuai.

Desain ini menggunakan Resolver Route 53 untuk mendukung resolusi nama melalui penggunaan aturan Route 53. Jika solusi DNS lokal menggunakan Microsoft DNS, membuat aturan penerusan bersyarat untuk AWS namespace (), yang merupakan subdomain dari namespace DNS perusahaan aws.company.com (), tidaklah mudah. company.com Jika Anda mencoba membuat forwarder bersyarat tradisional, itu akan menghasilkan kesalahan. Ini karena Microsoft Active Directory sudah dianggap otoritatif untuk setiap subdomain. company.com Untuk mengatasi kesalahan ini, Anda harus terlebih dahulu membuat delegasi untuk aws.company.com mendelegasikan otoritas namespace itu. Anda kemudian dapat membuat forwarder bersyarat.

Virtual private cloud (VPC) untuk setiap akun spoke dapat memiliki namespace DNS uniknya sendiri berdasarkan namespace root. AWS Dalam desain ini, setiap akun spoke menambahkan singkatan dari nama akun ke namespace AWS dasar. Setelah zona host pribadi di akun spoke dibuat, zona tersebut dikaitkan dengan VPC lokal di akun spoke serta dengan VPC di akun jaringan pusat. AWS Ini memungkinkan akun AWS jaringan pusat untuk menjawab pertanyaan DNS yang terkait dengan akun spoke. Dengan cara ini, baik Route 53 dan AWS Managed Microsoft AD bekerja sama untuk berbagi tanggung jawab mengelola AWS namespace ()aws.company.com.

Otomatisasi dan skala

Desain ini menggunakan titik akhir Route 53 Resolver untuk menskalakan kueri DNS antara AWS dan lingkungan lokal Anda. Setiap titik akhir Route 53 Resolver terdiri dari beberapa antarmuka jaringan elastis (tersebar di beberapa Availability Zone), dan setiap antarmuka jaringan dapat menangani hingga 10.000 kueri per detik. Route 53 Resolver mendukung hingga 6 alamat IP per titik akhir, jadi secara keseluruhan desain ini mendukung hingga 60.000 kueri DNS per detik yang tersebar di beberapa Availability Zone untuk ketersediaan tinggi.

Selain itu, pola ini secara otomatis memperhitungkan pertumbuhan masa depan di dalamnya AWS. Aturan penerusan DNS yang dikonfigurasi di tempat tidak harus dimodifikasi untuk mendukung zona host pribadi baru VPCs dan terkait yang ditambahkan. AWS

Alat

Layanan AWS

AWS Directory Service for Microsoft Active Directorymemungkinkan beban kerja dan sumber daya yang sadar direktori Anda AWS untuk menggunakan Microsoft Active Directory di file. AWS Cloud
AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
AWS Resource Access Manager (AWS RAM) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
Amazon Route 53 adalah layanan web DNS yang sangat tersedia dan dapat diskalakan.

Alat

AWS Command Line Interface (AWS CLI) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda. Dalam pola ini, AWS CLI digunakan untuk mengkonfigurasi otorisasi Route 53.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Menyebarkan AWS Managed Microsoft AD.	Buat dan konfigurasikan direktori baru. Untuk langkah-langkah rinci, lihat Membuat Anda AWS Managed Microsoft AD di Panduan AWS Directory Service Administrasi. Catat alamat IP pengontrol AWS Managed Microsoft AD domain. Ini akan direferensikan pada langkah selanjutnya.	Administrator AWS
Bagikan direktori.	Setelah direktori dibangun, bagikan dengan yang lain Akun AWS di AWS organisasi. Untuk petunjuk, lihat Bagikan direktori Anda di Panduan AWS Directory Service Administrasi. catatan AWS Managed Microsoft AD Standard Edition memiliki batas 5 saham. Enterprise Edition memiliki batas 125 saham.	Administrator AWS

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat Resolver Rute 53.	Resolver Route 53 memfasilitasi resolusi kueri DNS antara AWS dan pusat data lokal. Instal Resolver Route 53 dengan mengikuti i nstructions di Panduan Pengembang Route 53. Konfigurasikan Resolver Route 53 dalam subnet pribadi di setidaknya dua Availability Zone dalam VPC AWS akun jaringan pusat untuk ketersediaan tinggi. catatan Meskipun menggunakan VPC akun AWS jaringan pusat bukanlah persyaratan, langkah-langkah yang tersisa mengasumsikan konfigurasi ini.	Administrator AWS
Buat aturan Route 53.	Kasus penggunaan spesifik Anda mungkin memerlukan sejumlah besar aturan Route 53, tetapi Anda harus mengonfigurasi aturan berikut sebagai dasar: Aturan keluar untuk namespace lokal (`company.com`) dengan menggunakan akun jaringan pusat Outbound Route 53 Resolvers. Alamat IP target adalah server DNS lokal. Kaitkan aturan ini dengan akun jaringan pusat VPC. Aturan keluar untuk AWS namespace (`aws.company.com`) dengan menggunakan akun jaringan pusat Outbound Route 53 Resolvers. Alamat IP target adalah akun jaringan pusat inbound Route 53 Resolver IP address. Jangan kaitkan aturan ini dengan akun AWS jaringan pusat VPC (yang menampung Resolver Route 53). Aturan keluar kedua untuk AWS namespace (`aws.company.com`) yang menunjuk ke pengontrol AWS Managed Microsoft AD domain (gunakan IPs dari epik sebelumnya). Kaitkan aturan ini dengan akun AWS jaringan pusat VPC (yang menampung Resolver Route 53). Jangan berbagi atau mengaitkan aturan ini dengan yang lain Akun AWS. Untuk informasi selengkapnya, lihat Mengelola aturan penerusan di Panduan Pengembang Route 53.	Administrator AWS
Konfigurasikan Profil Route 53.	Profil Route 53 digunakan untuk membagikan aturan dengan akun spoke. Buat Profil Route 53 baru di akun jaringan pusat dengan mengikuti petunjuk di Panduan Pengembang Route 53. Tambahkan aturan untuk namespace lokal (`company.com`) ke Profil. Tambahkan aturan pertama untuk AWS namespace (`aws.company.com`), yang menargetkan alamat IP resolver masuk Route 53, ke Profil. Bagikan Profil Route 53 dengan AWS organisasi. Terima pembagian sumber daya Profil Route 53 di setiap akun spoke. Kaitkan Profil Route 53 dengan setiap akun bicara VPC.	Administrator AWS

Buat Resolver Rute 53.

Resolver Route 53 memfasilitasi resolusi kueri DNS antara AWS dan pusat data lokal.

Instal Resolver Route 53 dengan mengikuti i nstructions di Panduan Pengembang Route 53.
Konfigurasikan Resolver Route 53 dalam subnet pribadi di setidaknya dua Availability Zone dalam VPC AWS akun jaringan pusat untuk ketersediaan tinggi.

catatan

Meskipun menggunakan VPC akun AWS jaringan pusat bukanlah persyaratan, langkah-langkah yang tersisa mengasumsikan konfigurasi ini.

Administrator AWS

Buat aturan Route 53.

Kasus penggunaan spesifik Anda mungkin memerlukan sejumlah besar aturan Route 53, tetapi Anda harus mengonfigurasi aturan berikut sebagai dasar:

Aturan keluar untuk namespace lokal (company.com) dengan menggunakan akun jaringan pusat Outbound Route 53 Resolvers. Alamat IP target adalah server DNS lokal.
- Kaitkan aturan ini dengan akun jaringan pusat VPC.
Aturan keluar untuk AWS namespace (aws.company.com) dengan menggunakan akun jaringan pusat Outbound Route 53 Resolvers. Alamat IP target adalah akun jaringan pusat inbound Route 53 Resolver IP address.
- Jangan kaitkan aturan ini dengan akun AWS jaringan pusat VPC (yang menampung Resolver Route 53).
Aturan keluar kedua untuk AWS namespace (aws.company.com) yang menunjuk ke pengontrol AWS Managed Microsoft AD domain (gunakan IPs dari epik sebelumnya).
- Kaitkan aturan ini dengan akun AWS jaringan pusat VPC (yang menampung Resolver Route 53).
- Jangan berbagi atau mengaitkan aturan ini dengan yang lain Akun AWS.

Untuk informasi selengkapnya, lihat Mengelola aturan penerusan di Panduan Pengembang Route 53.

Administrator AWS

Konfigurasikan Profil Route 53.

Profil Route 53 digunakan untuk membagikan aturan dengan akun spoke.

Buat Profil Route 53 baru di akun jaringan pusat dengan mengikuti petunjuk di Panduan Pengembang Route 53.
Tambahkan aturan untuk namespace lokal (company.com) ke Profil.
Tambahkan aturan pertama untuk AWS namespace (aws.company.com), yang menargetkan alamat IP resolver masuk Route 53, ke Profil.
Bagikan Profil Route 53 dengan AWS organisasi.
Terima pembagian sumber daya Profil Route 53 di setiap akun spoke.
Kaitkan Profil Route 53 dengan setiap akun bicara VPC.

Administrator AWS

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat delegasi.	Gunakan snap-in (`dnsmgmt.msc`) Microsoft DNS untuk membuat delegasi baru untuk `company.com` namespace dalam Active Directory. Nama domain yang didelegasikan harus`aws`. Ini membuat nama domain yang sepenuhnya memenuhi syarat (FQDN) dari delegasi. `aws.company.com` Gunakan alamat IP pengontrol AWS Managed Microsoft AD domain untuk nilai IP server nama, dan gunakan `server.aws.company.com` untuk nama tersebut. (Delegasi ini hanya untuk redundansi, karena forwarder bersyarat akan dibuat untuk namespace ini yang lebih diutamakan daripada delegasi.)	Direktori Aktif
Buat forwarder bersyarat.	Gunakan snap-in (`dnsmgmt.msc`) Microsoft DNS untuk membuat forwarder bersyarat baru untuk. `aws.company.com` Gunakan alamat IP dari AWS Inbound Route 53 Resolvers di DNS pusat Akun AWS untuk target forwarder bersyarat.	Direktori Aktif

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat zona host pribadi Route 53.	Buat zona host pribadi Route 53 di setiap akun spoke. Kaitkan zona host pribadi ini dengan VPC akun spoke. Untuk langkah-langkah mendetail, lihat Membuat zona yang dihosting pribadi di Panduan Pengembang Route 53.	Administrator AWS
Buat otorisasi.	Gunakan AWS CLI untuk membuat otorisasi untuk akun AWS jaringan pusat VPC. Jalankan perintah ini dari konteks setiap pembicaraan Akun AWS: `aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` di mana: `<hosted-zone-id>`adalah zona host pribadi Route 53 di akun spoke. `<region>`dan `<vpc-id>` merupakan ID VPC Wilayah AWS dan VPC dari akun AWS jaringan pusat VPC.	Administrator AWS
Buat asosiasi.	Buat asosiasi zona host pribadi Route 53 untuk VPC akun AWS jaringan pusat dengan menggunakan. AWS CLI Jalankan perintah ini dari konteks akun AWS jaringan pusat: `aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \ --vpc VPCRegion=<region>,VPCId=<vpc-id>` di mana: `<hosted-zone-id>`adalah zona host pribadi Route 53 di akun spoke. `<region>`dan `<vpc-id>` merupakan ID VPC Wilayah AWS dan dari akun AWS jaringan pusat.	Administrator AWS

Buat zona host pribadi Route 53.

Buat zona host pribadi Route 53 di setiap akun spoke. Kaitkan zona host pribadi ini dengan VPC akun spoke. Untuk langkah-langkah mendetail, lihat Membuat zona yang dihosting pribadi di Panduan Pengembang Route 53.

Administrator AWS

Buat otorisasi.

Gunakan AWS CLI untuk membuat otorisasi untuk akun AWS jaringan pusat VPC. Jalankan perintah ini dari konteks setiap pembicaraan Akun AWS:


aws route53 create-vpc-association-authorization --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

di mana:

<hosted-zone-id>adalah zona host pribadi Route 53 di akun spoke.
<region>dan <vpc-id> merupakan ID VPC Wilayah AWS dan VPC dari akun AWS jaringan pusat VPC.

Administrator AWS

Buat asosiasi.

Buat asosiasi zona host pribadi Route 53 untuk VPC akun AWS jaringan pusat dengan menggunakan. AWS CLI Jalankan perintah ini dari konteks akun AWS jaringan pusat:


aws route53 associate-vpc-with-hosted-zone --hosted-zone-id <hosted-zone-id> \
   --vpc VPCRegion=<region>,VPCId=<vpc-id>

di mana:

<hosted-zone-id>adalah zona host pribadi Route 53 di akun spoke.
<region>dan <vpc-id> merupakan ID VPC Wilayah AWS dan dari akun AWS jaringan pusat.

Administrator AWS

Sumber daya terkait

Sederhanakan manajemen DNS di lingkungan multi-akun dengan Route 53 Resolver (posting blog)AWS
Membuat AWS Managed Microsoft AD (AWS Directory Service dokumentasi) Anda
Berbagi AWS Managed Microsoft AD direktori (AWS Directory Service dokumentasi)
Apa itu Amazon Route 53 Resolver? (Dokumentasi Amazon Route 53)
Membuat zona host pribadi (dokumentasi Amazon Route 53)
Apa itu Profil Amazon Route 53? (Dokumentasi Amazon Route 53)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akses host bastion menggunakan Session Manager dan Instance Connect

Memusatkan pemantauan dengan menggunakan Observability Access Manager