本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享服务账户
共享服务账户是大多数 AMS 数据平面服务的中心枢纽。该账户包含访问管理 (AD)、端点安全管理 (趋势科技) 所需的基础架构和资源,还包含客户堡垒 (SSH/RDP)。 下图显示了共享服务帐户中包含的资源的高级概述。
共享服务 VPC 由三个可用区中的 AD 子网、EPS 子网和客户堡垒子网组成(AZs)。下面列出了在共享服务 VPC 中创建的资源,需要您输入。
共享服务 VPC CIDR 范围:创建 VPC 时,必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围;例如 10.0.1.0/24。这是您的 VPC 的主要 CIDR 块。
注意
AMS 团队建议的射程为 /23。
A@@ ctive Directory 详情:Microsoft Active Directory (AD) 用于 user/resource 管理、身份验证/授权和所有 AMS 多账户登录区域账户的 DNS。AMS AD 还配置了对您的 Active Directory 的单向信任,以进行基于信任的身份验证。 创建 AD 需要以下输入:
域名完全限定域名 (FQDN):AWS 托管的 Microsoft AD 目录的完全限定域名。该域不应是现有域或网络中现有域的子域。
域 NetBIOS 名称:如果您未指定 NetBIOS 名称,AMS 会将该名称默认为您的目录 DNS 的第一部分。例如,corp 代表目录 DNS corp.example.com。
趋势科技-端点保护安全 (EPS):趋势科技端点保护 (EPS) 是 AMS 中用于操作系统安全的主要组件。该系统由趋势科技服务器深度安全防护系统管理中心 (DSM)、 EC2 EC2 实例、中继实例以及存在于所有数据平面和客户 EC2 实例中的代理组成。
您必须使用共享服务帐户,并订阅趋势科技服务器深度安全防护系统 (BYOL) AMI 或趋势科技趋势科技服务器深度安全防护系统 (Marketplace)。
EPSMarketplaceSubscriptionRole创建 EPS 需要以下默认输入(如果您想更改默认值):
中继实例类型:默认值-m5.large
DSM 实例类型:默认值-m5.xlarge
数据库实例大小:默认值-200 GB
RDS 实例类型:默认值——db.m5.large
客户堡垒:共享服务账户中为您提供 SSH 或 RDP 堡垒(或两者兼而有之),用于访问您的 AMS 环境中的其他主机。为了以用户身份访问 AMS 网络(SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPN到传输网关 (TGW),然后路由到共享服务 VPC。一旦您能够访问堡垒,就可以跳转到 AMS 环境中的其他主机,前提是访问请求已获得批准。
SSH 堡垒需要以下输入。
SSH 堡垒所需实例容量:默认值-2。
SSH 堡垒最大实例数:默认值-4。
SSH 堡垒最低实例数:默认值 -2。
SSH 堡垒实例类型:默认值-m5.large(可以更改以节省成本;例如 t3.medium)。
SSH 堡垒入口 CIDRs:您网络中的用户从中访问 SSH 堡垒的 IP 地址范围。
-
Windows RDP 堡垒需要以下输入。
RDP 堡垒实例类型:默认值-t3.medium。
RDP Bastion 所需的最小会话数:默认值-2。
RDP 最大会话数:默认值 -10。
RDP 堡垒配置类型:您可以选择以下配置之一
SecureStandard = 一个用户收到一个堡垒,只有一个用户可以连接到堡垒。
SecureHA = 用户在两个不同的可用区收到两个堡垒可供连接,并且只有一个用户可以连接到堡垒。
SharedStandard = 一个用户收到一个要连接的堡垒,两个用户可以同时连接到同一个堡垒。
SharedHA = 用户在两个不同的 AZ 中收到两个堡垒可供连接,两个用户可以同时连接到同一个堡垒。
客户 RDP 入口 CIDRs:您网络中的用户将从中访问 RDP 堡垒的 IP 地址范围。
