AWS Managed Microsoft AD - AWS 规范性指导
概述成本影响成本优化建议其他资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Managed Microsoft AD

概述

AWS Directory Service for Microsoft Active Directory,也称为 AWS Managed Microsoft AD,由 Windows 服务器 Active Directory 提供支持并由管理 AWS。您可以使用将各种支持 A AWS Managed Microsoft AD ctive Directory 的应用程序迁移到。 AWS Cloud AWS Managed Microsoft AD 适用于各种本机 Active Directory 应用程序和服务。它还支持 AWS 托管应用程序和服务。尽管 AWS Managed Microsoft AD 由于该服务及其计费机制,成本优化杠杆不多,但有一些设计原则可以帮助您将成本降至最低。

成本影响

由于 AWS Managed Microsoft AD 是基于当前的托管服务 SKUs,因此规模调整是一个相对简单的过程。目前有两种尺寸 SKUs 可供选择:标准版和企业版。其他 SKUs 包括目录共享、添加其他域控制器(包括其他区域)和跨区域数据传输。

成本优化建议

AWS Managed Microsoft AD 标准版和 AWS Managed Microsoft AD 企业版之间有区别。企业版最多支持 50 万个 Active Directory 对象、500 个账户共享(软限制),且支持多区域。标准版最多支持 3 万个 Active Directory 对象、5 个账户共享(软限制为最大约 25 个),且不支持多区域。

注意

Active Directory 对象的上限是近似值。根据对象大小及应用程序的行为和性能需求,您的目录支持的对象数可能更多,也可能更少。

在选择目录类型之前要考虑的问题是:

  • 是否需要多区域支持?

  • 该目录是否会与超过 25 个账户共享?

  • Active Directory 对象计数是否会超过 3 万?

如果以上任何一个问题的答案为“是”,则需要使用企业版。如果所有问题的答案都为“否”,我们建议您先从标准版开始。

注意

您可以将目录从标准版升级到企业版,但无法降级目录。部署标准版并非一条单行道。如果您想将目录升级到企业版,请联系 AWS。

在 AWS Managed Microsoft AD 企业版中共享目录时,每次共享都会产生费用。这比在每个账户中部署目录的成本更低,但请记住,如果不加以检查,共享成本可能会逐渐增加。我们建议您仅与包含亚马逊关系数据库服务 (Amazon RDS) 和亚马逊版 Windows 文件服务器 FSx 的账户共享目录,因为只有这些服务支持此功能。请记住,你可以选择将 Windows 文件服务器与自我管理 FSx 的 Active Directory 集成,包括。 AWS Managed Microsoft AD如果其他账户只需要亚马逊 FSx ,则 AWS Managed Microsoft AD 无需共享目录即可针对该账户进行自我管理的 Amazon FSx 部署。

在决定何时部署其他域控制器时,请记住,在同一 VPC 的不同可用区中 AWS Managed Microsoft AD 仅支持两个子网。添加其他域控制器不允许您添加其他子网。要确定是否由于性能问题而必须添加其他域控制器,请查看中的域控制器性能指标 CloudWatch。这会告诉您是否一个或所有域控制器不堪重负。如果您确定只有一个域控制器不堪重负,那么添加额外的域控制器并不能减轻负载,您需要更深入地研究没有在当前可用的域控制器之间进行负载均衡的应用程序。如果所有域控制器都处于高强度使用状态,则添加额外的域控制器可以减少现有域控制器的负载。有关如何自动扩展的说明,请参阅 AWS 安全博客中的如何根据利用率指标自动 AWS Managed Microsoft AD 扩展

如果您将目录扩展到多个区域,我们建议您不要使用 NETLOGON 或 SYSVOL 目录共享进行文件存储。所有域控制器都会复制这些共享的内容。不使用共享文件存储可将数据传输成本降至最低。

您还可以选择通过注册企业协议 AWS。企业协议让您可以选择定制最适合您需求的协议。有关更多信息,请参阅企业客户

其他资源