Amazon EC2 上的自行管理的 Active Directory
概览
本节提供降低在 Amazon Elastic Compute Cloud(Amazon EC2)上运行 Active Directory 成本的建议。主要重点是确保您可以适当调整 Active Directory 域控制器的大小,并利用 AWS 架构的灵活性根据您的环境需要进行调整。AWS 可以帮助您轻松停止实例并调整其大小以满足不断变化的需求,或者在纵向扩展过快时缩小实例大小。选择正确的实例大小和类型可以节省大量资金。
成本影响
下表显示了选择可爆发实例系列实例而不是通用实例之间的区别。此选择每月可为您节省大量资金。对您的实例进行适当的规划和规模调整可以帮助您管理成本。
| 实例类型 | 实例的数量 | vCPU | 内存 | 成本 |
|---|---|---|---|---|
| t3a.medium | 2 | 2 | 8 | 大约每月 81.76 美元 |
| m5a.large | 2 | 2 | 8 | 大约每月 259.88 美元 |
有关成本的更多信息,请参阅 AWS 定价计算器 估算
每月节省 178.12 美元,您的域控制器每年可节省超过 2,000 美元。请记住,这仅适用于一个账户中仅有两个域控制器的小型规模场景。当进行规模化部署,涉及多个账户和额外的域控制器时,此类节省可不断累积而显著降低成本。
成本优化建议
当您部署 Active Directory 环境时,Microsoft 会提供容量规划建议
-
内存
-
网络
-
存储
-
处理器
牢记这些主要组成部分,您就可以选择适合您在 AWS 上的 Active Directory 环境的实例类型。本节介绍一些从 Active Directory 到 AWS 的部署场景示例。这些场景清楚地表明,如果您不打算像在本地环境中那样处理相同数量的用户和计算机,则没有必要在 AWS 中复制本地环境。
下表重点介绍了您的 AWS 环境中有关 vCPU、内存和磁盘的重要组成部分。
| 组件 | 估算 |
|---|---|
| 存储/数据库大小 | 每位用户 40-60 KB |
| RAM | 数据库大小 基本操作系统建议 第三方应用程序 |
| 网络 | 1 GB |
| CPU | 每个核心 1000 个并发用户 |
混合部署场景
下图显示了 Active Directory 混合部署的示例架构。
如图所示,您通常会有一个本地环境,然后将其扩展到 AWS 架构。在迁移的初始阶段中,您通常不会将所有用户和服务器都部署在 AWS 中。因此,为了节省迁移工作的费用,最初部署较小规模的环境非常重要。
如果您打算保留本地环境(服务器和用户在本地进行身份验证),那么在 AWS 中就不需要为域控制器部署相同的环境。通过遵循 Active Directory 最佳实践,您可以实施适当的 Active Directory 站点和服务
通过调整来优化 AWS 迁移
如果您要为用户部署新的 Active Directory 实例,或者打算将 Active Directory 基础设施完全迁移到 AWS,我们建议您根据 Microsoft 对上表中实例选择的 vCPU、内存和磁盘空间的建议来规划规模。
如果这是一个新的环境,您可以从小规模开始,并利用可以轻松更改实例类型的功能,随着 AWS 环境的发展调整其大小。本指南的 Windows on Amazon EC2 部分向您展示了如何在 AWS 上监控和查看您的 CPU 和内存使用率。这样,您就能知道何时增加 EC2 实例的大小。
如果您要将本地 Active Directory 环境完全迁移到 AWS,则可以实施相同的规模调整计划以确保适当的性能。在将本地环境复制到 AWS 之前,我们建议您对 Active Directory 环境进行全面审查。这可以帮助您防止过度预调配。务必使用性能监视器来收集有关现有域控制器的流量和利用率的信息。这可以让您了解总体使用情况,以便您可以合理调整大小并最终降低成本。
优化 AWS 上的 Active Directory
如果您在 AWS 上运行 Active Directory,则还必须持续监控利用率并根据需要更改实例大小以减少开支。您可以使用 AWS Compute Optimizer 来获取有关您正在 AWS 中运行的资源的信息。有关使用 Compute Optimizer 合理调整您的 Windows 工作负载大小的信息,请参阅本指南的 Windows on Amazon EC2 部分。要进行更全面的深入研究,您可以使用性能监视器来监控 Active Directory 域控制器的利用率,评估性能,然后相应地调整大小。
您还可以使用 CloudWatch 来监控域控制器的性能。要优化您的域控制器(纵向扩展或缩减),您可以使用 CloudWatch 中提供的指标来帮助您做出正确的决策。您可以使用 CloudWatch 代理配置要发送用于数据收集的自定义性能监视器指标。有关说明,请参阅 AWS 知识中心中的如何在 Windows Server 上使用 CloudWatch 代理来查看性能监视器的指标?
部署 CloudWatch 代理后,您可以在代理配置文件中的 metrics_collected 下配置以下指标:
| 指标类别 | 指标名称 |
|---|---|
| 数据库到实例(NTDSA) | 数据库缓存命中率 |
| I/O 数据库读取平均延迟 | |
| I/O 数据库读取/秒 | |
| I/O 日志写入平均延迟 | |
| DirectoryServices(NTDS) | LDAP 绑定时间 |
| DRA 挂起的复制操作 | |
| DRA 挂起的复制同步 | |
| DNS | 递归查询/秒 |
| 递归查询失败/秒 | |
| TCP 接收查询/秒 | |
| 总接收查询/秒 | |
| 总发送响应/秒 | |
| UDP 接收查询/秒 | |
| LogicalDisk | 平均磁盘队列长度 |
| 可用空间百分比 | |
| 内存 | 已提交字节数使用百分比 |
| 长期平均备用缓存生命周期(秒) | |
| 网络接口 | 发送的字节数/秒 |
| Bytes Received/sec | |
| 当前带宽 | |
| NTDS | ATQ 估计队列延迟 |
| ATQ 请求延迟 | |
| DS 目录读取/秒 | |
| DS 目录搜索/秒 | |
| DS 目录写入/秒 | |
| LDAP 客户端会话 | |
| LDAP 搜索/秒 | |
| LDAP 成功绑定/秒 | |
| 处理器 | 处理器时间百分比 |
| 安全系统范围的统计数据 | Kerberos 身份验证 |
| NTLM 身份验证 |
其他资源
