Обзор решения
Для этого сценария миграции в корпоративной среде рекомендуемый подход — использовать AWS Directory Service в комбинации с гибридной связностью, чтобы расширить их локальный Microsoft Active Directory на AWS, сохраняя при этом безопасность и высокую доступность с минимальными изменениями инфраструктуры.
Ключевые компоненты архитектуры
- AWS Directory Service for Microsoft AD – управляемый сервис Active Directory, который реплицирует локальные учётные данные на AWS
- AWS Direct Connect или VPN – обеспечивает безопасное и надёжное соединение между локальной инфраструктурой и AWS
- Несколько зон доступности – гарантирует высокую доступность и устойчивость к сбоям
Стратегия внедрения
Основной подход:
Создать расширение VPC их датацентра, используя AWS Site-to-Site VPN с резервными IPSec-туннелями. Развернуть два экземпляра контроллера домена в VPC в разных зонах доступности и разных подсетях для сохранения отказоустойчивости.
Преимущества этого решения
- Пользователи аутентифицируются с помощью единого набора учётных данных во всех приложениях на AWS
- Централизованное управление доступом при заведении и удалении пользователей (новые и уходящие сотрудники)
- Минимальные изменения на локальной стороне – расширяет существующую инфраструктуру Active Directory
- Высокая доступность благодаря развёртыванию в нескольких зонах доступности
- Экономичность – решение на основе VPN обходится дешевле, чем выделенные соединения на старте
- Безопасное взаимодействие через зашифрованные IPSec-туннели
Рекомендуемые дальнейшие шаги
- Настроить резервные VPN-соединения для обеспечения отказоустойчивости
- Настроить репликацию Active Directory между локальными контроллерами домена и AWS
- Реализовать security groups для ограничения трафика между зонами
- Мониторить состояние подключения и синхронизации директории
Этот подход обеспечивает гибкость, необходимую для миграции в облако, сохраняя при этом корпоративную безопасность и непрерывность работы существующей инфраструктуры идентификации.