为 Windows 服务器工作负载配置远程桌面网关
本指南演示如何将远程桌面网关部署到 AWS 云。RD 网关使用基于 HTTPS 的远程桌面协议(RDP)在远程用户和运行 Microsoft Windows 的 Amazon Elastic Compute Cloud(Amazon EC2)实例之间建立加密连接,无需虚拟专用网络。这有助于减少基于 Windows 的实例上的攻击,同时为管理员提供远程管理解决方案。您可以选择将 RD 网关部署到您的 AWS 账户中的新虚拟私有云(VPC)中,或部署到现有的独立 VPC 或已加入域的 VPC 中。
请注意:[免责声明]
架构图
[架构图描述]
第 1 步
使用 AWS CloudFormation 模板在跨越两个具有公有子网和私有子网的可用区的新的或现有的 Amazon Virtual Private Cloud(Amazon VPC)中部署 RD 网关。使用单独的 CloudFormation 模板在私有子网中部署已加入 Active Directory 域(需要现有 VPC)或未加入域的 Windows 实例。
第 2 步
AWS Secrets Manager 安全地存储用于访问 RD 网关实例的凭证(例如用户名和密码)。 注意:我们强烈建议在 RD 网关实例上启用多重身份验证(MFA),以提高安全性。
第 3 步
AWS Systems Manager 通过从 Secrets Manager 获取用户名和密码值并配置 RD 网关实例,自动部署跨两个公有子网的 Amazon EC2 Auto Scaling 组。
第 4 步
每个公有子网的自动扩缩组中最多有四个 RD 网关实例,以提供对私有子网中实例的安全远程访问。为每个 RD 网关实例分配一个弹性 IP 地址,以便从互联网直接访问。
第 5 步
私有子网中实例的空应用程序层(包括实例的安全组)允许访问必要的 RD 网关端口。
第 6 步
网络负载均衡器允许远程访问 RD 网关自动扩缩组。
第 7 步
一个允许访问互联网的互联网网关。RD 网关实例使用此网关发送和接收流量。
第 8 步
允许对私有子网中的资源进行出站互联网访问的托管网络地址转换(NAT)网关。
第 9 步
Amazon EventBridge 资源从 Active Directory 域中移除已停用的实例。
第 1 步
使用 AWS CloudFormation 模板在跨越两个具有公有子网和私有子网的可用区的新的或现有的 Amazon Virtual Private Cloud(Amazon VPC)中部署 RD 网关。使用单独的 CloudFormation 模板在私有子网中部署已加入 Active Directory 域(需要现有 VPC)或未加入域的 Windows 实例。
第 2 步
AWS Secrets Manager 安全地存储用于访问 RD 网关实例的凭证(例如用户名和密码)。 注意:我们强烈建议在 RD 网关实例上启用多重身份验证(MFA),以提高安全性。
第 3 步
AWS Systems Manager 通过从 Secrets Manager 获取用户名和密码值并配置 RD 网关实例,自动部署跨两个公有子网的 Amazon EC2 Auto Scaling 组。
第 4 步
每个公有子网的自动扩缩组中最多有四个 RD 网关实例,以提供对私有子网中实例的安全远程访问。为每个 RD 网关实例分配一个弹性 IP 地址,以便从互联网直接访问。
第 5 步
私有子网中实例的空应用程序层(包括实例的安全组)允许访问必要的 RD 网关端口。
第 6 步
网络负载均衡器允许远程访问 RD 网关自动扩缩组。
第 7 步
一个允许访问互联网的互联网网关。RD 网关实例使用此网关发送和接收流量。
第 8 步
允许对私有子网中的资源进行出站互联网访问的托管网络地址转换(NAT)网关。
第 9 步
Amazon EventBridge 资源从 Active Directory 域中移除已停用的实例。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读卓越运营白皮书
CloudFormation 模板在单个堆栈中描述您所需的资源及其依赖项,并允许您将整个堆栈作为单个单元创建、更新和删除,从而轻松管理跨可用区的公共和私有子网的云资源。
Systems Manager 将来自多个 AWS 服务的运营数据集中在一个中心,并跨 AWS 上的资源自动执行任务。它提供用于监控运行状况和性能的操作管理、用于简化操作工作流程的应用程序管理、用于简化应用程序配置操作更改的变更管理以及用于加速故障排除和自动修补的节点管理。
-
安全性阅读安全性白皮书
Secrets Manager 结合细粒度的 AWS Identity and Access Management(IAM)和基于资源的策略,对机密进行安全加密和集中审核。这可以保护对应用程序、服务和 IT 资源的访问,并使您能够满足数据安全和隐私的法规和合规性要求。为了提高安全性,请对 RD 网关实例启用 MFA。
Amazon VPC 中的私有子网包含实例的安全组,以允许访问必要的端口。公有子网包含 RD 网关实例,用于安全远程访问私有子网中的实例。公有子网有到互联网网关的直接路由,允许访问公共互联网;私有子网没有到互联网网关的直接路由,需要 NAT 网关才能访问公共互联网。
-
可靠性阅读可靠性白皮书
网络负载均衡器能够每秒处理数百万个请求,同时保持超低延迟。它还经过优化,能够处理突发的和不稳定的流量模式,同时在每个可用区使用单个静态 IP 地址。网络负载均衡器在连接级别(级别 4)运行,因此您可以对 TCP 和 UDP 流量进行负载均衡,将连接路由到目标,例如 Amazon Elastic Compute Cloud(Amazon EC2)实例、微服务和容器。
-
性能效率阅读性能效率白皮书
Amazon EC2 Auto Scaling 可帮助您确保拥有适量的 EC2 实例来处理您的应用程序负载。您可以创建名为自动扩缩组的 EC2 实例集合。Amazon EC2 Auto Scaling 可确保您的组始终拥有您指定的实例数量来满足所需的容量。如果您指定扩展策略,则 Amazon EC2 Auto Scaling 可以随着应用程序负载的增加或减少而按需启动或终止实例。
-
成本优化阅读成本优化白皮书
Amazon EC2 Auto Scaling 通过结合购买选项和实例类型来优化工作负载性能和成本。该服务可允许您在一个应用程序中跨购买选项、可用区和实例系列预置和自动扩展实例,以实现规模、性能和成本优化。您可以将 Amazon EC2 Spot 实例与按需型实例和预留实例包含在单个自动扩缩组中,以节省高达 90% 的计算费用。
-
可持续性阅读可持续性白皮书
Amazon EC2 Auto Scaling 和网络负载均衡器共同根据工作负载流量的弹性自动向内和向外扩展。EventBridge 资源从 Active Directory 域中移除已停用的实例。该架构会自动添加和移除实例,从而有效优化工作负载对环境的影响。
实施资源
提供了在 AWS 账户中进行实验和使用的详细指南。构建指南的每个阶段(包括部署、使用和清理)都将被检查,以便为部署做好准备。
示例代码为起点。它经过行业验证,是规范性但不是决定性的,可以帮助您开始。
相关内容
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。