该解决方案可将远程桌面网关(RD 网关)部署到 Amazon Web Services (AWS) Cloud。RD 网关使用基于 HTTPS 的远程桌面协议(RDP)在远程用户和运行 Microsoft Windows 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间建立加密连接,无需虚拟专用网络(VPN)。这有助于减少基于 Windows 的实例上的攻击,同时为管理员提供远程管理解决方案。
您可以使用解决方案中随附的 AWS CloudFormation 模板,在您的 AWS 账户中部署完全配置的 RD Gateway 基础设施。您可以选择将 RD 网关部署到您的 AWS 账户中的新虚拟私有云(VPC)中,或部署到现有的独立 VPC 或已加入域的 VPC 中。您还可以使用 AWS CloudFormation 模板作为自定义实施的起点。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
使用此解决方案在 AWS 上设置以下 RD Gateway 环境:
- 跨两个可用区的高度可用的架构。*
- 根据 AWS 最佳做法配置有公用子网和专用子网的 VPC,可在 AWS 上为您提供您自己的虚拟网络。*
- 一个允许访问互联网的互联网网关。RD Gateway 实例使用此网关发送和接收流量。*
- 允许对私有子网中的资源进行出站互联网访问的托管网络地址转换 (NAT) 网关。*
- 在每个公共子网内设置 Auto Scaling 组中的最多四个 RD Gateway 实例,以提供对私有子网中的实例的安全远程访问。每个实例分配一个弹性 IP 地址,以便从互联网直接访问。
- 一个 Network Load Balancer,用于提供对 RD 网关实例的 RDP 访问。
- 一个基于 Windows 实例的安全组,用于托管 RD Gateway 角色,其入口规则允许来自管理员 IP 地址的 TCP 端口 3389。部署之后,您需要修改安全组入口规则,将其改为通过 TCP 端口 443 配置管理访问权限。
- 一个适用于私有子网中实例的空应用程序层。如果需要更多层,则可以创建更多具有唯一 CIDR 范围的私有子网。
- AWS Secrets Manager,可以安全地存储用于访问 RD 网关实例的凭证。
- AWS Systems Manager,可以自动执行 RD 网关自动扩缩组的部署。
此解决方案还会安装自我签署的 SSL 证书并配置 RD CAP 和 RD RAP 策略。
* 将此解决方案部署到现有 VPC 中的模板会跳过标有星号的任务,并提示您使用现有 VPC 配置。
-
如何部署
-
要在 AWS 上构建 RD Gateway 环境,请遵循部署指南中的说明。部署过程包括以下步骤:
- 如果您还没有 AWS 账户,请访问 https://aws.amazon.com 进行注册。
- 启动解决方案。每次部署大约需要 30 分钟。您可以从以下选项中选择:
- 执行部署后任务,例如安装根证书和配置连接。
自定义选项包括 RD Gateway 实例类型、要部署的实例数和 CIDR 块大小。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
-
费用和许可证
-
本解决方案可启动适用于 Microsoft Windows Server 2012 R2 的亚马逊云机器镜像(AMI),并包括适用于 Windows Server 操作系统的许可证。AMI 使用最新的服务包定期更新,因此您无需安装更新。Windows Server AMI 不需要客户端访问许可证(CAL),并包括两个 Microsoft 远程桌面服务许可证。有关详细信息,请参阅 AWS 上的 Microsoft 许可。
您需要支付在运行此解决方案期间使用 AWS 服务和任何第三方许可证所产生的费用。使用此解决方案不会产生任何额外费用。
此解决方案包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署解决方案后,请创建 AWS 成本和使用情况报告,以跟踪相关成本。这些报告会将账单指标发送至您账户中的 Amazon Simple Storage Service (Amazon S3) 桶。它们根据每个月的使用情况提供成本估算,并在月末汇总数据。有关更多信息,请参阅 什么是 AWS 成本和使用情况报告?