Ein Remote Desktop Gateway für Windows-Server-Workloads konfigurieren
Diese Anleitung zeigt, wie Remote Desktop Gateway in der AWS Cloud bereitgestellt wird. RD Gateway verwendet das Remote Desktop Protocol (RDP) über HTTPS, um eine verschlüsselte Verbindung zwischen Remote-Benutzern und Amazon Elastic Compute Cloud (Amazon EC2)-Instances ohne ein Virtual Private Network (VPN) mit Microsoft Windows herzustellen. Dies trägt dazu bei, Angriffe auf Ihre Windows-basierten Instances zu reduzieren, und bietet gleichzeitig eine Fernverwaltungslösung für Administratoren. Sie können RD Gateway in einer neuen Virtual Private Cloud (VPC) in Ihrem AWS-Konto oder in einer bestehenden VPC bereitstellen, entweder eigenständig oder verknüpft mit einer Domain.
Bitte beachten Sie: [Haftungsausschluss]
Architekturdiagramm
[Beschreibung des Architekturdiagramms]
Schritt 1
Verwenden Sie die AWS-CloudFormation-Vorlage, um RD Gateway in einer neuen oder vorhandenen Amazon Virtual Private Cloud (Amazon VPC) bereitzustellen, die zwei Availability Zones mit öffentlichen und privaten Subnetzen umfasst. Verwenden Sie die separate CloudFormation-Vorlage, um Active-Directory-domaingebundene (vorhandene VPC erforderlich) oder nicht domaingebundene Windows-Instances in den privaten Subnetzen bereitzustellen.
Schritt 2
AWS Secrets Manager speichert sicher Anmeldeinformationen (wie Benutzername und Passwort), die für den Zugriff auf RD-Gateway-Instances verwendet werden. Hinweis: Wir empfehlen dringend, für zusätzliche Sicherheit die Multi-Faktor-Authentifizierung (MFA) auf RD-Gateway-Instances zu aktivieren.
Schritt 3
AWS Systems Manager automatisiert die Bereitstellung der Amazon-EC2-Auto-Scaling-Gruppe, die sich über die beiden öffentlichen Subnetze erstreckt, indem Benutzer- und Kennwortwerte von Secrets Manager abgerufen und RD-Gateway-Instances konfiguriert werden.
Schritt 4
Jedes öffentliche Subnetz verfügt über bis zu vier RD-Gateway-Instances in einer Auto-Scaling-Gruppe, um einen sicheren Fernzugriff auf Instances in den privaten Subnetzen zu ermöglichen. Jeder RD-Gateway-Instance wird eine Elastic-IP-Adresse zugewiesen, damit sie direkt über das Internet erreichbar ist.
Schritt 5
Eine leere Anwendungsebene für Instances in den privaten Subnetzen, einschließlich einer Sicherheitsgruppe für die Instances, ermöglicht den Zugriff auf die erforderlichen RD-Gateway-Ports.
Schritt 6
Ein Network Load Balancer ermöglicht den Fernzugriff auf die RD-Gateway-Auto-Scaling-Gruppe.
Schritt 7
Ein Internet-Gateway erlaubt den Zugang zum Internet. Dieses Gateway wird von den RD-Gateway-Instances verwendet, um Datenverkehr zu senden und zu empfangen.
Schritt 8
Verwaltete Network Address Translation (NAT)-Gateways erlauben ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen.
Schritt 9
Eine Amazon-EventBridge-Ressource entfernt außer Betrieb genommene Instances aus der Active-Directory-Domain.
Schritt 1
Verwenden Sie die AWS-CloudFormation-Vorlage, um RD Gateway in einer neuen oder vorhandenen Amazon Virtual Private Cloud (Amazon VPC) bereitzustellen, die zwei Availability Zones mit öffentlichen und privaten Subnetzen umfasst. Verwenden Sie die separate CloudFormation-Vorlage, um Active-Directory-domaingebundene (vorhandene VPC erforderlich) oder nicht domaingebundene Windows-Instances in den privaten Subnetzen bereitzustellen.
Schritt 2
AWS Secrets Manager speichert sicher Anmeldeinformationen (wie Benutzername und Passwort), die für den Zugriff auf RD-Gateway-Instances verwendet werden. Hinweis: Wir empfehlen dringend, für zusätzliche Sicherheit die Multi-Faktor-Authentifizierung (MFA) auf RD-Gateway-Instances zu aktivieren.
Schritt 3
AWS Systems Manager automatisiert die Bereitstellung der Amazon-EC2-Auto-Scaling-Gruppe, die sich über die beiden öffentlichen Subnetze erstreckt, indem Benutzer- und Kennwortwerte von Secrets Manager abgerufen und RD-Gateway-Instances konfiguriert werden.
Schritt 4
Jedes öffentliche Subnetz verfügt über bis zu vier RD-Gateway-Instances in einer Auto-Scaling-Gruppe, um einen sicheren Fernzugriff auf Instances in den privaten Subnetzen zu ermöglichen. Jeder RD-Gateway-Instance wird eine Elastic-IP-Adresse zugewiesen, damit sie direkt über das Internet erreichbar ist.
Schritt 5
Eine leere Anwendungsebene für Instances in den privaten Subnetzen, einschließlich einer Sicherheitsgruppe für die Instances, ermöglicht den Zugriff auf die erforderlichen RD-Gateway-Ports.
Schritt 6
Ein Network Load Balancer ermöglicht den Fernzugriff auf die RD-Gateway-Auto-Scaling-Gruppe.
Schritt 7
Ein Internet-Gateway erlaubt den Zugang zum Internet. Dieses Gateway wird von den RD-Gateway-Instances verwendet, um Datenverkehr zu senden und zu empfangen.
Schritt 8
Verwaltete Network Address Translation (NAT)-Gateways erlauben ausgehenden Internetzugriff für Ressourcen in den privaten Subnetzen.
Schritt 9
Eine Amazon-EventBridge-Ressource entfernt außer Betrieb genommene Instances aus der Active-Directory-Domain.
Well-Architected-Säulen
Das AWS-Well-Architected-Framework hilft Ihnen, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen. Die sechs Säulen des Frameworks ermöglichen es Ihnen, architektonische bewärhte Methoden für die Entwicklung und den Betrieb zuverlässiger, sicherer, effizienter, kostengünstiger und nachhaltiger Systeme zu erlernen. Mit dem AWS-Well-Architected-Tool, das kostenlos in der AWS-Managementkonsole verfügbar ist, können Sie Ihre Workloads anhand dieser bewährten Methoden überprüfen, indem Sie eine Reihe von Fragen für jede Säule beantworten.
Das obige Architekturdiagramm ist ein Beispiel für eine Lösung, die unter Berücksichtigung der bewährten Methoden von Well-Architected erstellt wurde. Um eine vollständige Well-Architected-Lösung zu erhalten, sollten Sie so viele bewährte Methoden von Well-Architected wie möglich befolgen.
-
Betriebliche ExzellenzWhitepaper zur betrieblichen Exzellenz lesen
CloudFormation-Vorlagen beschreiben Ihre gewünschten Ressourcen und ihre Abhängigkeiten in einem einzelnen Stack und ermöglichen es Ihnen, einen ganzen Stack als eine einzige Einheit zu erstellen, zu aktualisieren und zu löschen, sodass Sie Cloud-Ressourcen für die öffentlichen und privaten Subnetze einfach über Availability Zones hinweg verwalten können.
Systems Manager zentralisiert operative Daten aus mehreren AWS-Services in einem Hub und automatisiert Aufgaben über Ihre verschiedene Ressourcen in AWS hinweg. Er bietet Betriebsverwaltung zur Überwachung von Zustand und Leistung, Anwendungsverwaltung zur Rationalisierung betrieblicher Arbeitsabläufe, Änderungsverwaltung zur Vereinfachung betrieblicher Änderungen an der Anwendungskonfiguration und Knotenverwaltung zur Beschleunigung der Fehlerbehebung und Automatisierung von Patches.
-
SicherheitWhitepaper zur Sicherheit lesen
Secrets Manager verschlüsselt Secrets sicher und prüft sie zentral in Kombination mit fein abgestimmten AWS Identity and Access Management (IAM)- und ressourcenbasierten Richtlinien. Dies schützt den Zugriff auf Ihre Anwendungen, Services und IT-Ressourcen und ermöglicht es Ihnen, gesetzliche und Compliance-Anforderungen in Bezug auf Datensicherheit und Datenschutz zu erfüllen. Für zusätzliche Sicherheit aktivieren Sie MFA auf RD-Gateway-Instances.
Das private Subnetz in Amazon VPC enthält eine Sicherheitsgruppe für die Instances, um den Zugriff auf die erforderlichen Ports zu ermöglichen. Öffentliche Subnetze enthalten RD-Gateway-Instances für den sicheren Fernzugriff auf Instances in den privaten Subnetzen. Das öffentliche Subnetz hat eine direkte Route zu einem Internet-Gateway, das den Zugang zum öffentlichen Internet ermöglicht. Das private Subnetz hat keine direkte Route zu einem Internet-Gateway und benötigt ein NAT-Gateway, um auf das öffentliche Internet zuzugreifen.
-
ZuverlässigkeitWhitepaper zur Zuverlässigkeit lesen
Network Load Balancer kann Millionen von Anfragen pro Sekunde verarbeiten und gleichzeitig extrem niedrige Latenzzeiten einhalten. Er ist außerdem ist für die Verarbeitung plötzlicher Datenverkehrsspitzen optimiert und verwendet hierzu eine einzige statische IP-Adresse pro Availability Zone. Network Load Balancer arbeitet auf Verbindungsebene (Level 4), sodass Sie sowohl den TCP- als auch den UDP-Datenverkehr ausgleichen und Verbindungen zu Zielen wie Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Microservices und Containern weiterleiten können.
-
Leistung und EffizienzWhitepaper zur Leistung und Effizienz lesen
Amazon EC2 Auto Scaling hilft Ihnen, die richtige Anzahl von EC2-Instances zur Verfügung zu haben, um die Last Ihrer Anwendung zu bewältigen. Sie erstellen Sammlungen von EC2-Instances, die als Auto-Scaling-Gruppen bezeichnet werden. Amazon EC2 Auto Scaling stellt sicher, dass Ihre Gruppe immer über die Anzahl von Instances verfügt, die Sie für Ihre gewünschte Kapazität angegeben haben. Wenn Sie Skalierungsrichtlinien angeben, kann Amazon EC2 Auto Scaling bei Bedarf Instances starten oder beenden, wenn Ihre Anwendungslast steigt oder sinkt.
-
KostenoptimierungWhitepaper zur Kostenoptimierung lesen
Amazon EC2 Auto Scaling optimiert die Workload-Leistung und die Kosten, indem es Kaufoptionen und Instance-Typen kombiniert. Mit diesem Service können Sie Instances über Kaufoptionen, Availability Zones und Instance-Familien hinweg in einer einzigen Anwendung bereitstellen und automatisch skalieren und damit Skalierung, Leistung und Kosten optimieren. Sie können Amazon-EC2-Spot-Instances mit On-Demand- und Reserved Instances in eine einzelne Auto-Scaling-Gruppe aufnehmen, um bis zu 90 Prozent an Datenverarbeitungskosten zu sparen.
-
NachhaltigkeitWhitepaper zur Nachhaltigkeit lesen
Auf der Grundlage der Elastizität des Workload-Datenverkehrs skalieren Amazon EC2 Auto Scaling und Network Load Balancer zusammen automatisch auf und ab. Eine EventBridge-Ressource entfernt außer Betrieb genommene Instances aus der Active-Directory-Domain. Diese Architektur fügt automatisch Instances hinzu und entfernt sie, wodurch die Auswirkungen der Workloads auf die Umgebung effektiv optimiert werden.
Implementierungsressourcen
Es wird eine detaillierte Anleitung zum Experimentieren und zur Verwendung in Ihrem AWS-Konto bereitgestellt. Jede Phase der Erstellung der Anleitung, einschließlich Bereitstellung, Verwendung und Bereinigung, wird untersucht, um sie für die Bereitstellung vorzubereiten.
Der Beispielcode dient als Ausgangspunkt. Er ist branchenerprobt, präskriptiv, aber nicht endgültig, und ein Blick unter die Motorhaube, der Ihnen den Einstieg erleichtert.
Ähnliche Inhalte
CloudFormation Remote Desktop Gateway
Remote Desktop Gateway in AWS
Haftungsausschluss
Der Beispielcode, die Softwarebibliotheken, die Befehlszeilentools, die Machbarkeitsnachweise, die Vorlagen oder andere zugehörige Technologien (einschließlich derjenigen, die von unseren Mitarbeitern bereitgestellt werden) werden Ihnen als AWS-Inhalte im Rahmen der AWS-Kundenvereinbarung oder der entsprechenden schriftlichen Vereinbarung zwischen Ihnen und AWS (je nachdem, was zutrifft) zur Verfügung gestellt. Sie sollten diese AWS-Inhalte nicht in Ihren Produktionskonten oder für Produktions- oder andere kritische Daten verwenden. Sie sind verantwortlich für das Testen, Sichern und Optimieren des AWS-Inhalts, z. B. des Beispielcodes, für die Verwendung in der Produktion auf der Grundlage Ihrer spezifischen Qualitätskontrollverfahren und -standards. Bei der Bereitstellung von AWS-Inhalten können AWS-Gebühren für die Erstellung oder Nutzung von kostenpflichtigen AWS-Ressourcen anfallen, z. B. für den Betrieb von Amazon-EC2-Instances oder die Nutzung von Amazon-S3-Speicher.
Verweise auf Services oder Organisationen von Drittanbietern in diesen Leitlinien bedeuten nicht, dass Amazon oder AWS eine Billigung, Förderung oder Zugehörigkeit zwischen Amazon oder AWS und dem Drittanbieter darstellt. Die Beratung durch AWS ist ein technischer Ausgangspunkt, und Sie können Ihre Integration mit Services von Drittanbietern anpassen, wenn Sie die Architektur bereitstellen.