Configuration d’une passerelle de bureau à distance pour les charges de travail des serveurs Windows
Ce guide explique comment déployer Remote Desktop Gateway sur le cloud AWS. RD Gateway utilise le Remote Desktop Protocol (RDP) sur HTTPS pour établir une connexion chiffrée entre les utilisateurs à distance et les instances Amazon Elastic Compute Cloud (Amazon EC2) qui exécutent Microsoft Windows sans réseau privé virtuel (VPN). Cela vous aide à réduire les attaques contre vos instances basées sur Windows tout en fournissant une solution de gestion à distance pour les administrateurs. Vous pouvez choisir de déployer RD Gateway dans un nouveau cloud privé virtuel (VPC) de votre compte AWS ou dans un VPC existant, autonome ou associé à un domaine.
Veuillez noter : [Clause de non-responsabilité]
Diagramme d’architecture
[Description du schéma d’architecture]
Étape 1
Utilisez le modèle AWS CloudFormation pour déployer RD Gateway dans un Amazon Virtual Private Cloud (VPC) Amazon nouveau ou existant, couvrant deux zones de disponibilité avec des sous-réseaux publics et privés. Utilisez le modèle CloudFormation distinct pour déployer des instances Windows Active Directory jointes à un domaine (nécessitant un VPC existant) ou non jointes à un domaine dans les sous-réseaux privés.
Étape 2
AWS Secrets Manager stocke en toute sécurité les informations d’identification (telles que le nom d’utilisateur et le mot de passe) utilisées pour accéder aux instances RD Gateway. Remarque : nous vous recommandons vivement d’activer l’authentification multifactorielle (MFA) sur les instances RD Gateway pour plus de sécurité.
Étape 3
AWS Systems Manager automatise le déploiement du groupe Amazon EC2 Auto Scaling couvrant les deux sous-réseaux publics en récupérant les valeurs de nom d’utilisateur et de mot de passe depuis Secrets Manager et en configurant les instances RD Gateway.
Étape 4
Chaque sous-réseau public comporte jusqu’à quatre instances de RD Gateway dans un groupe Auto Scaling pour fournir un accès à distance sécurisé aux instances dans les sous-réseaux privés. Chaque instance de RD Gateway se voit attribuer une adresse IP Elastic afin d’être accessible directement depuis Internet.
Étape 5
Un niveau d’application vide pour les instances des sous-réseaux privés, y compris un groupe de sécurité pour les instances, permet d’accéder aux ports de RD Gateway nécessaires.
Étape 6
Un Network Load Balancer permet d’accéder à distance au groupe Auto Scaling de RD Gateway.
Étape 7
Une passerelle Internet permet d’accéder à Internet. Cette passerelle est utilisée par les instances de RD Gateway visant à envoyer et recevoir du trafic.
Étape 8
Des passerelles de traduction d’adresses réseau (NAT) gérées pour autoriser un accès Internet sortant pour les ressources des sous-réseaux privés.
Étape 9
Une ressource Amazon EventBridge supprime les instances mises hors service du domaine Active Directory.
Étape 1
Utilisez le modèle AWS CloudFormation pour déployer RD Gateway dans un Amazon Virtual Private Cloud (VPC) Amazon nouveau ou existant, couvrant deux zones de disponibilité avec des sous-réseaux publics et privés. Utilisez le modèle CloudFormation distinct pour déployer des instances Windows Active Directory jointes à un domaine (nécessitant un VPC existant) ou non jointes à un domaine dans les sous-réseaux privés.
Étape 2
AWS Secrets Manager stocke en toute sécurité les informations d’identification (telles que le nom d’utilisateur et le mot de passe) utilisées pour accéder aux instances RD Gateway. Remarque : nous vous recommandons vivement d’activer l’authentification multifactorielle (MFA) sur les instances RD Gateway pour plus de sécurité.
Étape 3
AWS Systems Manager automatise le déploiement du groupe Amazon EC2 Auto Scaling couvrant les deux sous-réseaux publics en récupérant les valeurs de nom d’utilisateur et de mot de passe depuis Secrets Manager et en configurant les instances RD Gateway.
Étape 4
Chaque sous-réseau public comporte jusqu’à quatre instances de RD Gateway dans un groupe Auto Scaling pour fournir un accès à distance sécurisé aux instances dans les sous-réseaux privés. Chaque instance de RD Gateway se voit attribuer une adresse IP Elastic afin d’être accessible directement depuis Internet.
Étape 5
Un niveau d’application vide pour les instances des sous-réseaux privés, y compris un groupe de sécurité pour les instances, permet d’accéder aux ports de RD Gateway nécessaires.
Étape 6
Un Network Load Balancer permet d’accéder à distance au groupe Auto Scaling de RD Gateway.
Étape 7
Une passerelle Internet permet d’accéder à Internet. Cette passerelle est utilisée par les instances de RD Gateway visant à envoyer et recevoir du trafic.
Étape 8
Des passerelles de traduction d’adresses réseau (NAT) gérées pour autoriser un accès Internet sortant pour les ressources des sous-réseaux privés.
Étape 9
Une ressource Amazon EventBridge supprime les instances mises hors service du domaine Active Directory.
Piliers AWS Well-Architected
Le cadre AWS Well-Architected vous permet de comprendre les avantages et les inconvénients des décisions que vous prenez lors de la création de systèmes dans le cloud. Les six piliers du cadre vous permettent d'apprendre les bonnes pratiques architecturales pour concevoir et exploiter des systèmes fiables, sécurisés, efficaces, rentables et durables. Grâce à l'outil AWS Well-Architected Tool, disponible gratuitement dans la console de gestion AWS, vous pouvez examiner vos charges de travail par rapport à ces bonnes pratiques en répondant à une série de questions pour chaque pilier.
Le diagramme d'architecture ci-dessus est un exemple de solution créée en tenant compte des bonnes pratiques Well-Architected. Pour être totalement conforme à Well-Architected, vous devez suivre autant de bonnes pratiques Well-Architected que possible.
-
Excellence opérationnelleLire le livre blanc d’excellence opérationnelle
Les modèles CloudFormation décrivent les ressources souhaitées et leurs dépendances dans une seule pile et vous permettent de créer, de mettre à jour et de supprimer une pile entière en tant qu’unité unique, ce qui vous permet de gérer facilement les ressources cloud pour les sous-réseaux publics et privés dans les zones de disponibilité.
Systems Manager centralise les données opérationnelles dans une plateforme de plusieurs services AWS et automatise les tâches dans vos ressources AWS. Il propose une gestion des opérations pour surveiller l’état et les performances, une gestion des applications pour rationaliser les flux de travail opérationnels, une gestion des modifications pour simplifier les modifications opérationnelles apportées à la configuration des applications et une gestion des nœuds pour accélérer le dépannage et automatiser l’application des correctifs.
-
SécuritéLire le livre blanc sur la sécurité
Secrets Manager chiffre en toute sécurité et vérifie de manière centralisée les secrets en combinaison avec des politiques précises d’AWS Identity and Access Management (IAM) et des politiques basées sur les ressources. Cela protège l’accès à vos applications, services et ressources informatiques et vous permet de répondre aux exigences réglementaires et de conformité en matière de sécurité et de confidentialité des données. Pour plus de sécurité, activez l’authentification multifactorielle sur les instances RD Gateway.
Le sous-réseau privé d’Amazon VPC contient un groupe de sécurité pour les instances afin de permettre l’accès aux ports nécessaires. Les sous-réseaux publics contiennent des instances RD Gateway pour un accès distant sécurisé aux instances des sous-réseaux privés. Le sous-réseau public possède une route directe vers une passerelle Internet permettant d’accéder à l’Internet public ; le sous-réseau privé n’a aucune route directe vers une passerelle Internet et nécessite une passerelle NAT pour accéder à l’Internet public.
-
FiabilitéLire le livre blanc sur la fiabilité
Le Network Load Balancer peut traiter des millions de requêtes à la seconde tout en maintenant des latences extrêmement faibles. Il est également optimisé pour traiter le trafic soudain et volatil tout en utilisant une seule adresse IP statique par zone de disponibilité. Le Network Load Balancer fonctionne au niveau de la connexion (niveau 4) afin que vous puissiez équilibrer la charge du trafic TCP et UDP, en acheminant les connexions vers des cibles, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les microservices et les conteneurs.
-
Efficacité des performancesLire le livre blanc sur l’efficacité des performances
Amazon EC2 Auto Scaling permet de vous assurer que vous disposez du bon nombre d’instances EC2 disponibles pour gérer la charge de l’application. Vous créez des collections d’instances EC2 appelées groupes Auto Scaling. Amazon EC2 Auto Scaling veille à ce que votre groupe dispose toujours du nombre d’instances que vous avez spécifié pour atteindre la capacité souhaitée. Si vous spécifiez des politiques de dimensionnement, Amazon EC2 Auto Scaling peut lancer ou arrêter des instances à la demande lorsque la charge de votre application augmente ou diminue.
-
Optimisation des coûtsLire le livre blanc sur l’optimisation des coûts
Amazon EC2 Auto Scaling optimise les performances et le coût des charges de travail en combinant les options d’achat et les types d’instance. Ce service vous permet d’allouer et de dimensionner automatiquement des instances sur des options d’achat, des zones de disponibilité et des familles d’instances dans une seule application afin d’optimiser le dimensionnement, les performances et les coûts. Vous pouvez inclure des instances Amazon EC2 Spot avec des instances À la demande et Réservées dans un seul groupe Auto Scaling pour économiser jusqu’à 90 % sur le calcul.
-
DurabilitéLire le livre blanc sur le développement durable
Ensemble, Amazon EC2 Auto Scaling et Network Load Balancer s’adaptent automatiquement en entrée et en sortie en fonction de l’élasticité du trafic de charge de travail. Une ressource EventBridge supprime les instances mises hors service du domaine Active Directory. Cette architecture ajoute et supprime automatiquement des instances, optimisant ainsi efficacement l’impact environnemental de la charge de travail.
Ressources d'implémentation
Un guide détaillé d'expérimentation et d'utilisation est fourni dans votre compte AWS. Chaque étape de la construction du guide, y compris le déploiement, l'utilisation et le nettoyage, est examinée pour le préparer au déploiement.
L'exemple de code est un point de départ. Il s'agit d'un document validé par l'industrie, prescriptif mais non définitif, et d'un aperçu pour vous aider à commencer.
Contenu connexe
CloudFormation Remote Desktop Gateway
Remote Desktop Gateway on AWS
Avis de non-responsabilité
Les exemples de code, les bibliothèques de logiciels, les outils de ligne de commande, les preuves de concept, les modèles ou toute autre technologie connexe (y compris tout ce qui précède qui est fourni par notre personnel) vous sont fournis en tant que contenu AWS en vertu du contrat client AWS ou de l'accord écrit pertinent entre vous et AWS (selon le cas). Vous ne devez pas utiliser ce contenu AWS dans vos comptes de production, ni sur des données de production ou autres données critiques. Vous êtes responsable des tests, de la sécurisation et de l'optimisation du contenu AWS, tel que les exemples de code, comme il convient pour une utilisation en production, en fonction de vos pratiques et normes de contrôle de qualité spécifiques. Le déploiement de contenu AWS peut entraîner des frais AWS pour la création ou l'utilisation de ressources payantes AWS, telles que l'exécution d'instances Amazon EC2 ou l'utilisation du stockage Amazon S3.
Les références à des services ou organisations tiers dans ce guide n'impliquent pas une approbation, un parrainage ou une affiliation entre Amazon ou AWS et le tiers. Les conseils fournis par AWS constituent un point de départ technique, et vous pouvez personnaliser votre intégration avec des services tiers lorsque vous déployez l'architecture.