O blog da AWS
Migrando do Azure Active Directory para o AWS Managed Microsoft AD – Parte 1
Por: Caio Ribeiro César, Principal Microsoft Specialist Solutions Architect, LATAM
O AWS Directory Service permite que você execute o Microsoft Active Directory (AD) como um serviço gerenciado. O AWS Directory Service para Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, é habilitado pelo Windows Server 2012 R2. Quando você seleciona e inicia esse tipo de diretório, ele é criado como um par altamente disponível de controladores de domínio conectados à sua nuvem privada virtual (VPC). Os controladores de domínio são executados em diferentes zonas de disponibilidade em uma região de sua escolha, além de possuir a funcionalidade de multi-região. O monitoramento e a recuperação de host, a replicação de dados, os snapshots e as atualizações de software são configurados e automaticamente gerenciados pela AWS.
Neste Blog Post, iremos discutir como migrar do Azure Active Directory para o AWS Managed Microsoft AD, em diferentes cenários. Separaremos as postagens em 3 partes:
- Parte 1) Conectividade (você está aqui ?).
- Parte 2) Utilizando o Azure AD (Azure Active Directory) quando o ambiente possui integração com um Active Directory Domain Services (AD DS), utilizando a ferramenta de Azure AD Connect.
- Parte 3) Utilizando o Azure AD DS (Azure Active Directory Domain Services), que fornece o serviço de domínio gerenciado, integrando com o Azure AD.
Parte 1) Conectividade para ambos os cenários.
Antes de iniciarmos a migração de objetos, será necessário estabelecer conectividade entre os ambientes (este passo é idêntico para ambos os cenários). Em outras palavras, o ambiente Azure e a AWS precisam de alguma forma de comunicação. Criaremos então uma VPN entre uma Amazon Virtual Private Cloud (VPC) e Azure Virtual Network (VNET).
Se você já possui uma comunicação entre as nuvens AWS e Azure, avance diretamente para os cenários de migração. Primeiros passos:
a. Crie um novo resource group no Azure, ou utilize um já previamente existente.
b. Crie uma Virtual Network (VNET) ou utilize uma já previamente existente (esta VNET deve possuir 2 Subnets, uma para o AD DS e uma para o Virtual Network Gateway). No momento da criação do Virtual Network Gateway, ele irá criar sua própria subnet, então iremos criar apenas uma nesse passo.
c. Crie um Virtual Network Gateway, que será o endpoint de VPN do lado do Azure para a sua VNET. Ele é necessário para a VPN entre Azure e AWS.
Copie o endereço de subnet address range deste Virtual Network Gateway, ele será utilizado no futuro.
Mais informações a respeito de SKU (stock-keeping unit) para este serviço: https://docs.microsoft.com/pt-br/azure/vpn-gateway/vpn-gateway-about-vpngateways
Após a criação, copie a informação de IP Público deste Virtual Gateway clicando no recurso e selecionando a opção Properties, pois iremos utilizar na configuração do lado da AWS.
d. Agora, na console AWS, criaremos uma Amazon VPC com pelo menos duas subnets privadas, pois mais adiante precisaremos para criar o AWS Managed Microsoft AD Multi-AZ. Você pode criar uma nova Amazon VPC seguindo o tutorial da documentação ou utilizar uma já existente.
Importante: os endereços IPs devem ser diferentes do ambiente Azure (CIDR) e o Internet Gateway deve estar especificado na tabela de roteamento.
e. Para um passo a passo detalhado da criação da Amazon VPC Internet Gateway (IGW), acesse a documentação através deste link.
f. No nosso cenário, o servidor que irá executar a ferramenta de migração do Active Directory (ADMT – Active Directory Migration Tool) precisa de conectividade com a AWS. Caso você utilize esta VPN para outras finalidades, para as subnets públicas, crie uma rota para o Internet Gateway com 0.0.0.0/0 ou utilize um NAT Gateway que direcione as rotas para o seu IGW.
g. Agora utilizaremos as informações coletadas no passo C para a criação de um Customer Gateway, e posteriormente um Virtual Private Gateway.
Após criar o Customer Gateway, seu estado deve ser “available”.
h. Para o Virtual Private Gateway, adicionaremos uma rota para o CIDR do Azure.
Após criar o Virtual Private Gateway, seu estado deve ser “detached”.
i. Associe seu Virtual Private Gateway à Amazon VPC criada anteriormente.
Após associar, o status do Virtual Private Gateway deve ser “attached”.
j. Na tabela de rotas das subnets privadas, crie a rota para o Virtual Private Gateway com o CIDR da VNET do Azure.
k. Agora criaremos a conexão VPN S2S (Site-to-Site VPN Connections), adicionando a VNET do Azure ao nosso prefixo.
l. Informe o CIDR da VNET do Azure.
Aguarde até que a VPN esteja com estado “available”.
m. Selecione a VPN e clique em download configuration (Generic) para fazer o download do arquivo de configuração para as informações do Virtual Private Gateway e Pre-Shared Key, que serão adicionadas nos próximos passos.
n. Ao fazer download, anote o IP do Virtual Private Gateway da sessão Outside IP Addresses.
Exemplo de arquivo com configurações de VPN.
Sessão Outside IP Addresses.
Sessão #1: Internet Key Exchange Configuration (Pre-Shared Key):
o. De volta ao portal do Azure, criaremos então um “Local Network Gateway” com as informações obtidas no passo N.
p. Ainda no Azure, no Virtual Network Gateway, selecione a opção “Connections” e então clique em “Add”. Preencha as informações com os dados coletados no ambiente AWS ao fazer o download das configurações de VPN no passo N.
Após alguns minutos da criação, o status deve estar listado como “Connected”.
q. Após finalizar os passos no lado do Azure, volte para o console da AWS e confira se o status do tunnel está como “UP”.
r. Para testar a comunicação entre as redes, basta executar uma Virtual Machine no Azure, uma instância EC2 na AWS e efetuar um teste de rede em uma porta que esteja liberada no firewall. Lembre-se de configurar as regras inbound no Security Group da Amazon VPC que está associado à sua instância Amazon EC2 de teste do lado da AWS. O mesmo se aplica para as regras de firewall do lado do Azure, para o inbound da instância que você utilizará para testar. No nosso exemplo, liberamos portas TCP e UDP para o CIDR da VNET do Azure; e nos Domain Controllers do Azure, liberei portas TCP e UDP para o CIDR da VPC da AWS.
AWS Inbound:
AWS Outbound:
Azure:
Observação: Uma vez que a arquitetura AWS está em um ambiente Multi-AZ, temos dois túneis fornecidos pelo IPsec. Estes túneis irão auxiliar em fatores importantes de alta disponibilidade, porém existem outros fatores que também devem ser considerados (Azure VPN, Customer Gateway).
Agora estamos prontos para a Parte 2, “Utilizando o Azure AD (Azure Active Directory) quando o ambiente possui integração com um Active Directory Domain Services (AD), utilizando a ferramenta do Azure AD Connect”.
Para acessar a parte 2, clique aqui
Sobre o autor
Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 14 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.
Revisor
Bruno Lopes é Senior Technical Trainer na AWS Brasil.
Roberto Haramita é Senior Technical Account Manager na AWS Brasil.