O blog da AWS
Replicação multi-regional para AWS Managed Microsoft Active Directory
Por Martin Beeby, Principal Advocate na AWS
Caio Ribeiro César, Arquiteto de Soluções Especialista em Microsoft
Nossos clientes criam aplicativos que precisam atender a usuários que residem em todos os lugares do mundo. Ao ouvir nossos clientes, eles nos disseram que, embora se sentissem à vontade para criar aplicativos compatíveis com Active Directory (AD) na AWS, fazê-los trabalhar globalmente era um desafio.
Tivemos feedback de que o AWS Managed AD economizou tempo e dinheiro e forneceu todos os recursos de que as empresas precisam para executar seus aplicativos compatíveis com AD. No entanto, se estes clientes quisessem se tornar globais, eles precisavam criar diretórios AWS Managed Microsoft AD independentes por região. Ou seja, era necessário criar uma solução para sincronizar os dados em cada região. Esse nível de sobrecarga de gerenciamento é significativo, complexo e caro.
Neste blog post, vamos falar sobre um recurso que permite aos clientes estender um único Microsoft AD gerenciado pela AWS em várias regiões da AWS. Este recurso, chamado de replicação multi-regional, configura automaticamente a conectividade de rede entre regiões, instala controladores de domínio e replica todos os dados do Active Directory em várias regiões, garantindo que as cargas de trabalho do Windows e Linux residentes nessas regiões possam se conectar e usar o AWS Managed Microsoft AD com baixa latência e alto desempenho, fornecendo resiliência multi-regional.
Agora podemos sincronizar todos os dados do diretório, incluindo usuários, grupos, objetos de política de grupo (GPOs) e schema em várias regiões. A AWS lida com atualizações de software automatizadas, monitoramento, recuperação e segurança da infraestrutura AD subjacente em todas as regiões, permitindo que os clientes se concentrem na construção de seus aplicativos. Integrando-se com Amazon CloudWatch Logs e Amazon Simple Notification Service (SNS), o AWS Managed Microsoft AD torna mais fácil para os clientes monitorar a integridade do diretório e os logs de segurança globais de uma maneira centralizada.
Como funciona? Primeiro, você não precisa criar um novo diretório para usar a replicação multi-regional, ela funcionará em todos os seus diretórios existentes – desde que sejam o modelo enterprise.
No exemplo abaixo, criamos um novo diretório. Selecionamos a Enterprise Edition (edição que oferece suporte à replicação multi-regional).
Demos um nome e uma descrição ao diretório e, em seguida, definimos uma senha de administrador. Clicamos em Avançar, o que nos leva à configuração de rede.
Selecionamos uma Amazon Virtual Private Cloud (VPC) e, em seguida, escolhemos duas sub-redes que estão em zonas de disponibilidade separadas. O AWS Managed Microsoft AD irá implementar dois controladores de domínio por região e os colocar em sub-redes separadas que estão em zonas de disponibilidade diferentes. Isso é feito por motivos de resiliência para que o diretório ainda possa operar mesmo se uma das zonas de disponibilidade apresentar problemas.
Assim que clicamos em Avançar, clicamos em “Criar diretório”.
O diretório leva de 20 a 45 minutos para ser criado. Agora há uma coluna na página de listagem de diretórios que diz “Multi-Region”. Como podemos ver abaixo, este diretório recém-criado não possui a funcionalidade de multi-região habilitada.
Depois de criar o diretório, clicamos no ID e analisamos os detalhes. Agora temos uma nova seção chamada “Multi-Region Replication” e também podemos ver um botão chamado “Add region”. Se clicarmos nesta opção, podemos configurar uma região adicional.
Selecionamos a região que desejamos adicionar ao nosso diretório, neste exemplo US West (Oregon) us-west-2, selecionamos uma VPC nessa região e duas sub-redes que devem residir em zonas de disponibilidade separadas. Finalmente, clicamos no botão de Adicionar para adicionar esta nova região ao nosso diretório.
Agora, de volta à página de detalhes do diretório, podemos listar duas regiões: uma em US East (N. Virginia) e uma em US West (Oregon).
Custos
Você paga por hora pelos Domain Controllers em cada região, mais a transferência de dados entre regiões (DTO). É importante entender que esse recurso criará dois controladores de domínio em cada região que você adicionar e, portanto, os aplicativos que residem nessas regiões agora podem se comunicar com um diretório local, o que reduz os custos, minimizando a necessidade de transferência de dados e melhora questões de latência para estas regiões. Para saber mais, visite a página de preços.
Este novo recurso pode ser usado e está disponível para diretórios novos e existentes que utilizam a versão Enterprise Edition em qualquer uma das seguintes regiões: Leste dos EUA (N. Virginia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia), US West (Oregon), AWS GovCloud (US-East), US West (Oregon), Asia Pacific (Mumbai), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Canadá (Central), Europa (Frankfurt), Europa (Irlanda), Europa (Londres), Europa (Paris), Europa (Estocolmo) e América do Sul (São Paulo).
A replicação multi-regional oferece suporte a vários sites do Active Directory (um site AD por região). Quando uma nova região é adicionada, ela recebe o mesmo nome da região – por exemplo, us-east-1. Também podemos renomear esta configuração mais tarde usando ferramentas nativas do Active Directory (Sites and Services).
No caso de todos os controladores de domínio em uma região ficarem inativos, o AWS Managed Microsoft AD recupera os controladores de domínio e replica os dados do diretório automaticamente. Enquanto isso, os controladores de domínio em outras regiões continuam funcionando.
Agora vamos explicar um pouco mais a fundo como habilitar o serviço e suas funcionalidades.
Este artigo foi traduzido do Blog da AWS em Inglês.
Sobre os autores
Martin é um Principal Advocate para Amazon Web Services e viaja pelo mundo apresentando os recursos transformacionais da AWS. Em seu tempo na AWS, Martin falou em mais de 200 eventos e encontros, bem como produziu, blogs, tutoriais e broadcasts. Martin desenvolve aplicativos desde os 16 anos e, nos últimos 20 anos, trabalhou em projetos com muitas empresas e marcas importantes. Seu foco principal é em aplicativos .NET e trabalha como desenvolvedor C # e VB desde 2001.
Caio Ribeiro César atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 14 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.