Configurar um Gateway de Desktop Remoto para workloads do Windows Server
Esta orientação demonstra como implantar o Gateway de Desktop Remoto na Nuvem AWS. O Gateway de Desktop Remoto usa o Remote Desktop Protocol (RDP) sobre HTTPS para estabelecer uma conexão criptografada entre usuários remotos e instâncias do Amazon Elastic Compute Cloud (Amazon EC2) executando o Microsoft Windows, sem necessidade de configurar uma rede privada virtual. Isso ajuda a reduzir os ataques em suas instâncias baseadas no Windows enquanto oferece uma solução de administração remota para os administradores. É possível escolher implantar um Gateway de Desktop Remoto em uma nuvem privada virtual (VPC) em sua conta da AWS ou em uma VPC existente, seja ela autônoma ou associado a um domínio.
Observação: [Aviso legal]
Diagrama de arquitetura
[Descrição do diagrama de arquitetura]
Etapa 1
Use o modelo do AWS CloudFormation para implantar o Gateway de Desktop Remoto em uma Amazon Virtual Private Cloud (Amazon VPC) nova ou existente que abranja duas zonas de disponibilidade com sub-redes públicas e privadas. Use o modelo separado do CloudFormation para implantar instâncias do Windows unidas ao domínio do Active Directory (requer uma VPC existente) ou não unidas ao domínio nas sub-redes privadas.
Etapa 2
O AWS Secrets Manager armazena com segurança as credenciais (como nome de usuário e senha) usadas para acessar instâncias do Gateway de Desktop Remoto. Observação: é altamente recomendável ativar a autenticação multifator (MFA) em instâncias do Gateway de Desktop Remoto para maior segurança.
Etapa 3
O AWS Systems Manager automatiza a implantação do grupo do Amazon EC2 Auto Scaling que abrange as duas sub-redes públicas, buscando valores de nome de usuário e senha do Secrets Manager e configurando instâncias do Gateway de Desktop Remoto.
Etapa 4
Cada sub-rede pública contém até quatro instâncias do Gateway de Desktop Remoto em um grupo do Auto Scaling para provisionar acesso remoto seguro para instâncias nas sub-redes privadas. Cada instância do Gateway de Desktop Remoto recebe um endereço IP elástico. Assim, ela pode ser acessada diretamente da Internet.
Etapa 5
Uma camada de aplicação vazia para instâncias nas sub-redes privadas, incluindo um grupo de segurança para as instâncias, permite acesso às portas necessárias do Gateway de Desktop Remoto.
Etapa 6
Um Network Load Balancer permite acesso remoto ao grupo do Auto Scaling do Gateway de Desktop Remoto.
Etapa 7
Um gateway da Internet permite o acesso à Internet. Esse gateway é usado pelas instâncias do Gateway de Desktop Remoto para enviar e receber tráfego.
Etapa 8
Gateways de conversão de endereços de rede (NAT) gerenciados permitem o acesso de saída à Internet para recursos nas sub-redes privadas.
Etapa 9
Um recurso do Amazon EventBridge remove instâncias desativadas do domínio do Active Directory.
Pilares do Well-Architected
O AWS Well-Architected Framework ajuda a entender as vantagens e as desvantagens das decisões tomadas durante a criação de sistemas na nuvem. Os seis pilares do Framework permitem que você aprenda as melhores práticas de arquitetura, a fim de projetar e operar sistemas confiáveis, seguros, eficientes, econômicos e sustentáveis. Com a Ferramenta AWS Well-Architected, disponível gratuitamente no Console de Gerenciamento da AWS, você pode avaliar suas workloads em relação às práticas recomendadas ao responder a uma série de questões para cada pilar.
O diagrama de arquitetura acima exemplifica a criação de uma solução pautada nas melhores práticas do Well-Architected. Para ser totalmente Well-Architected, é preciso respeitar a maior quantidade possível das melhores práticas desse framework.
-
Excelência operacional
Os modelos do CloudFormation descrevem os recursos desejados e suas dependências em uma única pilha e permitem criar, atualizar e excluir uma pilha inteira como uma única unidade, facilitando o gerenciamento de recursos de nuvem para sub-redes públicas e privadas em todas as zonas de disponibilidade.
O Systems Manager centraliza dados operacionais de vários serviços da AWS em um hub e automatiza tarefas em todos os recursos da AWS. Ele oferece gerenciamento de operações para monitoramento de integridade e performance, gerenciamento de aplicações para agilizar fluxos de trabalho operacionais, gerenciamento de alterações para simplificar as mudanças operacionais na configuração da aplicação e gerenciamento de nós para acelerar a solução de problemas e automatizar a aplicação de patches.
-
Segurança
O Secrets Manager criptografa com segurança e audita centralmente os segredos em combinação com políticas refinadas do AWS Identity and Access Management (IAM) e baseadas em recursos. Isso protege o acesso a suas aplicações, serviços e recursos de TI e permite que você atenda aos requisitos normativos e de conformidade para segurança e privacidade de dados. Para maior segurança, habilite a MFA nas instâncias do Gateway de Desktop Remoto.
A sub-rede privada no Amazon VPC contém um grupo de segurança para as instâncias para permitir o acesso às portas necessárias. As sub-redes públicas contêm instâncias do Gateway de Desktop Remoto para acesso remoto seguro às instâncias nas sub-redes privadas. A sub-rede pública tem uma rota direta para um gateway da Internet, permitindo o acesso à Internet pública; a sub-rede privada não tem rota direta para um gateway da Internet e requer um gateway NAT para acessar a Internet pública.
-
Confiabilidade
O Network Load Balancer é capaz de tratar milhões de solicitações por segundo e ainda assim manter latências ultrabaixas. Ele também é otimizado para gerenciar padrões de tráfego súbitos e voláteis usando um único endereço IP estático por zona de disponibilidade. O Network Load Balancer opera no nível de conexão (Nível 4) para que você possa balancear a carga do tráfego TCP e UDP roteando conexões para destinos, como instâncias, microsserviços e contêineres do Amazon Elastic Compute Cloud (Amazon EC2).
-
Eficiência de performance
O Amazon EC2 Auto Scaling ajuda a garantir que você tenha o número correto de instâncias do EC2 disponíveis para processar a carga dos aplicativos. Você cria coleções de instâncias do EC2 chamadas grupos do Auto Scaling. O Amazon EC2 Auto Scaling garante que seu grupo sempre tenha o número de instâncias que você especificou para atender à capacidade desejada. Se você especificar políticas de escalabilidade, o Amazon EC2 Auto Scaling poderá iniciar ou encerrar instâncias sob demanda à medida que a carga da aplicação aumentar ou diminuir.
-
Otimização de custos
O Amazon EC2 Auto Scaling otimiza a performance e os custos de workload combinando opções de compra e tipos de instâncias. Esse serviço permite provisionar e escalar automaticamente instâncias de diversas opções de compra, zonas de disponibilidade (AZs) e famílias de instâncias em uma única aplicação para otimizar escala, performance e custo. É possível incluir instâncias spot do Amazon EC2 com instâncias sob demanda e reservadas em um único grupo do Auto Scaling para economizar até 90% em computação.
-
Sustentabilidade
Juntos, o Amazon EC2 Auto Scaling e o Network Load Balancer aumentam e reduzem a escala horizontalmente com base na elasticidade do tráfego da workload. Um recurso do EventBridge remove instâncias desativadas do domínio do Active Directory. Essa arquitetura adiciona e remove instâncias automaticamente, otimizando efetivamente o impacto ambiental da workload.
Recursos de implementação
Com sua conta da AWS, um guia detalhado é fornecido para experimentação e uso. Cada etapa da criação das orientações, incluindo implantação, uso e limpeza, é examinada para prepará-las para a implantação.
O código de exemplo é um ponto de partida. Ele é validado para o setor, é prescritivo, mas não definitivo, e mostra o que há por trás de tudo para ajudar você a começar.
Conteúdo relacionado
Gateway de Desktop Remoto do CloudFormation
Gateway de Desktop Remoto na AWS
Aviso de isenção de responsabilidade
O código de exemplo, as bibliotecas de software, as ferramentas de linha de comando, as provas de conceito, os modelos ou outra tecnologia relacionada (incluindo qualquer uma das anteriores fornecidas por nossa equipe) são fornecidos a você como Conteúdo da AWS nos termos do Contrato de Cliente da AWS ou o contrato por escrito pertinente entre você e a AWS (o que for aplicável). Você não deve usar esse Conteúdo da AWS em suas contas de produção, na produção ou em outros dados essenciais. Você é responsável por testar, proteger e otimizar o Conteúdo da AWS, como código de exemplo, conforme apropriado para uso em nível de produção com base em suas práticas e padrões específicos de controle de qualidade. A implantação de Conteúdo da AWS pode gerar cobranças da AWS para criar ou usar recursos cobráveis, como executar instâncias do Amazon EC2 ou usar armazenamento do Amazon S3.
As referências a serviços ou organizações terceirizadas nesta orientação não implicam em endosso, patrocínio ou afiliação entre a Amazon ou a AWS e terceiros. A orientação da AWS é um ponto de partida técnico, e você pode personalizar sua integração com serviços de terceiros ao implantar a arquitetura.