本解決方案將 Remote Desktop Gateway (遠端桌面閘道,RD Gateway) 部署到 Amazon Web Services (AWS) 雲端。RD Gateway 透過 HTTPS 使用遠端桌面通訊協定 (RDP),在遠端使用者和執行 Microsoft Windows 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間建立加密連線,而無須虛擬私有網路 (VPN)。如此不但可減少對以 Windows 為基礎的執行個體的攻擊,同時能為管理員提供遠端管理解決方案。
您可使用含解決方案的 AWS CloudFormation 範本,將完整設定的 RD Gateway 基礎設施部署到 AWS 帳戶中。您可選擇將 RD Gateway 部署到 AWS 帳戶中新的虛擬私有雲端 (VPC),或部署到現有的 VPC,無論是獨立或加入網域的方式均可。您也可將 AWS CloudFormation 範本用為自訂實作的起點。
-
您將建置的項目
-
部署方式
-
成本和授權
-
您將建置的項目
-
使用此解決方案在 AWS 上設定以下 RD Gateway 環境:
- 跨越兩個可用區域的高度可用的架構。*
- 根據 AWS 最佳實務,藉由公用和私有子網路設定的 VPC,能在 AWS 上為您提供自己的虛擬網路。*
- 允許網際網路存取的網際網路閘道。RD Gateway 執行緒個體會使用此閘道傳送和接收流量。*
- 受管網路位址轉譯 (NAT) 閘道,允許對私有子網路中的資源進行對外網際網路存取。
- 在公用子網路中,一個 Auto Scaling 群組中最多有 4 個 RD Gateway 執行緒個體,以提供私有子網路執行緒個體的安全遠端存取。每個執行緒個體獲得一個彈性 IP 地址的指派,以便直接從網際網路直接存取。
- 網路負載平衡器可提供面向 RD 閘道執行個體的 RDP 存取。
- Windows 執行個體的安全群組將託管 RD Gateway 角色,並帶有從管理員 IP 地址允許 TCP 連接埠 3389 的輸入規則。部署後,您須修改安全群組輸入規則,以改為透過 TCP 連接埠 443 設定管理存取。
- 私有子網路中,用於執行緒個體的空白應用程式層級。若需要更多層級,您可以專屬 CIDR 範圍來建立其他私有子網路。
- AWS Secrets Manager 可安全儲存用於存取 RD 閘道執行個體的登入資料。
- AWS Systems Manager 可自動部署 RD Gateway Auto Scaling 群組。
解決方案也安裝自我簽署的 SSL 憑證,並設定 RD CAP 和 RD RAP 政策。
* 可將解決方案部署至現有 VPC 的範本,會略過標有星號的任務,並提示您輸入現有的 VPC 組態。
-
部署方式
-
要在 AWS 上建立 RD Gateway 環境,請依照部署指南中的說明操作。部署程序包括下列步驟:
- 如果您尚未擁有 AWS 帳戶,請到 https://aws.amazon.com 註冊。
- 啟動解決方案。每個部署的時間約 30 分鐘。下面選項可供您選擇:
- 執行安裝根憑證和設定連線等部署後任務。
自訂選項包括 RD Gateway 執行個體類型、部署的執行個體數量和 CIDR 區塊大小。
Amazon 可能會與 AWS 合作夥伴 (與 AWS 在此解決方案上協作的合作夥伴) 分享使用者部署資訊。
-
成本和授權
-
本解決方案會啟動 Microsoft Windows Server 2012 R2 的 Amazon Machine Image (AMI),並包含 Windows Server 作業系統的授權。AMI 會以最新的服務套件定期更新,因此您不須安裝更新。Windows Server AMI 不需要用戶端存取授權 (CAL),並且包括兩項 Microsoft 遠端桌面服務授權。如需詳細資訊,請參閱 AWS 上的 Microsoft 授權。
執行此解決方案時,您須自行支付使用 AWS 服務和任何第三方授權的相關費用。使用此解決方案無須額外付費。
此解決方案包括您能自訂的組態參數。其中某些設定 (例如執行個體類型) 會影響到部署的成本。若要估算成本,請參閱您所使用每項 AWS 服務的定價頁面。定價可能會隨時變更。
提示:在部署解決方案後,建立 AWS Cost and Usage Report 以追蹤相關成本。這些報告會向您帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體提供各個帳單指標。它們會根據每個月的用量提供成本估算,並在月底彙總資料。如需詳細資訊,請參閱 什麼是 AWS Cost and Usage Report?