為 Windows Server 工作負載設定遠端桌面閘道
本指引示範如何在 AWS 雲端部署遠端桌面閘道。RD Gateway 透過 HTTPS 使用遠端桌面通訊協定 (RDP),在遠端使用者和執行 Microsoft Windows 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間建立加密連線,而無須虛擬私有網路。如此不但可減少對以 Windows 為基礎的執行個體的攻擊,同時能為管理員提供遠端管理解決方案。您可選擇將 RD Gateway 部署到 AWS 帳戶中新的虛擬私有雲端 (VPC),或部署到現有的 VPC,無論是獨立或加入網域的方式均可。
請注意:[免責聲明]
架構圖
[架構圖說明]
步驟 1
使用 AWS CloudFormation 範本,將 RD Gateway 部署在跨兩個可用區域、且包含公有和私有子網路的全新或現有的 Amazon Virtual Private Cloud (Amazon VPC)。使用單獨 CloudFormation 範本,在私有子網路中部署已聯結 Active Directory 網域 (需要現有 VPC) 或聯結非網域的 Windows 執行個體。
步驟 2
AWS Secrets Manager 可安全地存放用於存取 RD Gateway 執行個體的憑證 (例如,使用者名稱和密碼)。 注意:強烈建議在 RD Gateway 執行個體上啟用多重要素驗證 (MFA),以獲得額外的安全性。
步驟 3
透過從 Secrets Manager 擷取使用者名稱和密碼值,並設定 RD Gateway 執行個體,AWS Systems Manager 可跨兩個公有子網路自動部署 Amazon EC2 Auto Scaling 群組。
步驟 4
在每個公有子網路中,一個 Auto Scaling 群組中最多有 4 個 RD Gateway 執行緒個體,以提供私有子網路執行緒個體的安全遠端存取。每個 RD Gateway 執行緒個體獲得一個彈性 IP 位址的指派,以便直接從網際網路直接存取。
步驟 5
在私有子網路中,執行個體的空白應用程式層 (包括執行個體的安全群組) 允許存取必要的 RD Gateway 連接埠。
步驟 6
Network Load Balancer 允許遠端存取 RD Gateway Auto Scaling 群組。
步驟 7
允許存取網際網路的網際網路閘道。RD Gateway 執行緒個體會使用此閘道傳送和接收流量。
步驟 8
受管網路位址轉譯 (NAT) 閘道,允許對私有子網路中的資源進行對外網際網路存取。
步驟 9
Amazon EventBridge 資源會從 Active Directory 網域中移除已解除委任的執行個體。
步驟 1
使用 AWS CloudFormation 範本,將 RD Gateway 部署在跨兩個可用區域、且包含公有和私有子網路的全新或現有的 Amazon Virtual Private Cloud (Amazon VPC)。使用單獨 CloudFormation 範本,在私有子網路中部署已聯結 Active Directory 網域 (需要現有 VPC) 或聯結非網域的 Windows 執行個體。
步驟 2
AWS Secrets Manager 可安全地存放用於存取 RD Gateway 執行個體的憑證 (例如,使用者名稱和密碼)。 注意:強烈建議在 RD Gateway 執行個體上啟用多重要素驗證 (MFA),以獲得額外的安全性。
步驟 3
透過從 Secrets Manager 擷取使用者名稱和密碼值,並設定 RD Gateway 執行個體,AWS Systems Manager 可跨兩個公有子網路自動部署 Amazon EC2 Auto Scaling 群組。
步驟 4
在每個公有子網路中,一個 Auto Scaling 群組中最多有 4 個 RD Gateway 執行緒個體,以提供私有子網路執行緒個體的安全遠端存取。每個 RD Gateway 執行緒個體獲得一個彈性 IP 位址的指派,以便直接從網際網路直接存取。
步驟 5
在私有子網路中,執行個體的空白應用程式層 (包括執行個體的安全群組) 允許存取必要的 RD Gateway 連接埠。
步驟 6
Network Load Balancer 允許遠端存取 RD Gateway Auto Scaling 群組。
步驟 7
允許存取網際網路的網際網路閘道。RD Gateway 執行緒個體會使用此閘道傳送和接收流量。
步驟 8
受管網路位址轉譯 (NAT) 閘道,允許對私有子網路中的資源進行對外網際網路存取。
步驟 9
Amazon EventBridge 資源會從 Active Directory 網域中移除已解除委任的執行個體。
Well-Architected 支柱
AWS Well-Architected Framework 可協助您了解在雲端建立系統時所做決策的利弊。該架構的六根支柱讓您能夠學習設計和操作可靠、安全、高效、經濟高效且永續的系統的架構最佳實務。使用 AWS Well-Architected Tool (在 AWS 管理主控台中免費提供),您可以透過回答每根支柱的一組問題來針對這些最佳實務審查您的工作負載。
上方的架構圖是一個考量到 Well-Architected 最佳實務而建立的的解決方案的範例。若要完全實現 Well-Architected,您應該盡可能地多遵循 Well-Architected 的最佳實務。
-
卓越營運閱讀卓越營運白皮書
CloudFormation 範本在單一堆疊中描述您的所需資源及其相依項,並允許您以單一單位建立、更新和刪除整個堆疊,讓您輕鬆地跨可用區域管理公有和私有子網路的雲端資源。
Systems Manager 在中心集中多個 AWS 服務的操作資料,並自動化 AWS 資源間的任務。它提供操作管理來監控運作狀態和效能;提供應用程式管理來簡化操作工作流程;提供變更管理來簡化應用程式組態的操作變更;以及提供節點管理來加速疑難排解和自動修補。
-
安全性閱讀安全白皮書
Secrets Manager 可安全地加密並集中稽核機密,結合精細的AWS Identity and Access Management (IAM) 和以資源為基礎的政策。這可保護您對應用程式、服務和 IT 資源的存取,並讓您能夠滿足資料安全和隱私權的法規及合規要求。為獲得額外的安全性,請在 RD Gateway 執行個體上啟用 MFA。
Amazon VPC 中的私有子網路包含執行個體的安全群組,以允許存取必要的連接埠。公有子網路包含 RD Gateway 執行個體,實現安全地遠端存取私有子網路中執行個體。公有子網路具有連接網際網路閘道的直接路由,允許存取公有網際網路;私人子網路沒有連接網際網路閘道的直接路由,並且需要 NAT 閘道才能存取公有網際網路。
-
可靠性閱讀可靠性白皮書
Network Load Balancer 能夠每秒處理數百萬個請求,同時維持超低延遲。它經過優化,可在每個可用區域中使用單一靜態 IP 位址來處理突發與臨時性的流量模式。Network Load Balancer 在連線層級 (層級 4) 運作,因此您可平衡 TCP 和 UDP 流量的負載,並將連線路由至目標,例如,Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、微型服務和容器。
-
效能達成效率閱讀效能達成效率白皮書
Amazon EC2 Auto Scaling 可協助確保您有適當的 EC2 執行個體數量來處理應用程式的負載。您可建立稱為 Auto Scaling 群組的 EC2 執行個體集合。Amazon EC2 Auto Scaling 可確保您的群組始終具有您指定的執行個體數量,以滿足所需容量。如果您指定擴展政策,Amazon EC2 Auto Scaling 可隨著應用程式負載的增加或減少,視需啟動或終止執行個體。
-
成本最佳化閱讀成本最佳化白皮書
Amazon EC2 Auto Scaling 透過組合購買選項和執行個體類型來優化工作負載效能和成本。此服務可讓您在單一應用程式的不同購買選項、可用區域和執行個體系列佈建和自動擴展執行個體,以優化規模、效能和成本。您可將包含隨需執行個體和預留執行個體的 Amazon EC2 Spot 執行個體納入單一 Auto Scaling 群組中,以節省高達 90% 的運算費用。
-
永續發展閱讀永續發展白皮書
Amazon EC2 Auto Scaling 與 Network Load Balancer 相結合,根據工作負載流量彈性來自動縮減和擴展。EventBridge 資源會從 Active Directory 網域中移除已解除委任的執行個體。此架構可自動新增和移除執行個體,高效地優化工作負載的環境影響。
Implementation 資源
提供了詳細的指南,以在您的 AWS 賬戶中實驗和使用。建立指南的每個階段 (包括部署、使用和清理) 都經過檢查以準備部署。
範本程式碼是一個起點。它經過了產業驗證、具有規範性但並非明確性,並且可以幫助您開始。
相關內容
免責聲明
範例程式碼、軟體庫、命令列工具、概念驗證、範本或其他相關技術 (包括我們的人員提供的任何上述技術) 依據 AWS 客戶協議或您與 AWS 之間的相關書面協議 (以適用者為準) 作為 AWS 內容提供給您。您不得在您的生產帳戶、生產或其他關鍵資料中使用此 AWS 內容。您有責任根據您的特定品質控制實務和標準,依生產級用途來測試、保護和最佳化 AWS 內容 (如範例程式碼)。部署 AWS 內容可能會因建立或使用 AWS 收費資源 (如執行 Amazon EC2 執行個體或使用 Amazon S3 儲存) 而產生 AWS 費用。
本指引中對第三方服務或組織的參考並不意味著 Amazon 或 AWS 與第三方之間的認可、贊助或聯繫。AWS 的指引是技術起點,您可以在部署架構時自訂與第三方服務的整合。