AWS Workspaces에서 3개의 서브넷에 각각 배치할 수 있습니까?

On-Prem의 AD 환경을 AWS에 리프트 업 해 보려고 검증을 시도한 기록입니다.

전제 조건

동일 인증 기반을 이용하고 싶다

네트워크 세그먼트가 3개 있음

검증 환경 이미지

다음과 같은 구성으로 검증을 진행했습니다.

기능으로서는 2차라고 하면서,
타샤리(세번째)도 어태치 가능한 VPC의 2차 CIDR을 사용합니다.
Associating a secondary IPv4 CIDR block with your VPC

결론

불가능했습니다.

Workspaces에서 이용하는 인증 기반으로 다음의 3가지를 준비했습니다만, 모두 인증으로 이용 가능한 서브넷이 2개까지 밖에 선택할 수 없기 때문에, 하나의 기반으로 운용은 할 수 없는 것을 알 수 있었습니다

검증 이미지

3 패턴 디렉토리 서비스를 시작했습니다.

예) SimpleAD

Register에서 여러가지 보았습니다만, 팝업이 나오지만 선택 가능한 서브넷은 2개까지밖에 선택할 수 없다.

기타

ADConnector에서 타겟으로 예정한 EC2 정보

미리 사용하는 서브넷마다 ENI를 준비하여 EC2의 개인 IP 주소를 고정화합니다.



AWS 공식 문서에서 Elastic Network Interface에 따라,
이번, NIC를 4개 채용한다(인스턴스 통신용 1개, Workspaces용이었던 3개) 때문에,t3.xlarge 이상의 인스턴스가 필요합니다.

실제로 Windows에서 시작한 인스턴스에도 NIC를 연결하여 문제없이 통신이 가능한 곳까지 확인할 수 있었습니다.
ADDS를 설치하기 위해 getmac /V 또는 ipconfig /all에서 OS가 인식하는 인터페이스와 IP 주소 범위를 틀리지 않도록 OS에서도 IP 주소 고정화했습니다.

요약

이번 검증해 보고, 원래 On-Prem으로 되어 있었기 때문에 클라우드에서도 할 수 있을 것이라는 간절히 발차가 아니고,
가볍게 만들어 보려고 클라우드답게 소형이고 빠르고 해 보는 것의 중요성을 다시 한번 느꼈습니다.
이번은, 목적인 환경의 이설에 대해서는, 재차 구성 검토로부터 시작하려고 합니다.

1대로 받고 있던 유저를 SimpleAD를 2대로 분산한다고 해서, 대략 72USD이므로,
분산 관리가 되어 갈까라고 희미하게 생각하고 있습니다.
Simple AD Small Directory에 대한 월별 결제(30일 후 또는 1,500시간 무료 평가판 기간 종료 후)

- 2020/11/30 추가

요 전날 검증하고 있을 때, Cognito가 표시되고 있었으므로 재차 검증을 시도했는데 표시되지 않고.



아래의 블로그를 보면 AD가 있다는 것을 전제로 한 구조였습니다.
결국 AD가 서브넷 2개까지라는 점에서 실현할 수 없는 것이 확정되었습니다.

Creating a self-service portal for Amazon WorkSpaces end users
htps : // 아 ws. 아마존. 이 m / jp / b ぉ gs /에서 sk와 p an d da pぉr 아마 존 - rks 파세 s - 엔 d 우세 rs /

Authentication, which is handled by an Amazon Cognito User Pool federated via SAML 2.0 with Active Directory.