Ambientes de nuvem da AWS
Este artigo o orienta na configuração de sua conta da AWS como um local de recursos que você pode usar com o Citrix Virtual Apps and Desktops. O local de recursos inclui um conjunto básico de componentes, ideal para uma prova de conceito ou outra implantação que não exija recursos distribuídos por várias zonas de disponibilidade. Depois de concluir essas tarefas, você pode instalar VDAs, provisionar máquinas, criar catálogos de máquinas e criar grupos de entrega.
Quando concluir as tarefas deste artigo, o local de recursos incluirá os seguintes componentes:
- Uma nuvem privada virtual (VPC) com sub-redes públicas e privadas dentro de uma única zona de disponibilidade.
- Uma instância que é executada como um Controlador de Domínio do Active Directory e um servidor DNS, localizada na sub-rede privada da VPC.
- Uma instância que atua como um host bastion na sub-rede pública da sua VPC. Essa instância é usada para iniciar conexões RDP com as instâncias na sub-rede privada para fins administrativos. Depois de concluir a configuração do local de recursos, você pode encerrar a instância para que ela não fique mais prontamente acessível. Quando for necessário gerenciar outras instâncias na sub-rede privada, como as instâncias do VDA, você pode reiniciar a instância do host bastion.
Visão geral da tarefa
Configure uma nuvem privada virtual (VPC) com sub-redes pública e privada. Quando você concluir essa tarefa, a AWS implantará um gateway NAT com um endereço Elastic IP na sub-rede pública. Essa ação permite que instâncias na sub-rede privada acessem a Internet. As instâncias na sub-rede pública são acessíveis ao tráfego público de entrada, enquanto as instâncias na sub-rede privada não são.
Configure grupos de segurança. Os grupos de segurança atuam como firewalls virtuais que controlam o tráfego para as instâncias em sua VPC. Você adiciona regras aos seus grupos de segurança que permitem que as instâncias em sua sub-rede pública se comuniquem com as instâncias em sua sub-rede privada. Você também associa esses grupos de segurança a cada instância na sua VPC.
Crie um conjunto de opções de DHCP. Com uma Amazon VPC, os serviços DHCP e DNS são fornecidos por padrão, o que afeta a forma como você configura o DNS no seu Controlador de Domínio do Active Directory. O DHCP da Amazon não pode ser desativado e o DNS da Amazon pode ser usado apenas para resolução de DNS público, não para resolução de nomes do Active Directory. Para especificar os servidores de domínio e nome entregues às instâncias por meio do DHCP, crie um conjunto de opções DHCP. O conjunto atribui o sufixo de domínio do Active Directory e especifica o servidor DNS para todas as instâncias na sua VPC. Para garantir que os registros Host (A) e de Pesquisa inversa (PTR) sejam registrados automaticamente quando as instâncias ingressarem no domínio, configure as propriedades do adaptador de rede para cada instância adicionada à sub-rede privada.
Adicione um bastion host e um Controlador de Domínio à VPC. Por meio do bastion host, você pode fazer login em instâncias na sub-rede privada para configurar o domínio e unir instâncias ao domínio.
Tarefa 1: Configurar a VPC
- No console de gerenciamento da AWS, selecione VPC.
- No VPC Dashboard, selecione Create VPC.
- Selecione VPC and more.
- Em NAT gateways ($) selecione In 1 AZ ou 1 per AZ.
- Nas opções de DNS, deixe Enable DNS hostnames selecionada.
- Selecione Create VPC. A AWS cria as sub-redes pública e privada, o gateway de Internet, as tabelas de rotas e o grupo de segurança padrão.
Tarefa 2: Configurar grupos de segurança
Essa tarefa cria e configura os seguintes grupos de segurança para a sua VPC:
- Um grupo de segurança público a ser associado às instâncias em sua sub-rede pública.
- Um grupo de segurança privado a ser associado às instâncias em sua sub-rede privada.
Para criar os grupos de segurança:
- No VPC Dashboard, selecione Security Groups.
- Crie um grupo de segurança para o grupo de segurança pública. Selecione Create Security Group e insira uma marca de nome e uma descrição para o grupo. Em VPC, selecione a VPC que você criou anteriormente. Selecione Yes, Create.
Configurar o grupo de segurança público
-
Na lista de grupos de segurança, selecione o grupo de segurança público.
-
Selecione a guia Inbound Rules e selecione Edit para criar as seguintes regras:
Tipo Origem ALL Traffic Selecione o grupo de segurança privado. ALL Traffic Selecione o grupo de segurança público. ICMP 0.0.0.0/0 22 (SSH) 0.0.0.0/0 80 (HTTP) 0.0.0.0/0 443 (HTTPS) 0.0.0.0/0 1494 (ICA/HDX) 0.0.0.0/0 2598 (Session Reliability) 0.0.0.0/0 3389 (RDP) 0.0.0.0/0 -
Quando tiver terminado, selecione Save.
-
Selecione a guia Outbound Rules e selecione Edit para criar as seguintes regras:
Tipo Destino ALL Traffic Selecione o grupo de segurança privado. ALL Traffic 0.0.0.0/0 ICMP 0.0.0.0/0 -
Quando tiver terminado, selecione Save.
Configurar o grupo de segurança privado
-
Na lista de grupos de segurança, selecione o grupo de segurança privado.
-
Se você não configurou o tráfego do grupo de segurança público, é necessário definir portas TCP; selecionar a guia Inbound Rules e selecionar Edit para criar as seguintes regras:
Tipo Origem ALL Traffic Selecione o grupo de segurança privado. ALL Traffic Selecione o grupo de segurança público. ICMP Selecione o grupo de segurança público. TCP 53 (DNS) Selecione o grupo de segurança público. UDP 53 (DNS) Selecione o grupo de segurança público. 80 (HTTP) Selecione o grupo de segurança público. TCP 135 Selecione o grupo de segurança público. TCP 389 Selecione o grupo de segurança público. UDP 389 Selecione o grupo de segurança público. 443 (HTTPS) Selecione o grupo de segurança público. TCP 1494 (ICA/HDX) Selecione o grupo de segurança público. TCP 2598 (Session Reliability) Selecione o grupo de segurança público. 3389 (RDP) Selecione o grupo de segurança público. TCP 49152–65535 Selecione o grupo de segurança público. -
Quando tiver terminado, selecione Save.
-
Selecione a guia Outbound Rules e selecione Edit para criar as seguintes regras:
Tipo Destino ALL Traffic Selecione o grupo de segurança privado. ALL Traffic 0.0.0.0/0 ICMP 0.0.0.0/0 UDP 53 (DNS) 0.0.0.0/0 -
Quando tiver terminado, selecione Save.
Tarefa 3: Executar instâncias
Siga as etapas a seguir para criar duas instâncias do EC2 e descriptografar a senha de administrador padrão gerada pela Amazon:
- No console de gerenciamento da AWS, selecione EC2.
- No EC2 Dashboard, selecione Launch Instance.
- Selecione uma imagem de máquina do Windows Server e um tipo de instância.
- Na página Configure Instance Details, insira um nome para a instância e selecione a VPC que você configurou anteriormente.
-
Em Subnet, faça as seguintes seleções para cada instância:
- Bastion host: selecione a sub-rede pública
- Domain Controller: selecione a sub-rede privada
-
Em Auto-assign Public IP address, faça as seguintes seleções para cada instância:
- Bastion host: selecione Enable.
- Domain Controller: selecione Use default setting ou Disable.
- Em Network Interfaces, insira um endereço IP primário dentro do intervalo de IP da sub-rede privada para o Controlador de Domínio.
- Se necessário, na página Add Storage, modifique o tamanho do disco.
- Na página Tag Instance, insira um nome amigável para cada instância.
-
Na página Configure Security Groups, selecione Select an existing security group e faça as seguintes seleções para cada instância:
- Bastion host: selecione o grupo de segurança público.
- Domain Controller: selecione o grupo de segurança privado.
- Revise suas escolhas e selecione Launch.
- Crie um novo par de chaves ou selecione um par existente. Se você criar um novo par de chaves, baixe seu arquivo de chave privada (.pem) e mantenha-o em um local seguro. Você deve fornecer sua chave privada ao adquirir a senha de administrador padrão para a instância.
- Selecione Launch Instances. Selecione View Instances para exibir uma lista de suas instâncias. Aguarde até que a instância recém-executada tenha passado por todas as verificações de status antes de acessá-la.
-
Adquira a senha de administrador padrão para cada instância:
- Na lista de instâncias, selecione a instância e, em seguida, selecione Connect.
- Vá até a guia RDP client, selecione Get Password e carregue seu arquivo de chave privada (
.pem
) quando solicitado. - Selecione Decrypt Password para obter a senha legível por humanos. A AWS exibe a senha padrão.
-
Repita as etapas da etapa 2 até criar duas instâncias:
- Uma instância do bastion host em sua sub-rede pública
- Uma instância em sua sub-rede privada que deve ser usada como Controlador de Domínio.
Tarefa 4: Criar um conjunto de opções de DHCP
-
No VPC Dashboard, selecione DHCP Options Sets.
-
Insira as seguintes informações:
- Name tag: insira um nome amigável para o conjunto.
- Domain name: insira o nome de domínio totalmente qualificado que você usa ao configurar a instância do Controlador de Domínio.
- Domain name servers: insira o endereço IP privado que você atribuiu à instância do Controlador de Domínio e a cadeia de caracteres AmazonProvidedDNS, separados por vírgula.
- NTP servers: deixe este campo em branco.
- NetBIOS name servers: insira o endereço IP privado da instância do Controlador de Domínio.
- NetBIOS node type: insira 2.
-
Selecione Yes, Create.
-
Associe o novo conjunto à sua VPC:
- No VPC Dashboard, selecione Your VPCs e, em seguida, selecione a VPC que você configurou anteriormente.
- Selecione Actions > Edit DHCP Options Set.
- Quando solicitado, selecione o novo conjunto que você criou e, em seguida, selecione Save.
Tarefa 5: Configurar as instâncias
-
Usando um cliente RDP, conecte-se ao endereço IP público da instância do host bastion. Quando solicitado, insira as credenciais para a conta de administrador.
-
Na instância do host bastion, inicie a Conexão de Área de Trabalho Remota e conecte-se ao endereço IP privado da instância que deseja configurar. Quando solicitado, insira as credenciais de administrador para a instância.
-
Para todas as instâncias na sub-rede privada, defina as configurações de DNS:
- Selecione Iniciar > Painel de controle > Rede e Internet > Central de Rede e Compartilhamento > Alterar as configurações do adaptador. Clique duas vezes na conexão de rede exibida.
- Selecione Propriedades > Protocolo de Internet versão 4 (TCP/IPv4) > Propriedades.
-
Selecione Avançado > DNS. Certifique-se de que as seguintes configurações estejam ativadas e selecione OK:
- Registre os endereços desta conexão no DNS
- Use o sufixo DNS desta conexão no registro de DNS
-
Para configurar o Controlador de Domínio:
- Usando o Server Manager, adicione a função Active Directory Domain Services com todos os recursos padrão.
- Promova a instância a um Controlador de Domínio. Durante a promoção, habilite o DNS e use o nome de domínio especificado ao criar o conjunto de opções de DHCP. Reinicie a instância quando solicitado.
O que fazer a seguir
- Instalar componentes principais
- Instalar VDAs
- Criar um site
- Para criar e gerenciar uma conexão na AWS, consulte Conexão com a AWS.