Blog de Amazon Web Services (AWS)
Uso de Azure Active Directory Domain Services en su entorno de Amazon WorkSpaces
Por: Caio Ribeiro César y Claudia Charro
Amazon WorkSpaces es una solución de escritorio como servicio (DaaS) gestionada y segura.
Puede utilizar Amazon WorkSpaces para aprovisionar escritorios Windows o Linux en cuestión de minutos y escalar rápidamente para entregar miles de escritorios a empleados de todo el mundo. Amazon WorkSpaces ayuda a eliminar la complejidad de administrar el inventario de hardware, las versiones y parches del SO y la infraestructura de escritorio virtual (VDI), lo que ayuda a simplificar su estrategia de entrega de escritorios.
Con Amazon WorkSpaces, los usuarios obtienen un escritorio rápido y flexible de su elección al que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible. Comprueba aquí si tu dispositivo es compatible.
Amazon WorkSpaces utiliza directorios para almacenar y administrar la información de WorkSpaces y sus usuarios. Para su directorio, puede elegir entre:
- Simple Active Directory (no disponible en la región de São de Paulo).
- AD Connector.
- AWS Directory Service para Microsoft Active Directory, también conocido como «AD administrado»
- Directorios externos, como Servicios de dominio de Azure Active Directory.
La gestión eficiente de las identidades de los usuarios a gran escala requiere nuevas soluciones que conecten las múltiples fuentes de identidad utilizadas por muchas organizaciones. A lo largo de su viaje en la nube, nuestros clientes eligen establecer una única fuente de identidad (IdP) como estrategia de acceso para el proveedor de servicios (sus propias aplicaciones, SaaS y AWS).
En esta publicación, usaremos AD Connector y Azure Active Directory Domain Services para la administración de WorkSpaces.
Paso 1: Conectividad.
Antes de comenzar la configuración de directorios y WorkSpaces, tenemos que tener conectividad entre entornos. En otras palabras, el entorno de Azure y AWS debería tener cierta comunicación. A continuación, crearemos una VPN entre Amazon Virtual Private Cloud (VPC) y Azure Virtual Network (VNET).
Si ya tiene comunicación entre las nubes de AWS y Azure, continúe directamente con el paso 2.
a. Cree un nuevo grupo de recursos en Azure o utilice un grupo de recursos creado anteriormente.
b. Cree una red virtual (VNET) o utilice una creada anteriormente (esta VNET debe tener 2 subredes, una para AD DS y otra para la puerta de enlace de red virtual). En el momento de crear Virtual Network Gateway, creará su propia subred, por lo que crearemos solo una en este paso.
c. Cree una puerta de enlace de red virtual, que será el software VPN de Azure para su VNET. Requerido para VPN entre Azure y AWS.
Más información sobre el SKU para este servicio: https://docs.microsoft.com/es-es/azure/vpn-gateway/vpn-gateway-about-vpngateways
Después de la creación, copie la información de IP pública de esta puerta de enlace virtual y subred haciendo clic en el recurso y seleccionando Propiedades, tal como la usaremos en la configuración de AWS.
d. Ahora, en el portal de AWS, crearemos una Amazon VPC con al menos dos subredes privadas, ya que más adelante tendremos que crear el conector de AD multi-az y dos subredes públicas para desplegar las instancias de WorkSpaces. Puede crear una nueva Amazon VPC siguiendo el tutorial de documentación o utilizando uno existente.
Importante: las direcciones IP deben ser diferentes a las del entorno de Azure (CIDR) y la puerta de enlace de Internet debe especificarse en la tabla de enrutamiento
e. Para permitir que Amazon WorkSpaces acceda a Internet, deberá crear una Internet Gateway. Para obtener un paso a paso detallado, acceda a la documentación a través de este enlace.
f. A continuación, para las subredes públicas, cree una ruta al Internet Gateway con 0.0.0.0/0.
g. Ahora usaremos la información recopilada en el paso c para crear el Customer Gateway y, posteriormente un Virtual Private Gateway.
Después de crear el Customer Gateway, su estado debe ser disponible.
h. Añadiremos una ruta hacia el CIDR de Azure en el Virtual Private Gateway.
Al crear la Virtual Private Gateway debe aparecer como “detached”.
i. Asocie su Virtual Private Gateway con la Amazon VPC creada anteriormente.
Después de asociarse, el estado del Virtual Private Gateway debe ser “attached”
j. En la tabla de ruta asociada a la subred privada debe crear una ruta con destino al CIDR de Azure que tenga como objetivo el Virtual Private Gateway.
k. Ahora vamos a crear la conexión VPC agregando Azure VNET a nuestro prefijo.
i. Escriba el CIDR de VNET de Azure.
Espere hasta que la VPN esté disponible.
m. Seleccione la VPN y haga clic Download Configuration” para descargar el archivo de configuración del Virtual Private Gateway y la información de las “Pre-SharedKey”, que se agregará en los siguientes pasos.
n. Al descargar, tenga en cuenta la IP del Virtual Private Gateway en la sesión de “Outside IP Addresses”.
Archivo de ejemplo con configuración de VPN.
Outside IP Addresses
Sesión #1: Configuración del intercambio de claves de Internet (Internet Key Exchange Configuration)
o. De vuelta al portal de Azure, crearemos una puerta de enlace de red local (Local Network Gateway) con la información obtenida en el paso n.
p. Aún en Azure, en Virtual Network Gateway, seleccione la opción “Connections”y luego la opción “Add”. Rellene la información con los datos recopilados en el entorno de AWS descargando la configuración de VPN en el paso n.
Después de la creación, el Estado debe ser “Connected”.
q. Después de completar los pasos del lado de Azure, vuelva a la consola de AWS y asegúrese de que el estado del túnel sea “Up”.
r. Para probar la comunicación entre redes, simplemente ejecute una máquina virtual en Azure, una instancia EC2 en AWS y realice una prueba de red en un puerto liberado en el firewall.
[ec2-user@ip-172-16-0-163 ~]$ telnet 192.168.128.6 22
Trying 192.168.128.6… Connected to 192.168.128.6.
SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3
Ejemplo de una prueba de comunicación en el puerto 22 desde una instancia de EC2 en AWS a una máquina virtual en Azure.
Importante: Recuerde configurar las reglas de entrada del Security Group asociado a su instancia de prueba de AWS de Amazon EC2. Lo mismo se aplica a las reglas de firewall del lado de Azure, a la entrada de la instancia que utilizará para probar.
Por favor, tenga en cuenta: Dado que la arquitectura de AWS se encuentra en un entorno Multi-AZ, es ideal configurar dos túneles IPSec para que el entorno no tenga un solo punto de falla.
Paso 2: Servicios de dominio de Active Directory y Amazon WorkSpaces.
Para que Amazon WorkSpaces se una a Azure, tenemos que habilitar los servicios de dominio de Active Directory. Esta parte de la publicación hace referencia al artículo creado por Justin Stokes, Principal Specialized Solutions Architect.
a. En el mismo grupo de recursos donde tenemos Virtual Network Gateway, VNET y subredes, vamos a crear un recurso Azure AD Domain Services.
b. Una vez que el recurso aparezca como “Running”, copie la información de “DNS domain name” y “ IP Address on virtual network”.
c. Cree un usuario de servicio y agréguele al grupo de Azure AD DC. Esta cuenta realiza búsquedas de usuario al crear WorkSpaces y se utiliza para asociar WorkSpaces con su dominio de Azure. Por lo tanto, debe ser miembro del grupo Administradores de Azure AD DC.
El siguiente comando debe ejecutarse en Azure Pshell.
Connect-AzureAD
$password = “Password123!”
$displayName = “Amazon WorkSpaces Service Account”
$upn = “awssvc@seudominio.com”
$mailName = “awssvc”
$aadAdmins = “AAD DC Administrators”
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.ForceChangePasswordNextLogin = $false
$PasswordProfile.Password = $password
$newaaduser = New-AzureADUser -DisplayName $displayName -PasswordProfile $PasswordProfile -UserPrincipalName $upn -AccountEnabled $true -MailNickName $mailName
Get-AzureADGroup |where {$_.displayname -like $aadAdmins} |Add-AzureADGroupMember -RefObjectId $newaaduser.ObjectId
Paso 3: Creación de AWS Directory Service
Ahora usaremos la información recopilada en el paso b para configurar el directorio de Amazon WorkSpaces.
d. Vaya a la consola de Amazon WorkSpaces y elija la región en la que desea crear sus instancias a través de https://console.thinkwithwp.com/workspaces/ y acceda al menú “Directories”.
e. A continuación, haga clic en “ Setup Directory” y elija el tipo de directorio AD “Connector”.
f. Elija el tamaño del directorio, dependiendo del número de usuarios. Para obtener más información, acceda a la documentación a través de este enlace.
g. Seleccione la Amazon VPC creada anteriormente, así como las dos subredes privadas.
h. Las direcciones IP DNS corresponden al paso b.
i. Espere hasta que su directorio esté en estado “Active”.
Paso 4: Creación de un escritorio virtual con Amazon Workspaces
En este paso final, crearemos escritorios virtuales de Amazon Workspaces asociándonos con un usuario de Azure DS.
j. Vaya a la consola de Amazon WorkSpaces y elija la región en la que desea crear las instancias a través de https://console.thinkwithwp.com/workspaces/ y acceda al menú WorkSpaces.
k. A continuación, haga clic en Iniciar espacios de trabajo y elija el directorio creado en el paso anterior.
i. Busque el usuario que desea asociar a este escritorio virtual y haga clic en Agregar seleccionados. Realice los siguientes pasos hasta crear el escritorio virtual. Para obtener más información sobre los tipos de paquetes y configuraciones adicionales, visite la documentación a través de este enlace.
j. Al final, compruebe si su directorio está en estado “Active” y registrado como “Yes”.
Conclusión
En esta publicación, hablamos de la integración de entornos de AWS y Azure mediante Amazon WorkSpaces y métodos de identidad a través de los servicios de dominio de Active Directory. Los WorkSpaces se ejecutan en instancias de Amazon EC2 alojadas en la VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.
Sobre los autores
Claudia Charro es Arquitecta de Soluciones en AWS desde 2015. Se enfoca en las herramientas de gobernanza y trabaja en estrecha colaboración con los clientes empresariales para hacer un viaje exitoso a la nube de AWS.
Caio Ribeiro Cesar actualmente trabaja como arquitecto de soluciones especializado en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como seguridad de la información, identidad en línea y plataformas de correo electrónico corporativo. Recientemente se hizo fanático de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.
Revisor
Rene Martinez es Arquitecta de Soluciones Senior en AWS Chile.