配置 AWS 的 AD Connector 通常遇到的都是些网络问题,且 AD Connector 本身屏蔽了一些网络细节,使得查找root cause往往有点困难,本文就把 AD Connector 网络问题梳理一下。
首先,需要搞清楚的是:AD Connector 是 Microsoft Active Directory 的一种代理,IAM可以通过它联通到一个现有的 AD 服务器,从而可以值得用户可以使用AD上的域账号登录AWS的某些服务。要特别注意的是:AD Connector 本身是需要服务器承载的(在创建时还要根据负载选择机型: small / large),也会有相应的IP地址,虽然我们不能登录它的服务器 ( 类似MWAA,MSK,是托管服务,有物理节点,但不能登录)。
确定了 AD Connector 需要分配 IP 地址,很多问题就比较容易理解了,在创建 AD Connector 的向导中,有一步是给 AD Connector 选择子网,通常是两个子网:
相应地,在创建之后, AD Connector 会在两个子网中各自申请一个 IP(至于是否是在两个子网中创建了HA架构,这一点无法判断),IP 地址可在创建后的细节页面中看到: