Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Voraussetzungen **Topics** + [Erstellen Sie einen AWS-Konto mit einem Administratorbenutzer](#aws-account) + [Erstellen Sie ein Amazon EC2 SSH-Schlüsselpaar](#create-ssh-key-pair) + [Erhöhen Sie die Servicequoten](#increase-service-quotas) + [Erstellen Sie einen Cognito-Benutzerpool (optional)](#create-cognito-user-pool) + [Erstellen Sie eine benutzerdefinierte Domain (optional)](#create-public-domain) + [Eine Domain erstellen (GovCloud nur)](#create-domain-govcloud) + [Stellen Sie externe Ressourcen bereit](#external-resources) + [Konfigurieren Sie LDAPS in Ihrer Umgebung (optional)](#configure-ldaps) + [Richten Sie ein Dienstkonto für Microsoft Active Directory ein](#service-account-ms-ad) + [Konfigurieren Sie eine private VPC (optional)](#private-vpc) ## Erstellen Sie einen AWS-Konto mit einem Administratorbenutzer Sie müssen über ein Konto AWS-Konto mit einem Administratorkonto verfügen: 1. Öffnen Sie [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup). 1. Folgen Sie den Online-Anweisungen. Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben. Wenn Sie sich für einen anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird ein erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Erstellen Sie ein Amazon EC2 SSH-Schlüsselpaar Wenn Sie kein Amazon EC2 SSH-Schlüsselpaar haben, müssen Sie eines erstellen. Weitere Informationen finden Sie unter [Erstellen eines key pair mit Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) im *Amazon EC2 EC2-Benutzerhandbuch*. ## Erhöhen Sie die Servicequoten Es hat sich bewährt, [die Servicekontingenten zu erhöhen](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) für: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Erhöhen Sie das Elastic IP-Adresskontingent pro NAT-Gateway von fünf auf acht. + Erhöhen Sie die Anzahl der NAT-Gateways pro Availability Zone von fünf auf zehn. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Erhöhen Sie die EC2-VPC Anzahl der Elastic IPs von fünf auf zehn. Ihr AWS Konto hat Standardkontingente für jeden AWS Service. Sofern nicht anders angegeben, gilt für jedes Kontingent Region-specific. Sie können Erhöhungen für einige Kontingente beantragen und andere Kontingente können nicht erhöht werden. Weitere Informationen finden Sie unter [Kontingente für AWS Services in diesem Produkt](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Erstellen Sie einen Cognito-Benutzerpool (optional) Sie haben die Möglichkeit, einen vorhandenen Cognito-Benutzerpool für die Benutzer- und Client-Authentifizierung zu importieren, wenn Sie RES installieren. Andernfalls erstellt RES automatisch einen neuen Cognito-Benutzerpool. Der bereits bestehende Benutzerpool muss die folgenden benutzerdefinierten Anmeldeattribute haben: | Name | Typ | Min value/length | Max value/length | Mutable | | --- | --- | --- | --- | --- | | benutzerdefiniert: aws\_region | Zeichenfolge | | | TRUE | | Benutzerdefiniert:Clustername | Zeichenfolge | | | TRUE | | Benutzerdefiniert:password\_last\_set | Zahl | | | TRUE | | benutzerdefiniert:password\_max\_age | Zahl | | | TRUE | | benutzerdefiniert:uid | Zahl | 2000200001 | 4294967294 | TRUE | ## Erstellen Sie eine benutzerdefinierte Domain (optional) Es hat sich bewährt, eine benutzerdefinierte Domain für das Produkt zu verwenden, um eine benutzerfreundliche URL zu erhalten. Sie können eine benutzerdefinierte Domain und *optional* ein Zertifikat dafür bereitstellen. Im Stack „Externe Ressourcen“ gibt es einen Prozess, um ein Zertifikat für eine von Ihnen bereitgestellte benutzerdefinierte Domain zu erstellen. Sie können die Schritte hier überspringen, wenn Sie eine Domain haben und die Funktionen zur Zertifikatsgenerierung des Stacks für externe Ressourcen nutzen möchten. Oder folgen Sie diesen Schritten, um eine Domain mit Amazon Route 53 zu registrieren und ein Zertifikat für die Domain mit zu importieren AWS Certificate Manager. 1. Folgen Sie den Anweisungen, um [eine Domain bei Route 53 zu registrieren](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console). Sie sollten eine Bestätigungs-E-Mail erhalten. 1. Rufen Sie die gehostete Zone für Ihre Domain ab. Route 53 erstellt dies automatisch. 1. Öffnen Sie die Route 53 53-Konsole. 1. Wählen Sie im linken Navigationsbereich die Option **Gehostete Zonen** aus. 1. Öffnen Sie die für Ihren Domainnamen erstellte Hosting-Zone und kopieren Sie die **Hosting-Zone-ID**. 1. Öffnen Sie AWS Certificate Manager und folgen Sie diesen Schritten, um [ein Domainzertifikat anzufordern](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Stellen Sie sicher, dass Sie sich in der Region befinden, in der Sie die Lösung bereitstellen möchten. 1. Wählen Sie in der Navigation die Option **Zertifikate auflisten** aus und suchen Sie nach Ihrer Zertifikatsanforderung. Die Anfrage sollte ausstehend sein. 1. Wählen Sie Ihre **Zertifikat-ID**, um die Anfrage zu öffnen. 1. Wählen Sie im Abschnitt **Domains** die Option **Create Records in Route 53** aus. Die Bearbeitung der Anfrage dauert ungefähr zehn Minuten. 1. Sobald das Zertifikat ausgestellt wurde, kopieren Sie den **ARN** aus dem Abschnitt **Zertifikatsstatus**. ## Eine Domain erstellen (GovCloud nur) Wenn Sie die Bereitstellung in einer AWS GovCloud Region durchführen und eine benutzerdefinierte Domäne für Research and Engineering Studio verwenden, müssen Sie diese erforderlichen Schritte ausführen. 1. Stellen Sie den [CloudFormation Zertifikatsstapel](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) in dem AWS Konto mit kommerzieller Partition bereit, in dem die öffentlich gehostete Domain erstellt wurde. 1. Suchen und notieren Sie in den ** CloudFormation Zertifikatsausgaben** das `CertificateARN` und. `PrivateKeySecretARN` 1. Erstellen Sie im GovCloud Partitionskonto ein Geheimnis mit dem Wert der `CertificateARN` Ausgabe. Notieren Sie sich den neuen geheimen ARN und fügen Sie dem Secret zwei Tags hinzu, damit `vdc-gateway` Sie auf den geheimen Wert zugreifen können: 1. res: ModuleName = virtueller Desktop-Controller 1. res: EnvironmentName = [Umgebungsname] (Das könnte res-demo sein.) 1. Erstellen Sie im GovCloud Partitionskonto ein Geheimnis mit dem Wert der `PrivateKeySecretARN` Ausgabe. Notieren Sie sich den neuen geheimen ARN und fügen Sie dem Secret zwei Tags hinzu, damit `vdc-gateway` Sie auf den geheimen Wert zugreifen können: 1. res: ModuleName = virtueller Desktop-Controller 1. res: EnvironmentName = [Umgebungsname] (Das könnte res-demo sein.) ## Stellen Sie externe Ressourcen bereit Research and Engineering Studio on AWS geht davon aus, dass die folgenden externen Ressourcen vorhanden sind, wenn es bereitgestellt wird. + **Netzwerke (VPC, öffentliche Subnetze und private Subnetze)** Hier werden Sie die EC2-Instances ausführen, die zum Hosten der RES-Umgebung, des Active Directory (AD) und des gemeinsam genutzten Speichers verwendet werden. + **Speicher (Amazon EFS)** Die Speichervolumes enthalten Dateien und Daten, die für die virtuelle Desktop-Infrastruktur (VDI) benötigt werden. + **Verzeichnisdienst ()AWS Directory Service for Microsoft Active Directory** Der Verzeichnisdienst authentifiziert Benutzer gegenüber der RES-Umgebung. + **Ein Geheimnis, das den Benutzernamen und das Passwort des Active Directory-Dienstkontos enthält, die als Schlüssel-Wert-Paar (Benutzername, Passwort) formatiert sind** Research and Engineering Studio greift auf die von Ihnen angegebenen [Geheimnisse](secrets-management.md) zu, einschließlich des Kennworts für das Dienstkonto, mithilfe von. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) **Warnung** Sie müssen eine gültige E-Mail-Adresse für alle Active Directory-Benutzer (AD) angeben, die Sie synchronisieren möchten. **Tipp** Wenn Sie eine Demoumgebung bereitstellen und diese externen Ressourcen nicht verfügbar sind, können Sie die externen Ressourcen mithilfe von AWS High Performance Compute-Rezepten generieren. Informationen zur Bereitstellung von Ressourcen in Ihrem Konto finden Sie im folgenden Abschnitt. [Externe Ressourcen erstellen](create-external-resources.md) Für Demo-Bereitstellungen in einer AWS GovCloud Region müssen Sie die erforderlichen Schritte unter ausführen. [Eine Domain erstellen (GovCloud nur)](#create-domain-govcloud) ## Konfigurieren Sie LDAPS in Ihrer Umgebung (optional) Wenn Sie die LDAPS-Kommunikation in Ihrer Umgebung verwenden möchten, müssen Sie diese Schritte ausführen, um Zertifikate zu erstellen und an den AWS Managed Microsoft AD (AD) -Domänencontroller anzuhängen, um die Kommunikation zwischen AD und RES bereitzustellen. 1. Folgen Sie den Schritten unter [So aktivieren Sie serverseitiges LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) für Ihre. AWS Managed Microsoft AD Sie können diesen Schritt überspringen, wenn Sie LDAPS bereits aktiviert haben. 1. Nachdem Sie bestätigt haben, dass LDAPS auf dem AD konfiguriert ist, exportieren Sie das AD-Zertifikat: 1. Gehen Sie zu Ihrem Active Directory-Server. 1. PowerShell Als Administrator öffnen. 1. Ausführen`certmgr.msc`, um die Zertifikatsliste zu öffnen. 1. Öffnen Sie die Zertifikatsliste, indem Sie zuerst die vertrauenswürdigen Stammzertifizierungsstellen und dann Zertifikate öffnen. 1. Wählen Sie das Zertifikat mit demselben Namen wie Ihr AD-Server aus und halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf). Wählen Sie **Alle Aufgaben** und dann **Exportieren** aus. 1. **Wählen Sie **Base-64 Encoded X.509 (.CER)** und dann Weiter aus.** 1. **Wählen Sie ein Verzeichnis aus und klicken Sie dann auf Weiter.** 1. Erstellen Sie ein Geheimnis in AWS Secrets Manager: Wenn Sie Ihr Geheimnis im Secrets Manager erstellen, wählen Sie **Andere Art von Geheimnissen** unter **Geheimnistyp** und fügen Sie Ihr PEM-codiertes Zertifikat in das **Klartext-Feld** ein. 1. Notieren Sie sich den erstellten ARN und geben Sie ihn als `DomainTLSCertificateSecretARN` Parameter ein[Schritt 1: Starten Sie das Produkt](launch-the-product.md). ## Richten Sie ein Dienstkonto für Microsoft Active Directory ein Wenn Sie Microsoft Active Directory (AD) als Identitätsquelle für RES wählen, verfügen Sie in Ihrem AD über ein Dienstkonto, das den programmatischen Zugriff ermöglicht. Im Rahmen Ihrer RES-Installation müssen Sie ein Geheimnis mit den Anmeldeinformationen des Dienstkontos weitergeben. Das Geheimnis muss das hier gezeigte Format haben. ![Beispiel für ein Nutzername- und Passwortformat](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-secret-value-example.png) Beachten Sie auch, dass das `username` Feld keine NT-style Anmeldenamen dieses `DOMAIN\username` Formats unterstützt. Das Dienstkonto ist für die folgenden Funktionen verantwortlich: + Benutzer aus dem AD synchronisieren: RES muss Benutzer aus dem AD synchronisieren, damit sie sich am Webportal anmelden können. Der Synchronisierungsprozess verwendet das Dienstkonto, um das AD mithilfe von LDAP (s) abzufragen, um festzustellen, welche Benutzer und Gruppen verfügbar sind. + Treten Sie der AD-Domäne bei: Dies ist ein optionaler Vorgang für virtuelle Linux-Desktops und Infrastrukturhosts, bei dem die Instanz der AD-Domäne beitritt. In RES wird dies mit dem `DisableADJoin` Parameter gesteuert. Dieser Parameter ist standardmäßig auf False gesetzt, was bedeutet, dass virtuelle Linux-Desktops versuchen, der AD-Domäne in der Standardkonfiguration beizutreten. + Connect zum AD herstellen: Virtuelle Linux-Desktops und Infrastrukturhosts stellen eine Verbindung zur AD-Domäne her, wenn sie ihr nicht beitreten (`DisableADJoin`= True). Damit diese Funktion funktioniert, benötigt das Dienstkonto auch Lesezugriff für Benutzer `UsersOU` und Gruppen`GroupsOU`. Für das Dienstkonto sind die folgenden Berechtigungen erforderlich: + Um Benutzer zu synchronisieren und eine Verbindung zu AD herzustellen → Lesezugriff für Benutzer und Gruppen im `UsersOU` und`GroupsOU`. + Um der AD-Domäne beizutreten → erstellen Sie `Computer` Objekte in der`ComputersOU`. Das Skript unter [https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\_demo\_env/assets/service\_account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1)enthält ein Beispiel dafür, wie die richtigen Dienstkontoberechtigungen erteilt werden. Sie können es auf der Grundlage Ihres eigenen AD ändern. ## Konfigurieren Sie eine private VPC (optional) Die Bereitstellung von Research and Engineering Studio in einer isolierten VPC bietet verbesserte Sicherheit, um die Compliance- und Governance-Anforderungen Ihres Unternehmens zu erfüllen. Die standardmäßige RES-Bereitstellung ist jedoch für die Installation von Abhängigkeiten auf den Internetzugang angewiesen. Um RES in einer privaten VPC zu installieren, müssen Sie die folgenden Voraussetzungen erfüllen: **Topics** + [Amazon Machine Images (AMIs) vorbereiten](#prep-ami) + [VPC-Endpunkte einrichten](#private-vpc-endpoints) + [Connect zu Diensten ohne VPC-Endpunkte her](#connect-services-without-endpoints) + [Stellen Sie private VPC-Bereitstellungsparameter ein](#vpc-deployment-parameters) ### Amazon Machine Images (AMIs) vorbereiten 1. Laden Sie die Abhängigkeiten unter herunter [https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz). Für die Bereitstellung in einer isolierten VPC erfordert die RES-Infrastruktur die Verfügbarkeit von Abhängigkeiten ohne öffentlichen Internetzugang. **Wichtig** Ersetzen **latest** Sie die Download-URI durch die genaue Versionsnummer (z. B.**2025.06**), wenn Ihre RES-Umgebungsversion nicht die neueste ist. 1. Erstellen Sie eine IAM-Rolle mit schreibgeschütztem Amazon S3 S3-Zugriff und vertrauenswürdiger Identität als Amazon EC2. 1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole. 1. **Wählen Sie unter **Rollen** die Option Rolle erstellen aus.** 1. Gehen Sie auf der Seite **Vertrauenswürdige Entität auswählen** wie folgt vor: + Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option aus AWS-Service. + Wählen **Sie für Anwendungsfall** unter **Service oder Anwendungsfall** die Option **EC2** und **dann Weiter** aus. 1. Wählen **Sie unter Berechtigungen hinzufügen** die folgenden Berechtigungsrichtlinien aus und klicken Sie dann auf **Weiter**: + AmazonS3ReadOnlyAccess + AmazonSSMManagedInstanceCore + EC2InstanceProfileForImageBuilder 1. Fügen Sie einen **Rollennamen** und eine **Beschreibung** hinzu und wählen Sie dann **Rolle erstellen** aus. 1. Erstellen Sie die EC2 Image Builder-Komponente: 1. Öffnen Sie die EC2 Image Builder Builder-Konsole unter[https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder). 1. Wählen Sie unter **Gespeicherte Ressourcen** die Option **Komponenten** und anschließend **Komponente erstellen** aus. 1. Geben Sie auf der Seite **Komponente erstellen** die folgenden Details ein: + Wählen Sie als **Komponententyp** die Option **Build** aus. + Wählen Sie für **Komponentendetails** Folgendes aus: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. Wählen Sie auf der Seite **Komponente erstellen** die Option **Dokumentinhalt definieren** aus. 1. Bevor Sie den Inhalt des Definitionsdokuments eingeben können, benötigen Sie einen Datei-URI für die Datei tar.gz. Laden Sie die von RES bereitgestellte Datei tar.gz in einen Amazon S3 S3-Bucket hoch und kopieren Sie den URI der Datei aus den Bucket-Eigenschaften. 1. Geben Sie Folgendes ein: **Anmerkung** `AddEnvironmentVariables`ist optional, und Sie können sie entfernen, wenn Sie keine benutzerdefinierten Umgebungsvariablen in Ihren Infrastruktur-Hosts benötigen. Wenn Sie `https_proxy` Umgebungsvariablen einrichten`http_proxy`, sind die `no_proxy` Parameter erforderlich, um zu verhindern, dass die Instanz einen Proxy verwendet, um Localhost, IP-Adressen von Instanzmetadaten und die Dienste, die VPC-Endpunkte unterstützen, abzufragen. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '{{}}' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://{{}}:{{}} https_proxy=http://{{}}:{{}} no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. **Wählen Sie Komponente erstellen.** 1. Erstellen Sie ein Image Builder Builder-Image-Rezept. 1. Geben Sie auf der Seite **Rezept erstellen** Folgendes ein: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. Wählen Sie **Create Recipe** (Rezept erstellen) aus. 1. Erstellen Sie die Image Builder Builder-Infrastrukturkonfiguration. 1. Wählen Sie unter **Gespeicherte Ressourcen** die Option **Infrastrukturkonfigurationen** aus. 1. Wählen Sie **Infrastrukturkonfiguration erstellen** aus. 1. Geben Sie auf der Seite „**Infrastrukturkonfiguration erstellen**“ Folgendes ein: [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. Wählen Sie **Infrastrukturkonfiguration erstellen**. 1. Erstellen Sie eine neue EC2 Image Builder Builder-Pipeline: 1. Gehen Sie zu **Image-Pipelines** und wählen Sie **Image-Pipeline erstellen** aus. 1. Geben Sie auf der Seite „**Pipeline-Details angeben**“ Folgendes ein und wählen Sie **Weiter** aus: + Name der Pipeline und optionale Beschreibung + Legen Sie für **Build schedule** einen Zeitplan fest oder wählen Sie **Manuell**, wenn Sie den AMI-Backvorgang manuell starten möchten. 1. **Wählen Sie auf der Seite „Rezept** auswählen“ die Option **Bestehendes Rezept verwenden** und geben Sie den zuvor erstellten **Rezeptnamen** ein. Wählen Sie **Weiter** aus. 1. Wählen Sie auf der Seite „**Image-Prozess definieren**“ die Standard-Workflows aus und klicken Sie auf **Weiter**. 1. Wählen Sie auf der Seite „**Infrastrukturkonfiguration definieren**“ die Option **Bestehende Infrastrukturkonfiguration verwenden** aus und geben Sie den Namen der zuvor erstellten Infrastrukturkonfiguration ein. Wählen Sie **Weiter** aus. 1. Beachten Sie bei Ihrer Auswahl auf der Seite **„Verteilungseinstellungen definieren**“ Folgendes: + Das Ausgabe-Image muss sich in derselben Region wie die bereitgestellte RES-Umgebung befinden, damit RES die Infrastruktur-Host-Instances von dort aus ordnungsgemäß starten kann. Unter Verwendung der Dienststandardwerte wird das Ausgabe-Image in der Region erstellt, in der der EC2 Image Builder Builder-Service verwendet wird. + Wenn Sie RES in mehreren Regionen bereitstellen möchten, können Sie **Neue Distributionseinstellungen erstellen wählen und dort** weitere Regionen hinzufügen. 1. Überprüfen Sie Ihre Auswahl und wählen Sie **Pipeline erstellen**. 1. Führen Sie die EC2 Image Builder Builder-Pipeline aus: 1. Suchen Sie unter **Image-Pipelines die Pipeline**, die Sie erstellt haben, und wählen Sie sie aus. 1. Wählen Sie **Aktionen** und anschließend **Pipeline ausführen** aus. Es kann etwa 45 Minuten bis eine Stunde dauern, bis die Pipeline ein AMI-Image erstellt. 1. Notieren Sie sich die AMI-ID für das generierte AMI und verwenden Sie sie als Eingabe für den InfrastructureHost AMI-Parameter in[Schritt 1: Starten Sie das Produkt](launch-the-product.md). ### VPC-Endpunkte einrichten Um RES bereitzustellen und virtuelle Desktops zu starten, AWS-Services benötigen Sie Zugriff auf Ihr privates Subnetz. Sie müssen VPC-Endpoints einrichten, um den erforderlichen Zugriff bereitzustellen, und Sie müssen diese Schritte für jeden Endpunkt wiederholen. 1. Wenn Endpunkte noch nicht konfiguriert wurden, folgen Sie den Anweisungen unter [Zugriff und AWS-Service Verwenden eines VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Wählen Sie in jeder der beiden Availability Zones ein privates Subnetz aus. - **[Application Auto Scaling](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-vpc-endpoints.html)** - com.amazonaws. {{region}}.automatische Skalierung von Anwendungen - **[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html)** - com.amazonaws. {{region}}. Wolkenbildung - **[Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html)** - com.amazonaws. {{region}}. Überwachung - **[ CloudWatch Amazon-Protokolle](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html)** - com.amazonaws. {{region}}.protokolle - **[Amazon-DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html)** - com.amazonaws. {{region}}.dynamodb (Erfordert einen Gateway-Endpunkt) - **[Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html)** - com.amazonaws. {{region}}.ec2 - **[Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html)** - com.amazonaws. {{region}}.ecr.api - com.amazonaws. {{region}}.ecr.dkr - **[Amazon Elastic File System](https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html)** - com.amazonaws. {{region}}.elastisches Dateisystem - **[Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-vpc-endpoints.html)** - com.amazonaws. {{region}}.elastischer Lastenausgleich - **[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-related-service-vpc.html)** - com.amazonaws. {{region}}.veranstaltungen - **Amazon FSx** - com.amazonaws. {{region}}.fsx - **[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html)** - com.amazonaws. {{region}}. km - **[Amazon Kinesis Data Streams](https://docs.aws.amazon.com/streams/latest/dev/vpc.html)** - com.amazonaws. {{region}}.kinesis-Streams - **[AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc-endpoints.html)** - com.amazonaws. {{region}}. Lambda - **[Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)** - com.amazonaws. {{region}}.s3 (Erfordert einen Gateway-Endpunkt, der standardmäßig in RES erstellt wird.)
Für Cross-Mount-Buckets in einer isolierten Umgebung sind zusätzliche Amazon S3 S3-Schnittstellenendpunkte erforderlich. Weitere Informationen finden Sie unter [Zugreifen auf Endpunkte der Amazon Simple Storage Service-Schnittstelle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#accessing-s3-interface-endpoints). - **[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html)** - com.amazonaws. {{region}}. Geheimnismanager - **[Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html)** - com.amazonaws. {{region}}.ecs - **[Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/send-email-set-up-vpc-endpoints.html)** - com.amazonaws. {{region}}.email-smtp (In den folgenden Availability Zones nicht unterstützt: use-1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 und cac1-az4.) - **[AWS -Security-Token-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html)** - com.amazonaws. {{region}}.sts - **[Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html)** - com.amazonaws. {{region}}.sns - **[ Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoints)** - com.amazonaws. {{region}}.sqs - **[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-setting-up-vpc.html)** - com.amazonaws. {{region}}.ec2-Nachrichten - com.amazonaws. {{region}}.ssm - com.amazonaws. {{region}}.ssm-Nachrichten ### Connect zu Diensten ohne VPC-Endpunkte her Für die Integration mit Diensten, die keine VPC-Endpunkte unterstützen, können Sie einen Proxyserver in einem öffentlichen Subnetz Ihrer VPC einrichten. Gehen Sie wie folgt vor, um mit AWS Identity Center als Identitätsanbieter einen Proxyserver mit dem für eine Research and Engineering Studio-Bereitstellung erforderlichen Mindestzugriff zu erstellen. 1. Starten Sie eine Linux-Instance im öffentlichen Subnetz der VPC, die Sie für Ihre RES-Bereitstellung verwenden werden. + Linux-Familie — Amazon Linux 2 oder Amazon Linux 3 + Architektur — x86 + Instanztyp — t2.micro oder höher + Sicherheitsgruppe — TCP auf Port 3128 ab 0.0.0. 0/0 1. Stellen Sie eine Verbindung mit der Instanz her, um einen Proxyserver einzurichten. 1. Öffnen Sie die HTTP-Verbindung. 1. Erlauben Sie die Verbindung zu den folgenden Domänen von allen relevanten Subnetzen aus: + .amazonaws.com (für allgemeine Dienste) AWS + .amazoncognito.com (für Amazon Cognito) + .awsapps.com (für Identity Center) + .signin.aws (für Identity Center) + .amazonaws-us-gov.com (für Gov Cloud) 1. Lehnen Sie alle anderen Verbindungen ab. 1. Aktivieren und starten Sie den Proxyserver. 1. Notieren Sie sich den PORT, auf dem der Proxy-Server lauscht. 1. Konfigurieren Sie Ihre Routing-Tabelle so, dass der Zugriff auf den Proxyserver möglich ist. 1. Rufen Sie Ihre VPC-Konsole auf und identifizieren Sie die Routing-Tabellen für die Subnetze, die Sie für Infrastrukturhosts und VDI-Hosts verwenden werden. 1. Bearbeiten Sie die Routentabelle, damit alle eingehenden Verbindungen zu der in den vorherigen Schritten erstellten Proxy-Server-Instanz weitergeleitet werden können. 1. Tun Sie dies für Routing-Tabellen für alle Subnetze (ohne Internetzugang), für Infrastructure/VDIs die Sie sie verwenden möchten. 1. Ändern Sie die Sicherheitsgruppe der Proxyserver-EC2-Instance und stellen Sie sicher, dass eingehende TCP-Verbindungen an dem PORT zulässig sind, den der Proxyserver überwacht. ### Stellen Sie private VPC-Bereitstellungsparameter ein In wird erwartet[Schritt 1: Starten Sie das Produkt](launch-the-product.md), dass Sie bestimmte Parameter in die CloudFormation Vorlage eingeben. Stellen Sie sicher, dass Sie die folgenden Parameter wie angegeben festlegen, um die Bereitstellung in der privaten VPC, die Sie gerade konfiguriert haben, erfolgreich durchzuführen. | Parameter | Input | | --- |--- | | InfrastructureHostAMI | Verwenden Sie die in erstellte Infrastruktur-AMI-ID[Amazon Machine Images (AMIs) vorbereiten](#prep-ami). | | IsLoadBalancerInternetFacing | Auf „Falsch“ gesetzt. | | LoadBalancerSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | InfrastructureHostSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | VdiSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | ClientIP | Sie können Ihre VPC-CIDR auswählen, um den Zugriff für alle VPC-IP-Adressen zu ermöglichen. | | HttpProxy | Beispiel: http://10.1.2.3:123 | | HttpsProxy | Beispiel: http://10.1.2.3:123 | | NoProxy | Beispiel:
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
|