Erstellen und Streamen von Schnittstellen-VPC-Endpunkten - Amazon WorkSpaces
Voraussetzungen und EinschränkungenVPC-Endpunkt für WorkSpaces Streaming einrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen und Streamen von Schnittstellen-VPC-Endpunkten

Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Wenn Sie Amazon Virtual Private Cloud zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und WorkSpaces herstellen. Sie können diese Verbindung verwenden, WorkSpaces um mit Ihren Ressourcen auf Ihrer VPC zu kommunizieren, ohne das öffentliche Internet nutzen zu müssen.

Schnittstellenendpunkte werden mit einer Technologie betrieben AWSPrivateLink, mit der Sie den Datenverkehr innerhalb einer VPC streamen können, die Sie mithilfe von privaten IP-Adressen angeben. Wenn Sie die VPC mit einem AWS Direct Connect- oder AWS Virtual Private Network-Tunnel verwenden, können Sie den Streaming-Verkehr in Ihrem Netzwerk behalten.

Sie können einen VPC-Endpunkt in Ihrem AWS Konto verwenden, um den gesamten Streaming-Verkehr zwischen Ihrer Amazon VPC und WorkSpaces dem AWS Netzwerk einzuschränken. Nachdem Sie den Endpunkt erstellt haben, konfigurieren Sie Ihr WorkSpaces Verzeichnis so, dass es verwendet wird.

Voraussetzungen und Einschränkungen

Bevor Sie VPC-Endpoints für einrichten WorkSpaces, sollten Sie die folgenden Voraussetzungen und Einschränkungen beachten.

  • Die Funktion unterstützt derzeit den IPv4 IP-Typ unseres IPv6 DNS-Eintrags. Der IP-Typ DualStack-DNS-Datensatz wird nicht unterstützt.

  • Sie können nur VPC-Endpoints konfigurieren, die sich in demselben Verzeichnis befinden AWS-Konto wie Ihr Verzeichnis. VPC-Endpunkte in anderen Bereichen AWS-Konten werden nicht unterstützt, einschließlich Endpoints in Shared. VPCs

  • Die Funktion unterstützt derzeit nur private DNS-Namen für VPC-Endpunkte. Der private DNS-Name für einen VPC-Endpunkt ist nicht öffentlich auflösbar.

  • Die Funktion ist derzeit nur für WorkSpaces Personal verfügbar. WorkSpaces Pools unterstützt keine VPC-Endpunkte für Streaming.

  • Die VPC-Endpunktfunktion ist ausschließlich für die WorkSpaces Verwendung von Amazon DCV verfügbar. Wenn Sie einen VPC-Endpunkt für ein Verzeichnis konfigurieren, können Benutzer nicht von Amazon DCV über das Internet streamen. Sie können jedoch während der VPC-Endpunktkonfiguration Internet-Streaming für PCo IP WorkSpaces im selben Verzeichnis aktivieren.

  • Verwenden Sie einen Streaming-VPC-Endpunkt, um den Streaming-Verkehr innerhalb Ihrer VPC aufrechtzuerhalten. Ihre WorkSpaces Clients benötigen eine Internetverbindung für die Benutzerauthentifizierung. Aktivieren Sie den ausgehenden Zugriff auf Port 443 (sowohl UDP als auch TCP) für den Authentifizierungsverkehr. Darüber hinaus müssen Sie die erforderlichen Domänen und IP-Adressen auf der Grundlage der von Ihnen gewählten Authentifizierungsmethode zu Ihrer Zulassungsliste hinzufügen. Eine vollständige Liste der Domänen für jede Kategorie finden Sie unter Domänen und IP-Adressen, die Sie Ihrer Zulassungsliste hinzufügen möchten.

    • CAPTCHA

    • Verzeichniseinstellungen

    • Endpunkte für die Smartcard-Authentifizierung vor der Sitzung, wenn Sie Smartcard verwenden

    • Benutzer-Anmeldeseiten

    • WS Broker

    • WorkSpaces Endpunkte für SAML Single Sign-On (SSO)

  • Das Netzwerk, mit dem die Geräte Ihrer Benutzer verbunden sind, muss in der Lage sein, den Datenverkehr zum VPC-Endpunkt weiterzuleiten.

  • Sie benötigen eine IAM-Berechtigungsrichtlinie für den IAM-Benutzer oder die IAM-Rolle in Ihrem AWS Konto, um die API-Aktion ausführen zu können. ec2:DescribeVpcEndpoints

  • WorkSpaces Streaming-VPC-Endpunkte unterstützen derzeit keine FIPS-Verschlüsselung. Wenn Sie die FIPS-Verschlüsselung bereits für ein Verzeichnis aktiviert haben, müssen Sie die FIPS-Verschlüsselung deaktivieren, bevor Sie einen VPC-Endpunkt konfigurieren.

  • AWSDie Global Accelerator (AGA) -Integration ist nicht verfügbar, wenn über einen VPC-Endpunkt gestreamt wird.

  • Wenn ein VPC-Endpunkt für ein Verzeichnis konfiguriert ist, gelten die für das Verzeichnis angegebenen IP-Zugriffskontrollgruppen nicht mehr.

VPC-Endpunkt für WorkSpaces Streaming einrichten

Gehen Sie wie folgt vor, um einen VPC-Endpunkt für WorkSpaces Streaming einzurichten:

Schritt 1: Erstellen der Sicherheitsgruppe

In diesem Schritt erstellen Sie eine Sicherheitsgruppe, über die WorkSpaces Clients mit dem VPC-Endpunkt kommunizieren können, den Sie erstellen werden.

  1. Gehen Sie im Navigationsbereich der EC2 Amazon-Konsole zu Netzwerk und Sicherheit und dann zu Sicherheitsgruppen.

  2. Wählen Sie Sicherheitsgruppe erstellen aus.

  3. Geben Sie unter Grundlegende Details Folgendes ein:

    • Für den Namen der Sicherheitsgruppe — Geben Sie einen eindeutigen Namen ein, der die Sicherheitsgruppe identifiziert.

    • Als Beschreibung — Geben Sie einen Text ein, der den Zweck der Sicherheitsgruppe beschreibt.

    • Für VPC — Wählen Sie die VPC aus, in der sich Ihr VPC-Endpunkt befindet.

  4. Gehen Sie zu Eingehende Regeln und wählen Sie Regel hinzufügen aus, um eingehende Regeln für TCP-Verkehr zu erstellen.

  5. Geben Sie Folgendes ein:

    • Wählen Sie für Typ die Option Benutzerdefiniertes TCP.

    • Für Portbereich — Geben Sie die folgenden Portnummern ein:443,4195.

    • Wählen Sie für Quelltyp die Option Benutzerdefiniert.

    • Als Quelle — Geben Sie den privaten IP-CIDR-Bereich oder eine andere Sicherheitsgruppe ein, IDs von der aus Ihre Benutzer eine Verbindung zum VPC-Endpunkt herstellen. Achten Sie darauf, eingehenden Datenverkehr von einer IPv4 oder IPv6 Adressquelle zuzulassen.

  6. Wiederholen Sie die Schritte 4 und 5 für jeden CIDR-Bereich oder jede Sicherheitsgruppe.

  7. Gehen Sie zu Regeln für eingehenden Datenverkehr und wählen Sie Regel hinzufügen aus, um Regeln für eingehenden Datenverkehr zu erstellen.

  8. Geben Sie Folgendes ein:

    • Wählen Sie für Typ die Option Benutzerdefiniertes UDP aus.

    • Für Portbereich — Geben Sie die folgenden Portnummern ein: 443, 4195.

    • Wählen Sie für Quelltyp die Option Benutzerdefiniert.

    • Als Quelle — Geben Sie denselben privaten IP-CIDR-Bereich oder dieselbe Sicherheitsgruppe ein, den Sie in Schritt 5 IDs eingegeben haben. Achten Sie darauf, eingehenden Datenverkehr von einer IPv4 oder IPv6 Adressquelle zuzulassen.

  9. Wiederholen Sie die Schritte 7 und 8 für jeden CIDR-Bereich oder jede Sicherheitsgruppe.

  10. Wählen Sie Sicherheitsgruppe erstellen aus.

Schritt 2: Erstellen des VPC-Endpunkts

In Amazon VPC können Sie mit einem VPC-Endpunkt Ihre VPC mit unterstützten Services verbinden. AWS In diesem Beispiel konfigurieren Sie Amazon VPC so, dass Ihre WorkSpaces Benutzer von WorkSpaces dort streamen können.

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Gehen Sie im Navigationsbereich zu Endpoints und dann zu Create Endpoint.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Stellen Sie Folgendes sicher:

    • Servicekategorie — Stellen Sie sicher, dass AWSDienste ausgewählt sind.

    • Servicename — Wählen Sie com.amazonaws. Region.highlander.

    • VPC — Wählen Sie eine VPC aus, in der der Schnittstellenendpunkt erstellt werden soll. Sie können eine andere VPC als die VPC mit WorkSpaces Ressourcen wählen, solange das Netzwerk den Datenverkehr an den VPC-Endpunkt weiterleitet.

    • Privaten DNS-Namen aktivieren — Das Kontrollkästchen ist aktiviert. Wenn Ihre Benutzer einen Netzwerkproxy verwenden, um auf Streaming-Instances zuzugreifen, deaktivieren Sie die Proxy-Zwischenspeicherung in der Domäne und alle DNS-Namen, die dem privaten Endpunkt zugeordnet sind. Der DNS-Name des VPC-Endpunkts sollte über den Proxy zugelassen werden. Für eine erfolgreiche DNS-Namensauflösung ist es wichtig, die privaten DNS-Server innerhalb der VPC zu verwenden, da öffentliche DNS-Server den DNS-Namen des VPC-Endpunkts nicht auflösen.

    • IP-Typ des DNS-Eintrags — Wählen Sie IPv4 oder. IPv6 Der IP-Typ DualStack-DNS-Datensatz wird derzeit nicht unterstützt. Wenn Sie sich für Dualstack entscheiden, können Sie nicht WorkSpaces über den VPC-Endpunkt streamen.

    • Subnetze — Wählen Sie die Subnetze (Availability Zones) aus, um den VPC-Endpunkt zu erstellen. Es wird empfohlen, mindestens zwei Subnetze auszuwählen.

    • IP-Adresstyp — Wählen Sie IPv6 oder Dualstack IPv4, je nachdem, was die ausgewählten Subnetze unterstützen.

    • Bereich „Sicherheitsgruppen“ — Wählen Sie die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.

  5. (Optional) Im Bereich Tags können Sie ein oder mehrere Tags erstellen.

  6. Wählen Sie Endpunkt erstellen aus.

Wenn der Endpunkt einsatzbereit ist, ändert sich der Wert in der Spalte Status auf Status auf Available (Verfügbar).

Schritt 3: WorkSpaces Verzeichnis für die Verwendung des VPC-Endpunkts konfigurieren

Sie müssen das WorkSpaces Verzeichnis so konfigurieren, dass es den VPC-Endpunkt verwendet, den Sie für das Streaming erstellt haben.

  1. Öffnen Sie die WorkSpaces Konsole in derselben AWS Region wie der VPC-Endpunkt.

  2. Wählen Sie im Navigationsbereich Verzeichnisse und dann aus.

  3. Wählen Sie das Verzeichnis aus, das Sie verwenden möchten.

  4. Gehen Sie zum Abschnitt VPC-Endpoints und dann zum Abschnitt Bearbeiten.

  5. Wählen Sie im Dialogfeld VPC-Endpunkt bearbeiten unter Streaming-Endpunkt den VPC-Endpunkt aus, den Sie erstellt haben.

  6. Optional können Sie Benutzern mit PCo IP erlauben, aus dem Internet WorkSpaces zu streamen aktivieren.

    Anmerkung

    Wenn diese Option aktiviert ist, können Ihre Benutzer von ihrer PCo IP-Adresse aus WorkSpaces über das öffentliche Internet streamen. Andernfalls wird die PCo IP WorkSpaces im Verzeichnis nicht mehr erreichbar sein, da PCo IP WorkSpaces keinen VPC-Endpunkt für Streaming unterstützt.

  7. Wählen Sie Speichern aus.

Der Datenverkehr für neue Streaming-Sitzungen wird über diesen VPC-Endpunkt geleitet. Der Datenverkehr für aktuelle Streaming-Sitzungen wird jedoch weiterhin über den zuvor angegebenen Endpunkt geleitet.

Anmerkung

Benutzer mit DCV WorkSpaces können nicht über das öffentliche Internet streamen, wenn ein VPC-Endpunkt angegeben ist.