Creación y transmisión desde puntos de conexión de VPC de interfaz - Amazon WorkSpaces
Requisitos previos y limitacionesConfiguración del punto de conexión de VPC para la transmisión de WorkSpaces

Creación y transmisión desde puntos de conexión de VPC de interfaz

Una nube privada virtual (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de Amazon Web Services. Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión entre su VPC y WorkSpaces. Puede utilizar esta conexión para habilitar que WorkSpaces se comunique con sus recursos en su VPC sin pasar por la red pública de Internet.

Los puntos de conexión de interfaz están equipados con AWS PrivateLink, una tecnología que le permite mantener el tráfico de streaming dentro de la VPC que especifique mediante direcciones IP privadas. Si utiliza la VPC con un túnel de AWS Direct Connect o AWS Virtual Private Network, puede mantener el tráfico de streaming en la red.

Puede utilizar un punto de conexión de VPC de interfaz en la cuenta de AWS para restringir todo el tráfico de transmisión entre su VPC de Amazon y WorkSpaces a la red de AWS. Después de crear el punto de conexión, configure el directorio de WorkSpaces para usarlo.

Requisitos previos y limitaciones

Antes de configurar los puntos de conexión de VPC de interfaz para WorkSpaces, debe tener en cuenta los siguientes requisitos previos y limitaciones:

  • Actualmente, la característica admite el tipo de IP de registro DNS IPv4 o IPv6. No se admite el tipo de IP de registro DNS de pila doble.

  • Solo puede configurar puntos de conexión de VPC que estén en la misma Cuenta de AWS que su directorio. No se admiten los puntos de conexión de VPC en otras Cuentas de AWS, incluidos los puntos de conexión de VPC compartidas.

  • Actualmente, la característica solo admite nombres de DNS privados para puntos de conexión de VPC. El nombre de DNS privado para un punto de conexión de VPC no se puede resolver de forma pública.

  • Actualmente, la característica solo está disponible para WorkSpaces Personal. WorkSpaces Pools no admite los puntos de conexión de VPC para transmisión.

  • La característica de punto de conexión de VPC está disponible exclusivamente para los WorkSpaces que utilizan Amazon DCV. Al configurar un punto de conexión de VPC para un directorio, los usuarios no pueden transmitir desde Amazon DCV a través de Internet. Sin embargo, puede habilitar la transmisión por Internet para los WorkSpaces con PCoIP en el mismo directorio durante la configuración del punto de conexión de VPC.

  • Utilice un punto de conexión de VPC de transmisión para mantener el tráfico de transmisión en la VPC. Sus clientes de WorkSpaces requieren conectividad a Internet para la autenticación de los usuarios. Habilite el acceso de salida en el puerto 443 (tanto UDP como TCP) para el tráfico de autenticación. Asimismo, debe añadir los dominios y las direcciones IP necesarios a la lista de permitidos en función del método de autenticación que haya elegido. Para obtener una lista completa de los dominios de cada categoría, consulte Dominios y direcciones IP para agregar a la lista de permitidos.

    • CAPTCHA

    • Configuración de directorios

    • Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión, si utiliza una tarjeta inteligente

    • Páginas de inicio de sesión del usuario

    • Agente de WS

    • Puntos de conexión de WorkSpaces para el inicio de sesión único (SSO) de SAML

  • La red a la que se conectan los dispositivos de los usuarios debe poder dirigir el tráfico al punto de conexión de VPC.

  • Debe tener una política de permisos de IAM para el usuario de IAM o el rol de IAM en su cuenta de AWS para realizar la acción de la API ec2:DescribeVpcEndpoints.

  • Los puntos de conexión de VPC de transmisión de WorkSpaces no admiten actualmente el cifrado FIPS. Si ya ha habilitado el cifrado FIPS para un directorio, debe deshabilitar el cifrado FIPS antes de configurar un punto de conexión de VPC.

  • La integración de AWS Global Accelerator (AGA) no está disponible cuando se transmite a través de un punto de conexión de VPC.

  • Cuando se configura un punto de conexión de VPC para un directorio, ya no se aplican los grupos de control de acceso IP especificados para el directorio.

Configuración del punto de conexión de VPC para la transmisión de WorkSpaces

Para configurar un punto de conexión de VPC para la transmisión de WorkSpaces, siga estos pasos:

Paso 1: Crear el grupo de seguridad

En este paso, se crea un grupo de seguridad que permite a los clientes de WorkSpaces comunicarse con el punto de conexión de VPC que creará.

  1. En el panel de navegación de la consola de Amazon EC2, vaya a Seguridad y redes y luego a Grupos de seguridad.

  2. Seleccione Crear grupo de seguridad.

  3. En Detalles básicos, introduzca lo siguiente:

    • En Nombre de grupo de seguridad, escriba un nombre único que identifique el grupo de seguridad.

    • En Descripción, especifique texto que describa el objetivo del grupo de seguridad.

    • En VPC: elija la VPC en la que se encuentra el punto de conexión de VPC.

  4. Vaya a Reglas de entrada y seleccione Agregar regla para crear reglas de entrada para el tráfico TCP.

  5. Introduzca lo siguiente:

    • En Tipo, elija TCP personalizada.

    • En Intervalo de puertos: introduzca los siguientes números de puerto: 443, 4195.

    • En Tipo de origen, elija Personalizado.

    • En Origen: introduzca el rango de IP CIDR privado u otros ID de grupo de seguridad desde los que los usuarios se conectan al punto de conexión de VPC. Asegúrese de permitir el tráfico de entrada desde un origen de las direcciones IPv4 o IPv6.

  6. Repita los pasos 4 y 5 para cada rango de CIDR o grupo de seguridad.

  7. Vaya a Reglas de entrada y seleccione Agregar regla para crear reglas de entrada para el tráfico UDP.

  8. Introduzca lo siguiente:

    • En Tipo, elija UDP personalizada.

    • En Intervalo de puertos, introduzca los siguientes números de puerto: 443, 4195.

    • En Tipo de origen, elija Personalizado.

    • En Origen, introduzca el mismo rango de IP CIDR privado o los mismos ID de grupo de seguridad introducidos en el paso 5. Asegúrese de permitir el tráfico de entrada desde un origen de las direcciones IPv4 o IPv6.

  9. Repita los pasos 7 y 8 para cada rango de CIDR o grupo de seguridad.

  10. Seleccione Crear grupo de seguridad.

Paso 2: Crear el punto de conexión de VPC

En Amazon VPC, un punto de conexión de VPC le permite conectar su VPC a los servicios admitidos de AWS. En este ejemplo, configura Amazon VPC para que los usuarios de WorkSpaces puedan transmitir desde WorkSpaces.

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, vaya a Puntos de conexión y luego a Crear punto de conexión.

  3. Seleccione Crear punto de conexión.

  4. Asegúrese de lo siguiente:

    • Categoría de servicio: asegúrese de que se han seleccionado los servicios de AWS.

    • Nombre del servicio: elija com.amazonaws.Region.highlander.

    • VPC: elija una VPC en la que desee crear el punto de conexión de interfaz. Puede elegir una VPC distinta de la VPC con recursos de WorkSpaces, siempre y cuando la red dirija el tráfico al punto de conexión de VPC.

    • Habilitar nombre de DNS privado: la casilla de verificación está seleccionada. Si los usuarios utilizan un proxy de red para acceder a instancias de streaming, deshabilite cualquier almacenamiento en caché de proxy en los nombres de dominio y DNS asociados al punto de conexión privado. El nombre de DNS del punto de conexión de VPC debe estar permitido a través del proxy. Para que la resolución de nombres DNS sea correcta, es esencial utilizar los servidores DNS privados de la VPC, ya que los servidores DNS públicos no resolverán el nombre DNS del punto de conexión de VPC.

    • Tipo de IP de registro DNS: elija IPv4 o IPv6. No se admite actualmente el tipo de IP de registro DNS de pila doble. Si elige Pila doble, no podrá transmitir desde WorkSpaces mediante el punto de conexión de VPC.

    • Subredes: elija las subredes (zonas de disponibilidad) para crear el punto de conexión de VPC. Se recomienda elegir como mínimo dos subredes.

    • Tipo de dirección IP: elija IPv4, IPv6 o Pila doble en función de lo que admitan las subredes que haya elegido.

    • En Panel de grupos de seguridad, seleccione el grupo de seguridad que creó anteriormente.

  5. (Opcional) En el panel Etiquetas, puede crear una o más etiquetas.

  6. Seleccione Crear punto de conexión.

Cuando el punto de conexión esté listo para usar, el valor de la columna Status (Estado) cambia a Available (Disponible).

Paso 3: configuración del directorio de WorkSpaces para usar el punto de conexión de VPC

Debe configurar el directorio de WorkSpaces para usar el punto de conexión de VPC que creó para la transmisión.

  1. Abra la consola de WorkSpaces en la misma región de AWS que el punto de conexión de VPC.

  2. En el panel de navegación, seleccione Directorios.

  3. Seleccione el directorio que desea usar.

  4. Vaya a la sección Puntos de conexión de VPC y, a continuación, seleccione Editar.

  5. En el cuadro de diálogo Editar punto de conexión de VPC, en Punto de conexión de transmisión, seleccione el punto de conexión de VPC que ha creado.

  6. Si lo desea, puede habilitar Permitir usuarios con WorkSpaces de PCoIP para transmitir desde Internet.

    nota

    Cuando está habilitado, los usuarios pueden transmitir desde sus WorkSpaces de PCoIP a través de Internet público. De lo contrario, no se podrá acceder a los WorkSpaces de PCoIP del directorio, ya que los WorkSpaces de PCoIP no admiten el punto de conexión de VPC para transmisión.

  7. Seleccione Guardar.

El tráfico de las nuevas sesiones de streaming se dirigirá a través de este punto de conexión de VPC. Sin embargo, el tráfico de las sesiones de streaming actuales sigue dirigiéndose a través del punto de conexión especificado anteriormente.

nota

Los usuarios de WorkSpaces con DCV no pueden transmitir mediante Internet público cuando se especifica un punto de conexión de VPC.