Pré-requisitos - Estúdio de Pesquisa e Engenharia
Crie um Conta da AWS com um usuário administrativoCrie um par de chaves Amazon EC2 SSHAumente as cotas de serviçoCrie um domínio público (opcional)Criar domínio (GovCloud somente)Forneça recursos externosConfigure o LDAPS em seu ambiente (opcional)Configurar uma VPC privada (opcional)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos

Crie um Conta da AWS com um usuário administrativo

Você deve ter um Conta da AWS com um usuário administrativo:

  1. Abra a https://portal.aws.amazon.com/billing/inscrição.

  2. Siga as instruções online.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

Crie um par de chaves Amazon EC2 SSH

Se você não tiver um par de chaves Amazon EC2 SSH, precisará criar um. Para obter mais informações, consulte Criar um par de chaves usando a Amazon EC2 no Guia EC2 do usuário da Amazon.

Aumente as cotas de serviço

Recomendamos aumentar as cotas de serviço para:

  • Amazon VPC

    • Aumente a cota de endereços IP elásticos por gateway NAT de cinco para oito

    • Aumente os gateways NAT por zona de disponibilidade de cinco para dez

  • Amazon EC2

    • Aumente o EC2 -VPC Elastic IPs de cinco para dez

Sua AWS conta tem cotas padrão, anteriormente chamadas de limites, para cada AWS serviço. A menos que especificado de outra forma, cada cota é específica da região . Você pode solicitar o aumento de algumas cotas, porém, algumas delas não podem ser aumentadas. Para obter mais informações, consulte Cotas para AWS serviços neste produto.

Crie um domínio público (opcional)

Recomendamos usar um domínio personalizado para o produto para ter um URL fácil de usar. Você precisará registrar um domínio usando o Amazon Route 53 ou outro provedor e importar um certificado para o domínio que está usando AWS Certificate Manager. Se você já tem um domínio público e um certificado, pode pular esta etapa.

  1. Siga as instruções para registrar um domínio no Route53. Você deve receber um e-mail de confirmação.

  2. Recupere a zona hospedada do seu domínio. Isso é criado automaticamente pelo Route53.

    1. Abra o console do Route53.

    2. Escolha Zonas hospedadas no painel de navegação à esquerda.

    3. Abra a zona hospedada criada para seu nome de domínio e copie o ID da zona hospedada.

  3. Abra AWS Certificate Manager e siga estas etapas para solicitar um certificado de domínio. Certifique-se de estar na região em que planeja implantar a solução.

  4. Escolha Listar certificados na navegação e encontre sua solicitação de certificado. A solicitação deve estar pendente.

  5. Escolha sua ID do certificado para abrir a solicitação.

  6. Na seção Domínios, escolha Criar registros no Route53. A solicitação levará aproximadamente dez minutos para ser processada.

  7. Depois que o certificado for emitido, copie o ARN da seção Status do certificado.

Criar domínio (GovCloud somente)

Se você estiver implantando na região AWS GovCloud (Oeste dos EUA), precisará concluir essas etapas de pré-requisito.

  1. Implante a AWS CloudFormation pilha de certificados na AWS conta de partição comercial em que o domínio público hospedado foi criado.

  2. Nas CloudFormation saídas do certificado, localize e anote o CertificateARN e. PrivateKeySecretARN

  3. Na conta da GovCloud partição, crie um segredo com o valor da CertificateARN saída. Observe o novo ARN secreto e adicione duas tags ao segredo para poder vdc-gateway acessar o valor do segredo:

    1. vermelho: ModuleName = virtual-desktop-controller

    2. res: EnvironmentName = [nome do ambiente] (Isso pode ser res-demo.)

  4. Na conta da GovCloud partição, crie um segredo com o valor da PrivateKeySecretArn saída. Observe o novo ARN secreto e adicione duas tags ao segredo para poder vdc-gateway acessar o valor do segredo:

    1. vermelho: ModuleName = virtual-desktop-controller

    2. res: EnvironmentName = [nome do ambiente] (Isso pode ser res-demo.)

Forneça recursos externos

O Research and Engineering Studio on AWS espera que os seguintes recursos externos existam quando for implantado.

  • Rede (VPC, sub-redes públicas e sub-redes privadas)

    É aqui que você executará as EC2 instâncias usadas para hospedar o ambiente RES, o Active Directory (AD) e o armazenamento compartilhado.

  • Armazenamento (Amazon EFS)

    Os volumes de armazenamento contêm arquivos e dados necessários para a infraestrutura de desktop virtual (VDI).

  • Serviço de diretório (AWS Directory Service for Microsoft Active Directory)

    O serviço de diretório autentica os usuários no ambiente RES.

  • Um segredo que contém a senha da conta de serviço

    O Research and Engineering Studio acessa os segredos que você fornece, incluindo a senha da conta de serviço, usando AWS Secrets Manager.

dica

Se você estiver implantando um ambiente de demonstração e não tiver esses recursos externos disponíveis, poderá usar receitas de computação de AWS alto desempenho para gerar os recursos externos. Consulte a seção a seguir,Crie recursos externos, para implantar recursos em sua conta.

Para implantações de demonstração na região AWS GovCloud (Oeste dos EUA), você precisará concluir as etapas de pré-requisito em. Criar domínio (GovCloud somente)

Configure o LDAPS em seu ambiente (opcional)

Se você planeja usar a comunicação LDAPS em seu ambiente, você deve concluir estas etapas para criar e anexar certificados ao controlador de domínio AWS Managed Microsoft AD (AD) para fornecer comunicação entre AD e RES.

  1. Siga as etapas fornecidas em Como habilitar o LDAPS do lado do servidor para seu. AWS Managed Microsoft AD Você pode pular essa etapa se já tiver habilitado o LDAPS.

  2. Depois de confirmar que o LDAPS está configurado no AD, exporte o certificado do AD:

    1. Acesse seu servidor do Active Directory.

    2. Abra PowerShell como administrador.

    3. Execute certmgr.msc para abrir a lista de certificados.

    4. Abra a lista de certificados abrindo primeiro as Autoridades de Certificação Raiz Confiáveis e depois os Certificados.

    5. Selecione e segure (ou clique com o botão direito do mouse) o certificado com o mesmo nome do seu servidor AD e escolha Todas as tarefas e, em seguida, Exportar.

    6. Escolha X.509 codificado em Base-64 (.CER) e escolha Avançar.

    7. Selecione um diretório e escolha Avançar.

  3. Crie um segredo em AWS Secrets Manager:

    Ao criar seu segredo no Secrets Manager, escolha Outro tipo de segredos em Tipo de segrdo e cole o certificado codificado PEM no campo Texto sem formatação.

  4. Observe o ARN criado e insira-o como DomainTLSCertificateSecretARN parâmetro em. Etapa 1: lançar o produto

Configurar uma VPC privada (opcional)

A implantação do Research and Engineering Studio em uma VPC isolada oferece segurança aprimorada para atender aos requisitos de conformidade e governança da sua organização. No entanto, a implantação padrão do RES depende do acesso à Internet para instalar dependências. Para instalar o RES em uma VPC privada, você precisará atender aos seguintes pré-requisitos:

Prepare imagens de máquinas da Amazon (AMIs)

  1. Baixe dependências. Para implantar em uma VPC isolada, a infraestrutura RES exige a disponibilidade de dependências sem ter acesso público à Internet.

  2. Crie uma função do IAM com acesso somente de leitura ao Amazon S3 e identidade confiável como Amazon. EC2

    1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

    2. Em Funções, escolha Criar função.

    3. Na página Selecionar entidade confiável:

      • Em Tipo de entidade confiável, escolha AWS service (Serviço da AWS).

      • Para Caso de uso em Serviço ou caso de uso, selecione EC2e escolha Avançar.

    4. Em Adicionar permissões, selecione as seguintes políticas de permissão e escolha Avançar:

      • Amazon S3 ReadOnlyAccess

      • Amazon SSMManaged InstanceCore

      • EC2InstanceProfileForImageBuilder

    5. Adicione um nome e uma descrição da função e escolha Criar função.

  3. Crie o componente construtor de EC2 imagens:

    1. Abra o console do EC2 Image Builder emhttps://console.aws.amazon.com/imagebuilder.

    2. Em Recursos salvos, escolha Componentes e escolha Criar componente.

    3. Na página Criar componente, insira os seguintes detalhes:

      • Em Tipo de componente, escolha Construir.

      • Para obter detalhes do componente, escolha:

        Parameter Entrada do usuário
        Sistema operacional (SO) de imagem Linux
        Versões de sistema operacional compatíveis Amazon Linux 2
        Nome do componente Escolha um nome como: <research-and-engineering-studio-infrastructure>
        Versão do componente. Recomendamos começar com 1.0.0.
        Descrição Entrada opcional do usuário.

    4. Na página Criar componente, escolha Definir conteúdo do documento.

      1. Antes de inserir o conteúdo do documento de definição, você precisará de um URI de arquivo para o arquivo tar.gz. Faça o upload do arquivo tar.gz fornecido pelo RES para um bucket do Amazon S3 e copie o URI do arquivo das propriedades do bucket.

      2. Insira o seguinte:

        nota

        AddEnvironmentVariablesé opcional e você pode removê-lo se não precisar de variáveis de ambiente personalizadas em seus hosts de infraestrutura.

        Se você estiver http_proxy configurando variáveis de https_proxy ambiente, os no_proxy parâmetros são necessários para evitar que a instância use proxy para consultar localhost, metadados da instância, endereços IP e serviços compatíveis com endpoints de VPC. 

        #  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
#  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
#  with the License. A copy of the License is located at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
#  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
#  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
#  and limitations under the License.
name: research-and-engineering-studio-infrastructure
description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts.
schemaVersion: 1.0

parameters:
  - AWSAccountID:
      type: string
      description: RES Environment AWS Account ID
  - AWSRegion:
      type: string
      description: RES Environment AWS Region
phases:
  - name: build
    steps:
       - name: DownloadRESInstallScripts
         action: S3Download
         onFailure: Abort
         maxAttempts: 3
         inputs:
            - source: '<s3 tar.gz file uri>'
              destination: '/root/bootstrap/res_dependencies/res_dependencies.tar.gz'
              expectedBucketOwner: '{{ AWSAccountID }}'
       - name: RunInstallScript
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - 'cd /root/bootstrap/res_dependencies'
                - 'tar -xf res_dependencies.tar.gz'
                - 'cd all_dependencies'
                - '/bin/bash install.sh'
       - name: AddEnvironmentVariables
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - |
                  echo -e "
                  http_proxy=http://<ip>:<port>
                  https_proxy=http://<ip>:<port>
                  no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com
                  " > /etc/environment

    5. Escolha Criar componente.

  4. Crie uma receita de imagem do Image Builder.

    1. Na página Criar receita, insira o seguinte:

      Seção Parameter Entrada do usuário
      Detalhes da receita Nome Insira um nome apropriado, como res-recipe-linux-x 86.
      Versão Insira uma versão, normalmente começando com 1.0.0.
      Descrição Adicione uma descrição opcional.
      Imagem base Selecionar imagem Selecione imagens gerenciadas.
      SO Amazon Linux
      Origem da imagem Início rápido (gerenciado pela Amazon)
      Nome da imagem Amazon Linux 2 x86
      Opções de controle automático de versão Use a versão mais recente do sistema operacional disponível.
      Configuração da instância Mantenha tudo nas configurações padrão e certifique-se de que Remover agente SSM após a execução do pipeline não esteja selecionado.
      Diretório de trabalho

      Caminho do diretório de trabalho

      /root/bootstrap/res_dependências
      Componentes Componentes de construção

      Pesquise e selecione o seguinte:

      • Gerenciado pela Amazon: -2-linux aws-cli-version

      • Gerenciado pela Amazon: amazon-cloudwatch-agent-linux

      • De sua propriedade: EC2 componente da Amazon criado anteriormente. Coloque seu Conta da AWS ID e atual Região da AWS nos campos.

      Componentes de teste Pesquise e selecione:

      • Gerenciado pela Amazon: simple-boot-test-linux

    2. Escolha Create recipe (Criar fórmula).

  5. Crie a configuração da infraestrutura do Image Builder.

    1. Em Recursos salvos, escolha Configurações de infraestrutura.

    2. Escolha Criar configuração de infraestrutura.

    3. Na página Criar configuração de infraestrutura, digite o seguinte:

      Seção Parameter Entrada do usuário
      Geral Nome Insira um nome apropriado, como res-infra-linux-x 86.
      Descrição Adicione uma descrição opcional.
      Perfil do IAM Selecione a função do IAM criada anteriormente.
      AWS infraestrutura Tipo de instância Escolha t3.medium.
      VPC, sub-rede e grupos de segurança Selecione uma opção que permita acesso à Internet e acesso ao bucket do Amazon S3. Se precisar criar um grupo de segurança, você pode criar um no EC2 console da Amazon com as seguintes entradas:

      • VPC: selecione a mesma VPC que está sendo usada para a configuração da infraestrutura. Essa VPC deve ter acesso à Internet.

      • Regra de entrada:

        • Tipo: SSH

        • Source (Origem): personalizado

        • Bloco CIDR: 0.0.0.0/0

    4. Escolha Criar configuração de infraestrutura.

  6. Crie um novo pipeline do EC2 Image Builder:

    1. Acesse Image pipelines e escolha Create image pipeline.

    2. Na página Especificar detalhes do pipeline, insira o seguinte e escolha Avançar:

      • Nome do pipeline e descrição opcional

      • Em Programação de criação, defina uma programação ou escolha Manual se quiser iniciar o processo de preparação da AMI manualmente.

    3. Na página Escolher receita, escolha Usar receita existente e insira o nome da receita criada anteriormente. Escolha Próximo.

    4. Na página Definir processo de imagem, selecione os fluxos de trabalho padrão e escolha Avançar.

    5. Na página Definir configuração de infraestrutura, escolha Usar configuração de infraestrutura existente e insira o nome da configuração de infraestrutura criada anteriormente. Escolha Próximo.

    6. Na página Definir configurações de distribuição, considere o seguinte para suas seleções:

      • A imagem de saída deve residir na mesma região do ambiente RES implantado, para que o RES possa iniciar adequadamente instâncias hospedeiras de infraestrutura a partir dele. Usando padrões de serviço, a imagem de saída será criada na região em que o serviço EC2 Image Builder está sendo usado.

      • Se quiser implantar RES em várias regiões, você pode escolher Criar novas configurações de distribuição e adicionar mais regiões lá.

    7. Revise suas seleções e escolha Criar funil.

  7. Execute o pipeline do EC2 Image Builder:

    1. Em Pipelines de imagem, encontre e selecione o pipeline que você criou.

    2. Escolha Ações e escolha Executar pipeline.

      O pipeline pode levar aproximadamente 45 minutos a uma hora para criar uma imagem de AMI.

  8. Anote o ID da AMI para a AMI gerada e use-o como entrada para o parâmetro da InfrastructureHost AMI emEtapa 1: lançar o produto.

Configurar endpoints de VPC

Para implantar RES e iniciar desktops virtuais, Serviços da AWS exija acesso à sua sub-rede privada. Você deve configurar VPC endpoints para fornecer o acesso necessário e precisará repetir essas etapas para cada endpoint.

  1. Se os endpoints não tiverem sido configurados anteriormente, siga as instruções fornecidas em Access e AWS service (Serviço da AWS) usando uma interface VPC endpoint.

  2. Selecione uma sub-rede privada em cada uma das duas zonas de disponibilidade.

AWS service (Serviço da AWS) Nome do serviço
Application Auto Scaling com.amazonaws. region.escalonamento automático de aplicativos
AWS CloudFormation com.amazonaws. region.formação em nuvem
Amazon CloudWatch com.amazonaws. region.monitoramento
CloudWatch Registros da Amazon com.amazonaws. region.registros
Amazon DynamoDB com.amazonaws. region.dynamodb (requer um endpoint de gateway)
Amazon EC2 com.amazonaws. region.ec2
Amazon ECR com.amazonaws. region.ecr.api
com.amazonaws. region.ecr.dkr
Amazon Elastic File System com.amazonaws. region.sistema de arquivos elástico
Elastic Load Balancing com.amazonaws. region. balanceamento de carga elástico
Amazon EventBridge com.amazonaws. region.eventos
Amazon FSx com.amazonaws. region.fsx
AWS Key Management Service com.amazonaws. region.kms
Amazon Kinesis Data Streams com.amazonaws. region.kinesis-streams
Amazon S3 com.amazonaws. region.s3 (requer um endpoint de gateway criado por padrão no RES.)
AWS Secrets Manager com.amazonaws. region.gerente de segredos
Amazon SES com.amazonaws. region.email-smtp (Não suportado nas seguintes zonas de disponibilidade: use-1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 e cac1-az4.)
AWS Security Token Service com.amazonaws. region.sts
Amazon SNS com.amazonaws. region.sns
Amazon SQS com.amazonaws. region.sqs
AWS Systems Manager com.amazonaws. region.ec2 mensagens.
com.amazonaws. region.sms
com.amazonaws. region.mensagens.ssm

Conecte-se a serviços sem VPC endpoints

Para se integrar a serviços que não oferecem suporte a endpoints de VPC, você pode configurar um servidor proxy em uma sub-rede pública da sua VPC. Siga estas etapas para criar um servidor proxy com o acesso mínimo necessário para uma implantação do Research and Engineering Studio usando o AWS Identity Center como seu provedor de identidade.

  1. Execute uma instância Linux na sub-rede pública da VPC que você usará para sua implantação de RES.

    • Família Linux — Amazon Linux 2 ou Amazon Linux 3

    • Arquitetura — x86

    • Tipo de instância — t2.micro ou superior

    • Grupo de segurança — TCP na porta 3128 de 0.0.0.0/0

  2. Conecte-se à instância para configurar um servidor proxy.

    1. Abra a conexão http.

    2. Permita a conexão com os seguintes domínios de todas as sub-redes relevantes:

      • .amazonaws.com (para serviços genéricos) AWS

      • .amazoncognito.com (para o Amazon Cognito)

      • .awsapps.com (para Identity Center)

      • .signin.aws (para o Identity Center)

      • . amazonaws-us-gov.com (para Gov Cloud)

    3. Negue todas as outras conexões.

    4. Ative e inicie o servidor proxy.

    5. Observe a PORTA na qual o servidor proxy escuta.

  3. Configure sua tabela de rotas para permitir o acesso ao servidor proxy.

    1. Acesse seu console VPC e identifique as tabelas de rotas das sub-redes que você usará para hosts de infraestrutura e hosts VDI.

    2. Edite a tabela de rotas para permitir que todas as conexões de entrada acessem a instância do servidor proxy criada nas etapas anteriores.

    3. Faça isso para tabelas de rotas para todas as sub-redes (sem acesso à Internet) que você usará para Infrastructure/. VDIs

  4. Modifique o grupo de segurança da EC2 instância do servidor proxy e certifique-se de que ele permita conexões TCP de entrada na PORTA na qual o servidor proxy está escutando.

Definir parâmetros de implantação de VPC privados

EmEtapa 1: lançar o produto, espera-se que você insira determinados parâmetros no AWS CloudFormation modelo. Certifique-se de definir os parâmetros a seguir, conforme observado, para implantar com êxito na VPC privada que você acabou de configurar.

Parameter Entrada
InfrastructureHostAMI Use o ID da AMI de infraestrutura criado emPrepare imagens de máquinas da Amazon (AMIs).
IsLoadBalancerInternetFacing Definido como falso.
LoadBalancerSubnets Escolha sub-redes privadas sem acesso à Internet.
InfrastructureHostSubnets Escolha sub-redes privadas sem acesso à Internet.
VdiSubnets Escolha sub-redes privadas sem acesso à Internet.

ClientIP

 Você pode escolher seu CIDR de VPC para permitir o acesso a todos os endereços IP da VPC.