Criação e streaming a partir de endpoints da VPC de interface - Amazon WorkSpaces
Pré-requisitos e limitaçõesConfigurando o VPC endpoint para streaming WorkSpaces

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e streaming a partir de endpoints da VPC de interface

Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e. WorkSpaces Você pode usar essa conexão para permitir WorkSpaces a comunicação com seus recursos em sua VPC sem passar pela Internet pública.

Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um túnel AWS Direct Connect ou AWS Virtual Private Network, você pode manter o tráfego de streaming em sua rede.

Você pode usar um VPC endpoint em sua AWS conta para restringir todo o tráfego de streaming entre sua Amazon VPC e a rede. WorkSpaces AWS Depois de criar o endpoint, configure seu WorkSpaces diretório para usá-lo.

Pré-requisitos e limitações

Antes de configurar os VPC endpoints para WorkSpaces, esteja ciente dos seguintes pré-requisitos e limitações.

  • Atualmente, o recurso suporta IPv4 nosso tipo de IP de registro IPv6 DNS. O tipo IP do registro DNS Dualstack não é compatível.

  • Você só pode configurar VPC endpoints que estejam no Conta da AWS mesmo diretório. Não Contas da AWS há suporte para endpoints VPC em outros, incluindo endpoints compartilhados. VPCs

  • Atualmente, o atributo oferece suporte apenas ao nome DNS privado para endpoints da VPC. O nome DNS privado de um endpoint da VPC não é possível resolver publicamente.

  • Atualmente, o recurso está disponível apenas para WorkSpaces uso pessoal. WorkSpaces Os pools não oferecem suporte a endpoints VPC para streaming.

  • O recurso de VPC endpoint está disponível exclusivamente para usar o WorkSpaces Amazon DCV. Quando você configura um endpoint da VPC para um diretório, os usuários não podem transmitir do Amazon DCV pela Internet. No entanto, você pode ativar o streaming da Internet para PCo IP WorkSpaces no mesmo diretório durante a configuração do VPC endpoint.

  • Para manter o tráfego de streaming em sua VPC, use um endpoint da VPC de streaming. Seus WorkSpaces clientes precisam de conectividade com a Internet para autenticação do usuário. Ative o acesso de saída na porta 443 (UDP e TCP) para tráfego de autenticação. Além disso, você deve adicionar os domínios e endereços IP necessários à sua lista de permissões com base no método de autenticação escolhido. Para obter uma lista completa de domínios para cada categoria, consulte Domínios e endereços IP para adicionar à sua lista de permissões.

    • CAPTCHA

    • Configurações de diretório

    • Endpoints de autenticação de cartão inteligente pré-sessão, se você estiver usando cartão inteligente

    • Páginas de login do usuário

    • WS Broker

    • WorkSpaces Endpoints para SAML Single Sign-On (SSO)

  • A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint da VPC.

  • Você deve ter uma política de permissões do IAM para o usuário do IAM ou para o perfil do IAM em sua conta da AWS para executar a ação da API ec2:DescribeVpcEndpoints.

  • WorkSpaces Atualmente, os endpoints VPC de streaming não oferecem suporte à criptografia FIPS. Se você já habilitou a criptografia FIPS para um diretório, precisará desabilitar a criptografia FIPS antes de configurar um endpoint da VPC.

  • AWSA integração do Global Accelerator (AGA) não está disponível durante o streaming por meio de um VPC endpoint.

  • Quando um endpoint da VPC é configurado para um diretório, os grupos de controle de acesso IP especificados para o diretório não se aplicam mais.

Configurando o VPC endpoint para streaming WorkSpaces

Para configurar um VPC endpoint para WorkSpaces streaming, conclua as seguintes etapas:

Etapa 1: Criar o grupo de segurança

Nesta etapa, você cria um grupo de segurança que permite que WorkSpaces os clientes se comuniquem com o VPC endpoint que você criará.

  1. No painel de navegação do EC2 console da Amazon, acesse Rede e Segurança, depois Grupos de Segurança.

  2. Selecione Criar grupo de segurança.

  3. Em Detalhes básicos, faça o seguinte:

    • Em Nome do grupo de segurança: insira um nome exclusivo que identifique o grupo de segurança.

    • Em Descrição: insira algum texto que descreva a finalidade do grupo de segurança.

    • Para VPC: escolha a VPC em que seu endpoint da VPC está.

  4. Acesse Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego TCP.

  5. Insira o seguinte:

    • Em Tipo: escolha TCP personalizada.

    • Para Intervalo de portas: insira os seguintes números de porta: 443, 4195.

    • Em Tipo de origem: escolha Personalizado.

    • Para Origem — Insira o intervalo de IP CIDR privado ou outro grupo de segurança a IDs partir do qual seus usuários se conectam ao VPC endpoint. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.

  6. Repita as etapas 4 e 5 para cada intervalo CIDR ou grupo de segurança.

  7. Vá para Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego UDP.

  8. Insira o seguinte:

    • Em Tipo: escolha TCP personalizada.

    • Em Intervalo de portas: insira os seguintes números de porta: 443, 4195.

    • Em Tipo de origem: escolha Personalizado.

    • Para Fonte — Insira o mesmo intervalo de CIDR IP privado ou grupo de segurança IDs inserido na Etapa 5. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.

  9. Repita as etapas 7 e 8 para cada intervalo CIDR ou grupo de segurança.

  10. Selecione Criar grupo de segurança.

Etapa 2: Criar o endpoint da VPC.

Na Amazon VPC, um endpoint de VPC permite que você conecte sua VPC a serviços compatíveis. AWS Neste exemplo, você configura a Amazon VPC para que seus WorkSpaces usuários possam transmitir a partir de. WorkSpaces

  1. Abra o console da Amazon VPC.

  2. No painel de navegação, escolha Endpoints, Criar endpoint .

  3. Selecione Criar endpoint.

  4. Verifique o seguinte:

    • Categoria de serviço: verifique se AWS Serviços da AWS está selecionado.

    • Nome do serviço — Escolha com.amazonaws. Region.highlander.

    • VPC: escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com WorkSpaces recursos, desde que a rede direcione o tráfego para o VPC endpoint.

    • Habilitar nome DNS privado: a caixa de seleção está marcada. Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy. Para uma resolução bem-sucedida de nomes DNS, é essencial usar os servidores DNS privados na VPC, pois os servidores DNS públicos não resolverão o nome DNS do endpoint da VPC.

    • Tipo de IP do registro DNS — Escolha IPv4 ou IPv6. O tipo IP do registro DNS Dualstack não é compatível no momento. Se você escolher o Dualstack, não poderá transmitir usando WorkSpaces o VPC endpoint.

    • Sub-redes: selecione as sub-redes (zonas de disponibilidade) para criar o endpoint da VPC. É recomendável que você selecione pelo menos duas sub-redes.

    • Tipo de endereço IP — escolha IPv6 ou pilha dupla IPv4, dependendo do suporte das sub-redes escolhidas.

    • Painel Security groups: selecione o grupo de segurança criado anteriormente.

  5. (Opcional) No painel Tags é possível criar uma ou mais tags.

  6. Selecione Criar endpoint.

Quando o endpoint estiver pronto para uso, o valor na coluna Status mudará para Available (Disponível).

Etapa 3: configurar o WorkSpaces diretório para usar o VPC endpoint

Você precisa configurar o WorkSpaces diretório para usar o VPC endpoint que você criou para streaming.

  1. Abra o WorkSpaces console na mesma AWS região do VPC endpoint.

  2. No painel Navegação, selecione Diretórios.

  3. Selecione o diretório que deseja usar.

  4. Vá para a seção Endpoints da VPC, em seguida Editar.

  5. Na caixa de diálogo Editar Endpoint da VPC, em Streaming Endpoint Endpoint de streaming), selecione o endpoint da VPC que você criou.

  6. Opcionalmente, você pode ativar Permitir que usuários com PCo IP WorkSpaces transmitam da Internet.

    nota

    Quando ativado, seus usuários podem transmitir a partir do PCo IP WorkSpaces pela Internet pública. Caso contrário, o PCo IP WorkSpaces no diretório ficará inacessível, pois o PCo IP WorkSpaces não oferece suporte ao VPC endpoint para streaming.

  7. Selecione Salvar.

O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.

nota

Usuários com DCV WorkSpaces não podem transmitir usando a Internet pública quando um VPC endpoint é especificado.