As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie e transmita a partir de endpoints VPC de interface
Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e. WorkSpaces Você pode usar essa conexão para permitir WorkSpaces a comunicação com seus recursos em sua VPC sem passar pela Internet pública.
Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um túnel AWS Direct Connect ou AWS Virtual Private Network, você pode manter o tráfego de streaming em sua rede.
Você pode usar um VPC endpoint em sua AWS conta para restringir todo o tráfego de streaming entre sua Amazon VPC e a rede. WorkSpaces AWS Depois de criar o endpoint, configure seu WorkSpaces diretório para usá-lo.
Pré-requisitos e limitações
Antes de configurar os VPC endpoints para WorkSpaces, esteja ciente dos seguintes pré-requisitos e limitações.
Atualmente, o recurso está disponível apenas para WorkSpaces uso pessoal. WorkSpaces Os pools não oferecem suporte a endpoints VPC para streaming.
O recurso de VPC endpoint está disponível exclusivamente para usar o WorkSpaces Amazon DCV. Quando você configura um VPC endpoint para um diretório, os usuários não podem transmitir do Amazon DCV pela Internet. No entanto, você pode ativar o streaming da Internet para PCo IP WorkSpaces no mesmo diretório durante a configuração do VPC endpoint.
Atualmente, o recurso oferece suporte apenas a IPv4 endpoints VPC. IPv6 e os endpoints VPC Dualstack não são compatíveis.
Para manter o tráfego de streaming em sua VPC, use um endpoint de VPC de streaming. Seus WorkSpaces clientes precisam de conectividade com a Internet para autenticação do usuário. Ative o acesso de saída na porta 443 (UDP e TCP) para tráfego de autenticação. Além disso, você deve adicionar os domínios e endereços IP necessários à sua lista de permissões com base no método de autenticação escolhido. Para obter uma lista completa de domínios para cada categoria, consulte Domínios e endereços IP para adicionar à sua lista de permissões.
CAPTCHA
Configurações de diretório
Endpoints de autenticação de cartão inteligente pré-sessão, se você estiver usando cartão inteligente
Páginas de login do usuário
WS Broker
WorkSpaces Endpoints para SAML Single Sign-On (SSO)
A rede à qual os dispositivos dos seus usuários estão conectados deve ser capaz de rotear o tráfego para o VPC endpoint.
Você precisa ter uma política de permissões do IAM para o usuário do IAM ou a função do IAM em sua AWS conta para realizar a ação da
ec2:DescribeVpcEndpointsAPI.WorkSpaces Atualmente, os endpoints VPC de streaming não oferecem suporte à criptografia FIPS. Se você já habilitou a criptografia FIPS para um diretório, precisará desabilitar a criptografia FIPS antes de configurar um VPC endpoint.
AWS A integração do Global Accelerator (AGA) não está disponível durante o streaming por meio de um VPC endpoint.
Quando um VPC endpoint é configurado para um diretório, os grupos de controle de acesso IP especificados para o diretório não se aplicam mais.
Configurando o VPC endpoint para streaming WorkSpaces
Para configurar um VPC endpoint para WorkSpaces streaming, conclua as seguintes etapas:
Etapa 1: Criar o grupo de segurança
Nesta etapa, você cria um grupo de segurança que permite que WorkSpaces os clientes se comuniquem com o VPC endpoint que você criará.
No painel de navegação do EC2 console da Amazon, acesse Rede e Segurança, depois Grupos de Segurança.
Selecione Criar grupo de segurança.
Em Detalhes básicos, insira o seguinte:
Em Nome do grupo de segurança — Insira um nome exclusivo que identifique o grupo de segurança.
Para Descrição — Insira algum texto que descreva a finalidade do grupo de segurança.
Para VPC — escolha a VPC em que seu VPC endpoint está.
Acesse Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego TCP.
Insira o seguinte:
Para Tipo — Escolha TCP personalizado.
Para Intervalo de portas — Insira os seguintes números de porta:
443,4195.Em Tipo de fonte — Escolha Personalizado.
Para Origem — Insira o intervalo de IP CIDR privado ou outro grupo de segurança a IDs partir do qual seus usuários se conectam ao VPC endpoint. Certifique-se de permitir o tráfego de entrada somente da origem do IPv4 endereço.
Repita as etapas 4 e 5 para cada intervalo CIDR ou grupo de segurança.
Vá para Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego UDP.
Insira o seguinte:
Para Tipo — Escolha UDP personalizado.
Em Intervalo de portas — Insira os seguintes números de porta: 443, 4195.
Em Tipo de fonte — Escolha Personalizado.
Para Fonte — Insira o mesmo intervalo de CIDR IP privado ou grupo de segurança IDs inserido na Etapa 5.
Repita as etapas 7 e 8 para cada UDP personalizado.
Selecione Criar grupo de segurança.
Etapa 2: Criar o endpoint da VPC.
Na Amazon VPC, um VPC endpoint permite que você conecte sua VPC aos serviços compatíveis. AWS Neste exemplo, você configura a Amazon VPC para que seus WorkSpaces usuários possam transmitir a partir de. WorkSpaces
Abra o console da Amazon VPC
. No painel de navegação, vá para Endpoints e, em seguida, Create Endpoint.
Selecione Criar endpoint.
Garanta o seguinte:
Categoria de serviço — Certifique-se de que AWS os serviços estejam selecionados.
Nome do serviço — Escolha com.amazonaws.
Region.prod.highlander.VPC — Escolha uma VPC na qual criar o endpoint da interface. Você pode escolher uma VPC diferente da VPC com WorkSpaces recursos, desde que a rede direcione o tráfego para o VPC endpoint.
Ativar nome DNS privado — A caixa de seleção está marcada. Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do VPC endpoint deve ser permitido por meio do proxy.
Tipo de IP do registro DNS — Escolha IPv4. Atualmente, o tipo IP de registro Dualstack e IPv6 DNS não é suportado. Se Dualstack ou IPv6 estiver selecionado, você não poderá transmitir usando WorkSpaces o VPC endpoint.
Sub-redes — Escolha as sub-redes (zonas de disponibilidade) para criar o VPC endpoint. É recomendável escolher pelo menos duas sub-redes.
Tipo de endereço IP — Escolha IPv4.
Painel de grupos de segurança — Selecione o grupo de segurança que você criou anteriormente.
(Opcional) No painel Tags é possível criar uma ou mais tags.
Selecione Criar endpoint.
Quando o endpoint estiver pronto para uso, o valor na coluna Status mudará para Available (Disponível).
Etapa 3: configurar o WorkSpaces diretório para usar o VPC endpoint
Você precisa configurar o WorkSpaces diretório para usar o VPC endpoint que você criou para streaming.
Abra o WorkSpaces console
na mesma AWS região do VPC endpoint. No painel de navegação, selecione Diretórios e, em seguida.
Selecione o diretório que você deseja usar.
Vá para a seção VPC Endpoints e, em seguida, Editar.
Na caixa de diálogo Editar VPC Endpoint, em Streaming Endpoint, selecione o VPC endpoint que você criou.
Opcionalmente, você pode ativar Permitir que usuários com PCo IP WorkSpaces transmitam da Internet.
nota
Quando ativado, seus usuários podem transmitir a partir do PCo IP WorkSpaces pela Internet pública. Caso contrário, o PCo IP WorkSpaces no diretório ficará inacessível, pois o PCo IP WorkSpaces não oferece suporte ao VPC endpoint para streaming.
Selecione Salvar.
O tráfego para novas sessões de streaming será roteado por meio desse VPC endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.
nota
Usuários com DCV WorkSpaces não podem transmitir usando a Internet pública quando um VPC endpoint é especificado.
