Criação e streaming a partir de endpoints da VPC de interface - Amazon WorkSpaces
Pré-requisitos e limitaçõesComo configurar um endpoint da VPC para streaming do WorkSpaces

Criação e streaming a partir de endpoints da VPC de interface

Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você utilizar o Amazon Virtual Private Cloud para hospedar recursos da AWS, poderá estabelecer uma conexão privada entre a sua VPC e o WorkSpaces. Você pode usar essa conexão para habilitar o WorkSpaces a se comunicar com os seus recursos na VPC sem passar pela Internet pública.

Os endpoints de interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um túnel do AWS Direct Connect ou da rede privada virtual da AWS, você pode manter o tráfego de streaming em sua rede.

Você pode usar um endpoint da VPC em sua conta da AWS para restringir todo o tráfego de streaming entre a Amazon VPC e o WorkSpaces à rede da AWS. Depois de criar o endpoint, configure seu diretório WorkSpaces para usá-lo.

Pré-requisitos e limitações

Antes de configurar endpoints da VPC de interface para o WorkSpaces, esteja ciente dos seguintes pré-requisitos e limitações.

  • Atualmente, o recurso é compatível com o tipo IP de registro DNS IPv4 ou IPv6. O tipo IP do registro DNS Dualstack não é compatível.

  • Você só pode configurar endpoints da VPC que estejam na mesma Conta da AWS que o seu diretório. Os endpoints da VPC em outras Contas da AWS não são compatíveis, incluindo endpoints em VPCs compartilhadas.

  • Atualmente, o atributo oferece suporte apenas ao nome DNS privado para endpoints da VPC. O nome DNS privado de um endpoint da VPC não é possível resolver publicamente.

  • Atualmente, o recurso está disponível somente para WorkSpaces Personal. Os WorkSpaces Pools não oferecem suporte a endpoints da VPC para streaming.

  • O atributo de endpoint da VPC está disponível exclusivamente para WorkSpaces usando o Amazon DCV. Quando você configura um endpoint da VPC para um diretório, os usuários não podem transmitir do Amazon DCV pela Internet. No entanto, você pode ativar o streaming da Internet para PCoIP WorkSpaces no mesmo diretório durante a configuração do endpoint da VPC.

  • Para manter o tráfego de streaming em sua VPC, use um endpoint da VPC de streaming. Seus clientes do WorkSpaces precisam de conectividade com a Internet para autenticação do usuário. Ative o acesso de saída na porta 443 (UDP e TCP) para tráfego de autenticação. Além disso, você deve adicionar os domínios e endereços IP necessários à sua lista de permissões com base no método de autenticação escolhido. Para obter uma lista completa de domínios para cada categoria, consulte Domínios e endereços IP para adicionar à sua lista de permissões.

    • CAPTCHA

    • Configurações de diretório

    • Endpoints de autenticação de cartão inteligente pré-sessão, se você estiver usando cartão inteligente

    • Páginas de login do usuário

    • WS Broker

    • Endpoints do WorkSpaces para Autenticação Única (SSO) SAML

  • A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint da VPC.

  • Você deve ter uma política de permissões do IAM para o usuário do IAM ou para o perfil do IAM em sua conta da AWS para executar a ação da API ec2:DescribeVpcEndpoints.

  • Atualmente, os endpoints da VPC de streaming do WorkSpaces não oferecem suporte à criptografia FIPS. Se você já habilitou a criptografia FIPS para um diretório, precisará desabilitar a criptografia FIPS antes de configurar um endpoint da VPC.

  • A integração do AWS Global Accelerator (AGA) não está disponível durante o streaming por meio de um endpoint da VPC.

  • Quando um endpoint da VPC é configurado para um diretório, os grupos de controle de acesso IP especificados para o diretório não se aplicam mais.

Como configurar um endpoint da VPC para streaming do WorkSpaces

Para configurar um endpoint da VPC para streaming do WorkSpaces, conclua as seguintes etapas:

Etapa 1: Criar o grupo de segurança

Nesta etapa, você cria um grupo de segurança que permite que os clientes do WorkSpaces se comuniquem com o endpoint da VPC que você criará.

  1. No painel de navegação, no console do Amazon EC2, vá até Network & Security (Rede e segurança), em seguida, Security Groups (Grupos de segurança).

  2. Selecione Create security group (Criar grupo de segurança).

  3. Em Basic details (Detalhes básicos), faça o seguinte:

    • Em Security group name (Nome do grupo de segurança): insira um nome exclusivo que identifique o grupo de segurança.

    • (Opcional) Em Description (Descrição): insira algum texto que descreva o grupo de segurança.

    • Para VPC: escolha a VPC em que seu endpoint da VPC está.

  4. Acesse Inbound rules (Regras de entrada) e selecione Add rule (Adicionar regra) para criar regras de entrada para tráfego TCP.

  5. Insira o seguinte:

    • Em Type (Tipo): escolha Custom TCP (TCP personalizada).

    • Para Port range (Intervalo de portas): insira os seguintes números de porta: 443, 4195.

    • Em Source type (Tipo de origem): escolha Custom (Personalizado).

    • Para Fonte: insira o intervalo CIDR de IP privado ou outros IDs de grupo de segurança dos quais seus usuários se conectam ao endpoint da VPC. Certifique-se de permitir o tráfego de entrada de uma fonte de endereço IPv4 ou IPv6.

  6. Repita as etapas 4 e 5 para cada intervalo CIDR ou grupo de segurança.

  7. Vá para Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego UDP.

  8. Insira o seguinte:

    • Em Type (Tipo): escolha Custom TCP (TCP personalizada).

    • Em Port range (Intervalo de portas): insira os seguintes números de porta: 443, 4195.

    • Em Source type (Tipo de origem): escolha Custom (Personalizado).

    • Para Origem: insira o mesmo intervalo CIDR de IP privado ou IDs de grupo de segurança inseridos na Etapa 5. Certifique-se de permitir o tráfego de entrada de uma fonte de endereço IPv4 ou IPv6.

  9. Repita as etapas 7 e 8 para cada intervalo CIDR ou grupo de segurança.

  10. Selecione Create security group (Criar grupo de segurança).

Etapa 2: Criar o endpoint da VPC.

Na Amazon VPC, um endpoint da VPC permite conectar sua VPC aos serviços compatíveis da AWS. Neste exemplo, você configura a Amazon VPC para que seus usuários do WorkSpaces possam transmitir do WorkSpaces.

  1. Abra o console da Amazon VPC.

  2. No painel de navegação, escolha Endpoints, Create Endpoint (Criar endpoint).

  3. Selecione Criar endpoint.

  4. Verifique o seguinte:

    • Service category (Categoria de serviço): verifique se AWS services (Serviços da AWS) está selecionado.

    • Service Name (Nome do serviço): escolha com.amazonaws.Region.highlander.

    • VPC: escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com os recursos do WorkSpaces, desde que a rede direcione o tráfego para o endpoint da VPC.

    • Enable Private DNS Name (Habilitar nome DNS privado): a caixa de seleção está marcada. Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy. Para uma resolução bem-sucedida de nomes DNS, é essencial usar os servidores DNS privados na VPC, pois os servidores DNS públicos não resolverão o nome DNS do endpoint da VPC.

    • DNS record IP type (Tipo de IP do registro DNS): escolha IPv4 ou IPv6. O tipo IP do registro DNS Dualstack não é compatível no momento. Se você escolher o Dualstack, não será possível transmitir do WorkSpaces usando o endpoint da VPC.

    • Subnets (Sub-redes): selecione as sub-redes (zonas de disponibilidade) para criar o endpoint da VPC. É recomendável que você selecione pelo menos duas sub-redes.

    • IP address type (Tipo de endereço IP): escolha IPv4, IPv6 ou Dualstack, dependendo do suporte das sub-redes escolhidas.

    • Security groups panel (Painel Security groups): selecione o grupo de segurança criado anteriormente.

  5. (Opcional) No painel Tags é possível criar uma ou mais tags.

  6. Selecione Create endpoint (Criar endpoint).

Quando o endpoint estiver pronto para uso, o valor na coluna Status mudará para Available (Disponível).

Etapa 3: configurar o diretório do WorkSpaces para usar o endpoint da VPC

Você precisa configurar o diretório WorkSpaces para usar o endpoint da VPC que você criou para streaming.

  1. Abra o console do WorkSpaces na mesma região da AWS do endpoint da VPC.

  2. No painel Navigation (Navegação), selecione Directories (Diretórios).

  3. Selecione o diretório que deseja usar.

  4. Vá para a seção Endpoints da VPC, em seguida Edit (Editar).

  5. Na caixa de diálogo Edit VPC Endpoint (Editar Endpoint da VPC), em Streaming Endpoint (Endpoint de streaming), selecione o endpoint da VPC que você criou.

  6. Opcionalmente, você pode habilitar Allow users with PCoIP WorkSpaces to stream from the internet (Permitir que usuários com WorkSpaces PCoIP transmitam da Internet).

    nota

    Quando ativado, seus usuários podem transmitir de seus WorkSpaces PCoIP pela Internet pública. Caso contrário, os WorkSpaces PCoIP no diretório ficarão inacessíveis, pois os PCoIP WorkSpaces não oferecerão suporte ao endpoint da VPC para streaming.

  7. Selecione Salvar.

O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.

nota

Usuários com WorkSpaces DCV não podem transmitir usando a Internet pública quando um endpoint da VPC é especificado.