本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置网络以使用 Amazon Connect 联系人控制面板 (CCP)
<a name="ccp-networking"></a>

传统 VoIP 解决方案要求您允许特定的 UDP 端口范围（例如 80 和 IPs 443）的入站和出站。这些解决方案也适用于 TCP。与之相比，使用联系人控制面板 (CCP) 和软电话的网络要求干扰性较小。您可以通过 Web 浏览器建立持久的出站 send/receive 连接。因此，您无需打开客户端端口来侦听入站流量。

下图显示了每个端口的用途。

![该图显示了 Amazon Connect 组件及其与 AWS 云服务的连接。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/networking.png)


如果您的联络中心使用是电子邮件渠道，请参阅《Amazon SES 开发人员指南》了解相关信息。如果您的企业发送大量电子邮件，则可能需要租用专用 IP 地址。有关更多信息，请参阅 [Amazon SES 专用 IP 地址](https://docs.aws.amazon.com/ses/latest/dg/dedicated-ip.html)。

以下部分介绍了使用 CCP 时的两种主要连接选项。

**Topics**
+ [选项 1（推荐）：将 Amazon EC2 和 CloudFront IP 范围要求替换为域名许可名单](#option1)
+ [选项 2（不推荐）：允许 IP 地址范围](#option2)
+ [有关 Amazon Connect IP 地址范围](#about-connect-ip-address-range)
+ [无状态防火墙](#stateless-firewalls)
+ [允许在日程安排中 Connect Customer 上传休假余额和津贴](#endpoints-scheduling)
+ [允许软电话使用 DNS 解析](#allow-dns-resolution)
+ [端口和协议注意事项](#port-considerations)
+ [区域选择注意事项](#ccp-region-selection)
+ [座席远程使用 Amazon Connect](#remote-agents)
+ [重新路由音频](#reroute-audio)
+ [使用 Direct Connect](#using-directconnect)
+ [Amazon Connect 中应用程序、网络通话和视频通话对座席工作站的要求](videocalling-networking-requirements.md)
+ [详细网络路径](detailed-network-paths.md)
+ [在 VDI 环境中使用 Amazon Connect](using-ccp-vdi.md)
+ [联络中心座席如何连接到联系人控制面板 (CCP)](ccp-connectivity.md)
+ [CCP 如何利用 WebRTC](ccp-leverages-webrtc.md)
+ [使用 Amazon Connect 中的集成应用程序的允许列表](app-integration.md)
+ [更新您的域](update-your-connect-domain.md)

## 选项 1（推荐）：将 Amazon EC2 和 CloudFront IP 范围要求替换为域名许可名单
<a name="option1"></a>

第一个选项可以让您显著减少影响范围。

建议您尝试选项 1，并使用 200 个以上的呼叫来测试它。测试软件电话错误、掉线呼叫和 conference/transfer 功能。如果您的错误率大于 2%，则座席解析可能有问题。在这种情况下，请考虑使用选项 2。

要允许 Amazon EC2 端点的流量，请允许对 URL 和端口的访问，如下表中第一行所示。您应该这样做，而不是允许 ip-ranges.json 文件中列出的 IP 地址范围。您可以获得与使用 CloudFront 的域相同的好处，如下表中第二行所示。


| 域/URL 允许列表 | AWS 区域 | 端口 | 方向 | 交通 | 
| --- | --- | --- | --- | --- | 
| rtc\*.connect-telecom。 {{region}}.amazonaws.co<br />由 ccp\# (v1) 使用。<br />请参阅此表后面的注释。 | {{region}}替换为您的 Amazon Connect 实例所在的区域 | 443（TCP） | 出站 | 发送/接收 | 
| 以下是 **\*.my.connect.aws** 的最小允许列表：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/ccp-networking.html)<br />以下是 **\*.awsapps.com** 的最小允许列表： **.awsapps.com** 是一个即将消失的旧域。有关将域更新为 **my.connect.aws** 的说明，请参阅 [更新您的 Amazon Connect 域](update-your-connect-domain.md)。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/ccp-networking.html) | {{myInstanceName}}替换为您的 Amazon Connect 实例的别名 | 443（TCP） | 出站 | 发送/接收 | 
| \*.telemetry.connect。 {{region}}.amazonaws.co | {{region}}替换为您的 Amazon Connect 实例的位置 | 443（TCP） | 出站 | 发送/接收 | 
| 参与者。连接。 {{region}}.amazonaws.co | {{region}}替换为您的 Amazon Connect 实例的位置 | 443（TCP） | 出站 | 发送/接收 | 
| \*.transport.conect {{region}}.amazonaws.co<br />由 ccp-v2 使用。 | {{region}}替换为您的 Amazon Connect 实例的位置 | 443（TCP） | 出站 | 发送/接收 | 
| {{Amazon S3 bucket name}}.s3。 {{region}}.amazonaws.co | {{Amazon S3 bucket name}}替换为存储附件的位置的名称。{{region}}替换为您的 Amazon Connect 实例的位置 | 443（TCP） | 出站 | 发送/接收 | 
| TurnNlb-\*.elb。 {{region}}.amazonaws.co<br />要将特定端点添加到基于区域的允许列表，请参阅 [NLB 端点](#nlb-endpoints)。 | {{region}}替换为您的 Amazon Connect 实例的位置 | 3478（UDP） | 出站 | 发送/接收 | 
| {{instance-id.source-region}}.sign-in.connect.aws<br />只有在您已加入 [Amazon Connect Global Resiliency](setup-connect-global-resiliency.md) 后，才会使用此选项。 | {{instance-id}}替换为您的实例 ID {{source-region}} 和源实例的 AWS 区域。有关更多信息，请参阅 [将您的身份提供商（IdP）与 Amazon Connect Global Resiliency SAML 登录端点集成](integrate-idp.md)。 | 443（HTTPS） | 出站 | 发送/接收 | 
| \*。 {{source-region}}.region-discovery.connect.<br />只有在您已加入 [Amazon Connect Global Resiliency](setup-connect-global-resiliency.md) 后，才会需要此选项。 | {{source-region}}替换为源实例的 AWS 区域。有关如何查找源区域的说明，请参阅[如何查找您的 Amazon Connect 实例的源区域](create-replica-connect-instance.md#how-to-find-source-region-of-instances)。 | 443（HTTPS） | 出站 | 发送/接收 | 

完全限定的域名 (FQDNs) 不能根据每个客户进行更改或自定义。而是使用[选项 2-允许 IP 地址范围](#option2)。

**提示**  
使用 `rtc*.connect-telecom.{{region}}.amazonaws.com`、` *.transport.connect.{{region}}.amazonaws.com` 和 `https://myInstanceName.awsapps.com` 时，在某些座席应用程序中，Web 套接字处理可能会影响功能。请确保先执行测试进行验证，然后再部署到生产环境中。

如果您想将 CloudFront 域名而不是IP范围添加到许可名单中，则下表列出了用于静态资产的域名：


| Region | CloudFront 域名 | 
| --- | --- | 
| us-east-1 | https://dd401jc05x2yk.cloudfront.net/ <br />https://d1f0uslncy85vb.cloudfront.net/  | 
| us-west-2 | https://d38fzyjx9jg8fj.cloudfront.net/ <br />https://d366s8lxuwna4d.cloudfront.net/  | 
| ap-northeast-1 | https://d3h58onr8hrozw.cloudfront.net/ <br />https://d13ljas036gz6c.cloudfront.net/  | 
| ap-northeast-2 | https://d11ouwvqpq1ads.cloudfront.net/ | 
| ap-southeast-1 | https://d2g7up6vqvaq2o.cloudfront.net/ <br />https://d12o1dl1h4w0xc.cloudfront.net/  | 
| ap-southeast-2 | https://d2190hliw27bb8.cloudfront.net/ <br />https://d3mgrlqzmisce5.cloudfront.net/  | 
| eu-central-1 | https://d1n9s7btyr4f0n.cloudfront.net/ <br />https://d3tqoc05lsydd3.cloudfront.net/  | 
| eu-west-2 | https://dl32tyuy2mmv6.cloudfront.net/ <br />https://d2p8ibh10q5exz.cloudfront.net/  | 

**注意**  
ca-central 未包含在表中，因为我们在域 `*.my.connect.aws` 后面托管了静态内容。

如果您的企业不使用 SAML，并且有防火墙限制，则可以为每个区域添加以下条目：


| Region | CloudFront 域名 | 
| --- | --- | 
| us-east-1 | https://d32i4gd7pg4909.cloudfront.net/ | 
| us-west-2 | https://d18af777lco7lp.cloudfront.net/ | 
| eu-west-2 | https://d16q6638mh01s7.cloudfront.net/ | 
| ap-northeast-1 | https://d2c2t8mxjhq5z1.cloudfront.net/ | 
| ap-northeast-2 | https://d9j3u8qaxidxi.cloudfront.net/ | 
| ap-southeast-1 | https://d3qzmd7y07pz0i.cloudfront.net/ | 
| ap-southeast-2 | https://dwcpoxuuza83q.cloudfront.net/ | 
| eu-central-1 | https://d1whcm49570jjw.cloudfront.net/ | 
| ca-central-1 | https://d2wfbsypmqjmog.cloudfront.net/ | 
| us-gov-east-1: | https://s3-us-gov-east-1.amazonaws.com/warp-drive-console-static-content-prod-osu/ | 
| us-gov-west-1: | https://s3-us-gov-west-1.amazonaws.com/warp-drive-console-static-content-prod-pdt/ | 

### NLB 端点
<a name="nlb-endpoints"></a>

下表列出了 Amazon Connect 实例所在区域的特定端点。如果你不想使用 TurnNlb-\*.elb。 {{region}}.amazonaws.com 通配符，您可以改为将这些终端节点添加到您的许可名单中。


| Region | 启用域/URL | 
| --- | --- | 
| us-west-2 | TurnNlb-8d79b4466d82ad0e。elb.us-west-2.amazonaws.com<br />TurnNlb-dbc4ebb71307fda2。elb.us-west-2.amazonaws.com<br />TurnNlb-13c884fe3673ed9f。elb.us-west-2.amazonaws.com<br />TurnNlb-6bb66eee54ee32710。elb.us-west-2.amazonaws.com<br />TurnNlb-ecc67f8fbd7a29f6。elb.us-west-2.amazonaws.com | 
| us-east-1 | TurnNlb-d76454ac48d20c1e。elb.us-east-1.amazonaws.com<br /> TurnNlb-31a7fe8a79c27929。elb.us-east-1.amazonaws.com<br />TurnNlb-7a9b8e750cec315a。elb.us-east-1.amazonaws.com<br />TurnNlb-d40f7ff9cdd63758。elb.us-east-1.amazonaws.com<br />TurnNlb-7675623c965365c2。elb.us-east-1.amazonaws.com | 
| af-south-1 | TurnNlb-29b8f2824c2958b8。elb.af-south-1.amazonaws.com | 
| ap-northeast-1 | TurnNlb-3c6ddabcbeb821d8。elb.ap-northeast-1.amazonaws.com | 
| ap-northeast-2 | TurnNlb-a2d59ac3f246f09a。elb.ap-northeast-2.amazonaws.com | 
| ap-southeast-1 | TurnNlb-261982506d86d300。elb.ap-southeast-1.amazonaws.com | 
| ap-southeast-2 | TurnNlb-93f2de0c97c4316b。elb.ap-southeast-2.amazonaws.com | 
| ca-central-1 | TurnNlb-b019de6142240b9f。elb.ca-central-1.amazonaws.com | 
| eu-central-1 | TurnNlb-ea5316ebe2759cbc。elb.eu-central-1.amazonaws.com<br />TurnNlb-cce94fede9926d70。elb.eu-central-1.amazonaws.com | 
| eu-west-2 | TurnNlb-1dc64a459ead57ea。elb.eu-west-2.amazonaws.com<br />TurnNlb-0c39b6a52bcdd46。elb.eu-west-2.amazonaws.com | 
| us-gov-west-1 | TurnNlb-d7c623c23f628042.elb。 us-gov-west-1.amazonaws.com | 

## 选项 2（不推荐）：允许 IP 地址范围
<a name="option2"></a>

第二个选项依赖于使用允许列表来定义 Amazon Connect 可以使用的 IP 地址和端口。您可以使用 [AWS ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json) 文件中的 IP 地址创建此允许列表。

如果您使用 Amazon Connect 的区域未出现在 AWS ip-ranges.json 文件中，请仅使用全局值。

有关此文件的更多信息，请参阅 [有关 Amazon Connect IP 地址范围](#about-connect-ip-address-range)。


| IP 范围条目 | AWS 区域 | 端口/协议 | 方向 | 交通 | 
| --- | --- | --- | --- | --- | 
| AMAZON\_CONNECT | GLOBAL 和您的 Amazon Connect 实例所在的区域（将 GLOBAL 和任何区域特定条目添加到您的允许列表中）  | 3478（UDP） | 出站 | 发送/接收 | 
| EC2 | GLOBAL 和您的 Amazon Connect 实例所在的区域（仅当区域特定条目不存在时为 GLOBAL） | 443（TCP） | 出站 | 发送/接收 | 
| CLOUDFRONT | 全球\* | 443（TCP） | 出站 | 发送/接收 | 

\* 从边缘位置CloudFront 提供静态内容，例如图像或 javascript，与您的代理所在位置相比，延迟最低。IP 范围允许列表 CloudFront 是全球性的，需要在 ip-ranges.json 文件中与 **“服务”：“CLOUDFRONT”** 关联的所有 IP 范围。

## 有关 Amazon Connect IP 地址范围
<a name="about-connect-ip-address-range"></a>

在 [AWS ip-ranges.json](https://ip-ranges.amazonaws.com/ip-ranges.json) 文件中，整个 /19 IP 地址范围都归 Amazon Connect 使用。/19 IP 地址范围发送和接收的所有流量都通过 Amazon Connect 发送和接收。

/19 IP 地址范围不与其他服务共享。它在全球范围内专用于 Amazon Connect。

在 AWS ip-ranges.json 文件中，你可以看到相同的范围列出两次。例如：

```
            
                { "ip_prefix": "15.193.0.0/19", 
                "region": "GLOBAL", 
                "service": "AMAZON" 
                }, 
                {
                "ip_prefix": "15.193.0.0/19", 
                "region": "GLOBAL", 
                "service": "AMAZON_CONNECT" 
                },
```

AWS 始终将任何 IP 范围发布两次：一次用于特定服务，一次针对 “AMAZON” 服务。甚至可能为某项服务中更具体的应用场景发布第三次。

当有 Amazon Connect 支持的新 IP 地址范围时，这些地址将添加到公开可用的 ip-ranges.json 文件中。在服务使用它们之前，它们至少要保存 30 天。30 天后，通过新的 IP 地址范围的软电话流量会在后续的两周内增加。两周后，流量会通过相当于所有可用范围的新范围进行路由。

有关此文件和 IP 地址范围的更多信息 AWS，请参阅 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。

## 无状态防火墙
<a name="stateless-firewalls"></a>

如果这两种选项都使用无状态防火墙，则使用前一部份中所述的要求。然后，您必须将浏览器使用的临时端口范围添加到允许列表中，如下表所示。


| IP 范围条目 | 端口： | 方向 | 交通 | 
| --- | --- | --- | --- | 
| AMAZON\_CONNECT | Windows 环境：49152-65535 (UDP)<br />Linux 环境：32768 - 61000 | 入站 | 发送/接收 | 

## 允许在日程安排中 Connect Customer 上传休假余额和津贴
<a name="endpoints-scheduling"></a>

要允许在 Amazon Connect 调度中上传休假余额和津贴，请将以下上传端点添加到您的代理例外列表中：
+ https://bm-prod-{{region}}-cell-1-uploadservice-staging.s3。 {{region}}.amazonaws.co
+ https://bm-prod-{{region}}-cell-2-uploadservice-staging.s3。 {{region}}.amazonaws.co

有关这些端点支持的活动的更多信息，请参阅以下主题：
+ [在 Amazon Connect 中设置集体休假限额](config-group-allowance-to.md)
+ [将座席的休假时间余额导入 Amazon Connect](upload-timeoff-balance.md)

## 允许软电话使用 DNS 解析
<a name="allow-dns-resolution"></a>

如果您已经将 Amazon Connect IP 范围添加到许可名单中，并且您对 DNS 名称解析没有任何限制，则无需添加 **TurnNlb-\*.elb。 {{region}}.amazonaws.com 加入您的许可**名单。
+ 要检查 DNS 名称解析是否有限制，请使用 `nslookup` 命令。例如：

   `nslookup TurnNlb-d76454ac48d20c1e.elb.us-east-1.amazonaws.com`

**如果您无法解析 DNS，则必须添加[上面列出](#nlb-endpoints)的 TurnnLB 端点或 TurnNlb-\*.elb。 {{region}}.amazonaws.com 加入您的许可**名单。

如果您不允许此域，您的座席在接听呼叫时，会在联系人控制面板 (CCP) 中收到以下错误：
+ 无法建立软电话连接。重试或通过以下方式联系您的管理员：浏览器无法通过轮流建立媒体频道：TurnNlb-xxxxxxxxxxxxxxx.elb。 {{region}}.amazonaws.com: 3478？ transport=udp

## 端口和协议注意事项
<a name="port-considerations"></a>

为 Amazon Connect 实施您的网络配置更改时，请考虑以下几点：
+ 对于您在其中创建 Amazon Connect 实例的区域，需要允许所有地址和范围的流量。
+ 如果您在 CCP 与 Amazon Connect 之间使用座席或防火墙，请增加 SSL 证书缓存的超时时间，以覆盖座席的所有轮班时间，这样做是为了避免在计划的工作时间内续订证书时出现连接问题。例如，如果您的座席工作为 8 小时轮班制（包括休息时间），则应将间隔延长到 8 小时（外加休息和午餐时间）。
+ 打开端口时，Amazon EC2 和 Amazon Connect 只要求端点的端口与您的实例位于同一区域。但是 CloudFront，Amazon 从边缘位置提供静态内容，与您的代理所在位置相比，延迟最低。的 IP 范围许可名单 CloudFront 是全球性的，需要所有 IP 范围都与 “服务” 相关联：ip-ranges.json 中的 “CLOUDFRONT”。
+ ip-ranges.json 更新后，关联的 AWS 服务将在 30 天后开始使用更新后的 IP 范围。为避免服务开始将流量路由到新 IP 范围时出现间歇性连接问题，请确保在将新 IP 范围添加到 ip-ranges.json 的 30 天内，将其添加到允许列表中。
+ 如果您在 Amazon Connect Streams API 中使用自定义 CCP，则可以创建一个无需介质的 CCP，它不需要打开端口即可与 Amazon Connect 通信，但仍需要打开端口才能与 Amazon EC2 和。 CloudFront

## 区域选择注意事项
<a name="ccp-region-selection"></a>

Amazon Connect 区域选择取决于数据监管要求、应用场景、每个区域的可用服务和与您的座席、联系人和外部转接端点的地理位置相关的延迟。
+ **座席位置/网络**，CCP 连接遍历公共 WAN，因此工作站必须具有尽可能低的延迟和最少的跃点数，尤其是连接到托管资源和 Amazon Connect 实例的 AWS 区域。例如，对于需要通过多次跳转才能到达边缘路由器的星型拓扑网络，这会增加延迟并降低体验质量。

  在设置实例和座席时，请确保在地理位置上最接近座席的区域创建实例。如果您需要在特定区域设置实例以遵守公司政策或其他法规，请选择能使座席的计算机与 Amazon Connect 实例之间的网络跃点数最少的配置。
+ **呼叫方的位置**，由于呼叫会锚定到您的 Amazon Connect 区域端点，因此会受到 PSTN 延迟的影响。理想情况下，您的来电者和转接终端节点的地理位置应尽可能靠近托管 Amazon Connect 实例的 AWS 区域，以实现最低延迟。

  为获得最佳性能，并限制在客户呼入联络中心时遇到的延迟，请在地理位置最接近客户呼出位置的区域创建您的 Amazon Connect 实例。您考虑创建多个 Amazon Connect 实例，并在为客户提供联系信息时提供最接近他们呼出位置的号码。
+ **外部转接**，在呼叫期间，Amazon Connect 会保持锚定到您的 Amazon Connect 区域端点。按分钟计算的使用量会继续累计，直至转接呼叫的接收方断开呼叫。在座席下线或转接完成后，呼叫不会被记录。在呼叫终止后，会生成转接呼叫的联系记录数据和相关的呼叫记录。在可能的情况下，请勿转接可能会转接回 Amazon Connect 的呼叫（即循环转接），以避免增加 PSTN 延迟。

## 座席远程使用 Amazon Connect
<a name="remote-agents"></a>

**重要**  
如果您的代理使用 SAML 2.0 登录 Amazon Connect，则需要将登录终端节点和配额中列出的 AWS SSO 终端节点列入许可[AWS 名](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)单。

对于那些在连接到您组织主网络区域以外的位置使用 Amazon Connect 的远程座席，如果他们遇到连接不稳定、数据包丢失或延迟过高的问题，通常都与本地网络有关。如果需要 VPN 才能访问资源，这个问题会更为严重。理想情况下，代理位于托管您的 AWS 资源和 Amazon Connect 实例的 AWS 区域附近，并且与公共 WAN 有稳定的连接。

## 重新路由音频
<a name="reroute-audio"></a>

将音频重新路由到现有设备时，请考虑该设备相对于 Amazon Connect 区域的位置。由此可以将可能存在的延迟考虑在内。如果要重新路由音频，只要对该座席进行呼叫，就会向所配置的设备发出出站呼叫。座席一旦应答该设备，该座席就会与呼叫方连接。如果座席没有应答其设备，他们就会进入错过联系人状态，直至他们或主管将其状态改回可用。

## 使用 Direct Connect
<a name="using-directconnect"></a>

联系人控制面板 (CCP) 网络连接问题通常源于您 AWS 使用私有 WAN/LAN、ISP 或两者的路径。虽然 Direct Connect 不能解决边缘路由器的私有 LAN/WAN 穿越所特有的问题，但它可以帮助解决边缘路由器与资源之间的延迟和 AWS 连接问题。 Direct Connect 提供持久、一致的连接，而不必依赖您的 ISP 将请求动态路由到 AWS 资源。它还允许您将边缘路由器配置为通过专用光纤重定向 AWS 流量，而不是通过公共 WAN。