终止支持通知：2026 年 5 月 31 日， AWS 将终止对的支持。 AWS Panorama 2026 年 5 月 31 日之后，您将无法再访问 AWS Panorama 控制台或 AWS Panorama 资源。有关更多信息，请参阅[AWS Panorama 终止支持](https://docs.aws.amazon.com/panorama/latest/dev/panorama-end-of-support.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 AWS Panorama Appliance 连接到您的网络
<a name="appliance-network"></a>

AWS Panorama 设备需要同时连接到 AWS 云端和您的本地 IP 摄像机网络。您可以将设备连接到允许同时访问两个网络的单个防火墙，或将设备的两个网络接口分别连接到不同的子网。无论哪种情况，您都必须保护设备的网络连接安全性，以防止未经授权访问您的摄像机视频流。

**Topics**
+ [单个网络配置](#appliance-network-single)
+ [双重网络配置](#appliance-network-dual)
+ [配置服务访问权限](#security-infrastructure-internet)
+ [配置本地网络访问权限](#security-infrastructure-local)
+ [私有连接](#appliance-network-vpn)

## 单个网络配置
<a name="appliance-network-single"></a>

设备有两个以太网端口。如果您通过单个路由器连接进出设备的所有流量，则可以使用第二个端口实现冗余，以防与第一个端口的物理连接中断。配置您的路由器，使设备只能连接到摄像机视频流和互联网，并阻止摄像机视频流以其他方式离开内部网络。

![连接到您的本地网络（集中式）。](http://docs.aws.amazon.com/zh_cn/panorama/latest/dev/images/networking-single.png)


有关设备需要访问的端口和端点的详细信息，请参阅 [配置服务访问权限](#security-infrastructure-internet) 和 [配置本地网络访问权限](#security-infrastructure-local)。

## 双重网络配置
<a name="appliance-network-dual"></a>

为提高安全性，您可以将设备置于与摄像机网络不同的互联网连接网络中。受限摄像机网络和设备网络之间的防火墙仅允许设备访问视频流。如果出于安全考虑，您的摄像机网络之前采用了气隙系统，您可能更喜欢这种方法，而不是将摄像机网络连接到同时允许访问互联网的路由器上。

以下示例显示了设备在每个端口上连接到不同的子网。路由器将 `eth0` 接口置于连接到摄像机网络的子网上，并将 `eth1` 接口置于连接到互联网的子网上。

![连接到您的本地网络（双连接）。](http://docs.aws.amazon.com/zh_cn/panorama/latest/dev/images/networking-dual.png)


您可以在 AWS Panorama 控制台中确认每个端口的 IP 地址和 MAC 地址。

## 配置服务访问权限
<a name="security-infrastructure-internet"></a>

在[预置](gettingstarted-setup.md)期间，您可以将设备配置为请求特定的 IP 地址。提前选择 IP 地址以简化防火墙配置，并确保设备在长时间离线时地址不会变化。

该设备使用 AWS 服务来协调软件更新和部署。配置防火墙以允许设备连接到这些端点。

**互联网访问**
+ **AWS IoT （HTTPS 和 MQTT，端口 443、8443 和 8883）**以及设备管理端点 AWS IoT Core 。有关详细信息，请参阅 Amazon Web Services 一般参考中的 [AWS IoT Device Management 端点和限额](https://docs.aws.amazon.com/general/latest/gr/iot_device_management.html)。
+ **AWS IoT 凭证（HTTPS，端口 443）**`credentials.iot.<region>.amazonaws.com`和子域名。
+ **Amazon Elastic 容器注册表（HTTPS、端口 443）**- `api.ecr.<region>.amazonaws.com`、`dkr.ecr.<region>.amazonaws.com` 和子域。
+ **亚马逊 CloudWatch （HTTPS，端口 443）**—`monitoring.<region>.amazonaws.com`.
+ **亚马逊 CloudWatch 日志（HTTPS，端口 443）**— `logs.<region>.amazonaws.com`。
+ **Amazon Simple Storage Service（HTTPS、端口 443）**- `s3.<region>.amazonaws.com`、`s3-accesspoint.<region>.amazonaws.com` 和子域。

如果您的应用程序调用其他 AWS 服务，则设备还需要访问这些服务的终端节点。有关更多信息，请参阅[服务端点和限额](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。

## 配置本地网络访问权限
<a name="security-infrastructure-local"></a>

设备需要在本地访问 RTSP 视频流，但不能通过互联网访问。配置防火墙，允许设备在内部通过 554 端口访问 RTSP 视频流，且不允许视频流向互联网或从互联网传入。

**本地访问**
+ **实时流媒体协议（RTSP、端口 554）**- 用于读取摄像机视频流。
+ **网络时间协议（NTP、端口 123）**- 用于设备的时钟保持同步。如果您没有在网络上运行 NTP 服务器，则设备也可以通过互联网连接到公共 NTP 服务器。

## 私有连接
<a name="appliance-network-vpn"></a>

如果您将 AWS Panorama 设备部署在具有 VPN 连接的私有 VPC 子网中，则无需访问互联网 AWS。您可以使用 Site-to-Site VPN 或 Direct Connect 在本地路由器和之间创建 VPN 连接 AWS。在您的私有 VPC 子网中，您可以创建终端节点，让设备连接到 Amazon 简单存储服务和其他服务。 AWS IoT有关更多信息，请参阅 [将设备连接到私有子网](api-endpoints.md#services-vpc-appliance)。