本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
规划您的部署
本节包含有关成本、安全性、支持的区域和配额的信息,可帮助您规划 Research and Engineering Studio 的部署AWS。
费用
上AWS的 Research and Engineering Studio 不收取额外费用,您只需为运行应用程序所需的AWS资源付费。有关更多信息,请参阅 AWS本产品中的服务。
注意
运行本产品时使用的AWS服务费用由您承担。
最佳做法是,通过制定预算AWS Cost Explorer
安全性
云安全AWS是重中之重。作为AWS客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担AWS的责任。责任共担模型
-
云安全 — AWS 负责保护在云中运行AWS服务的基础架构AWS Cloud。 AWS还为您提供可以安全使用的服务。 Third-party 作为AWS合规计划合规计划合规计划合
的一部分,审计师定期测试和验证我们安全的有效性。 要了解适用于 Research and Engineering Studio 的合规性计划AWS,请参阅AWS按合规计划 划分的范围内。 -
云端安全-您的责任由您使用的AWS服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
要了解如何将分担责任模型应用于研究与工程工作室使用的AWS服务,请参阅本产品中服务的安全注意事项。有关AWS安全的更多信息,请访问AWS Cloud安全
IAM 角色
AWS Identity and Access Management(IAM) 角色允许客户向上的服务和用户分配精细的访问策略和权限。AWS Cloud该产品创建 IAM 角色来授予产品的AWS Lambda功能和 Amazon EC2 实例创建区域资源的访问权限。
RES 支持 IAM 中基于身份的策略。部署后,RES 会创建策略来定义管理员的权限和访问权限。实施产品的管理员在与 RES 集成的现有客户 Active Directory 中创建和管理最终用户和项目负责人。有关更多信息,请参阅 Identity and A ccess Managem AWS ent 用户指南中的创建 IAM 策略。
贵组织的管理员可以使用活动目录管理用户访问权限。当最终用户访问 RES 用户界面时,RES 会使用 Amazon Cognito 进行身份验证。
安全组
在本产品中创建的安全组旨在控制和隔离 Lambda 函数、Amazon EC2 实例、文件系统和远程 VPN 终端节点之间的网络流量。产品部署后,请查看安全组并根据需要进一步限制访问权限。
数据加密
默认情况下,Research and Engineering StudioAWS(RES)使用 RES-owned 密钥对静态和传输中的客户数据进行加密。部署 RES 时,可以指定AWS KMS key。RES 使用您的证书授予密钥访问权限。如果您提供的是客户所有和管理的AWS KMS key,则将使用该密钥对客户静态数据进行加密。
RES 使用 SSL/TLS对传输中的客户数据进行加密。需要使用 TLS 1.2,但建议使用 TLS 1.3。
本产品中服务的安全注意事项
有关研究与工程工作室使用的服务的安全注意事项的更多详细信息,请访问下表中的链接:
| AWS服务安全信息 | 服务类型 | 该服务在 RES 中是如何使用的 |
|---|---|---|
| Amazon Elastic Compute Cloud | 核心 | 提供底层计算服务,用他们选择的操作系统和软件堆栈创建虚拟桌面。 |
| Elastic Load Balancing | 核心 | 堡垒、集群管理器和 VDI 主机是在负载均衡器后面的 Auto Scaling 组中创建的。Elastic Load Balancing 在 RES 主机上平衡来自门户网站的流量。 |
| Amazon Virtual Private Cloud | 核心 | 所有核心产品组件都是在您的 VPC 中创建的。 |
| Amazon Cognito | 核心 | 管理用户身份和身份验证。Active Directory 用户会映射到 Amazon Cognito 用户和群组,以验证访问级别。 |
| Amazon Elastic File System | 核心 | 为/home文件浏览器和 VDI 主机以及共享的外部文件系统提供文件系统。 |
| Amazon DynamoDB | 核心 | 存储配置数据,例如用户、群组、项目、文件系统和组件设置。 |
| AWSSystems Manager (系统管理员) | 核心 | 存储用于执行 VDI 会话管理命令的文档。 |
| AWS Lambda | 核心 | 支持产品功能,例如更新 DynamoDB 表中的设置、启动 Active Directory 同步工作流程和更新前缀列表。 |
| Amazon CloudWatch | 支持 | 为所有 Amazon EC2 主机和 Lambda 函数提供指标和活动日志。 |
| Amazon Simple Storage Service | 支持 | 存储用于主机引导和配置的应用程序二进制文件。 |
| AWS Key Management Service | 支持 | 用于对亚马逊 SQS 队列、DynamoDB 表和亚马逊 SNS 主题进行静态加密。 |
| AWS Secrets Manager | 支持 | 将服务帐户凭据存储在 Active Directory 中,并将 VDI 的自签名证书 |
| AWS CloudFormation | 支持 | 为产品提供部署机制。 |
| AWS Identity and Access Management | 支持 | 限制主机的访问级别。 |
| Amazon Route 53 | 支持 | 创建私有托管区域以解析内部负载均衡器和堡垒主机域名。 |
| Amazon Simple Queue Service | 支持 | 创建任务队列以支持异步执行。 |
| Amazon Simple Notification Service | 支持 | 支持 VDI 组件(例如控制器和主机)之间的发布-订阅模式。 |
| AWS Fargate | 支持 | 使用 Fargate 任务安装、更新和删除环境。 |
| 亚马逊 FSx 文件网关 | 可选 | 提供外部共享文件系统。 |
| 适用于 ONTAP 的亚马逊 FSx NetApp | 可选 | 提供外部共享文件系统。 |
| AWS Certificate Manager | 可选 | 为您的自定义域生成可信证书。 |
| AWS Backup | 可选 | 为 Amazon EC2 主机、文件系统和 DynamoDB 提供备份功能。 |
配额
服务限额(也称为限制)是 AWS 账户 使用的服务资源或操作的最大数量。
的配额AWS本产品中的服务
请确保您有足够的配额来使用本产品中实施的每项服务。有关更多信息,请参阅 AWS 服务配额。
最佳做法是提高以下服务的配额:
-
Amazon Virtual Private Cloud
-
Amazon EC2
要请求提高配额,请参阅《Service Quotas 用户指南》中的请求提高配额。如果限额在服务限额中尚不可用,请使用提高限制表格
AWS CloudFormation配额
您AWS 账户有AWS CloudFormation配额,在该产品中启动堆栈时应注意这些配额。通过了解这些配额,您可以避免限制错误,从而使您无法成功部署此产品。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的 AWS CloudFormation 配额。
规划恢复能力
该产品部署了默认基础设施,其数量和大小均为最小数量和大小的 Amazon EC2 实例来运行系统。为了提高大规模生产环境中的弹性,最佳做法是增加基础架构的 Auto Scaling 组 (ASG) 中的默认最低容量设置。将值从一个实例增加到两个实例可以获得多个可用区 (AZ) 的好处,并缩短在数据意外丢失时恢复系统功能的时间。
ASG 设置可以在 Amazon EC2 控制台中自定义,网址为https://console.aws.amazon.com/ec2/-asg。您可以将最小值和所需值更改为适合您的生产环境的数量。选择要修改的群组,然后选择操作并选择编辑。有关 ASG 的更多信息,请参阅 A mazon EC2 Auto Scaling 用户指南中的扩展 Auto Sc aling 组的大小。
支持AWS 区域
本产品使用的服务目前并非全部可用AWS 区域。您必须在所有服务都可用AWS 区域的地方启动此产品。有关按地区划分的最新AWS服务可用性,请参阅AWS 区域所有服务列表
以下内容支持上AWS的 “研究与工程工作室”AWS 区域:
| 区域名称 | Region | 先前版本 | 最新版本 (2026.03) |
|---|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 | 是 |
| 亚太地区(雅加达) | ap-southeast-3 | 是 | 是 |
| 加拿大(中部) | ca-central-1 | 是 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 | 是 |
| 以色列(特拉维夫) | il-central-1 | 是 | 是 |
| 中东(阿联酋): | me-central-1 | 是 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 | 是 |
| AWSGovCloud (US-East) | us-gov-east-1 | 是 | 是 |
| AWSGovCloud (US-West) | us-gov-west-1 | 是 | 是 |