第 1 步:启动产品 - 研究与工程工作室

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:启动产品

按照本节中的 step-by-step说明配置产品并将其部署到您的账户。

部署时间:大约 60 分钟

您可以先下载该产品的 CloudFormation 模板,然后再进行部署。

如果您要在 AWS GovCloud (美国西部)部署,请使用此模板

res-stack-使用此模板启动产品和所有关联组件。默认配置部署 RES 主堆栈和身份验证、前端和后端资源。

注意

AWS CloudFormation 资源是从 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 构造中创建的。

该 AWS CloudFormation 模板在 AWS 中部署了研究与工程工作室。 AWS Cloud在启动堆栈之前,您必须满足先决条件

  1. 登录 AWS Management Console 并在 https://console.aws.amazon.com/cloudformat ion 上打开 AWS CloudFormation 控制台。

  2. 启动模板

    要在 AWS GovCloud (美国西部)部署,请启动此模板

  3. 默认情况下,该模板在美国东部(弗吉尼亚州北部)区域启动。要以其他方式启动解决方案 AWS 区域,请使用控制台导航栏中的区域选择器。

    注意

    本产品使用 Amazon Cognito 服务,但目前并非所有服务都可用。 AWS 区域您必须在可用 Amazon Cognito AWS 区域 的地方发布此产品。有关按地区划分的最新可用性,请参阅AWS 区域所有服务列表

  4. 在 “参数” 下,查看此产品模板的参数并根据需要进行修改。如果您部署了自动外部资源,则可以在外部资源堆栈的输出选项卡中找到这些参数。

    参数 默认值 描述
    EnvironmentName <res-demo> 以 res-开头且不超过 11 个字符的 RES 环境的唯一名称。
    AdministratorEmail 完成产品设置的用户的电子邮件地址。如果集成失败时出现活动目录单点登录,则此用户还可以充当破碎玻璃用户。
    InfrastructureHostAMI ami-[numbers or letters only] (可选)您可以提供用于所有基础设施主机的自定义 AMI ID。目前支持的基本操作系统是亚马逊 Linux 2。有关更多信息,请参阅 配置 RES-ready AMIs
    SSHKey配对 用于连接基础架构主机的密钥 pair。
    ClientIP x.x.x.0/24 或 .0/32 x.x.x IP 地址过滤器,用于限制与系统的连接。您可以在部署 ClientIpCidr 后进行更新。
    ClientPrefixList (可选)提供托管前缀列表, IPs 允许直接访问 Web UI 和 SSH 进入堡垒主机。

    IAMPermission边界

    		 (可选)您可以提供托管策略 ARN,该策略将作为权限边界附加到在 RES 中创建的所有角色。有关更多信息,请参阅 设置自定义权限边界
    VpcId 将在其中启动实例的 VPC 的 IP。
    IsLoadBalancerInternetFacing 选择 true 部署面向 Internet 的负载均衡器(负载均衡器需要公有子网)。对于需要限制互联网访问的部署,请选择 false。
    LoadBalancerSubnets 在不同的可用区中选择至少两个子网,负载均衡器将在其中启动。对于需要受限互联网访问的部署,请选择私有子网。对于需要互联网访问的部署,请选择公有子网。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    InfrastructureHostSubnets 在不同的可用区中选择至少两个私有子网,基础设施主机将在其中启动。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    VdiSubnets 在不同的可用区中选择至少两个私有子网,VDI 实例将在其中启动。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    ActiveDirectoryName corp.res.com 活动目录的域。它不需要与门户域名相匹配。
    ADShort名称 corp 活动目录的简称。这也被称为 NetBIOS 名称。
    LDAP 基础 DC=corp,DC=res,DC=com LDAP 层次结构中指向基础的 LDAP 路径。
    LDAPConnectionURI 活动目录的主服务器可以访问的单个 ldap://路径。如果您使用默认 AD 域部署了自动外部资源,则可以使用 ldap: //corp.res.com。
    ServiceAccountUserName ServiceAccount 用于连接到 AD 的服务帐号的用户名。此帐户必须有权在 ComputerSOU 中创建计算机。
    ServiceAccountPasswordSecretArn 提供一个秘密 ARN,其中包含的纯文本密码。 ServiceAccount
    UsersOU AD 中的组织单位,供将要同步的用户使用。
    GroupSOU AD 中用于将要同步的群组的组织单位。
    sudoerSou AD 内面向全球 sudoer 的组织单位。
    SudoersGroupName RESAdministrators 组名,包含安装时对实例具有 sudoer 访问权限和在 RES 上具有管理员访问权限的所有用户。
    ComputersO 实例将加入的 AD 中的组织单位。
    域名TLSCertificate秘书 (可选)提供域 TLS 证书密钥 ARN 以启用与 AD 的 TLS 通信。
    EnableLdapIDMapping 确定 UID 和 GID 编号是由 SSSD 生成的,还是使用 AD 提供的数字。如果使用 SSSD 生成的 UID 和 GID,则设置为 True,如果使用 AD 提供的 UID 和 GID,则设置为 False。在大多数情况下,此参数应设置为 True。
    禁用 ADJoin False 要防止 Linux 主机加入目录域,请更改为 True。否则,请保留默认设置 False。
    ServiceAccountUserDN 在 “目录” 中提供服务帐户用户的可分辨名称 (DN)。
    SharedHomeFilesystem身份证 用于 Linux VDI 主机的共享主文件系统的 EFS ID。
    CustomDomainNameforWebApp (可选)Web 门户网站使用的子域名为系统的 Web 部分提供链接。
    CustomDomainNameforVDI (可选)Web 门户网站使用的子域名为系统的 VDI 部分提供链接。
    ACMCertificateARNforWebApp (可选)使用默认配置时,产品将网络应用程序托管在 amazonaws.com 域下。您可以在自己的域名下托管产品服务。如果您部署了自动外部资源,则该资源是为您生成的,信息可以在 res-bi 堆栈的输出中找到。如果您需要为 Web 应用程序生成证书,请参阅配置指南
    CertificateSecretARNforVDI (可选)此 ARN 密钥存储您的门户网站公共证书的公共证书。如果您为自动外部资源设置了门户域名,则可以在 res-bi 堆栈的 Outputs 选项卡下找到该值。
    PrivateKeySecretARNforVDI (可选)此 ARN 密钥存储您的门户网站证书的私钥。如果您为自动外部资源设置了门户域名,则可以在 res-bi 堆栈的 Outputs 选项卡下找到该值。

  5. 选择 Create stack(创建堆栈)以部署堆栈。

您可以在 AWS CloudFormation 控制台的 “状态” 列中查看堆栈的状态。您将在大约 60 分钟后收到 “创建_完成” 状态。