先决条件

打开https://portal.aws.amazon.com/billing/注册。

按照屏幕上的说明操作。

在注册时，将接到电话或收到短信，要求使用电话键盘输入一个验证码。

当您注册时 AWS 账户，就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行需要根用户访问权限的任务。

按照说明在 Route 53 上注册域名。您应该会收到一封确认电子邮件。

检索您的域的托管区域。这是由 Route53 自动创建的。

1. 打开 Route53 控制台。

2. 从左侧导航栏中选择托管区域。

3. 打开为您的域名创建的托管区域，然后复制托管区域 ID。

打开 AWS Certificate Manager 并按照以下步骤申请域证书。确保您位于计划部署解决方案的区域。

从导航栏中选择 “列出证书”，然后找到您的证书申请。该请求应该处于待处理状态。

选择您的证书 ID 以打开请求。

从 “域” 部分中，选择 “在 Route53 中创建记录”。处理请求大约需要十分钟。

证书颁发后，从证书状态部分复制 ARN。

在创建公共托管域的商业分区 AWS 账户中部署证书 AWS CloudFormation 堆栈。

从 “证书 CloudFormation 输出” 中，找到并记下CertificateARN和PrivateKeySecretARN。

在 GovCloud 分区帐户中，使用CertificateARN输出值创建一个密钥。记下新的密钥 ARN，并在该密钥中添加两个标签，这样vdc-gateway就可以访问密钥值了：

1. res: ModuleName = virtual-desktop-controller

2. res: EnvironmentName = [环境名称]（这可能是 res-demo。）

在 GovCloud 分区帐户中，使用PrivateKeySecretArn输出值创建一个密钥。记下新的密钥 ARN，并在该密钥中添加两个标签，这样vdc-gateway就可以访问密钥值了：

1. res: ModuleName = virtual-desktop-controller

2. res: EnvironmentName = [环境名称]（这可能是 res-demo。）

按照如何为您启用服务器端 LDAPS 中提供的步骤进行操作。 AWS Managed Microsoft AD如果您已经启用 LDAPS，则可以跳过此步骤。

确认已在 AD 上配置 LDAPS 后，导出 AD 证书：

1. 前往您的活动目录服务器。

2. 以管理员 PowerShell 身份打开。

3. 运行certmgr.msc打开证书列表。

4. 首先打开受信任的根证书颁发机构，然后打开证书，打开证书列表。

5. 选择并按住（或右键单击）与 AD 服务器同名的证书，然后选择 “所有任务”，然后选择 “导出”。

6. 选择 Base-64 编码的 X.509 (.C ER)，然后选择 “下一步”。

7. 选择一个目录，然后选择 “下一步”。

在以下位置创建密钥 AWS Secrets Manager：

在 Secrets Manager 中创建 Secret 时，在 secret type（密钥类型）下选择 Other type of secrets（其他类型密钥）并将 PEM 编码的凭证粘贴到 Plaintext（明文）字段中。

记下创建的 ARN 并将其作为DomainTLSCertificateSecretARN参数输入。第 1 步：启动产品

下载依赖关系。要在隔离的 VPC 中部署，RES 基础设施需要在没有公共互联网访问权限的情况下提供依赖关系。

创建具有 Amazon S3 只读访问权限和可信身份的 IAM 角色，名为 Amazon EC2。

1. 使用 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

2. 在角色中，选择创建角色。

3. 在选择可信实体页面：

   • 在 “可信实体类型” 下，选择 AWS 服务。

   • 对于 “服务” 或 “用例” 下的 “用例”，选择EC2并选择 “下一步”。

4. 在 “添加权限” 上，选择以下权限策略，然后选择 “下一步”：

   • 亚马逊 3 ReadOnlyAccess

   • Amazon SSMManaged InstanceCore

   • EC2InstanceProfileForImageBuilder

5. 添加角色名称和描述，然后选择创建角色。

创建 EC2 镜像生成器组件：

1. 打开 EC2 Image Builder 控制台，网址为https://console.aws.amazon.com/imagebuilder。

2. 在 “已保存的资源” 下，选择 “组件”，然后选择 “创建组件”。

3. 在创建组件页面上，输入以下详细信息：

   • 对于组件类型，选择构建。

   • 要了解组件详情，请选择：

     参数	用户条目
     镜像操作系统 (OS)	Linux
     兼容的操作系统版本	Amazon Linux 2
     组件名称	选择一个名字，例如：<research-and-engineering-studio-infrastructure>
     组件版本	我们建议从 1.0.0 开始。
     描述	可选的用户条目。

4. 在 “创建组件” 页面上，选择 “定义文档内容”。

   1. 在输入定义文档内容之前，需要一个 tar.gz 文件的文件 URI。将 RES 提供的 tar.gz 文件上传到亚马逊 S3 存储桶，然后从存储桶属性中复制该文件的 URI。

   2. 输入以下信息：

      注意

      AddEnvironmentVariables是可选的，如果您不需要在基础架构主机中使用自定义环境变量，则可以将其删除。

      如果您正在设置http_proxy和 https_proxy环境变量，则需要使用这些no_proxy参数来防止实例使用代理来查询本地主机、实例元数据 IP 地址和支持 VPC 终端节点的服务。

      #  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
      #
      #  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
      #  with the License. A copy of the License is located at
      #
      #      http://www.apache.org/licenses/LICENSE-2.0
      #
      #  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
      #  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
      #  and limitations under the License.
      name: research-and-engineering-studio-infrastructure
      description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts.
      schemaVersion: 1.0
      
      parameters:
        - AWSAccountID:
            type: string
            description: RES Environment AWS Account ID
        - AWSRegion:
            type: string
            description: RES Environment AWS Region
      phases:
        - name: build
          steps:
             - name: DownloadRESInstallScripts
               action: S3Download
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  - source: '<s3 tar.gz file uri>'
                    destination: '/root/bootstrap/res_dependencies/res_dependencies.tar.gz'
                    expectedBucketOwner: '{{ AWSAccountID }}'
             - name: RunInstallScript
               action: ExecuteBash
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  commands:
                      - 'cd /root/bootstrap/res_dependencies'
                      - 'tar -xf res_dependencies.tar.gz'
                      - 'cd all_dependencies'
                      - '/bin/bash install.sh'
             - name: AddEnvironmentVariables
               action: ExecuteBash
               onFailure: Abort
               maxAttempts: 3
               inputs:
                  commands:
                      - |
                        echo -e "
                        http_proxy=http://<ip>:<port>
                        https_proxy=http://<ip>:<port>
                        no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com
                        " > /etc/environment  
                      
                      

5. 选择创建组件。

创建 Image Builder 图片配方。

1. 在创建食谱页面上，输入以下内容：

   Section	参数	用户条目
   食谱详情	名称	输入适当的名称，例如 res-recipe-linux-x 86。
   	版本	输入一个版本，通常从 1.0.0 开始。
   	描述	添加可选描述。
   基础图片	选择图片	选择托管映像。
   	OS	Amazon Linux
   	图像来源	快速入门（亚马逊管理）
   	映像名称	亚马逊 Linux 2 x86
   	自动版本控制选项	使用最新的可用操作系统版本。
   实例配置	–	将所有内容保持在默认设置中，并确保未选中 “在管道执行后移除 SSM 代理”。
   工作目录	工作目录路径	/root/bootstrap/res_依赖关系
   组成部分	构建组件	搜索并选择以下内容： 亚马逊管理：-2-linux aws-cli-version 亚马逊管理： amazon-cloudwatch-agent-linux 归您所有：之前创建的 Amazon EC2 组件。在字段 AWS 区域 中输入您的 AWS 账户 身份证和当前身份。
   	测试组件	搜索并选择： 亚马逊管理： simple-boot-test-linux

2. 选择创建配方。

创建 Image Builder 基础架构配置。

1. 在 “保存的资源” 下，选择基础架构配置。

2. 选择创建基础设施配置。

3. 在创建基础架构配置页面上，输入以下内容：

   Section	参数	用户条目
   一般性问题	名称	输入适当的名称，例如 res-infra-linux-x 86。
   	描述	添加可选描述。
   	IAM 角色	选择之前创建的 IAM 角色。
   AWS 基础设施	实例类型	选择 t3.medium。
   	VPC、子网和安全组	选择一个允许互联网访问和访问 Amazon S3 存储桶的选项。如果您需要创建安全组，则可以使用以下输入从 Amazon EC2 控制台创建一个安全组： VPC：选择用于基础设施配置的同一 VPC。此 VPC 必须可以访问互联网。 入站规则： 类型：SSH Source：Custom CIDR 区块：0.0.0.0/0

4. 选择创建基础设施配置。

创建新的 EC2 Image Builder 管道：

1. 转到图像管道，然后选择创建图像管道。

2. 在指定管道详细信息页面上，输入以下内容并选择下一步：

   • 管道名称和可选描述

   • 对于生成计划，请设置计划，或者如果您想手动启动 AMI 烘焙流程，请选择手动。

3. 在 “选择食谱” 页面上，选择 “使用现有食谱”，然后输入之前创建的食谱名称。选择下一步。

4. 在 “定义图像处理” 页面上，选择默认工作流程，然后选择 “下一步”。

5. 在定义基础架构配置页面上，选择使用现有基础设施配置，然后输入先前创建的基础架构配置的名称。选择下一步。

6. 在 “定义分发设置” 页面上，请考虑以下内容进行选择：

   • 输出映像必须与已部署的 RES 环境位于同一区域，这样 RES 才能从中正确启动基础设施主机实例。使用服务默认值，将在使用 Image Builder 服务的区域创建输出 EC2图像。

   • 如果要在多个区域部署 RES，可以选择创建新的分布设置并在那里添加更多区域。

7. 查看您的选择并选择创建管道。

运行 EC2 Image Builder 管道：

1. 在图像管道中，找到并选择您创建的管道。

2. 选择 “操作”，然后选择 “运行管道”。

   该管道可能需要大约 45 分钟到一个小时才能创建 AMI 映像。

记下生成的 AMI 的 AMI ID，并将其用作中 InfrastructureHost AMI 参数的输入第 1 步：启动产品。

如果之前未配置过终端节点，请按照AWS 服务 使用接口 VPC 终端节点访问中提供的说明进行操作。

在两个可用区中各选择一个私有子网。

在您将用于 RES 部署的 VPC 的公有子网中启动一个 Linux 实例。

连接到实例以设置代理服务器。

1. 打开 http 连接。

2. 允许从所有相关子网连接到以下域：

   • .amazonaws.com（适用于通用服务） AWS

   • .amazoncognito.com（适用于亚马逊 Cognito）

   • .awsapps.com（用于身份中心）

   • .signin.aws（用于身份中心）

   • 。 amazonaws-us-gov.com（适用于 Gov Cloud）

3. 拒绝所有其他连接。

4. 激活并启动代理服务器。

5. 记下代理服务器监听的端口。

配置您的路由表以允许访问代理服务器。

1. 转到您的 VPC 控制台，确定您将用于基础设施主机和 VDI 主机的子网的路由表。

2. 编辑路由表以允许所有传入连接转到在前面步骤中创建的代理服务器实例。

3. 对要用于 Inf VDIs rastructure/ 的所有子网（无法访问互联网）的路由表执行此操作。

修改代理服务器 EC2 实例的安全组，并确保它允许在代理服务器侦听的端口上进行入站 TCP 连接。