第 1 步:启动产品 - 研究与工程工作室

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 1 步:启动产品

按照本节中的 step-by-step说明配置产品并将其部署到您的账户。

部署时间:大约 60 分钟

您可以先下载该产品的 CloudFormation 模板,然后再进行部署。

如果您要在 AWS GovCloud (美国西部)部署,请使用此模板

res-stack-使用此模板启动产品和所有关联组件。默认配置部署 RES 主堆栈和身份验证、前端和后端资源。

注意

AWS CloudFormation 资源是从 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 构造中创建的。

该 AWS CloudFormation 模板在 AWS 中部署了研究与工程工作室。 AWS Cloud在启动堆栈之前,您必须满足先决条件

  1. 登录 AWS Management Console 并在 https://console.aws.amazon.com/cloudformat ion 上打开 AWS CloudFormation 控制台。

  2. 启动模板

    要在 AWS GovCloud (美国西部)部署,请启动此模板

  3. 默认情况下,该模板在美国东部(弗吉尼亚州北部)区域启动。要以其他方式启动解决方案 AWS 区域,请使用控制台导航栏中的区域选择器。

    注意

    本产品使用 Amazon Cognito 服务,但目前并非所有服务都可用。 AWS 区域您必须在可用 Amazon Cognito AWS 区域 的地方发布此产品。有关按地区划分的最新可用性,请参阅AWS 区域所有服务列表

  4. 在 “参数” 下,查看此产品模板的参数并根据需要进行修改。如果您部署了自动外部资源,则可以在外部资源堆栈的输出选项卡中找到这些参数。

    参数 默认值 描述
    EnvironmentName <res-demo> 给你的 RES 环境起一个唯一的名字,以 res-开头,不超过 11 个字符,不能有大写字母。
    AdministratorEmail 完成产品设置的用户的电子邮件地址。如果集成失败时出现活动目录单点登录,则此用户还可以充当破碎玻璃用户。
    InfrastructureHostAMI ami-[numbers or letters only] (可选)您可以提供用于所有基础设施主机的自定义 AMI ID。目前支持 OSes 的是亚马逊 Linux 2、亚马逊 Linux 2023 RHEL8、 RHEL9、、Windows Server 2019 和 2022 (x86) 以及 Windows 10 和 11。有关更多信息,请参阅 准备 Amazon 机器映像 (AMIs)
    SSHKey配对 用于连接基础架构主机的密钥 pair。
    ClientIP x.x.x.0/24 或 .0/32 x.x.x IP 地址过滤器,用于限制与系统的连接。您可以在部署 ClientIpCidr 后进行更新。
    ClientPrefixList (可选)提供托管前缀列表, IPs 允许直接访问 Web UI 和 SSH 进入堡垒主机。

    IAMPermission边界

    		 (可选)您可以提供托管策略 ARN,该策略将作为权限边界附加到在 RES 中创建的所有角色。有关更多信息,请参阅 设置自定义权限边界
    IAMResource前缀 (可选)应用于 RES 环境部署的 IAM 资源的前缀-,结尾不超过 12 个字符。
    IAMResource路径 / (可选)应用于 RES 环境部署的 IAM 资源的路径,开头和结尾均为/
    VpcId 将在其中启动实例的 VPC 的 ID。
    IsLoadBalancerInternetFacing 选择 true 部署面向 Internet 的负载均衡器(负载均衡器需要公有子网)。对于需要限制互联网访问的部署,请选择 false。
    LoadBalancerSubnets 在不同的可用区中选择至少两个子网,负载均衡器将在其中启动。对于需要受限互联网访问的部署,请选择私有子网。对于需要访问互联网的部署,请选择公有子网。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    InfrastructureHostSubnets 在不同的可用区中选择至少两个私有子网,基础设施主机将在其中启动。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    VdiSubnets 在不同的可用区中选择至少两个私有子网,VDI 实例将在其中启动。如果外部网络堆栈创建了两个以上,请选择所有已创建的组件。
    ActiveDirectoryName corp.res.com 活动目录的域。它不需要与门户域名相匹配。
    ADShort名称 corp 活动目录的简称。这也被称为 NetBIOS 名称。
    LDAP 基础 DC=corp,DC=res,DC=com LDAP 层次结构中指向基础的 LDAP 路径。
    LDAPConnectionURI 活动目录的主服务器可以访问的单个 ldap://路径。如果您使用默认 AD 域部署了自动外部资源,则可以使用 ldap: //corp.res.com。
    ServiceAccountCredentialsSecretArn 提供一个秘密 ARN,其中包含 Active Directory ServiceAccount 用户的用户名和密码,格式为用户 key/value 名/密码对。
    UsersOU AD 中的组织单位,供将要同步的用户使用。
    GroupSOU AD 中用于将要同步的群组的组织单位。
    SudoersGroupName RESAdministrators 组名,包含安装时对实例具有 sudoer 访问权限和在 RES 上具有管理员访问权限的所有用户。
    ComputersO 实例将加入的 AD 中的组织单位。
    域名TLSCertificate秘书 (可选)提供域 TLS 证书密钥 ARN 以启用与 AD 的 TLS 通信。
    EnableLdapIDMapping 确定 UID 和 GID 编号是由 SSSD 生成的,还是使用 AD 提供的数字。如果使用 SSSD 生成的 UID 和 GID,则设置为 True,如果使用 AD 提供的 UID 和 GID,则设置为 False。在大多数情况下,此参数应设置为 True。
    禁用 ADJoin False 要防止 Linux 主机加入目录域,请更改为 True。否则,请保留默认设置 “False”。
    ServiceAccountUserDN 在 “目录” 中提供服务帐户用户的可分辨名称 (DN)。
    SharedHomeFilesystem身份证 用于 Linux VDI 主机的共享主文件系统的 EFS ID。
    CustomDomainNameforWebApp (可选)Web 门户网站使用的子域名为系统的 Web 部分提供链接。
    CustomDomainNameforVDI (可选)门户网站使用的子域名为系统的 VDI 部分提供链接。
    ACMCertificateARNforWebApp (可选)使用默认配置时,产品将网络应用程序托管在 amazonaws.com 域下。您可以在自己的域名下托管产品服务。如果您部署了自动外部资源,则这是为您生成的,并且可以在res-bi堆栈的输出中找到信息。如果您需要为 Web 应用程序生成证书,请参阅配置指南
    CertificateSecretARNforVDI (可选)此 ARN 密钥存储您的门户网站公共证书的公共证书。如果您为自动外部资源设置了门户域名,则可以在 res-bi 堆栈的 Outputs 选项卡下找到该值。
    PrivateKeySecretARNforVDI (可选)此 ARN 密钥存储您的门户网站证书的私钥。如果您为自动外部资源设置了门户域名,则可以在 res-bi 堆栈的 Outputs 选项卡下找到该值。

  5. 选择 Create stack(创建堆栈)以部署堆栈。

您可以在 AWS CloudFormation 控制台的 “状态” 列中查看堆栈的状态。您将在大约 60 分钟后收到 “创建_完成” 状态。