本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
规划您的部署
本节包含有关成本、安全性、支持的区域和配额的信息,可帮助您规划 Research and Engineering Studio 的部署 AWS。
费用
上 AWS 的 Research and Engineering Studio 不收取额外费用,您只需为运行应用程序所需的 AWS 资源付费。有关更多信息,请参阅 AWS 本产品中的服务。
注意
运行本产品时使用的 AWS 服务费用由您承担。
我们建议通过创建预算AWS Cost Explorer
安全性
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。责任共担模型
-
云安全 — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS Cloud。 AWS 还为您提供可以安全使用的服务。作为AWS 合规计划合规计划合规计划合
的一部分,第三方审计师定期测试和验证我们安全的有效性。 要了解适用于 Research and Engineering Studio 的合规计划 AWS,请参阅AWS 按合规计划 划分的范围内。 -
云端安全-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
要了解如何将分担责任模型应用于研究与工程工作室使用的 AWS 服务,请参阅本产品中服务的安全注意事项。有关 AWS 安全的更多信息,请访问AWS Cloud 安全
IAM 角色
AWS Identity and Access Management (IAM) 角色允许客户向上的服务和用户分配精细的访问策略和权限。 AWS Cloud该产品创建 IAM 角色来授予产品的 AWS Lambda 功能和 Amazon EC2 实例创建区域资源的访问权限。
RES 支持 IAM 中基于身份的策略。部署后,RES 会创建策略来定义管理员的权限和访问权限。实施产品的管理员在与 RES 集成的现有客户 Active Directory 中创建和管理最终用户和项目负责人。有关更多信息,请参阅 Identity and A ccess Managem AWS ent 用户指南中的创建 IAM 策略。
贵组织的管理员可以使用活动目录管理用户访问权限。当最终用户访问 RES 用户界面时,RES 会使用 Amazon Cognito 进行身份验证。
安全组
在本产品中创建的安全组旨在控制和隔离 Lambda 函数、 EC2 实例、文件系统 CSR 实例和远程 VPN 终端节点之间的网络流量。我们建议您在部署产品后查看安全组并根据需要进一步限制访问权限。
数据加密
默认情况下,Research and Engineering Studio AWS (RES)使用RES拥有的密钥对静态和传输中的客户数据进行加密。部署 RES 时,可以指定 AWS KMS key。RES 使用您的证书授予密钥访问权限。如果您提供的是客户所有和管理的 AWS KMS key,则将使用该密钥对客户静态数据进行加密。
RES 使用 SSL/TLS 对传输中的客户数据进行加密。我们需要 TLS 1.2,但建议使用 TLS 1.3。
本产品中服务的安全注意事项
有关研究与工程工作室使用的服务的安全注意事项的更多详细信息,请访问下表中的链接:
| AWS 服务安全信息 | 服务类型 | 该服务在 RES 中是如何使用的 |
|---|---|---|
| Amazon Elastic Compute Cloud | 核心实例 | 提供底层计算服务,用他们选择的操作系统和软件堆栈创建虚拟桌面。 |
| Elastic Load Balancing | 核心实例 | 堡垒、集群管理器和 VDI 主机是在负载均衡器后面的 Auto Scaling 组中创建的。ELB 在 RES 主机上平衡来自门户网站的流量。 |
| Amazon Virtual Private Cloud | 核心实例 | 所有核心产品组件都是在您的 VPC 中创建的。 |
| Amazon Cognito | 核心实例 | 管理用户身份和身份验证。Active Directory 用户会映射到 Amazon Cognito 用户和群组,以验证访问级别。 |
| Amazon Elastic File System | 核心实例 | 为/home文件浏览器和 VDI 主机以及共享的外部文件系统提供文件系统。 |
| Amazon DynamoDB | 核心实例 | 存储配置数据,例如用户、群组、项目、文件系统和组件设置。 |
| AWS Systems Manager (系统管理员) | 核心实例 | 存储用于执行 VDI 会话管理命令的文档。 |
| AWS Lambda | 核心实例 | 支持产品功能,例如更新 DynamoDB 表中的设置、启动 Active Directory 同步工作流程和更新前缀列表。 |
| Amazon CloudWatch | 支持 | 为所有 Amazon EC2 主机和 Lambda 函数提供指标和活动日志。 |
| Amazon Simple Storage Service | 支持 | 存储用于主机引导和配置的应用程序二进制文件。 |
| AWS Key Management Service | 支持 | 用于对亚马逊 SQS 队列、DynamoDB 表和亚马逊 SNS 主题进行静态加密。 |
| AWS Secrets Manager | 支持 | 将服务帐户凭据存储在 Active Directory 中,并为 VDIs存储自签名证书 |
| AWS CloudFormation | 支持 | 为产品提供部署机制。 |
| AWS Identity and Access Management | 支持 | 限制主机的访问级别。 |
| Amazon Route 53 | 支持 | 创建私有托管区域以解析内部负载均衡器和堡垒主机域名。 |
| Amazon Simple Queue Service | 支持 | 创建任务队列以支持异步执行。 |
| Amazon Simple Notification Service | 支持 | 支持 VDI 组件(例如控制器和主机)之间的发布订阅者模式。 |
| AWS Fargate | 支持 | 使用 Fargate 任务安装、更新和删除环境。 |
| Amazon FSx 文件网关 | 可选 | 提供外部共享文件系统。 |
| FSx 适用于 NetApp ONTAP 的亚马逊 | 可选 | 提供外部共享文件系统。 |
| AWS Certificate Manager | 可选 | 为您的自定义域生成可信证书。 |
| AWS Backup | 可选 | 为 Amazon EC2 主机、文件系统和 DynamoDB 提供备份功能。 |
限额
服务限额(也称为限制)是 AWS 账户使用的服务资源或操作的最大数量。
本产品中的 AWS 服务配额
请确保您有足够的配额来使用本产品中实施的每项服务。有关更多信息,请参阅AWS 服务限额。
对于此产品,我们建议提高以下服务的配额:
-
Amazon Virtual Private Cloud
-
Amazon EC2
要请求提高配额,请参阅《Service Quotas 用户指南》中的请求提高配额。如果限额在服务限额中尚不可用,请使用提高限制表格
AWS CloudFormation 配额
您 AWS 账户 有 AWS CloudFormation 配额,在该产品中启动堆栈时应注意这些配额。通过了解这些配额,您可以避免限制错误,从而使您无法成功部署此产品。有关更多信息,请参阅《AWS CloudFormation 用户指南》中的AWS CloudFormation 配额。
规划恢复能力
该产品部署了默认基础设施,该基础设施具有最小数量和大小的 Amazon EC2 实例来运行系统。为了提高大规模生产环境的弹性,我们建议在基础架构的 Auto Scaling 组 (ASG) 中增加默认的最低容量设置。将值从一个实例增加到两个实例可以获得多个可用区 (AZ) 的好处,并缩短在数据意外丢失时恢复系统功能的时间。
ASG 设置可以在亚马逊 EC2 控制台中自定义,网址为。https://console.aws.amazon.com/ec2/-asg。您可以将最小值和所需值更改为适合您的生产环境的数量。选择要修改的群组,然后选择操作并选择编辑。有关更多信息 ASGs,请参阅 Amazon Auto Scaling 用户指南中的扩展 A EC2 uto Scaling 组的大小。
支持的 AWS 区域
本产品使用的服务目前并非全部可用 AWS 区域。您必须在所有服务都可用 AWS 区域 的地方启动此产品。有关按地区划分的最新 AWS 服务可用性,请参阅AWS 区域所有服务列表
以下内容支持上 AWS 的 “研究与工程工作室” AWS 区域:
| 区域名称 | 区域 | 先前版本 | 最新版本 (2025.06.01) |
|---|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 | 是 |
| 美国西部(加利福尼亚北部) | us-west-1 | 是 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 | 是 |
| 加拿大(中部) | ca-central-1 | 是 | 是 |
| 欧洲(法兰克福) | eu-central-1 | 是 | 是 |
| 欧洲(米兰) | eu-south-1 | 是 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 | 是 |
| 欧洲(巴黎) | eu-west-3 | 是 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 否 | 是 |
| 以色列(特拉维夫) | il-central-1 | 是 | 是 |
| AWS GovCloud (美国东部) | us-gov-east-1 | 是 | 是 |
| AWS GovCloud (美国西部) | us-gov-west-1 | 是 | 是 |
