本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# WorkSpaces 个人版的业务连续性
Amazon WorkSpaces 基于 AWS 全球基础设施而构建,该基础设施分为 AWS 区域和可用区。这些区域和可用区在物理隔离和数据冗余方面提供了故障恢复能力。有关更多信息,请参阅 [Amazon WorkSpaces 中的故障恢复能力](disaster-recovery-resiliency.md)。
Amazon WorkSpaces 还提供跨区域重定向,该功能可与域名系统 (DNS) 路由策略配合使用,以便在用户的主 WorkSpaces 不可用时将其重定向到备用 WorkSpaces。例如,通过使用 DNS 故障转移路由策略,您可以在用户无法访问主区域中的 WorkSpaces 时,将他们连接到指定故障转移区域中的 WorkSpaces。
您可以使用跨区域重定向来实现区域故障恢复能力和高可用性。您也可以将其用于其他目的,例如,流量分配或在维护期间提供备用 WorkSpaces。如果您使用 Amazon Route 53 进行 DNS 配置,则可以利用监控 Amazon CloudWatch 警报的运行状况检查。
Amazon WorkSpaces 多区域韧性可在辅助 WorkSpace 区域中提供自动化的冗余虚拟桌面基础设施,并可在由于中断而无法访问主区域时,简化将用户重定向到辅助区域的流程。
您可以将 WorkSpaces 多区域韧性与跨区域重定向结合使用,在辅助 WorkSpace 区域部署冗余的虚拟桌面基础设施,并设计跨区域故障转移策略,为中断事件做好准备。您也可以将该解决方案用于其他目的,例如,流量分配或在维护期间提供备用 WorkSpaces。如果您使用 Route 53 进行 DNS 配置,则可以利用监控 CloudWatch 警报的运行状况检查。
**Topics**
+ [个人版跨区域重定向 WorkSpaces](cross-region-redirection.md)
+ [个人多区域弹性 WorkSpaces](multi-region-resilience.md)
# 个人版跨区域重定向 WorkSpaces
借助 Amazon 的跨区域重定向功能 WorkSpaces,您可以使用完全限定的域名 (FQDN) 作为您的注册码。 WorkSpaces跨区域重定向与您的域名系统 (DNS) 路由策略配合使用,可在主域名系统 (DNS) 路由策略 WorkSpaces 不可用 WorkSpaces 时将您的 WorkSpaces 用户重定向到替代方案。例如,通过使用 DNS 故障转移路由策略,当用户无法访问主 AWS 区域 WorkSpaces 中的用户时,您可以将他们连接到您指定的故障转移区域。 WorkSpaces
您可以使用跨区域重定向和 DNS 故障转移路由策略,实现区域灾难恢复能力和高可用性。您也可以将此功能用于其他目的,例如流量分配或 WorkSpaces 在维护期间提供替代方案。如果您使用 Amazon Route 53 进行 DNS 配置,则可以利用监控亚马逊 CloudWatch 警报的运行状况检查。
要使用此功能,您必须 WorkSpaces 为两个(或更多) AWS 区域的用户进行设置。您还必须创建称为*连接别名* 的基于 FQDN 的特殊注册码。这些连接别名会替换您的用户特定于区域的注册码。 WorkSpaces (特定于区域的注册码仍然有效;但是,要使跨区域重定向运行,您的用户必须改用 FQDN 作为注册码。)
要创建连接别名,您需指定一个*连接字符串*,该字符串是您的 FQDN,如 `www.example.com` 或 `desktop.example.com`。要使用此域进行跨区域重定向,您必须向域注册商注册它并为您的域配置 DNS 服务。
创建连接别名后,将其与不同区域的 WorkSpaces 目录关联以创建*关联对*。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域发生中断,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces
要指定您的主区域和故障转移区域,您需在配置 DNS 故障转移路由策略时,定义区域优先级(主区域或辅助区域)。
**Topics**
+ [前提条件](#cross-region-redirection-prerequisites)
+ [限制](#cross-region-redirection-limitations)
+ [步骤 1:创建连接别名](#cross-region-redirection-create-connection-aliases)
+ [(可选)步骤 2:与其他账户共享连接别名](#cross-region-redirection-share-connection-alias)
+ [步骤 3:将连接别名与每个区域的目录相关联](#cross-region-redirection-associate-connection-aliases)
+ [步骤 4:配置您的 DNS 服务并设置 DNS 路由策略](#cross-region-redirection-configure-DNS-routing)
+ [步骤 5:向您的 WorkSpaces 用户发送连接字符串](#cross-region-redirection-send-connection-string-to-users)
+ [跨区域重定向架构图](#cross-region-redirection-architecture-diagram)
+ [启动跨区域重定向](#initiate-cross-region-redirection)
+ [跨区域重定向期间会发生什么](#cross-region-redirection-what-happens)
+ [取消连接别名与目录的关联](#cross-region-redirection-disassociate-connection-alias)
+ [取消共享连接别名](#cross-region-redirection-unshare-connection-alias)
+ [删除连接别名](#cross-region-redirection-delete-connection-alias)
+ [用于关联和取消关联连接别名的 IAM 权限](#cross-region-redirection-iam)
+ [停止使用跨区域重定向后的安全注意事项](#cross-region-redirection-security-considerations)
## 前提条件
+ 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域注册商,则可以使用 Amazon Route 53 注册您的域。有关更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[使用 Amazon Route 53 注册域名](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。
**重要**
您必须拥有所有必要的权限才能使用与Amazon一起使用的任何域名 WorkSpaces。您同意,该域名不会违反或侵犯任何第三方的合法权利,也不会以其他方式违反适用法律。
域名总长度不能超过 255 个字符。有关域名的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的 [DNS 域名格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html)。
跨区域重定向既适用于公有域名,也适用于私有 DNS 区域中的域名。如果您使用的是私有 DNS 区域,则必须提供虚拟专用网络 (VPN) 与包含您的虚拟私有云 (VPC) 的连接 WorkSpaces。如果您的 WorkSpaces 用户尝试使用来自公共互联网的私有 FQDN,则 WorkSpaces 客户端应用程序会返回以下错误消息:
`"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."`
+ 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与您的 DNS 路由策略配合使用,可根据需要重定向您的 WorkSpaces 用户。
+ 在要设置跨区域重定向的每个主区域和故障转移区域中, WorkSpaces 为用户创建。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。为了保持您的 Active Directory 用户数据同步,我们建议您使用 AD Connector 指向您 WorkSpaces 为用户设置的每个区域中的同一个活动目录。有关创建的更多信息 WorkSpaces,请参阅 [Launch WorkSpaces](launch-workspaces-tutorials.md)。
**重要**
如果您将 AWS 托管 Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以供亚马逊 WorkSpaces使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。在复制的区域 WorkSpaces 内,亚马逊不支持使用 AWS 托管 Microsoft AD 进行多区域复制。
完成跨区域重定向的设置后,必须确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码,而不是其主区域的基于区域的注册码(例如)。`WSpdx+ABC12D`为此,您必须按照[步骤 5:向您的 WorkSpaces 用户发送连接字符串](#cross-region-redirection-send-connection-string-to-users)中的步骤操作,向他们发送一封包含 FQDN 连接字符串的电子邮件。
**注意**
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新用户时,都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。 WorkSpace这意味着,当您在故障转移区域 WorkSpaces 为用户进行设置时,您的用户还将自动收到有关这些故障转移的电子邮件 WorkSpaces。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。
## 限制
+ 跨区域重定向不会自动检查与主区域的连接是否失败,然后会使您无法转移 WorkSpaces 到另一个区域。换句话说,自动故障转移不会发生。
要实施自动故障转移场景,您必须将其他机制与跨区域重定向结合使用。例如,您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果触发了主区域的 CloudWatch 警报,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的策略。 WorkSpaces
+ 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持跨区域重定向。 WorkSpaces 您也可以将跨区域重定向与 Web Access 配合使用。
+ 除了 AWS GovCloud (US) Region s 和中国(宁夏)[AWS 地区外,所有 WorkSpaces 支持 Amazon](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 的地区都支持跨区域重定向。
## 步骤 1:创建连接别名
使用同一个 AWS 账户,在要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。
**创建连接别名**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向**下,选择**创建连接别名**。
1. 对于**连接字符串**,输入 FQDN,例如 `www.example.com` 或 `desktop.example.com`。连接字符串最大长度为 255 个字符。它只能包含字母(A-Z 和 a-z)、数字(0-9)和以下字符:.-
**重要**
创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。
1. (可选)在**标签**下,指定要与连接别名关联的任意标签。
1. 选择**创建连接别名**。
1. 重复这些步骤,但是在中[Step 2](#step_select_region_create_alias),请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必使用同一个 AWS 帐户在每个故障转移区域中创建连接别名。
## (可选)步骤 2:与其他账户共享连接别名
您可以与同一 AWS 地区的另一个 AWS 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。
**注意**
一个连接别名只能与每个 AWS 区域的一个目录相关联。如果您与其他 AWS 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将该别名与该地区的目录相关联。
**与其他 AWS 账户共享连接别名**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,选择要与其他账户共享连接别名的 AWS 区域。 AWS
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串,然后选择**操作**、**共享/取消共享连接别名**。
您也可以从详细信息页面共享连接别名的别名。为此,请在**共享账户**下,选择**共享连接别名**。
1. 在 “**共享/取消共享连接别名**” 页面的 “**与账户共享**” 下,输入您要在此区域中与之共享连接别名的 AWS 账户 ID。 AWS
1. 选择**共享**。
## 步骤 3:将连接别名与每个区域的目录相关联
将相同的连接别名与两个或更多区域中的 WorkSpaces 目录相关联可在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。
例如,如果您的主要区域是美国西部(俄勒冈)区域,则可以将美国西部(俄勒冈)地区的 WorkSpaces 目录与美国东部(弗吉尼亚北部)地区的目录配对。 WorkSpaces 如果主区域发生中断,则跨区域重定向将与您的 DNS 故障转移路由策略以及您在美国西部(俄勒冈)区域实施的任何运行状况检查结合使用,以将您的用户重定向到 WorkSpaces 您在美国东部(弗吉尼亚北部)区域为他们设置的区域。有关跨区域重定向体验的更多信息,请参阅[跨区域重定向期间会发生什么](#cross-region-redirection-what-happens)。
**注意**
如果您的 WorkSpaces 用户距离故障转移区域很远(例如,数千英里之外),则他们的 WorkSpaces 体验可能比平时响应不佳。要查看从您所在地前往各个 AWS 地区的往返时间 (RTT),请使用 A [mazon Connection Healt WorkSpaces h](https://clients.amazonworkspaces.com/Health.html) Check。
**将连接别名与目录关联**
每个 AWS 区域只能将一个连接别名与一个目录相关联。如果您与其他 AWS 账户共享了连接别名,则只有一个账户(您的账户或共享账户)可以将该别名与该地区的目录相关联。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串,然后选择**操作**、**关联/取消关联**。
您也可以将连接别名与连接别名详细信息页面上的目录相关联。为此,请在**关联的目录**下,选择**关联目录**。
1. 在 “**关联/取消关联**” 页面的 “**关联到目录**” 下,选择要与该区域的连接别名关联的目录。 AWS
**注意**
如果您将 AWS 托管 Microsoft AD 目录配置为多区域复制,则只有主区域中的目录可以与 Amazon WorkSpaces 一起使用。尝试在 Amazon 的复制区域中使用该目录 WorkSpaces 将失败。在复制的区域 WorkSpaces 内,亚马逊不支持使用 AWS 托管 Microsoft AD 进行多区域复制。
1. 选择**关联 **。
1. 重复这些步骤,但是在中[Step 2](#step_select_region_associate_alias),请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必将相同的连接别名与每个故障转移区域中的目录相关联。
## 步骤 4:配置您的 DNS 服务并设置 DNS 路由策略
创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置 DNS 服务。为此,您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则可使用 Amazon Route 53。有关更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[将 Amazon Route 53 配置为 DNS 服务](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html)。
为域配置 DNS 服务后,您必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以在特定区域连接到他们 WorkSpaces 。如果您的用户无法连接,则您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。
有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[选择路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。有关 Amazon Route 53 运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的 [Amazon Route 53 如何检查资源的运行状况](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)。
在设置 DNS 路由策略时,您需要*连接别名与主区域中的 WorkSpaces 目录之间的关联的连接标识符*。您还需要一个或多个故障转移区域中连接别名和 WorkSpaces 目录之间关联的连接标识符。
**注意**
连接标识符与连接别名 ID **不同**。连接别名 ID 以 `wsca-` 开头。
**查找连接别名关联的连接标识符**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串文本 (FQDN),以查看连接别名详细信息页面。
1. 在连接别名详细信息页面的**关联的目录**下,记下为**连接标识符**显示的值。
1. 重复这些步骤,但是在中[Step 2](#step_select_region_connection_id),请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请重复这些步骤,查找每个故障转移区域的连接标识符。
**示例:使用 Route 53 设置 DNS 故障转移路由策略**
以下示例为您所在域设置了公有托管区。但是,您可以设置公有或私有托管区。有关设置托管区的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[使用托管区](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html)。
此示例还使用了故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[选择路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。
在 Route 53 中设置故障转移路由策略时,需要针对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)以及[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,则还需要设置 CloudWatch 警报来监控主区域中的资源。有关的更多信息 CloudWatch,请参阅 [Amazon 是什么 CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 在《*亚马逊 CloudWatch 用户指南》*中。有关 Route 53 如何在其运行状况检查中使用 CloudWatch 警报的更多信息,请参阅 *Amazon Route 53 开发者指南中的 Route 53* [如何确定[监控 CloudWatch 警报的运行状况检查的状态和监控](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch)警 CloudWatch 报](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch)。
要在 Route 53 中设置 DNS 故障转移路由策略,您首先需要为您的域创建一个托管区。
1. 打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**托管区**,然后选择**创建托管区**。
1. 在**已创建的托管区**页面上,在**域名**下输入您的域名(例如 `example.com`)。
1. 在**类型**下,选择**公有托管区**。
1. 选择**创建托管区域**。
然后为您的主区域创建运行状况检查。
1. 打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**运行状况检查**,然后选择**创建运行状况检查**。
1. 在**配置运行状况检查**页面上,输入运行状况检查的名称。
1. **在要监控的内容**中,选择**终端节点**、**其他运行状况检查的状态(计算的运行状况检查)****或 CloudWatch 警报状态**。
1. 根据您在上一步中选择的内容,配置您的运行状况检查,然后选择**下一步**。
1. 在**在运行状况检查失败时收到通知**页面上,对于**创建警报**,选择**是**或**否**。
1. 选择**创建运行状况检查**。
在创建运行状况检查后,您可以创建 DNS 故障转移记录。
1. 打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择 **Hosted zones(托管区域)**。
1. 在**托管区**页面上,选择您的域名。
1. 在域名的详细信息页面上,选择**创建记录**。
1. 在**选择路由策略**页面上,选择**故障转移**,然后选择**下一步**。
1. 在**配置记录**页面的**基本配置**下,对于**记录名称**,输入您的子域名。例如,如果您的 FQDN 是 `desktop.example.com`,请输入 **desktop**。
**注意**
如果要使用根域,请将**记录名称**留空。但是,我们建议您使用子域名,例如`desktop`或`workspaces`,除非您已将该域名设置为仅用于您 WorkSpaces的。
1. 对于**记录类型**,选择 **TXT - 用于验证电子邮件发件人和应用程序特定的值**。
1. 将 **TTL 秒**设置保留为默认值。
1. 在 “**要添加的故障切换记录**” 下*your\$1domain\$1name*,选择 “**定义故障切换记录**”。
现在,您需要为主区域和故障转移区域设置故障转移记录。
**示例:为您的主区域设置故障转移记录**
1. 在**定义故障转移记录**对话框中,对于**值/流量路由至**,选择 **IP 地址或其他值(具体取决于记录类型)**。
1. 这时,将打开一个框供您输入示例文本条目。输入您主区域的连接别名关联的连接标识符。
1. 对于**故障转移记录类型**,选择**主**。
1. 在**运行状况检查**中,选择您为主区域创建的运行状况检查。
1. 对于**记录 ID**,输入描述以识别此记录。
1. 选择**定义故障转移记录**。您的新故障转移记录将显示在**要添加的故障转移记录**下*your\$1domain\$1name*。
**示例:为您的故障转移区域设置故障转移记录**
1. 在 “**要添加的故障切换记录**” 下*your\$1domain\$1name*,选择 “**定义故障切换记录**”。
1. 在**定义故障转移记录**对话框中,对于**值/流量路由至**,选择 **IP 地址或其他值(具体取决于记录类型)**。
1. 这时,将打开一个框供您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。
1. 对于**故障转移记录类型**,选择**辅助**。
1. (可选)对于**运行状况检查**,输入您为故障转移区域创建的运行状况检查。
1. 对于**记录 ID**,输入描述以识别此记录。
1. 选择**定义故障转移记录**。您的新故障转移记录将显示在**要添加的故障转移记录**下*your\$1domain\$1name*。
如果您为主区域设置的运行状况检查失败,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您的故障转移区域。Route 53 继续监控您的主要区域的运行状况检查,当您的主区域的运行状况检查不再失败时,Route 53 会自动将您的 WorkSpaces 用户重定向回主区域 WorkSpaces 中的用户。
有关创建 DNS 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[使用 Amazon Route 53 控制台创建记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。有关配置 DNS TXT 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》**中的 [TXT 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat)。
## 步骤 5:向您的 WorkSpaces 用户发送连接字符串
要确保在中断期间根据需要重定向用户,您必须 WorkSpaces 将连接字符串 (FQDN) 发送给您的用户。如果您已经向 WorkSpaces 用户发布了基于区域的注册码(例如`WSpdx+ABC12D`),则这些代码仍然有效。但是,要使跨区域重定向起作用,您的 WorkSpaces 用户在 WorkSpaces 客户端应用程序 WorkSpaces 中注册时必须使用连接字符串作为注册码。
**重要**
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新用户时,都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码(例如`WSpdx+ABC12D`)的邀请电子邮件。 WorkSpace即使您已经设置了跨区域重定向,自动发送的新版邀请电子邮件也 WorkSpaces 包含此基于区域的注册码,而不是您的连接字符串。
要确保您的 WorkSpaces 用户使用的是连接字符串而不是基于区域的注册码,您必须按照以下步骤向他们发送另一封包含连接字符串的电子邮件。
**向您的 WorkSpaces 用户发送连接字符串**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,请选择 **WorkSpaces**。
1. 在该**WorkSpaces**页面上,使用搜索框搜索要向其发送邀请的用户,然后 WorkSpace 从搜索结果中选择相应的用户。 WorkSpace 一次只能选择一个。
1. 依次选择 **Actions (操作)** 和 **Invite User (邀请用户)**。
1. 在**邀请用户加入他们的 WorkSpaces**页面上,您将看到一个要发送给用户的电子邮件模板。
1. (可选)如果有多个连接别名与您的 WorkSpaces 目录相关联,请从 Connection **别名字符串列表中选择您希望用户使用的连接字符串**。电子邮件模板将更新以显示您选择的字符串。
1. 使用您自己的电子邮件应用程序,复制电子邮件模板文本,并将其粘贴到要发送给用户的电子邮件中。在电子邮件应用程序中,您可以根据需要修改文本。当邀请电子邮件准备就绪之后,将其发送给用户。
## 跨区域重定向架构图
下图描述了跨区域重定向的部署过程。
![\[跨区域重定向\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/Doppel-admin-LT-MRR.png)
**注意**
跨区域重定向只能推动跨区域故障转移和回退。它不利于 WorkSpaces 在辅助区域中创建和维护,也不允许跨区域数据复制。 WorkSpaces 在主区域和次要区域中,都应分开管理。
## 启动跨区域重定向
发生中断时,您可以手动更新 DNS 记录,也可以使用基于运行状况检查的自动路由策略,从而确定故障转移区域。建议您遵循[使用 Amazon Route 53 创建灾难恢复机制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)中概述的灾难恢复方法。
## 跨区域重定向期间会发生什么
在区域故障转移期间,您的 WorkSpaces 用户将与主区域 WorkSpaces 的用户断开连接。当他们尝试重新连接时,会收到以下错误消息:
`We can't connect to your WorkSpace. Check your network connection, and then try again.`
然后,系统会提示您的用户重新登录。如果他们使用 FQDN 作为注册码,则当他们再次登录时,您的 DNS 故障转移路由策略会将他们重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces
**注意**
在某些情况下,用户在再次登录时可能无法重新连接。如果出现这种情况,他们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后尝试再次登录。
## 取消连接别名与目录的关联
只有拥有目录的账户才能取消连接别名与该目录的关联。
如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户,取消连接别名与该目录的关联。
**取消连接别名与目录的关联**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,选择包含要取消关联的连接别名的 AWS 区域。
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串,然后选择**操作**、**关联/取消关联**。
您也可以取消连接别名与连接别名详细信息页面的关联。为此,请在**关联的目录**下,选择**取消关联**。
1. 在**关联/取消关联**页面上,选择**取消关联**。
1. 在要求您确认取消关联的对话框中,选择**取消关联**。
## 取消共享连接别名
只有连接别名的所有者才能取消共享该别名。如果您取消与某个账户共享连接别名,则该账户将无法再将该连接别名与目录相关联。
**取消共享连接别名**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,选择包含要取消共享的连接别名的 AWS 区域。
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串,然后选择**操作**、**共享/取消共享连接别名**。
您也可以取消连接别名与连接别名详细信息页面的共享。为此,请在**共享账户**下选择**取消共享**。
1. 在**共享/取消共享连接别名**页面上,选择**取消共享**。
1. 在要求您确认取消共享连接别名的对话框中,选择**取消共享**。
## 删除连接别名
只有当连接别名归您的账户所有且未与目录关联时,您才能删除该别名。
如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与目录的关联,然后您才能删除该别名。
**重要**
创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。
**警告**
**如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取某些预防措施来防止出现潜在的安全问题。**有关更多信息,请参阅 [停止使用跨区域重定向后的安全注意事项](#cross-region-redirection-security-considerations)。
**删除连接别名**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,选择包含要删除的连接别名的 AWS 区域。
1. 在导航窗格中,选择 **Account Settings (账户设置)**。
1. 在**跨区域重定向关联**下,选择连接字符串,然后选择**删除**。
您也可以从连接别名详细信息页面删除连接别名。为此,请在页面右上角,选择**删除**。
**注意**
如果禁用**删除**按钮,请确保您是别名的所有者,并确保该别名未与目录关联。
1. 在要求您确认删除的对话框中,选择**删除**。
## 用于关联和取消关联连接别名的 IAM 权限
如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须拥有 `workspaces:AssociateConnectionAlias` 和 `workspaces:DisassociateConnectionAlias` 的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:AssociateConnectionAlias",
"workspaces:DisassociateConnectionAlias"
],
"Resource": [
"arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
]
}
]
}
```
------
**重要**
如果您正在创建 IAM 策略来关联或取消关联不拥有连接别名的账户的连接别名,则无法在 ARN 中指定账户 ID。您必须改用账户 ID 的 `*`,如以下示例策略所示。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:AssociateConnectionAlias",
"workspaces:DisassociateConnectionAlias"
],
"Resource": [
"arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
]
}
]
}
```
只有当账户拥有要关联或取消关联的连接别名时,您才能在 ARN 中指定该账户 ID。
有关使用 IAM 的更多信息,请参阅 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)。
## 停止使用跨区域重定向后的安全注意事项
如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取以下预防措施来防止出现潜在的安全问题:
+ 请务必向 WorkSpaces 用户发放其 WorkSpaces 目录中特定于区域的注册码(例如`WSpdx+ABC12D`),并指示他们停止使用 FQDN 作为注册码。
+ **如果您仍然拥有该域**,请务必更新您的 DNS TXT 记录以删除该域,这样它就不会在网络钓鱼攻击中遭到利用。如果您从 DNS TXT 记录中删除此域名,而您的 WorkSpaces 用户尝试使用 FQDN 作为注册码,则他们的连接尝试将无害地失败。
+ **如果您不再拥有该域名**,则您的 WorkSpaces 用户**必须**使用其区域特定的注册码。如果他们继续尝试使用 FQDN 作为注册码,则系统可能会将其连接尝试重定向到恶意站点。
# 个人多区域弹性 WorkSpaces
Amazon WorkSpaces 多区域弹性 (MRR) 使您能够在主区域因中断性事件而无法访问时将用户重定向到辅助 WorkSpaces 区域,而无需您的用户在登录到备用区域时切换注册码。 WorkSpaces待机 WorkSpaces 是 Amazon WorkSpaces 多区域弹性的一项功能,可简化备用部署的创建和管理。在辅助区域设置用户目录后,在主区域中选择要 WorkSpace 为其创建备用目录的用户目录。 WorkSpace 系统会自动将主 WorkSpace 捆绑包映像镜像到次要区域。然后,它会在您的辅助区域自动 WorkSpace 配置新的备用服务器
Amazon WorkSpaces 多区域弹性建立在跨区域重定向的基础上,利用 DNS 运行状况检查和故障转移功能。它允许您使用完全限定的域名 (FQDN) 作为 WorkSpaces 注册码。当您的用户登录时 WorkSpaces,您可以根据您的 FQDN 域名系统 (DNS) 策略将他们重定向到支持的 WorkSpaces 区域。如果您使用 Amazon Route 53,我们建议您在为其设计跨区域重定向策略时使用运行状况检查来监控亚马逊 CloudWatch 警报。 WorkSpaces有关更多信息,请参阅《Amazon Route 53 开发人员指南》**中的[创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)。
数据复制是备用模式的一项附加功能 WorkSpaces ,可将数据从主区域单向复制到辅助区域。启用数据复制后,系统和用户卷的 EBS 快照每 12 小时拍摄一次。多区域韧性会定期检查是否有新的快照。找到快照后,它会启动到辅助区域的副本。当副本到达辅助区域时,它们被用来更新辅助区域 WorkSpace。
**Topics**
+ [前提条件](#multi-region-resilience-prerequisites)
+ [限制](#multi-region-resilience-limitations)
+ [配置您的多区域弹性备用模式 WorkSpace](#multi-region-resilience-congfigurations)
+ [创建备用副本 WorkSpace](#create-standby-workspace)
+ [管理待机 WorkSpace](#manage-standby-workspace)
+ [删除备用副本 WorkSpace](#delete-standby-workspace)
+ [备用单向数据复制 WorkSpaces](#one-way-data-replication)
+ [计划预留 Amazon EC2 容量以备恢复](#mrr-ec2-recovery)
## 前提条件
+ 在创建备用 WorkSpaces 服务器之前,您必须为主区域中的用户创建 WorkSpaces。有关创建的更多信息 WorkSpaces,请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
+ 要在待机状态下启用数据复制 WorkSpaces,您应该将自我管理的 Active Directory 或 AWS 托管 Microsoft AD 配置为复制到备用区域。有关更多信息,请参阅[创建您的 AWS 托管 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)和[添加复制区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-add-region.html)。
+ 确保在主服务器上更新网络依赖驱动程序 NVMe,例如 ENA 和 PV 驱动程序 WorkSpaces。您应该至少每 6 个月更新一次。有关更多信息,请参阅[安装或升级弹性网络适配器(ENA)驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[Windows 实例的AWS NVMe 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)以及[升级 Windows 实例上的 PV 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
+ 确保定期将 EC2 Config、 EC2 Launc EC2 h 和 Launch V2 代理更新到最新版本。您应该至少每 6 个月更新一次。有关更多信息,请参阅[更新 EC2 Config 并 EC2启动](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。
+ 为了保障正确的数据复制,请确保主区域和辅助区域中的 Active Directory 与 FQDN、OU 和用户 SID 同步。
+ 备用服务器的默认配额(限制) WorkSpaces 为 0。在创建备用副本之前,您需要申请增加服务配额 WorkSpace。有关更多信息,请参阅 [亚马逊 WorkSpaces 配额](workspaces-limits.md)。
+ 确保使用[客户管理的密钥对主密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)和备用密钥进行加密 WorkSpaces。您可以使用单区域密钥或[多区域密钥来加密您的主密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)和备用 WorkSpaces密钥。
## 限制
+ 待机模式 WorkSpaces 仅复制主卷的捆绑映像, WorkSpaces 但不会从主卷复制系统卷(驱动器 C)或用户卷(驱动器 D) WorkSpaces。要将系统卷(驱动器 C)或用户卷(驱动器 D)从主卷复制 WorkSpaces 到备用卷 WorkSpaces,必须启用数据复制。
+ 您不能直接修改、重建、恢复或迁移备用副本 WorkSpace。
+ 跨区域重定向的故障转移由您的 DNS 设置控制。要实施自动故障转移场景,您必须将其他机制与跨区域重定向结合使用。例如,您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果在主区域中调用 CloudWatch 警报,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的策略。 WorkSpaces
+ 数据复制只有一种方式,即将数据从主区域复制到辅助区域。在待机 WorkSpaces 故障转移期间,您可以在 12 到 24 小时之间访问数据和应用程序。中断后,手动备份您在辅助服务器上创建的所有数据 WorkSpace 并注销。我们建议将您的工作保存到外部驱动器(例如网络驱动器)中,以便您可以从主驱动器访问数据 WorkSpace。
+ 数据复制不支持 S AWS imple AD。
+ 在备用模式下启用数据复制时 WorkSpaces,将每 12 小时拍摄一次主卷 WorkSpaces (包括根卷和系统卷)的 EBS 快照。特定数据卷的初始快照已满,后续快照为增量快照。因此,给定对象的第一次复制 WorkSpace 将比后续复制花费更长的时间。快照是按内部计划启动的 WorkSpaces ,您无法控制时间。
+ 如果主域 WorkSpace 和备用域使用同一个域 WorkSpace 加入,我们建议您只 WorkSpace 在给定的时间点连接到主域 WorkSpace 或备用域控制器,以免失去与域控制器的连接。
+ 如果您将您的配置 AWS Managed Microsoft AD 为多区域复制,则只能注册主区域中的目录以供使用 WorkSpaces。如果您尝试在复制区域中注册该目录以供使用 WorkSpaces,则该目录将失败。 AWS Managed Microsoft AD 不支持在复制的区域 WorkSpaces 内使用多区域复制。
+ 如果您已经设置了跨区域重定向,并在不使用备用区域的情况下 WorkSpaces 在主区域和次要区域中创建了跨区域重定向 WorkSpaces,则无法将辅助区域 WorkSpace 中的现有重定向直接转换为备用 WorkSpace 区域。相反,您需要关闭辅助区域 WorkSpace 中的,在主区域中选择要 WorkSpace 为其创建备用副本的区域,然后使用备用创建备 WorkSpaces 用副本 WorkSpace。 WorkSpace
+ 中断后,手动备份您在辅助服务器上创建的所有数据 WorkSpace 并注销。我们建议将您的工作保存到外部驱动器(例如网络驱动器)中,以便您可以从主驱动器访问数据 WorkSpace。
+ WorkSpaces 多区域弹性目前在以下区域可用:
+ 美国东部(弗吉尼亚州北部)区域
+ 美国西部(俄勒冈州)区域
+ 欧洲地区(法兰克福)区域
+ 欧洲地区(爱尔兰)区域
+ WorkSpaces 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持多区域弹性。 WorkSpaces 您也可以将多区域韧性与 Web Access 结合使用。
+ WorkSpaces 多区域弹性支持 Windows 和自带许可证 (BYOL)。 WorkSpaces它不支持亚马逊 Linux 2、Ubuntu、Red Hat Enterprise Linux、 GeneralPurpose .4xlarge、. GeneralPurpose 8xlarge 或支持 GPU WorkSpaces (例如 Graphics G6、Graphics.g4dn 或.g4dn)。 GraphicsPro
+ 故障转移或故障恢复完成后,请等待 15 到 30 分钟,然后再连接到您的 WorkSpace。
## 配置您的多区域弹性备用模式 WorkSpace
**配置您的多区域弹性备用副本 WorkSpace**
1. 在主区域和辅助区域中设置用户目录。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。
为了保持您的 Active Directory 用户数据同步,我们建议您使用 AD Connector 指向您 WorkSpaces 为用户设置的每个区域中的同一个活动目录。有关创建目录的更多信息,请参阅[向注册目录 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)。
**重要**
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以供使用 WorkSpaces。尝试在复制的区域中注册目录以供使用 WorkSpaces 将失败。 AWS Managed Microsoft AD 不支持在复制的区域 WorkSpaces 内使用多区域复制。
1. WorkSpaces 为主区域的用户创建。有关创建的更多信息 WorkSpaces,请参阅[启动 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。
1. WorkSpace 在辅助区域创建备用副本。有关创建备用副本的更多信息 WorkSpace,请参阅[创建备用实例 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html#create-standby-workspace)。
1. 创建连接字符串(FQDN),并将其与主区域和辅助区域中的用户目录相关联。
您必须在账户中启用跨区域重定向,因为备用数据库建立在跨区域重 WorkSpaces 定向的基础上。按照 [Amazon 跨区域重定向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-create-connection-aliases)说明中的步骤 1-3 进行操作。 WorkSpaces
1. 配置 DNS 服务并设置 DNS 路由策略。
您必须设置 [DNS 服务并配置必要的 DNS 路由策略](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-configure-DNS-routing)。跨区域重定向与您的 DNS 路由策略配合使用,可根据需要重定向您的 WorkSpaces 用户。
1. 设置完跨区域重定向后,您必须向用户发送一封包含 FQDN 连接字符串的电子邮件。有关更多信息,请参阅[步骤 5:向您的 WorkSpaces 用户发送连接字符串](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-send-connection-string-to-users)。确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码,而不是其主要区域的基于区域的注册码(例如 WSpdx \$1 ABC12 D)。
**重要**
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新用户时,都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。 WorkSpace这意味着,当你 WorkSpaces 为次要区域的用户进行设置时,你的用户也将自动收到这些辅助区域的电子邮件 WorkSpaces。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。
特定于区域的注册码仍然有效;但是,要使跨区域重定向运行,您的用户必须改用 FQDN 作为注册码。
## 创建备用副本 WorkSpace
在创建备用副本之前 WorkSpace,请确保已完成先决条件,包括在主区域和次要区域中创建用户目录、在主区域 WorkSpaces 为用户进行配置、在账户中配置跨区域重定向以及通过服务配额请求提高待机 WorkSpaces 限制。
**创建备用副本 WorkSpace**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,请选择 **WorkSpaces**。
1. 选择 WorkSpace 要为其创建备用副 WorkSpace 本的。
1. 选择 “**操作**”,然后选择 “**创建待机**” WorkSpace。
1. 选择要在其中创建备用副本的次要区域 WorkSpace,然后选择 “**下一步**”。
1. 选择辅助区域中的用户目录,然后选择**下一步**。
1. (可选)添加加密密钥、启用数据加密和管理标签。
+ 要添加加密密钥,请在“输入加密密钥”下方输入该密钥。
+ 要启用数据复制,请选择**启用数据复制**。然后,选中复选框以确认您批准额外每月收费。
+ 要添加新标签,请选择**添加新标签**。
然后选择**下一步**。
**注意**
如果原始文件已加密, WorkSpace 则会预填充此字段。但是,您可以选择将其替换为自己的加密密钥。
更新数据复制状态需要花几分钟时间。
使用主数据库的快照成功更新备用数据库 WorkSpace 后 WorkSpace,您可以在**恢复**快照下找到快照的时间戳。
1. 查看待机模式的设置 WorkSpaces ,然后选择**创建**。
**注意**
要查看您的待机信息 WorkSpaces,请前往主要 WorkSpace 详情页面。
备用磁盘 WorkSpace 仅复制主卷的捆绑映像, WorkSpace 但不会从主卷复制系统卷(驱动器 C)或用户卷(驱动器 D) WorkSpaces。默认情况下,数据复制处于关闭状态。要将系统卷(驱动器 C)或用户卷(驱动器 D)从主卷复制 WorkSpaces 到备用卷 WorkSpaces,必须启用数据复制。
## 管理待机 WorkSpace
您不能直接修改、重建、恢复或迁移备用副本 WorkSpace。
**为备用服务器启用数据复制 WorkSpace**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 前往您的主要区域,选择主 WorkSpace ID。
1. 向下滚动到 “待机 WorkSpace ” 部分,然后选择 “**编辑待机” WorkSpace**。
1. 选择**启用数据复制**。然后,选中复选框以确认您批准额外每月收费。然后,选择**保存**。
**注意**
待机模式 WorkSpaces 无法休眠。如果您停止待机模式 WorkSpace,它不会保留您未保存的工作。我们建议用户在退出待机状态 WorkSpaces之前务必保存所做的工作。
要在待机状态下启用数据复制 WorkSpaces,您应该将自我管理的 Active Directory 或 AWS 托管 Microsoft AD 配置为复制到备用区域。要设置您的目录,请按照 “使用[亚马逊 WorkSpaces 和 AWS 目录服务构建业务连续性演练” 部分的步骤 1 至 3 或参阅在亚马逊使用](https://aws.amazon.com/blogs/desktop-and-application-streaming/building-for-business-continuity-with-amazon-workspaces-and-aws-directory-services/#:~:text=Region(s).-,Walkthrough,-Step%201%3A%20Provision)[多区域 AWS 托管 Active D](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/using-multi-region-aws-managed-active-directory-with-amazon-workspaces.html) irectory。 WorkSpaces只有 AWS 托管 Microsoft AD 的企业版支持多区域复制。
更新数据复制状态需要花几分钟时间。
使用主数据库的快照成功更新备用数据库 WorkSpace 后 WorkSpace,您可以在**恢复**快照下找到快照的时间戳。
## 删除备用副本 WorkSpace
您可以像终止常规备用 WorkSpace 服务器一样终止备用副本 WorkSpace。
**删除备用副本 WorkSpace**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在控制台的右上角,为您的选择主要 AWS 区域。 WorkSpaces
1. 在导航窗格中,请选择 **WorkSpaces**。
1. 选择待机模式 WorkSpace 并选择**删除**。删除备用数据库大约需要 5 分钟 WorkSpace。删除期间,备用服务器的状态 WorkSpace 将设置为 “**正在终止**”。删除完成后,备用数据库将从控制台 WorkSpace 消失。
**注意**
删除备用数据库 WorkSpace 是一项永久性操作,无法撤消。备用 WorkSpace 用户的数据不会保留,因此会被销毁。如需有关备份用户数据的帮助,请联系 Supp AWS ort。
## 备用单向数据复制 WorkSpaces
在多区域韧性中启用数据复制允许您将数据从主区域复制到辅助区域。在稳定状态下,多区域弹性 WorkSpaces 每 12 小时捕获一次主系统的快照(C 盘)和数据(D 盘)的快照。这些快照将传输到辅助区域并用于更新备用区域 WorkSpaces。默认情况下,待机状态的数据复制处于禁用状态 WorkSpaces。
为备用数据库启用数据复制后 WorkSpaces,特定数据卷的初始快照即已完成,而后续快照为增量快照。因此,给定对象的第一次复制 WorkSpace 将比后续复制花费更长的时间。快照是在预先确定的时间间隔内 WorkSpaces 触发的,用户无法控制时间。
![\[备用单向数据复制 WorkSpaces\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/Doppel-admin-LT-one-way.png)
在故障转移期间,当用户被重定向到辅助区域时,他们可以访问其备 WorkSpaces 用区域,其中包含保存 12 到 24 小时的数据和应用程序。当用户使用备用模式时 WorkSpaces,多区域弹性不会强迫他们退出备用数据库 WorkSpaces 或使用主区域的快照更新备 WorkSpaces 用副本。
中断后,用户在注销备用服务器 WorkSpaces 之前,应手动备份他们在辅助设备上创建的所有数据 WorkSpaces。当他们再次登录时,他们将被定向到主区域及其主区域 WorkSpaces。
## 计划预留 Amazon EC2 容量以备恢复
默认情况下,Amazon 多区域韧性(MRR)依赖于 Amazon EC2 按需池。如果特定的 Amazon EC2 实例类型无法支持您的恢复,则 MRR 将自动尝试重复纵向扩展实例,直到找到可用的实例类型,但在极端情况下,实例可能并不总是可用。要提高最关键实例类型的可用性,请联系 Supp WorkSpaces ort AWS ,我们将协助您进行容量规划。