从接口 VPC 终端节点创建和流式传输 - Amazon WorkSpaces
先决条件和限制设置用于 WorkSpaces 流式传输的 VPC 终端节点

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从接口 VPC 终端节点创建和流式传输

Virtual Private Cloud (VPC) 是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。如果您使用 Amazon Virtual Private Cloud 托管 AWS 资源,则可以在您的 VPC 和之间建立私有连接 WorkSpaces。您可以使用此连接 WorkSpaces 来实现与您的 VPC 上的资源进行通信,而无需通过公共互联网。

接口终端节点由一项技术提供支持 AWS PrivateLink,该技术允许您使用私有 IP 地址将流式传输流量保持在您指定的 VPC 内。当您将带有 Di AWS rect Connect 或 AWS 虚拟专用网络隧道的 VPC 使用时,您可以将流式传输流量保留在您的网络中。

您可以使用 AWS 账户中的 VPC 终端节点来限制您的 Amazon VPC 之间和 WorkSpaces AWS 网络之间的所有流式传输流量。创建终端节点后,请配置您的 WorkSpaces 目录以使用它。

先决条件和限制

在为设置 VPC 终端节点之前 WorkSpaces,请注意以下先决条件和限制。

  • 该功能目前仅适用于 WorkSpaces 个人。 WorkSpaces 池不支持 VPC 终端节点进行流式传输。

  • VPC 终端节点功能仅适用于 WorkSpaces 使用 Amazon DCV。当您为目录配置 VPC 终端节点时,用户无法通过互联网从 Amazon DCV 进行流式传输。但是,在配置 VPC 终端节点期间,您可以为同一目录 WorkSpaces 中的 PCo IP 启用互联网流式传输。

  • 该功能目前仅支持 IPv4 VPC 终端节点。 IPv6 并且不支持双堆栈 VPC 终端节点。

  • 要在您的 VPC 内保持流式传输流量,请使用流式传输 VPC 终端节点。您的 WorkSpaces 客户需要互联网连接才能进行用户身份验证。在端口 443(包括 UDP 和 TCP)上启用身份验证流量的出站访问。此外,您必须根据所选的身份验证方法将所需的域和 IP 地址添加到允许列表中。有关每个类别的域名的完整列表,请参阅要添加到允许列表的域和 IP 地址

    • 验证码

    • 目录设置

    • 会话前智能卡身份验证端点(如果您使用的是智能卡)

    • 用户登录页面

    • WS 代理

    • WorkSpaces SAML 单点登录 (SSO) 的终端节点

  • 用户设备所连接的网络必须能够将流量路由到 VPC 终端节点。

  • 您必须拥有 AWS 账户中的 IAM 用户或 IAM 角色的 IAM 权限策略才能执行 ec2:DescribeVpcEndpoints API 操作。

  • WorkSpaces 流式传输 VPC 终端节点目前不支持 FIPS 加密。如果您已经为目录启用了 FIPS 加密,则需要在配置 VPC 终端节点之前禁用 FIPS 加密。

  • AWS 通过 VPC 终端节点进行流式传输时,全球加速器 (AGA) 集成不可用。

  • 为目录配置 VPC 终端节点后,为该目录指定的 IP 访问控制组将不再适用。

设置用于 WorkSpaces 流式传输的 VPC 终端节点

要设置用于 WorkSpaces 流式传输的 VPC 终端节点,请完成以下步骤:

步骤 1:创建安全组

在此步骤中,您将创建一个安全组,允许 WorkSpaces 客户端与您将要创建的 VPC 终端节点进行通信。

  1. 在 Amazon EC2 控制台的导航窗格中,前往 “网络和安全”,然后转到 “安全组”。

  2. 选择创建安全组

  3. 基本详细信息下,输入以下内容:

    • 对于安全组名称 — 输入标识安全组的唯一名称。

    • 描述中 — 输入一些描述安全组用途的文本。

    • 对于 VPC — 选择您的 VPC 终端节点所在的 VPC。

  4. 转至入站规则并选择添加规则,为 TCP 流量创建入站规则。

  5. 输入以下信息:

    • 对于类型 — 选择自定义 TCP。

    • 对于端口范围 — 输入以下端口号:4434195

    • 对于来源类型-选择自定义。

    • 对于 — 输入您的用户连接到 VPC 终端节点 IDs 的私有 IP CIDR 范围或其他安全组。确保仅允许来自 IPv4 地址源的入站流量。

  6. 对每个 CIDR 范围或安全组重复步骤 4 和 5。

  7. 转至入站规则,选择添加规则,为 UDP 流量创建入站规则。

  8. 输入以下信息:

    • 对于类型 — 选择自定义 UDP

    • 对于端口范围 — 输入以下端口号:443、4195。

    • 对于来源类型-选择自定义

    • 对于来源 — 输入在步骤 5 中 IDs 输入的相同私有 IP CIDR 范围或安全组。

  9. 对每个自定义 UDP 重复步骤 7 和 8。

  10. 选择创建安全组

步骤 2:创建 VPC 端点

在 Amazon VPC 中,VPC 终端节点允许您将自己的 VPC 连接到支持的 AWS 服务。在此示例中,您将配置 Amazon VPC,以便您的 WorkSpaces 用户可以从中进行流式传输 WorkSpaces。

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,前往终端节点,然后前往创建终端节点

  3. 选择创建端点

  4. 请确保以下几点:

    • 服务类别-确保选择了AWS 服务

    • 服务名称 — 选择 com.amazonaws。 Region.prod.Highlander。

    • VPC — 选择要在其中创建接口终端节点的 VPC。只要网络将流量路由到 VPC 终端节点,您就可以选择与具有 WorkSpaces 资源的 VPC 不同的 VPC。

    • 启用私有 DNS 名称-复选框处于选中状态。如果您的用户使用网络代理访问流式实例,请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。应允许通过代理使用 VPC 终端节点 DNS 名称。

    • DNS 记录 IP 类型-选择 IPv4。目前不支持 Dualstack 和 IPv6 DNS 记录 IP 类型。如果选择 Dualstack 或 IPv6 ,您将无法 WorkSpaces 使用 VPC 终端节点进行流式传输。

    • 子网-选择子网(可用区)以创建 VPC 终端节点。建议您至少选择两个子网。

    • IP 地址类型-选择 IPv4。

    • 安全组面板-选择您之前创建的安全组。

  5. (可选)在标签面板中,可以创建一个或多个标签。

  6. 选择创建端点

在端点可供使用时,Status(状态)列中的值将变为 Available(可用。

步骤 3:配置 WorkSpaces 目录以使用 VPC 终端节点

您需要将 WorkSpaces 目录配置为使用您为流媒体创建的 VPC 终端节点。

  1. 在与 VPC 终端节点相同的 AWS 区域中打开WorkSpaces 控制台

  2. 导航窗格中,选择目录,然后。

  3. 选择要使用的目录。

  4. 前往 VPC 终端节点部分,然后转至 “编辑”

  5. 编辑 VPC 终端节点对话框的流式传输终端节点下,选择您创建的 VPC 终端节点。

  6. 或者,您可以启用 “允许拥有 PCo IP 的用户从互联网 WorkSpaces 进行流式传输”

    注意

    启用后,您的用户 WorkSpaces 可以通过公共互联网从其 PCo IP 进行直播。否则,由 WorkSpaces 于 PCo IP 不支持 VPC 终端节点进行流式传输,因此目录中的 PCo IP WorkSpaces 将变得无法访问。

  7. 选择保存

新直播会话的流量将通过此 VPC 终端节点路由。但是,当前流式传输会话的流量将继续通过先前指定的端点进行路由。

注意

指定了 VPC 终端节点后,拥有 DCV 的用户 WorkSpaces 无法使用公共互联网进行直播。