创建接口 VPC 端点并进行流式传输 - Amazon WorkSpaces
先决条件和限制为 WorkSpaces 流式传输设置 VPC 端点

创建接口 VPC 端点并进行流式传输

Virtual Private Cloud (VPC) 是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。如果您使用 Amazon Virtual Private Cloud 托管 AWS 资源,则可以在您的 VPC 和 WorkSpaces 之间建立私有连接。您可以使用此连接实现 WorkSpaces 与您的 VPC 上的资源的通信而不用访问公共互联网。

接口端点由 AWS PrivateLink 提供支持,该技术使您可将流式传输流量保留在通过私有 IP 地址指定的 VPC 内。当您将 VPC 与 AWS Direct Connect 或 AWS 虚拟专用网络隧道结合使用时,可以保持网络中的流式传输流量。

您可以使用 AWS 账户中的 VPC 端点,将您的 Amazon VPC 与 WorkSpaces 之间的所有流式传输流量限制在 AWS 网络中。创建端点后,请配置 WorkSpaces 目录以使用该端点。

先决条件和限制

在为 WorkSpaces 设置 VPC 端点之前,请注意以下先决条件和限制。

  • 该功能目前支持 IPv4 或 IPv6 DNS 记录 IP 类型。不支持双堆栈 DNS 记录 IP 类型。

  • 您只能配置与您的目录位于相同 AWS 账户中的 VPC 端点。不支持配置其他 AWS 账户中的 VPC 端点,包括共享 VPC 中的端点。

  • 该功能目前仅支持为 VPC 端点配置私有 DNS 名称。VPC 端点的私有 DNS 名称不可公开解析。

  • 该功能目前仅适用于 WorkSpaces 个人版。WorkSpaces Pools 不支持使用 VPC 端点进行流式传输。

  • VPC 端点功能仅适用于使用 Amazon DCV 的 WorkSpaces。当您为目录配置 VPC 端点时,用户无法通过互联网从 Amazon DCV 进行流式传输。但是,在配置 VPC 端点期间,您可以为同一目录中的 PCoIP WorkSpaces 启用互联网流式传输。

  • 要维护 VPC 内的流式传输流量,请使用流式传输 VPC 端点。您的 WorkSpaces 客户端需要互联网连接才能进行用户身份验证。在端口 443(包括 UDP 和 TCP)上启用出站访问以处理身份验证流量。此外,您必须根据所选的身份验证方法将所需的域和 IP 地址添加到允许列表中。有关每个类别的域的完整列表,请参阅要添加到允许列表的域和 IP 地址

    • CAPTCHA

    • 目录设置

    • 会话前智能卡身份验证端点(如果您使用智能卡)

    • 用户登录页面

    • WS 代理

    • 用于 SAML 单点登录(SSO)的 WorkSpaces 端点

  • 用户设备所连接的网络必须能够将流量路由到 VPC 端点。

  • 您 AWS 账户中的 IAM 用户或 IAM 角色必须具有 IAM 权限策略,才能执行 ec2:DescribeVpcEndpoints API 操作。

  • WorkSpaces 流式传输 VPC 端点目前不支持 FIPS 加密。如果您已经为目录启用了 FIPS 加密,则需要在配置 VPC 端点之前禁用 FIPS 加密。

  • 通过 VPC 端点进行流式传输时,AWS Global Accelerator(AGA)集成不可用。

  • 为目录配置 VPC 端点后,为该目录指定的 IP 访问控制组将不再适用。

为 WorkSpaces 流式传输设置 VPC 端点

要为 WorkSpaces 流式传输设置 VPC 端点,请完成以下步骤:

步骤 1:创建安全组

在此步骤中,您创建一个安全组,允许 WorkSpaces 客户端与要创建的 VPC 端点通信。

  1. 在 Amazon EC2 控制台的导航窗格中,依次选择网络和安全性安全组

  2. 选择创建安全组

  3. 基本详细信息下,输入以下信息:

    • 对于安全组名称,输入标识安全组的唯一名称。

    • 对于描述,输入一些描述安全组用途的文本。

    • 对于 VPC,选择 VPC 端点所在的 VPC。

  4. 转至入站规则并选择添加规则,为 TCP 流量创建入站规则。

  5. 输入以下信息:

    • 对于类型,选择“自定义 TCP”。

    • 对于端口范围,输入以下端口号:4434195

    • 对于源类型,选择“自定义”。

    • 对于,输入私有 IP CIDR 范围或用户用于连接至 VPC 端点的其他安全组 ID。确保允许来自 IPv4 或 IPv6 地址源的入站流量。

  6. 对每个 CIDR 范围或安全组重复步骤 4 和 5。

  7. 转至入站规则,选择添加规则,为 UDP 流量创建入站规则。

  8. 输入以下信息:

    • 对于类型,选择自定义 UDP

    • 对于端口范围,输入以下端口号:443、4195。

    • 对于源类型,选择自定义

    • 对于,输入在步骤 5 中输入的相同私有 IP CIDR 范围或安全组 ID。确保允许来自 IPv4 或 IPv6 地址源的入站流量。

  9. 对每个 CIDR 范围或安全组重复步骤 7 和 8。

  10. 选择创建安全组

步骤 2:创建 VPC 端点

在 Amazon VPC 中,您可以通过 VPC 端点 将 VPC 连接到支持的 AWS 服务。在此示例中,您将配置 Amazon VPC,以便您的 WorkSpaces 用户可以从 WorkSpaces 进行流式传输。

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,依次选择端点创建端点

  3. 选择创建端点

  4. 确保进行以下配置:

    • 对于服务类别,确保选中 AWS 服务

    • 对于服务名称,选择 com.amazonaws.Region.highlander

    • 对于 VPC,选择要在其中创建接口端点的 VPC。您可以选择与 WorkSpaces 资源所在 VPC 不同的 VPC,前提是网络能够将流量路由到该 VPC 端点。

    • 对于启用私有 DNS 名称,确保选中该复选框。如果您的用户使用网络代理访问流式实例,请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。应允许通过代理使用 VPC 端点 DNS 名称。要成功解析 DNS 名称,必须使用 VPC 内的私有 DNS 服务器,这是因为公有 DNS 服务器无法解析 VPC 端点 DNS 名称。

    • 对于 DNS 记录 IP 类型,选择“IPv4”或“IPv6”。目前不支持双堆栈 DNS 记录 IP 类型。如果您选择“双堆栈”,则将无法使用 VPC 端点从 WorkSpaces 进行流式传输。

    • 对于子网,选择要创建 VPC 端点的子网(可用区)。建议您至少选择两个子网。

    • 对于 IP 地址类型,根据您选择的子网支持的内容,选择“IPv4”、“IPv6”或“双堆栈”。

    • 安全组面板中,选择以前创建的安全组。

  5. (可选)在标签面板中,可以创建一个或多个标签。

  6. 选择创建端点

在端点可供使用时,Status(状态)列中的值将变为 Available(可用。

步骤 3:配置 WorkSpaces 目录以使用 VPC 端点

您需要配置 WorkSpaces 目录以使用您为流式传输创建的 VPC 端点。

  1. 在与 VPC 端点相同的 AWS 区域中打开 WorkSpaces 控制台

  2. 导航窗格中,选择目录,然后

  3. 选择您要使用的目录。

  4. 转至 VPC 端点部分,然后选择编辑

  5. 编辑 VPC 端点对话框的流式传输端点下,选择您创建的 VPC 端点。

  6. 或者,您可以启用支持拥有 PCoIP WorkSpaces 的用户从互联网进行流式传输

    注意

    启用后,您的用户可以通过公共互联网从其 PCoIP WorkSpaces 进行流式传输。否则,目录中的 PCoIP WorkSpaces 将无法访问,因为 PCoIP WorkSpaces 不支持使用 VPC 端点进行流式传输。

  7. 选择保存

新的流式传输会话的流量都将路由通过此 VPC 端点。但是,当前流式传输会话的流量将继续通过先前指定的端点进行路由。

注意

当指定了 VPC 端点时,使用 DCV WorkSpaces 的用户无法通过公共互联网进行流式传输。