连接到 WorkSpaces Pools 的 VPC
要实现 WorkSpaces Pools 与网络资源和 Internet 的连接,请按如下方式配置您的 WorkSpaces。
网络接口
WorkSpaces Pools 中的每个 WorkSpace 都有以下网络接口:
-
客户网络接口提供与您的 VPC 内的资源以及 Internet 的连接,并用于将 WorkSpaces 加入您的目录。
-
管理网络接口已连接到安全的 WorkSpaces Pools 管理网络。它用于将 WorkSpace 以交互方式流式传输到用户设备,并允许 WorkSpaces Pools 管理 WorkSpace。
WorkSpaces Pools 从以下私有 IP 地址范围选择管理网络接口的 IP 地址:198.19.0.0/16。不要将此范围用于您的 VPC CIDR,或利用此范围将您的 VPC 与另一 VPC 进行对等,因为这样会造成冲突,并导致无法访问 WorkSpaces。另外,不要修改或删除附加到 WorkSpace 的任何网络接口,因为这样也可能导致无法访问 WorkSpace。
管理网络接口 IP 地址范围和端口
管理网络接口 IP 地址范围是 198.19.0.0/16。以下端口在所有 WorkSpace 的管理网络接口上都必须处于打开状态:
-
端口 8300 上的入站 TCP。它用于建立流式连接。
-
端口 3128 上的出站 TCP。它用于管理 WorkSpaces。
-
端口 8000 和 8443 上的入站 TCP。它们用于管理 WorkSpaces。
-
端口 8300 上的入站 UDP。它用于通过 UDP 建立流式连接。
将管理网络接口的入站范围限制于 198.19.0.0/16。
注意
对于 Amazon DCV BYOL Windows WorkSpaces 虚拟桌面池,10.0.0.0/8 IP 地址范围用于所有 AWS 区域。(除了您为 BYOL WorkSpaces 虚拟桌面池中的管理流量选择的 /16 CIDR 数据块外,还会使用这些 IP 地址范围。)
正常情况下,WorkSpaces Pools 会为您的 WorkSpaces 正确配置这些端口。如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。
请勿禁用 IPv6。如果禁用 IPv6,WorkSpaces Pools 将无法正常工作。有关为 Windows 配置 IPv6 的信息,请参阅在 Windows 中为高级用户配置 IPv6 的指南
注意
WorkSpaces Pools 依赖于 VPC 中的 DNS 服务器,以便为不存在的本地域名返回不存在的域(NXDOMAIN)响应。这使得 WorkSpaces Pools 管理的网络接口能够与管理服务器通信。
当您使用 Simple AD 创建目录时,AWS Directory Service 将代表您创建两个还用作 DNS 服务器的域控制器。由于域控制器不提供 NXDOMAIN 响应,因此它们不能与 WorkSpaces Pools 一起使用。
客户网络接口端口
-
要连接 Internet,以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组,需要手动添加必需的规则。有关更多信息,请参阅《Amazon VPC 用户指南》中的安全组规则。
-
TCP 80 (HTTP)
-
TCP 443 (HTTPS)
-
UDP 4195
-
-
如果您将 WorkSpaces 加入一个目录,则以下端口必须在您的 WorkSpaces Pools VPC 与目录控制器之间处于打开状态。
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos 身份验证
-
UDP 123 - NTP
-
TCP 135 - RPC
-
UDP 137-138 - Netlogon
-
TCP 139 - Netlogon
-
TCP/UDP 389 - LDAP
-
TCP/UDP 445 - SMB
-
TCP 1024-65535 - RPC 动态端口
有关端口的完整列表,请参阅 Microsoft 文档中的 Active Directory 和 Active Directory 域服务端口要求
。 -
-
所有 WorkSpace 都要求端口 80 (HTTP) 对 IP 地址
169.254.169.254开放,以允许访问 EC2 元数据服务。IP 地址范围169.254.0.0/16专供 WorkSpaces Pools 服务用于管理流量。不排除此范围可能会导致出现流式传输问题。
