WorkSpaces Pools 的 VPC 设置建议

确保您的 VPC 配置可以支持 WorkSpaces Pools 扩展需求。

在制定 WorkSpaces Pools 扩展计划时，请记住，一个用户需要一个 WorkSpaces。因此，您的 WorkSpaces Pools 大小决定了可以同时流式传输的用户数。因此，对于您计划使用的每种实例类型，请确保 VPC 可支持的 WorkSpaces 数量大于相同实例类型的预期并发用户数量。

确保您的 WorkSpaces Pools 账户配额（也称为限制）足以满足您的预期需求。要请求提高配额，可以使用服务配额控制台，网址为：https://console.aws.amazon.com/servicequotas/。有关默认 WorkSpaces Pools 配额的信息，请参阅 Amazon WorkSpaces 配额。

如果您计划为 WorkSpaces Pools 中的 WorkSpaces 提供对 Internet 的访问权限，建议您为流实例配置包含两个私有子网的 VPC，并在公有子网中配置 NAT 网关。

NAT 网关允许私有子网中的 WorkSpaces 连接到 Internet 或其他 AWS 服务。但是，它会阻止 Internet 启动与这些 WorkSpaces 的连接。此外，与使用默认互联网访问选项来启用 Internet 访问的配置不同，NAT 配置支持超过 100 个 WorkSpaces。有关更多信息，请参阅 配置具有私有子网和 NAT 网关的 VPC。

WorkSpaces Pools 创建数量与 WorkSpaces Pools 所需的最大容量匹配的弹性网络接口（网络接口）。默认情况下，每个区域的网络接口数限制为 5000。

在为非常大的部署（例如，数千个 WorkSpaces）规划容量时，请考虑同样在同一区域中使用的 Amazon EC2 实例数量。

如果您要为 VPC 配置多个私有子网，请在不同的可用区中配置每个子网。这样做可提高容错能力，并有助于防止出现容量不足错误。如果您在同一个可用区中使用两个子网，可能会用完 IP 地址，因为 WorkSpaces Pools 不会使用第二个子网。

请确保可通过您的两个私有子网访问应用程序所需的网络资源。

使用允许足够客户端 IP 地址数的子网掩码配置您的各个私有子网，以适应预期的最大并发用户数。此外，允许额外的 IP 地址来容纳预期的增长。有关更多信息，请参阅针对 IPv4 的 VPC 和子网大小调整。

如果您在使用带有 NAT 的 VPC，请至少配置一个带有 NAT 网关的公有子网以便访问 Internet，最好配置两个公有子网。在您的私有子网所在的同一可用区中配置公有子网。

为增强容错能力并减少出现大型 WorkSpaces Pools 部署容量不足错误的可能性，请考虑将 VPC 配置扩展到第三个可用区。在此额外的可用区中包括私有子网、公有子网和 NAT 网关。

使用安全组向您的 VPC 提供额外的访问控制。

属于您的 VPC 的安全组允许您控制 WorkSpaces Pools 流实例与应用程序所需网络资源之间的网络流量。这些资源可能包括其他 AWS 服务，例如 Amazon RDS 或 Amazon FSx、许可证服务器、数据库服务器、文件服务器和应用程序服务器。

确保安全组提供了对应用程序所需网络资源的访问权限。

有关安全组的一般信息，请参阅《Amazon VPC 用户指南》中的使用安全组控制指向 AWS 资源的流量。