本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
從界面 VPC 端點建立和串流
Virtual Private Cloud (VPC) 是 Amazon Web Services 雲端中您自己的邏輯隔離區域中的虛擬網路。如果您使用 Amazon Virtual Private Cloud 託管 AWS 資源,您可以在 VPC 和 WorkSpaces 之間建立私有連線。您可以使用此連線讓 WorkSpaces 與 VPC 上的資源通訊,而無需透過公有網際網路。
介面端點採用 AWS PrivateLink 技術,這項技術可讓您使用私有 IP 地址,將串流流量保留在您指定的 VPC 內。當您搭配 AWS Direct Connect 或 AWS 虛擬私有網路通道使用 VPC 時,您可以將串流流量保留在您的網路中。
您可以使用 AWS 帳戶中的 VPC 端點,將 Amazon VPC 和 WorkSpaces 之間的所有串流流量限制在 AWS 網路。建立端點之後,請將 WorkSpaces 目錄設定為使用它。
先決條件和限制
在為 WorkSpaces 設定 VPC 端點之前,請注意下列先決條件和限制。
此功能目前僅適用於 WorkSpaces Personal。WorkSpaces 集區不支援 VPC 端點進行串流。
VPC 端點功能僅適用於使用 Amazon DCV 的 WorkSpaces。當您為目錄設定 VPC 端點時,使用者無法透過網際網路從 Amazon DCV 串流。不過,您可以在 VPC 端點組態期間,為相同目錄中的 PCoIP WorkSpaces 啟用網際網路串流。
此功能目前僅支援 IPv4 VPC 端點。不支援 IPv6 和 Dualstack VPC 端點。
若要維護 VPC 內的串流流量,請使用串流 VPC 端點。您的 WorkSpaces 用戶端需要網際網路連線才能進行使用者身分驗證。在連接埠 443 (UDP 和 TCP) 上啟用身分驗證流量的傳出存取。此外,您必須根據您選擇的身分驗證方法,將必要的網域和 IP 地址新增至允許清單。如需每個類別的完整網域清單,請參閱要新增至允許清單的網域和 IP 地址。
CAPTCHA
目錄設定
如果您使用智慧卡,則為工作階段前智慧卡身分驗證端點
使用者登入頁面
WS 中介裝置
適用於 SAML 單一登入 (SSO) 的 WorkSpaces 節點
使用者裝置連線的網路必須能夠將流量路由到 VPC 端點。
您必須擁有 AWS 帳戶中 IAM 使用者或 IAM 角色的 IAM 許可政策,才能執行
ec2:DescribeVpcEndpoints
API 動作。WorkSpaces 串流 VPC 端點目前不支援 FIPS 加密。如果您已為目錄啟用 FIPS 加密,則需要在設定 VPC 端點之前停用 FIPS 加密。
AWS 透過 VPC 端點串流時,無法使用 Global Accelerator (AGA) 整合。
為目錄設定 VPC 端點時,不再套用為目錄指定的 IP 存取控制群組。
設定 WorkSpaces 串流的 VPC 端點
若要設定 WorkSpaces 串流的 VPC 端點,請完成下列步驟:
步驟 1:建立安全群組
在此步驟中,您會建立安全群組,讓 WorkSpaces 用戶端與您即將建立的 VPC 端點進行通訊。
在 Amazon EC2 主控台的導覽窗格中,移至網路與安全,然後移至安全群組。
選取建立安全群組。
在基本詳細資訊下,輸入下列項目:
針對安全群組名稱 – 輸入可識別安全群組的唯一名稱。
針對描述 – 輸入一些描述安全群組用途的文字。
對於 VPC – 選擇 VPC 端點所在的 VPC。
前往傳入規則,然後選取新增規則以建立 TCP 流量的傳入規則。
輸入下列資料:
針對類型 – 選擇自訂 TCP。
對於連接埠範圍 – 輸入下列連接埠號碼:
443
、4195
。針對來源類型 – 選擇自訂。
針對來源 – 輸入私有 IP CIDR 範圍或使用者從中連線至 VPC 端點的其他安全群組 IDs。請務必僅允許來自 IPv4 地址來源的傳入流量。
為每個 CIDR 範圍或安全群組重複步驟 4 和 5。
前往傳入規則,選取新增規則以建立 UDP 流量的傳入規則。
輸入下列資料:
針對類型 – 選擇自訂 UDP。
針對連接埠範圍 – 輸入下列連接埠號碼:443、4195。
針對來源類型 – 選擇自訂。
針對來源 – 輸入在步驟 5 中輸入的相同私有 IP CIDR 範圍或安全群組 IDs。
為每個自訂 UDP 重複步驟 7 和 8。
選取建立安全群組。
步驟 2:建立 VPC 端點
在 Amazon VPC 中,VPC 端點可讓您將 VPC 連線至支援 AWS 的服務。在此範例中,您會設定 Amazon VPC,讓您的 WorkSpaces 使用者可以從 WorkSpaces 串流。
開啟 Amazon VPC 主控台
。 在導覽窗格中,前往端點,然後建立端點。
選取建立端點。
請確定下列事項:
服務類別 – 確定已選取AWS 服務。
服務名稱 – 選擇 com.amazonaws.
Region
.prod.highlander。VPC – 選擇要在其中建立介面端點的 VPC。只要網路將流量路由到 VPC 端點,您就可以選擇與具有 WorkSpaces 資源的 VPC 不同的 VPC。
啟用私有 DNS 名稱 – 已選取核取方塊。如果您的使用者使用網路 Proxy 存取串流執行個體,請停用網域上的任何 Proxy 快取,以及與私人端點相關聯的 DNS 名稱。VPC 端點 DNS 名稱應允許透過代理。
DNS 記錄 IP 類型 – 選擇 IPv4。目前不支援雙堆疊和 IPv6 DNS 記錄 IP 類型。如果選取 Dualstack 或 IPv6,您將無法使用 VPC 端點從 WorkSpaces 串流。
子網路 – 選擇子網路 (可用區域) 以建立 VPC 端點。建議您選擇至少兩個子網路。
IP 地址類型 – 選擇 IPv4。
安全群組面板 – 選取您先前建立的安全群組。
(選用) 在 標籤 面板中,您可以建立一個或多個標籤。
選取建立端點。
端點準備好可以使用時,Status (狀態) 欄中的值會變更為 Available (可用)。
步驟 3:設定 WorkSpaces 目錄以使用 VPC 端點
您需要將 WorkSpaces 目錄設定為使用您為串流建立的 VPC 端點。
在與 VPC 端點相同的 AWS 區域中開啟 WorkSpaces 主控台
。 在導覽窗格中,選取目錄,然後選取 。
選取您要使用的目錄。
前往 VPC 端點區段,然後編輯。
在編輯 VPC 端點對話方塊的串流端點下,選取您建立的 VPC 端點。
或者,您可以啟用允許具有 PCoIP WorkSpaces 的使用者從網際網路串流。
注意
啟用時,您的使用者可以透過公有網際網路從 PCoIP WorkSpaces 串流。否則,由於 PCoIP WorkSpaces 不支援 VPC 端點進行串流,因此 目錄中的 PCoIP WorkSpaces 將無法連線。
選取 Save (儲存)。
新串流工作階段的流量將透過此 VPC 端點路由。不過,會透過先前指定的端點繼續路由目前串流工作階段的流量。
注意
指定 VPC 端點時,具有 DCV WorkSpaces 的使用者無法使用公有網際網路進行串流。