本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從介面 VPC 端點建立和串流
Virtual Private Cloud (VPC) 是 Amazon Web Services 雲端中您自己的邏輯隔離區域中的虛擬網路。如果您使用 Amazon Virtual Private Cloud 託管AWS資源,您可以在 VPC 和 WorkSpaces 之間建立私有連線。您可以使用此連線讓 WorkSpaces 與 VPC 上的資源通訊,而無需透過公有網際網路。
介面端點採用AWSPrivateLink,這項技術可讓您使用私有 IP 地址,將串流流量保留在您指定的 VPC 內。當您搭配 AWSDirect Connect 或AWS虛擬私有網路通道使用 VPC 時,您可以將串流流量保留在您的網路中。
您可以使用AWS帳戶中的 VPC 端點,將 Amazon VPC 和 WorkSpaces 之間的所有串流流量限制在AWS網路。建立端點之後,請將 WorkSpaces 目錄設定為使用它。
## 先決條件和限制
在為 WorkSpaces 設定 VPC 端點之前,請注意下列先決條件和限制。
+ 此功能目前支援 IPv4 或 IPv6 DNS 記錄 IP 類型。不支援雙堆疊 DNS 記錄 IP 類型。
+ 您只能設定AWS 帳戶與目錄位於相同 的 VPC 端點。不支援其他AWS 帳戶 中的 VPC 端點,包括共用 VPCs中的端點。
+ 此功能目前僅支援 VPC 端點的私有 DNS 名稱。VPC 端點的私有 DNS 名稱無法公開解析。
+ 此功能目前僅適用於 WorkSpaces Personal。WorkSpaces 集區不支援 VPC 端點進行串流。
+ VPC 端點功能僅適用於使用 Amazon DCV 的 WorkSpaces。當您為目錄設定 VPC 端點時,使用者無法透過網際網路從 Amazon DCV 串流。不過,您可以在 VPC 端點組態期間,為相同目錄中的 PCoIP WorkSpaces 啟用網際網路串流。
+ 若要維護 VPC 內的串流流量,請使用串流 VPC 端點。您的 WorkSpaces 用戶端需要網際網路連線才能進行使用者身分驗證。在連接埠 443 (UDP 和 TCP) 上啟用身分驗證流量的傳出存取。此外,您必須根據您選擇的身分驗證方法,將必要的網域和 IP 地址新增至允許清單。如需每個類別的完整網域清單,請參閱[要新增至允許清單的網域和 IP 地址](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports)。
+ CAPTCHA
+ 目錄設定
+ 如果您使用智慧卡,則為工作階段前智慧卡身分驗證端點
+ 使用者登入頁面
+ WS 中介裝置
+ 適用於 SAML 單一登入 (SSO) 的 WorkSpaces 節點
+ 您使用者裝置連線的網路必須能夠將流量路由到 VPC 端點。
+ 您必須擁有AWS帳戶中 IAM 使用者或 IAM 角色的 IAM 許可政策,才能執行 `ec2:DescribeVpcEndpoints` API 動作。
+ WorkSpaces 串流 VPC 端點目前不支援 FIPS 加密。如果您已為目錄啟用 FIPS 加密,則需要在設定 VPC 端點之前停用 FIPS 加密。
+ AWS透過 VPC 端點串流時,無法使用 Global Accelerator (AGA) 整合。
+ 為目錄設定 VPC 端點時,不再套用為目錄指定的 IP 存取控制群組。
## 設定 WorkSpaces 串流的 VPC 端點
若要設定 WorkSpaces 串流的 VPC 端點,請完成下列步驟:
### 步驟 1:建立安全群組
在此步驟中,您會建立安全群組,讓 WorkSpaces 用戶端與您要建立的 VPC 端點通訊。
1. 在 Amazon EC2 主控台的導覽窗格中,移至**網路與安全**,然後移至**安全群組**。
1. 選取**建立安全群組**。
1. 在**基本詳細資訊**下,輸入下列項目:
+ 針對**安全群組名稱** – 輸入可識別安全群組的唯一名稱。
+ 針對**描述** – 輸入一些描述安全群組用途的文字。
+ 對於 **VPC** – 選擇 VPC 端點所在的 VPC。
1. 前往**傳入規則**,然後選取**新增規則**以建立 TCP 流量的傳入規則。
1. 輸入下列資料:
+ 針對**類型** – 選擇自訂 TCP。
+ 針對**連接埠範圍** – 輸入下列連接埠號碼:`443`、`4195`。
+ 針對**來源類型** – 選擇自訂。
+ 針對**來源** – 輸入私有 IP CIDR 範圍或使用者從中連線至 VPC 端點的其他安全群組 IDs。請務必允許來自 IPv4 或 IPv6 地址來源的傳入流量。
1. 為每個 CIDR 範圍或安全群組重複步驟 4 和 5。
1. 前往**傳入規則**,選取**新增規則**以建立 UDP 流量的傳入規則。
1. 輸入下列資料:
+ 針對**類型** - 選擇**自訂 UDP**。
+ 針對**連接埠範圍** – 輸入下列連接埠號碼:443、4195。
+ 針對**來源類型** – 選擇**自訂**。
+ 針對**來源** – 輸入在步驟 5 中輸入的相同私有 IP CIDR 範圍或安全群組 IDs。請務必允許來自 IPv4 或 IPv6 地址來源的傳入流量。
1. 為每個 CIDR 範圍或安全群組重複步驟 7 和 8。
1. 選取**建立安全群組**。
### 步驟 2:建立 VPC 端點
在 Amazon VPC 中,VPC 端點可讓您將 VPC 連線至支援AWS的服務。在此範例中,您會設定 Amazon VPC,讓您的 WorkSpaces 使用者可以從 WorkSpaces 串流。
1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,前往**端點**,然後**建立端點**。
1. 選取**建立端點**。
1. 請確認下列事項:
+ **服務類別** – 確定已選取**AWS服務**。
+ **服務名稱** – 選擇 **com.amazonaws.*Region*.highlander**。
+ **VPC** – 選擇要在其中建立介面端點的 VPC。只要網路將流量路由到 VPC 端點,您就可以選擇與具有 WorkSpaces 資源的 VPC 不同的 VPC。
+ **啟用私有 DNS 名稱** – 已選取核取方塊。如果您的使用者使用網路 Proxy 存取串流執行個體,請停用網域上的任何 Proxy 快取,以及與私人端點相關聯的 DNS 名稱。應允許透過代理的 VPC 端點 DNS 名稱。若要成功解析 DNS 名稱,請務必使用 VPC 中的私有 DNS 伺服器,這是因為公有 DNS 伺服器不會解析 VPC 端點 DNS 名稱。
+ **DNS 記錄 IP 類型** – 選擇 IPv4 或 IPv6。目前不支援雙堆疊 DNS 記錄 IP 類型。如果您選擇 Dualstack,您將無法使用 VPC 端點從 WorkSpaces 串流。
+ **子網路** – 選擇子網路 (可用區域) 以建立 VPC 端點。建議您選擇至少兩個子網路。
+ **IP 地址類型** – 根據您選擇的子網路支援,選擇 IPv4, IPv6 或 Dualstack。
+ **安全群組面板** – 選取您先前建立的安全群組。
1. (選用) 在 **標籤** 面板中,您可以建立一個或多個標籤。
1. 選取**建立端點**。
端點準備好可以使用時,**Status** (狀態) 欄中的值會變更為 **Available** (可用)。
### 步驟 3:設定 WorkSpaces 目錄以使用 VPC 端點
您需要將 WorkSpaces 目錄設定為使用您為串流建立的 VPC 端點。
1. 在與 VPC 端點相同的AWS區域中開啟 [WorkSpaces 主控台](https://console.aws.amazon.com/workspaces/v2/home)。
1. 在**導覽**窗格中,選取**目錄**,然後選取 。
1. 選取您要使用的目錄。
1. 前往 **VPC 端點**區段,然後**編輯**。
1. 在**編輯 VPC 端點**對話方塊**的串流端點**下,選取您建立的 VPC 端點。
1. 或者,您可以啟用**允許具有 PCoIP WorkSpaces 的使用者從網際網路串流**。
**注意**
啟用時,您的使用者可以透過公有網際網路從其 PCoIP WorkSpaces 串流。否則,由於 PCoIP WorkSpaces 不支援 VPC 端點進行串流,因此 目錄中的 PCoIP WorkSpaces 將無法連線。
1. 選取**儲存**。
新串流工作階段的流量將透過此 VPC 端點路由。不過,會透過先前指定的端點繼續路由目前串流工作階段的流量。
**注意**
指定 VPC 端點時,具有 DCV WorkSpaces 的使用者無法使用公有網際網路進行串流。