Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Stellen Sie das Produkt bereit **Anmerkung** Dieses Produkt verwendet [AWS CloudFormation Vorlagen und Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html), um die Bereitstellung zu automatisieren. Die CloudFormation Vorlagen beschreiben die in diesem Produkt enthaltenen AWS Ressourcen und ihre Eigenschaften. Der CloudFormation Stack stellt die Ressourcen bereit, die in den Vorlagen beschrieben sind. Bevor Sie das Produkt auf den Markt bringen, sollten Sie sich mit den [Kosten](plan-your-deployment.md#plan-your-deployment-cost), der [Architektur](architecture-overview.md), der [Netzwerksicherheit](plan-your-deployment.md#plan-your-deployment-security) und anderen Überlegungen befassen, die weiter oben in diesem Handbuch erörtert wurden. **Topics** + [Voraussetzungen](prerequisites.md) + [Externe Ressourcen erstellen](create-external-resources.md) + [Schritt 1: Starten Sie das Produkt](launch-the-product.md) + [Schritt 2: Melden Sie sich zum ersten Mal an](first-sign-in.md) # Voraussetzungen **Topics** + [Erstellen Sie einen AWS-Konto mit einem Administratorbenutzer](#aws-account) + [Erstellen Sie ein Amazon EC2 SSH-Schlüsselpaar](#create-ssh-key-pair) + [Erhöhen Sie die Servicequoten](#increase-service-quotas) + [Erstellen Sie einen Cognito-Benutzerpool (optional)](#create-cognito-user-pool) + [Erstellen Sie eine benutzerdefinierte Domain (optional)](#create-public-domain) + [Eine Domain erstellen (GovCloud nur)](#create-domain-govcloud) + [Stellen Sie externe Ressourcen bereit](#external-resources) + [Konfigurieren Sie LDAPS in Ihrer Umgebung (optional)](#configure-ldaps) + [Richten Sie ein Dienstkonto für Microsoft Active Directory ein](#service-account-ms-ad) + [Eine private VPC konfigurieren (optional)](#private-vpc) ## Erstellen Sie einen AWS-Konto mit einem Administratorbenutzer Sie müssen über ein Konto AWS-Konto mit einem Administratorkonto verfügen: 1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup) 1. Folgen Sie den Online-Anweisungen. Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben. Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Erstellen Sie ein Amazon EC2 SSH-Schlüsselpaar Wenn Sie kein Amazon EC2 SSH-Schlüsselpaar haben, müssen Sie eines erstellen. Weitere Informationen finden Sie unter [Erstellen eines key pair mit Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) im *Amazon EC2 EC2-Benutzerhandbuch*. ## Erhöhen Sie die Servicequoten Es hat sich bewährt, [die Servicekontingenten zu erhöhen](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) für: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Erhöhen Sie das Elastic IP-Adresskontingent pro NAT-Gateway von fünf auf acht. + Erhöhen Sie die Anzahl der NAT-Gateways pro Availability Zone von fünf auf zehn. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Erhöhen Sie den EC2-VPC Elastic IPs von fünf auf zehn. Ihr AWS Konto hat Standardkontingente für jeden Dienst. AWS Sofern nicht anders angegeben, gilt jedes Kontingent spezifisch für eine Region. Sie können Erhöhungen für einige Kontingente beantragen und andere Kontingente können nicht erhöht werden. Weitere Informationen finden Sie unter [Kontingente für AWS Services in diesem Produkt](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Erstellen Sie einen Cognito-Benutzerpool (optional) Sie haben die Möglichkeit, einen vorhandenen Cognito-Benutzerpool für die Benutzer- und Client-Authentifizierung zu importieren, wenn Sie RES installieren. Andernfalls erstellt RES automatisch einen neuen Cognito-Benutzerpool. Der bereits bestehende Benutzerpool muss die folgenden benutzerdefinierten Anmeldeattribute haben: | Name | Typ | Minimaler Wert/Mindestlänge | Maximaler Wert/Länge | Mutable | | --- | --- | --- | --- | --- | | benutzerdefiniert: aws\$1region | Zeichenfolge | | | TRUE | | Benutzerdefiniert:Clustername | Zeichenfolge | | | TRUE | | Benutzerdefiniert:password\$1last\$1set | Zahl | | | TRUE | | benutzerdefiniert:password\$1max\$1age | Zahl | | | TRUE | | benutzerdefiniert:uid | Zahl | 2000200001 | 4294967294 | TRUE | ## Erstellen Sie eine benutzerdefinierte Domain (optional) Es hat sich bewährt, eine benutzerdefinierte Domain für das Produkt zu verwenden, um eine benutzerfreundliche URL zu erhalten. Sie können eine benutzerdefinierte Domain und *optional* ein Zertifikat dafür bereitstellen. Im Stack „Externe Ressourcen“ gibt es einen Prozess zum Erstellen eines Zertifikats für eine benutzerdefinierte Domäne, die Sie bereitstellen. Sie können die Schritte hier überspringen, wenn Sie eine Domain haben und die Funktionen zur Zertifikatsgenerierung des Stacks für externe Ressourcen nutzen möchten. Oder folgen Sie diesen Schritten, um eine Domain mit Amazon Route 53 zu registrieren und ein Zertifikat für die Domain mit zu importieren AWS Certificate Manager. 1. Folgen Sie den Anweisungen, um [eine Domain bei Route 53 zu registrieren](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console). Sie sollten eine Bestätigungs-E-Mail erhalten. 1. Rufen Sie die gehostete Zone für Ihre Domain ab. Route 53 erstellt dies automatisch. 1. Öffnen Sie die Route 53 53-Konsole. 1. Wählen Sie im linken Navigationsbereich die Option **Gehostete Zonen** aus. 1. Öffnen Sie die für Ihren Domainnamen erstellte Hosting-Zone und kopieren Sie die **Hosting-Zone-ID**. 1. Öffnen Sie AWS Certificate Manager und folgen Sie diesen Schritten, um [ein Domainzertifikat anzufordern](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Stellen Sie sicher, dass Sie sich in der Region befinden, in der Sie die Lösung bereitstellen möchten. 1. Wählen Sie in der Navigation die Option **Zertifikate auflisten** aus und suchen Sie nach Ihrer Zertifikatsanforderung. Die Anfrage sollte ausstehend sein. 1. Wählen Sie Ihre **Zertifikat-ID**, um die Anfrage zu öffnen. 1. Wählen Sie im Abschnitt **Domains** die Option **Create Records in Route 53** aus. Die Bearbeitung der Anfrage dauert ungefähr zehn Minuten. 1. Sobald das Zertifikat ausgestellt wurde, kopieren Sie den **ARN** aus dem Abschnitt **Zertifikatsstatus**. ## Eine Domain erstellen (GovCloud nur) Wenn Sie die Bereitstellung in einer AWS GovCloud Region durchführen und eine benutzerdefinierte Domäne für Research and Engineering Studio verwenden, müssen Sie diese erforderlichen Schritte ausführen. 1. Stellen Sie den [CloudFormation Zertifikatsstapel](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) in dem AWS Konto mit kommerzieller Partition bereit, in dem die öffentlich gehostete Domain erstellt wurde. 1. Suchen und notieren Sie sich in den ** CloudFormation Zertifikatsausgaben** das `CertificateARN` und. `PrivateKeySecretARN` 1. Erstellen Sie im GovCloud Partitionskonto ein Geheimnis mit dem Wert der `CertificateARN` Ausgabe. Notieren Sie sich den neuen geheimen ARN und fügen Sie dem Secret zwei Tags hinzu, damit `vdc-gateway` Sie auf den geheimen Wert zugreifen können: 1. res: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [Umgebungsname] (Das könnte res-demo sein.) 1. Erstellen Sie im GovCloud Partitionskonto ein Geheimnis mit dem Wert der `PrivateKeySecretARN` Ausgabe. Notieren Sie sich den neuen geheimen ARN und fügen Sie dem Secret zwei Tags hinzu, damit `vdc-gateway` Sie auf den geheimen Wert zugreifen können: 1. res: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [Umgebungsname] (Das könnte res-demo sein.) ## Stellen Sie externe Ressourcen bereit Research and Engineering Studio on AWS geht davon aus, dass die folgenden externen Ressourcen vorhanden sind, wenn es bereitgestellt wird. + **Netzwerke (VPC, öffentliche Subnetze und private Subnetze)** Hier werden Sie die EC2-Instances ausführen, die zum Hosten der RES-Umgebung, des Active Directory (AD) und des gemeinsam genutzten Speichers verwendet werden. + **Speicher (Amazon EFS)** Die Speichervolumes enthalten Dateien und Daten, die für die virtuelle Desktop-Infrastruktur (VDI) benötigt werden. + **Verzeichnisdienst ()AWS Directory Service for Microsoft Active Directory** Der Verzeichnisdienst authentifiziert Benutzer gegenüber der RES-Umgebung. + **Ein Geheimnis, das den Benutzernamen und das Passwort des Active Directory-Dienstkontos enthält, die als Schlüssel-Wert-Paar (Benutzername, Passwort) formatiert sind** Research and Engineering Studio greift auf die von Ihnen angegebenen [Geheimnisse](secrets-management.md) zu, einschließlich des Kennworts für das Dienstkonto, mithilfe von. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) **Warnung** Sie müssen eine gültige E-Mail-Adresse für alle Active Directory-Benutzer (AD) angeben, die Sie synchronisieren möchten. **Tipp** Wenn Sie eine Demoumgebung bereitstellen und diese externen Ressourcen nicht verfügbar sind, können Sie die externen Ressourcen mithilfe von AWS High Performance Compute-Rezepten generieren. Informationen zur Bereitstellung von Ressourcen in Ihrem Konto finden Sie im folgenden Abschnitt. [Externe Ressourcen erstellen](create-external-resources.md) Für Demo-Bereitstellungen in einer AWS GovCloud Region müssen Sie die erforderlichen Schritte unter ausführen. [Eine Domain erstellen (GovCloud nur)](#create-domain-govcloud) ## Konfigurieren Sie LDAPS in Ihrer Umgebung (optional) Wenn Sie die LDAPS-Kommunikation in Ihrer Umgebung verwenden möchten, müssen Sie diese Schritte ausführen, um Zertifikate zu erstellen und an den AWS Managed Microsoft AD (AD) -Domänencontroller anzuhängen, um die Kommunikation zwischen AD und RES bereitzustellen. 1. Folgen Sie den Schritten unter [So aktivieren Sie serverseitiges LDAPS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) für Ihre. AWS Managed Microsoft AD Sie können diesen Schritt überspringen, wenn Sie LDAPS bereits aktiviert haben. 1. Nachdem Sie bestätigt haben, dass LDAPS auf dem AD konfiguriert ist, exportieren Sie das AD-Zertifikat: 1. Gehen Sie zu Ihrem Active Directory-Server. 1. PowerShell Als Administrator öffnen. 1. Ausführen`certmgr.msc`, um die Zertifikatsliste zu öffnen. 1. Öffnen Sie die Zertifikatsliste, indem Sie zuerst die vertrauenswürdigen Stammzertifizierungsstellen und dann Zertifikate öffnen. 1. Wählen Sie das Zertifikat mit demselben Namen wie Ihr AD-Server aus und halten Sie es gedrückt (oder klicken Sie mit der rechten Maustaste darauf). Wählen Sie **Alle Aufgaben** und dann **Exportieren** aus. 1. **Wählen Sie **Base-64-codiertes X.509 (.CER**) aus und klicken Sie auf Weiter.** 1. **Wählen Sie ein Verzeichnis aus und klicken Sie dann auf Weiter.** 1. Erstellen Sie ein Geheimnis in AWS Secrets Manager: Wenn Sie Ihr Geheimnis im Secrets Manager erstellen, wählen Sie **Andere Art von Geheimnissen** unter **Geheimnistyp** und fügen Sie Ihr PEM-codiertes Zertifikat in das **Klartext-Feld** ein. 1. Notieren Sie sich den erstellten ARN und geben Sie ihn als `DomainTLSCertificateSecretARN` Parameter ein[Schritt 1: Starten Sie das Produkt](launch-the-product.md). ## Richten Sie ein Dienstkonto für Microsoft Active Directory ein Wenn Sie Microsoft Active Directory (AD) als Identitätsquelle für RES wählen, verfügen Sie in Ihrem AD über ein Dienstkonto, das den programmatischen Zugriff ermöglicht. Im Rahmen Ihrer RES-Installation müssen Sie ein Geheimnis mit den Anmeldeinformationen des Dienstkontos weitergeben. Das Geheimnis muss das hier gezeigte Format haben. ![\[Beispiel für ein Nutzername- und Passwortformat\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-secret-value-example.png) Beachten Sie auch, dass das `username` Feld keine Anmeldenamen im NT-Stil dieses Formats unterstützt. `DOMAIN\username` Das Dienstkonto ist für die folgenden Funktionen verantwortlich: + Benutzer aus dem AD synchronisieren: RES muss Benutzer aus dem AD synchronisieren, damit sie sich am Webportal anmelden können. Der Synchronisierungsprozess verwendet das Dienstkonto, um das AD mithilfe von LDAP (s) abzufragen, um festzustellen, welche Benutzer und Gruppen verfügbar sind. + Treten Sie der AD-Domäne bei: Dies ist ein optionaler Vorgang für virtuelle Linux-Desktops und Infrastrukturhosts, bei dem die Instanz der AD-Domäne beitritt. In RES wird dies mit dem `DisableADJoin` Parameter gesteuert. Dieser Parameter ist standardmäßig auf False gesetzt, was bedeutet, dass virtuelle Linux-Desktops versuchen, der AD-Domäne in der Standardkonfiguration beizutreten. + Connect zum AD herstellen: Virtuelle Linux-Desktops und Infrastrukturhosts stellen eine Verbindung zur AD-Domäne her, wenn sie ihr nicht beitreten (`DisableADJoin`= True). Damit diese Funktion funktioniert, benötigt das Dienstkonto auch Lesezugriff für Benutzer `UsersOU` und Gruppen`GroupsOU`. Für das Dienstkonto sind die folgenden Berechtigungen erforderlich: + Um Benutzer zu synchronisieren und eine Verbindung zu AD herzustellen → Lesezugriff für Benutzer und Gruppen im `UsersOU` und`GroupsOU`. + Um der AD-Domäne beizutreten → erstellen Sie `Computer` Objekte in der`ComputersOU`. Das Skript unter [ https://github.com/aws-samples/aws-hpc-recipes//blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) bietet ein Beispiel dafür, wie die richtigen Dienstkontoberechtigungen erteilt werden. Sie können es auf der Grundlage Ihres eigenen AD ändern. ## Eine private VPC konfigurieren (optional) Die Bereitstellung von Research and Engineering Studio in einer isolierten VPC bietet verbesserte Sicherheit, um die Compliance- und Governance-Anforderungen Ihres Unternehmens zu erfüllen. Die standardmäßige RES-Bereitstellung ist jedoch für die Installation von Abhängigkeiten auf den Internetzugang angewiesen. Um RES in einer privaten VPC zu installieren, müssen Sie die folgenden Voraussetzungen erfüllen: **Topics** + [Amazon Machine Images vorbereiten (AMIs)](#prep-ami) + [VPC-Endpunkte einrichten](#private-vpc-endpoints) + [Connect zu Diensten ohne VPC-Endpunkte her](#connect-services-without-endpoints) + [Stellen Sie private VPC-Bereitstellungsparameter ein](#vpc-deployment-parameters) ### Amazon Machine Images vorbereiten (AMIs) 1. Laden Sie die Abhängigkeiten [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/res-installation-scriptsneuest/.tar.gz](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz) herunter. Für die Bereitstellung in einer isolierten VPC erfordert die RES-Infrastruktur die Verfügbarkeit von Abhängigkeiten ohne öffentlichen Internetzugang. **Wichtig** Ersetzen **latest** Sie die Download-URI durch die genaue Versionsnummer (z. B.**2025.06**), wenn Ihre RES-Umgebungsversion nicht die neueste ist. 1. Erstellen Sie eine IAM-Rolle mit schreibgeschütztem Amazon S3 S3-Zugriff und vertrauenswürdiger Identität als Amazon EC2. 1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole. 1. **Wählen Sie unter **Rollen** die Option Rolle erstellen aus.** 1. Gehen Sie auf der Seite **Vertrauenswürdige Entität auswählen** wie folgt vor: + Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option aus AWS-Service. + Wählen **Sie für Anwendungsfall** unter **Service oder Anwendungsfall** die Option **EC2** und **dann Weiter** aus. 1. Wählen **Sie unter Berechtigungen hinzufügen** die folgenden Berechtigungsrichtlinien aus und klicken Sie dann auf **Weiter**: + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Fügen Sie einen **Rollennamen** und eine **Beschreibung** hinzu und wählen Sie dann **Rolle erstellen** aus. 1. Erstellen Sie die EC2 Image Builder-Komponente: 1. Öffnen Sie die EC2 Image Builder Builder-Konsole unter[https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder). 1. Wählen Sie unter **Gespeicherte Ressourcen** die Option **Komponenten** und anschließend **Komponente erstellen** aus. 1. Geben Sie auf der Seite **Komponente erstellen** die folgenden Details ein: + Wählen Sie als **Komponententyp** die Option **Build** aus. + Wählen Sie für **Komponentendetails** Folgendes aus: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. Wählen Sie auf der Seite **Komponente erstellen** die Option **Dokumentinhalt definieren** aus. 1. Bevor Sie den Inhalt des Definitionsdokuments eingeben können, benötigen Sie einen Datei-URI für die Datei tar.gz. Laden Sie die von RES bereitgestellte Datei tar.gz in einen Amazon S3 S3-Bucket hoch und kopieren Sie den URI der Datei aus den Bucket-Eigenschaften. 1. Geben Sie Folgendes ein: **Anmerkung** `AddEnvironmentVariables`ist optional, und Sie können sie entfernen, wenn Sie keine benutzerdefinierten Umgebungsvariablen in Ihren Infrastruktur-Hosts benötigen. Wenn Sie `https_proxy` Umgebungsvariablen einrichten`http_proxy`, sind die `no_proxy` Parameter erforderlich, um zu verhindern, dass die Instanz einen Proxy verwendet, um Localhost, IP-Adressen von Instanzmetadaten und die Dienste, die VPC-Endpunkte unterstützen, abzufragen. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. **Wählen Sie Komponente erstellen aus.** 1. Erstellen Sie ein Image Builder Builder-Image-Rezept. 1. Geben Sie auf der Seite **Rezept erstellen** Folgendes ein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. Wählen Sie **Create Recipe** (Rezept erstellen) aus. 1. Erstellen Sie die Image Builder Builder-Infrastrukturkonfiguration. 1. Wählen Sie unter **Gespeicherte Ressourcen** die Option **Infrastrukturkonfigurationen** aus. 1. Wählen Sie **Infrastrukturkonfiguration erstellen** aus. 1. Geben Sie auf der Seite „**Infrastrukturkonfiguration erstellen**“ Folgendes ein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) 1. **Wählen Sie Infrastrukturkonfiguration erstellen.** 1. Erstellen Sie eine neue EC2 Image Builder Builder-Pipeline: 1. Gehen Sie zu **Image-Pipelines** und wählen Sie **Image-Pipeline erstellen** aus. 1. Geben Sie auf der Seite „**Pipeline-Details angeben**“ Folgendes ein und wählen Sie **Weiter** aus: + Name der Pipeline und optionale Beschreibung + Legen Sie für **Build schedule** einen Zeitplan fest oder wählen Sie **Manuell**, wenn Sie den AMI-Backvorgang manuell starten möchten. 1. Wählen Sie auf der Seite **„Rezept** auswählen“ die Option „**Bestehendes Rezept verwenden**“ und geben Sie den zuvor erstellten **Rezeptnamen** ein. Wählen Sie **Weiter** aus. 1. Wählen Sie auf der Seite „**Image-Prozess definieren**“ die Standard-Workflows aus und klicken Sie auf **Weiter**. 1. Wählen Sie auf der Seite „**Infrastrukturkonfiguration definieren**“ die Option **Bestehende Infrastrukturkonfiguration verwenden** aus und geben Sie den Namen der zuvor erstellten Infrastrukturkonfiguration ein. Wählen Sie **Weiter** aus. 1. Beachten Sie bei Ihrer Auswahl auf der Seite **„Verteilungseinstellungen definieren**“ Folgendes: + Das Ausgabe-Image muss sich in derselben Region wie die bereitgestellte RES-Umgebung befinden, damit RES die Infrastruktur-Host-Instances von dort aus ordnungsgemäß starten kann. Unter Verwendung der Dienststandardwerte wird das Ausgabe-Image in der Region erstellt, in der der EC2 Image Builder Builder-Service verwendet wird. + Wenn Sie RES in mehreren Regionen bereitstellen möchten, können Sie **Neue Distributionseinstellungen erstellen wählen und dort** weitere Regionen hinzufügen. 1. Überprüfen Sie Ihre Auswahl und wählen Sie **Pipeline erstellen**. 1. Führen Sie die EC2 Image Builder Builder-Pipeline aus: 1. Suchen Sie unter **Image-Pipelines die Pipeline**, die Sie erstellt haben, und wählen Sie sie aus. 1. Wählen Sie **Aktionen** und anschließend **Pipeline ausführen** aus. Es kann etwa 45 Minuten bis eine Stunde dauern, bis die Pipeline ein AMI-Image erstellt. 1. Notieren Sie sich die AMI-ID für das generierte AMI und verwenden Sie sie als Eingabe für den InfrastructureHost AMI-Parameter in[Schritt 1: Starten Sie das Produkt](launch-the-product.md). ### VPC-Endpunkte einrichten Um RES bereitzustellen und virtuelle Desktops zu starten, AWS-Services benötigen Sie Zugriff auf Ihr privates Subnetz. Sie müssen VPC-Endpoints einrichten, um den erforderlichen Zugriff bereitzustellen, und Sie müssen diese Schritte für jeden Endpunkt wiederholen. 1. Wenn Endpunkte noch nicht konfiguriert wurden, folgen Sie den Anweisungen unter [Zugriff und AWS-Service Verwenden eines VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Wählen Sie in jeder der beiden Availability Zones ein privates Subnetz aus. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/prerequisites.html) ### Connect zu Diensten ohne VPC-Endpunkte her Für die Integration mit Diensten, die keine VPC-Endpunkte unterstützen, können Sie einen Proxyserver in einem öffentlichen Subnetz Ihrer VPC einrichten. Gehen Sie wie folgt vor, um mit AWS Identity Center als Identitätsanbieter einen Proxyserver mit dem für eine Research and Engineering Studio-Bereitstellung erforderlichen Mindestzugriff zu erstellen. 1. Starten Sie eine Linux-Instance im öffentlichen Subnetz der VPC, die Sie für Ihre RES-Bereitstellung verwenden werden. + Linux-Familie — Amazon Linux 2 oder Amazon Linux 3 + Architektur — x86 + Instanztyp — t2.micro oder höher + Sicherheitsgruppe — TCP auf Port 3128 von 0.0.0.0/0 1. Stellen Sie eine Verbindung mit der Instanz her, um einen Proxyserver einzurichten. 1. Öffnen Sie die HTTP-Verbindung. 1. Erlauben Sie die Verbindung zu den folgenden Domänen von allen relevanten Subnetzen aus: + .amazonaws.com (für allgemeine Dienste) AWS + .amazoncognito.com (für Amazon Cognito) + .awsapps.com (für Identity Center) + .signin.aws (für Identity Center) + . amazonaws-us-gov.com (für Gov Cloud) 1. Lehnen Sie alle anderen Verbindungen ab. 1. Aktivieren und starten Sie den Proxyserver. 1. Notieren Sie sich den PORT, auf dem der Proxy-Server lauscht. 1. Konfigurieren Sie Ihre Routing-Tabelle so, dass der Zugriff auf den Proxyserver möglich ist. 1. Rufen Sie Ihre VPC-Konsole auf und identifizieren Sie die Routing-Tabellen für die Subnetze, die Sie für Infrastrukturhosts und VDI-Hosts verwenden werden. 1. Bearbeiten Sie die Routentabelle, damit alle eingehenden Verbindungen zu der in den vorherigen Schritten erstellten Proxy-Server-Instanz weitergeleitet werden können. 1. Tun Sie dies für Routing-Tabellen für alle Subnetze (ohne Internetzugang), die Sie für VDIs Infrastructure/ verwenden werden. 1. Ändern Sie die Sicherheitsgruppe der Proxyserver-EC2-Instance und stellen Sie sicher, dass sie eingehende TCP-Verbindungen an dem PORT zulässt, den der Proxyserver überwacht. ### Stellen Sie private VPC-Bereitstellungsparameter ein In wird erwartet[Schritt 1: Starten Sie das Produkt](launch-the-product.md), dass Sie bestimmte Parameter in die CloudFormation Vorlage eingeben. Stellen Sie sicher, dass Sie die folgenden Parameter wie angegeben festlegen, um die Bereitstellung in der privaten VPC, die Sie gerade konfiguriert haben, erfolgreich durchzuführen. | Parameter | Input | | --- |--- | | InfrastructureHostAMI | Verwenden Sie die in erstellte Infrastruktur-AMI-ID[Amazon Machine Images vorbereiten (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Auf „Falsch“ gesetzt. | | LoadBalancerSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | InfrastructureHostSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | VdiSubnets | Wählen Sie private Subnetze ohne Internetzugang. | | ClientIP | Sie können Ihre VPC-CIDR auswählen, um den Zugriff für alle VPC-IP-Adressen zu ermöglichen. | | HttpProxy | Beispiel: http://10.1.2.3:123 | | HttpsProxy | Beispiel: http://10.1.2.3:123 | | NoProxy | Beispiel: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Externe Ressourcen erstellen Dieser CloudFormation Stapel erstellt Netzwerk-, Speicher-, Active Directory- und Domänenzertifikate (sofern ein bereitgestellt PortalDomainName wird). Sie müssen über diese externen Ressourcen verfügen, um das Produkt bereitstellen zu können. Sie können [die Rezeptvorlage vor der Bereitstellung herunterladen](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml). **Zeit für die Bereitstellung:** Ungefähr 40-90 Minuten 1. Melden Sie sich bei [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole. **Anmerkung** Stellen Sie sicher, dass Sie sich in Ihrem Administratorkonto befinden. 1. Starten Sie [die Vorlage](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) in der Konsole. Wenn Sie die Bereitstellung in einer AWS GovCloud Region durchführen, starten Sie die Vorlage in Ihrem GovCloud Partitionskonto (z. B. [hier](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) für die Region AWS GovCloud (US-West)). 1. Geben Sie die Vorlagenparameter ein: **Wichtig** Verwenden Sie unterschiedliche Werte für diese Konten `AdminPassword` und sorgen `ServiceAccountPassword` Sie dafür, dass die Sicherheitsgrenzen zwischen diesen Konten eingehalten werden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/create-external-resources.html) 1. Bestätigen Sie alle Checkboxen unter **Capabilities** und wählen Sie **Create Stack** aus. # Schritt 1: Starten Sie das Produkt Folgen Sie den step-by-step Anweisungen in diesem Abschnitt, um das Produkt zu konfigurieren und in Ihrem Konto bereitzustellen. **Zeit bis zur Bereitstellung:** Ungefähr 60 Minuten Sie können [die CloudFormation Vorlage für dieses Produkt herunterladen](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json), bevor Sie es bereitstellen. Wenn Sie in AWS GovCloud (USA West) bereitstellen, verwenden Sie diese [Vorlage](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). **res-stack** — Verwenden Sie diese Vorlage, um das Produkt und alle zugehörigen Komponenten zu starten. Die Standardkonfiguration stellt den RES-Hauptstapel sowie die Authentifizierungs-, Frontend- und Backend-Ressourcen bereit. **Anmerkung** AWS CloudFormation Ressourcen werden aus AWS Cloud Development Kit (AWS CDK) ()AWS CDK-Konstrukten erstellt. Die AWS CloudFormation Vorlage stellt Research and Engineering Studio auf der AWS bereit. AWS Cloud Sie müssen die [Voraussetzungen](prerequisites.md) erfüllen, bevor Sie den Stack starten können. 1. Melden Sie sich bei [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an AWS-Managementkonsole und öffnen Sie die CloudFormation Konsole. 1. [Starten Sie die Vorlage.](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json) Für die Bereitstellung in AWS GovCloud (US-West) starten Sie diese [Vorlage](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). 1. Die Vorlage wird standardmäßig in der Region USA Ost (Nord-Virginia) gestartet. Um das Produkt in einer anderen Sprache zu starten AWS-Region, verwenden Sie die Regionsauswahl in der Navigationsleiste der Konsole. **Anmerkung** Dieses Produkt verwendet den Amazon Cognito-Service, der derzeit nicht in allen AWS-Regionen verfügbar ist. Sie müssen dieses Produkt an einem Ort auf den Markt bringen AWS-Region , an dem Amazon Cognito verfügbar ist. Die aktuelle Verfügbarkeit nach Regionen finden Sie in der [Liste AWS-Region aller Services](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. Überprüfen Sie unter **Parameter** die Parameter für diese Produktvorlage und ändern Sie sie nach Bedarf. Wenn Sie die automatisierten externen Ressourcen bereitgestellt haben, finden Sie diese Parameter auf der Registerkarte **Ausgaben** des Stacks für externe Ressourcen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/res/latest/ug/launch-the-product.html) 1. Fügen **Sie unter Stack-Optionen konfigurieren → Tags — *optional*** die Tags (Schlüssel-Wert-Paare) hinzu, die Sie auf die von RES bereitgestellten Ressourcen anwenden möchten. Tag-Schlüssel `Name` und `res:*` werden von RES beibehalten und können nicht als Tag-Schlüssel verwendet werden. 1. Wählen Sie **Stack erstellen** aus, um den Stack bereitzustellen. Sie können den Status des Stacks in der AWS CloudFormation Konsole in der Spalte **Status einsehen**. Sie erhalten in etwa 60 Minuten den Status CREATE\$1COMPLETE. **Wichtig** Sie sind dafür verantwortlich, Ihre infrastructure/VDI Hosts nach der Bereitstellung zu patchen. # Schritt 2: Melden Sie sich zum ersten Mal an Nach der Bereitstellung des Produkt-Stacks in Ihrem Konto erhalten Sie eine E-Mail mit Ihren Anmeldeinformationen. Verwenden Sie die URL, um sich bei Ihrem Konto anzumelden und den Workspace für andere Benutzer zu konfigurieren. ![\[E-Mail-Einladung für die erste Anmeldung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-firstsignin.png) Nachdem Sie sich zum ersten Mal angemeldet haben, können Sie im Webportal Einstellungen konfigurieren, um eine Verbindung zum SSO-Anbieter herzustellen. Informationen zur Konfiguration nach der Bereitstellung finden Sie unter[Konfigurationsleitfaden](configuration-guide.md). Beachten Sie, dass es `clusteradmin` sich um ein erstklassiges Konto handelt. Sie können es verwenden, um Projekte zu erstellen und diesen Projekten Benutzer- oder Gruppenmitgliedschaften zuzuweisen. Es kann keine Software-Stacks zuweisen oder einen Desktop für sich selbst bereitstellen.