Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Netzwerke und Zugriff für WorkSpaces Pools
Die folgenden Themen enthalten Informationen darüber, wie Benutzer eine Verbindung zu WorkSpaces Pools herstellen können und wie Sie Ihren WorkSpaces Pools den Zugriff auf Netzwerkressourcen und das Internet ermöglichen.
**Topics**
+ [Internetzugang für WorkSpaces Schwimmbäder](internet-access.md)
+ [Konfiguration einer VPC für Pools WorkSpaces](appstream-vpc.md)
+ [FedRAMP-Autorisierung oder DoD SRG-Konformität für Pools konfigurieren WorkSpaces](fips-encryption-pools.md)
+ [Funktionen der Verwendung von Amazon S3 S3-VPC-Endpunkten für Pools WorkSpaces](managing-network-vpce-iam-policy.md)
+ [Verbindungen zu Ihrer VPC für Pools WorkSpaces](pools-port-requirements.md)
+ [Benutzerverbindungen zu WorkSpaces Pools](user-connections-to-appstream2.md)
# Internetzugang für WorkSpaces Schwimmbäder
Wenn Sie WorkSpaces in WorkSpaces Pools einen Internetzugang benötigen, können Sie ihn auf verschiedene Arten aktivieren. Wenn Sie sich für eine Methode zur Aktivierung des Internetzugriffs entscheiden, sollten Sie die Anzahl der Benutzer, die Sie unterstützen müssen, und Ihre Ziele bezüglich der Bereitstellung berücksichtigen. Zum Beispiel:
+ Wenn Ihre Bereitstellung mehr als 100 Benutzer gleichzeitig unterstützen muss, [konfigurieren Sie eine VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md).
+ Wenn Ihre Bereitstellung weniger als 100 Benutzer gleichzeitig unterstützt, [können Sie eine neue oder bestehende VPC mit einem öffentlichen Subnetz konfigurieren](managing-network-default-internet-access.md).
+ Wenn Ihre Bereitstellung weniger als 100 gleichzeitige Benutzer unterstützt und Sie WorkSpaces Pools noch nicht kennen und mit der Nutzung des Dienstes beginnen möchten, können Sie die [Standard-VPC, das öffentliche Subnetz und die Sicherheitsgruppe verwenden](managing-network-default-internet-access.md).
In den folgenden Abschnitten finden Sie weitere Informationen zu jeder dieser Bereitstellungsoptionen.
+ [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md)(empfohlen) — Mit dieser Konfiguration starten Sie Ihre WorkSpaces Pools-Builder in einem privaten Subnetz und konfigurieren ein NAT-Gateway in einem öffentlichen Subnetz in Ihrer VPC. Ihren Streaming-Instances wird eine private IP-Adresse zugewiesen, auf die nicht direkt über das Internet zugegriffen werden kann.
Darüber hinaus ist die NAT-Konfiguration in Pools im Gegensatz zu Konfigurationen, die die Option **Standard-Internetzugang** für die Aktivierung des Internetzugangs verwenden, nicht auf 100 WorkSpaces beschränkt. WorkSpaces Wenn Ihre Bereitstellung mehr als 100 gleichzeitige Benutzer unterstützen muss, verwenden Sie diese Konfiguration.
Sie können eine neue VPC für die Verwendung mit einem NAT-Gateway erstellen und konfigurieren oder einer vorhandenen VPC ein NAT-Gateway hinzufügen.
+ [Konfigurieren einer neuen oder vorhandenen VPC mit einem öffentlichen Subnetz](managing-network-default-internet-access.md)— Mit dieser Konfiguration starten Sie Ihre WorkSpaces Pools in einem öffentlichen Subnetz. Wenn Sie diese Option aktivieren, verwendet WorkSpaces Pools das Internet-Gateway in Ihrem öffentlichen Amazon VPC-Subnetz, um die Internetverbindung bereitzustellen. Ihren Streaming-Instances wird eine öffentliche IP-Adresse zugewiesen, auf die direkt aus dem Internet zugegriffen werden kann. Sie können eine neue VPC erstellen oder eine vorhandene VPC für diesen Zweck konfigurieren.
**Anmerkung**
Wenn Sie eine neue oder bestehende VPC mit einem öffentlichen Subnetz konfigurieren, WorkSpaces werden maximal 100 in WorkSpaces Pools unterstützt. Wenn Ihre Bereitstellung mehr als 100 gleichzeitige Benutzer unterstützen muss, verwenden Sie stattdessen die [NAT-Gateway-Konfiguration](managing-network-internet-NAT-gateway.md) .
+ [Verwenden der Standard-VPC, des öffentlichen Subnetzes und der Sicherheitsgruppe](default-vpc-with-public-subnet.md)— Wenn Sie mit WorkSpaces Pools noch nicht vertraut sind und den Service nutzen möchten, können Sie Ihre WorkSpaces Pools in einem öffentlichen Standardsubnetz starten. Wenn Sie diese Option aktivieren, verwendet WorkSpaces Pools das Internet-Gateway in Ihrem öffentlichen Amazon VPC-Subnetz, um die Internetverbindung bereitzustellen. Ihren Streaming-Instances wird eine öffentliche IP-Adresse zugewiesen, auf die direkt aus dem Internet zugegriffen werden kann.
Standardwerte VPCs sind für Amazon Web Services Services-Konten verfügbar, die nach dem 04.12.2013 erstellt wurden.
Die Standard-VPC enthält ein öffentliches Standardsubnetz in jeder Availability Zone und ein Internet-Gateway, das Ihrer VPC zugeordnet ist. Die VPC umfasst auch eine Standardsicherheitsgruppe.
**Anmerkung**
Wenn Sie die Standard-VPC, das öffentliche Subnetz und die Sicherheitsgruppe verwenden, WorkSpaces werden maximal 100 in WorkSpaces Pools unterstützt. Wenn Ihre Bereitstellung mehr als 100 gleichzeitige Benutzer unterstützen muss, verwenden Sie stattdessen die [NAT-Gateway-Konfiguration](managing-network-internet-NAT-gateway.md) .
# Konfiguration einer VPC für Pools WorkSpaces
Wenn Sie WorkSpaces Pools einrichten, müssen Sie die Virtual Private Cloud (VPC) und mindestens ein Subnetz angeben, in dem Sie Ihre starten möchten. WorkSpaces Eine VPC ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der Cloud von Amazon Web Services. Ein Subnetz ist ein Bereich von IP-Adressen in Ihrer VPC.
Wenn Sie Ihre VPC für WorkSpaces Pools konfigurieren, können Sie entweder öffentliche oder private Subnetze oder eine Mischung aus beiden Subnetztypen angeben. Ein öffentliches Subnetz hat über ein Internet-Gateway direkten Zugriff auf das Internet. Ein privates Subnetz, das keine Route zu einem Internet-Gateway hat, erfordert ein Network Address Translation (NAT)-Gateway oder eine NAT-Instance, um den Zugriff auf das Internet zu ermöglichen.
**Topics**
+ [Empfehlungen zur VPC-Setup für Pools WorkSpaces](vpc-setup-recommendations.md)
+ [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md)
+ [Konfigurieren einer neuen oder vorhandenen VPC mit einem öffentlichen Subnetz](managing-network-default-internet-access.md)
+ [Verwenden der Standard-VPC, des öffentlichen Subnetzes und der Sicherheitsgruppe](default-vpc-with-public-subnet.md)
# Empfehlungen zur VPC-Setup für Pools WorkSpaces
Wenn Sie einen WorkSpaces Pool erstellen, geben Sie die VPC und ein oder mehrere Subnetze an, die verwendet werden sollen. Sie können eine zusätzliche Zugriffssteuerung für Ihre VPC bereitstellen, indem Sie Sicherheitsgruppen angeben.
Die folgenden Empfehlungen können Ihnen dabei helfen, Ihre VPC effektiver und sicherer zu konfigurieren. Darüber hinaus können sie Ihnen bei der Konfiguration einer Umgebung helfen, die eine effektive WorkSpaces Pool-Skalierung unterstützt. Mit einer effektiven WorkSpaces Pool-Skalierung können Sie den aktuellen und erwarteten WorkSpaces Benutzerbedarf decken und gleichzeitig unnötigen Ressourcenverbrauch und die damit verbundenen Kosten vermeiden.
**VPC-Gesamtkonfiguration**
+ Stellen Sie sicher, dass Ihre VPC-Konfiguration Ihre WorkSpaces Pools-Skalierungsanforderungen unterstützt.
Denken Sie bei der Entwicklung Ihres Plans für die WorkSpaces Pools-Skalierung daran, dass ein Benutzer einen WorkSpaces benötigt. Daher bestimmt die Größe Ihrer WorkSpaces Pools die Anzahl der Benutzer, die gleichzeitig streamen können. Aus diesem Grund sollten Sie für jeden [Instance-Typ](instance-types.md), den Sie verwenden möchten, sicherstellen, dass die Anzahl der Instance-Typen WorkSpaces , die Ihre VPC unterstützen kann, größer ist als die Anzahl der erwarteten gleichzeitigen Benutzer für denselben Instance-Typ.
+ Stellen Sie sicher, dass die Kontingente Ihres WorkSpaces Pools-Kontos (auch als Limits bezeichnet) ausreichen, um Ihren voraussichtlichen Bedarf zu decken. Um eine Erhöhung des Kontingents zu beantragen, können Sie die Service Quotas Quotas-Konsole unter verwenden [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/). Informationen zu den WorkSpaces Standard-Pool-Kontingenten finden Sie unter[WorkSpaces Amazon-Kontingente](workspaces-limits.md).
+ Wenn Sie Ihren WorkSpaces WorkSpaces In-Pools Zugriff auf das Internet gewähren möchten, empfehlen wir Ihnen, eine VPC mit zwei privaten Subnetzen für Ihre Streaming-Instances und einem NAT-Gateway in einem öffentlichen Subnetz zu konfigurieren.
Das NAT-Gateway ermöglicht es den Subnetzen WorkSpaces in Ihren privaten Subnetzen, eine Verbindung zum Internet oder zu anderen Diensten herzustellen. AWS Es verhindert jedoch, dass das Internet eine Verbindung mit diesen aufbaut. WorkSpaces Darüber hinaus unterstützt die NAT-Konfiguration im Gegensatz zu Konfigurationen, die die Option **Standard-Internetzugang** zur Aktivierung des Internetzugangs verwenden, mehr als 100 WorkSpaces. Weitere Informationen finden Sie unter [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md).
**Elastic-Network-Schnittstellen**
+ WorkSpaces Pools erstellt so viele [elastische Netzwerkschnittstellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (Netzwerkschnittstellen), wie die maximal gewünschte Kapazität Ihrer WorkSpaces Pools erforderlich ist. Standardmäßig liegt die Grenze für Netzwerkschnittstellen pro Region bei 5000.
Bei der Planung von Kapazitäten für sehr große Bereitstellungen, z. B. Tausende WorkSpaces, sollten Sie die Anzahl der Amazon EC2 EC2-Instances berücksichtigen, die auch in derselben Region verwendet werden.
**Subnets**
+ Wenn Sie mehr als ein privates Subnetz für Ihre VPC konfigurieren, konfigurieren Sie jedes Subnetz in einer anderen Availability Zone. Dadurch erhöht sich die Fehlertoleranz und es kann dazu beitragen, Fehler durch unzureichende Kapazität zu vermeiden. Wenn Sie zwei Subnetze in derselben AZ verwenden, gehen Ihnen möglicherweise die IP-Adressen aus, da WorkSpaces Pools das zweite Subnetz nicht verwenden.
+ Zudem muss sichergestellt sein, dass auf die für Ihre Anwendungen erforderlichen Netzwerkressourcen über beide private Subnetze zugegriffen werden kann.
+ Konfigurieren Sie jedes Ihrer privaten Subnetze mit einer Subnetzmaske, die genügend Client-IP-Adressen für die maximale Anzahl der erwarteten gleichzeitigen Benutzer ermöglicht. Kalkulieren Sie darüber hinaus im Hinblick auf das erwartete Wachstum zusätzliche IP-Adressen mit ein. Weitere Informationen finden Sie unter [VPC und Subnet-Sizing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) für. IPv4
+ Wenn Sie eine VPC mit NAT verwenden, konfigurieren Sie mindestens ein öffentliches Subnetz mit einem NAT-Gateway für den Internetzugriff, vorzugsweise zwei. Konfigurieren Sie die öffentlichen Subnetze in denselben Availability Zones, in denen sich Ihre privaten Subnetze befinden.
Um die Fehlertoleranz zu verbessern und das Risiko unzureichender Kapazitätsfehler bei großen WorkSpaces Pool-Bereitstellungen zu verringern, sollten Sie erwägen, Ihre VPC-Konfiguration auf eine dritte Availability Zone auszudehnen. Fügen Sie ein privates Subnetz, ein öffentliches Subnetz und ein NAT-Gateway in diese zusätzliche Availability Zone ein.
**Sicherheitsgruppen**
+ Verwenden Sie Sicherheitsgruppen, um zusätzliche Zugriffssteuerung für Ihre VPC bereitzustellen.
Mit Sicherheitsgruppen, die zu Ihrer VPC gehören, können Sie den Netzwerkverkehr zwischen WorkSpaces Pools-Streaming-Instances und den von Anwendungen benötigten Netzwerkressourcen steuern. Diese Ressourcen können andere AWS Dienste wie Amazon RDS oder Amazon FSx, Lizenzserver, Datenbankserver, Dateiserver und Anwendungsserver umfassen.
+ Stellen Sie sicher, dass die Sicherheitsgruppen Zugriff auf die Netzwerkressourcen bieten, die von Ihren Anwendungen benötigt werden.
Allgemeine Informationen zu Sicherheitsgruppen finden Sie unter [Steuern des Datenverkehrs zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) im *Amazon VPC-Benutzerhandbuch*.
# Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway
Wenn Sie Ihren WorkSpaces internen WorkSpaces Pools Zugang zum Internet gewähren möchten, empfehlen wir Ihnen, eine VPC mit zwei privaten Subnetzen für Sie WorkSpaces und einem NAT-Gateway in einem öffentlichen Subnetz zu konfigurieren. Sie können eine neue VPC für die Verwendung mit einem NAT-Gateway erstellen und konfigurieren oder einer vorhandenen VPC ein NAT-Gateway hinzufügen. Weitere Empfehlungen zur VPC-Konfiguration finden Sie unter [Empfehlungen zur VPC-Setup für Pools WorkSpaces](vpc-setup-recommendations.md).
Das NAT-Gateway ermöglicht es den Subnetzen WorkSpaces in Ihren privaten Subnetzen, eine Verbindung zum Internet oder zu anderen AWS Diensten herzustellen, verhindert jedoch, dass das Internet eine Verbindung zu diesen einleitet. WorkSpaces Darüber hinaus ist diese Konfiguration im Gegensatz zu Konfigurationen, die die Option **Standard-Internetzugang** verwenden, um den Internetzugang für zu aktivieren WorkSpaces, nicht auf 100 beschränkt. WorkSpaces
Weitere Informationen zur Verwendung von NAT-Gateways und dieser Konfiguration finden Sie unter [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) und [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Erstellen und Konfigurieren einer neuen VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [Hinzufügen eines NAT-Gateways zu einer vorhandenen VPC](add-nat-gateway-existing-vpc.md)
+ [Internetzugang für WorkSpaces Pools aktivieren](managing-network-manual-enable-internet-access.md)
# Erstellen und Konfigurieren einer neuen VPC
In diesem Thema wird beschrieben, wie Sie mit dem VPC-Assistenten eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz erstellen. Im Rahmen dieses Prozesses erstellt der Assistent ein Internet-Gateway und ein NAT-Gateway. Außerdem erstellt er eine benutzerdefinierte Routing-Tabelle, die dem öffentlichen Subnetz zugeordnet ist, und aktualisiert die Haupt-Routing-Tabelle, die dem privaten Subnetz zugeordnet ist. Das NAT-Gateway wird automatisch im öffentlichen Subnetz Ihrer VPC erstellt.
Nachdem Sie den Assistenten zum Erstellen der ursprünglichen VPC-Konfiguration verwendet haben, fügen Sie ein zweites privates Subnetz hinzu. Weitere Informationen zu dieser Konfiguration finden Sie unter [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) im *Amazon-VPC-Benutzerhandbuch*.
**Anmerkung**
Wenn Sie bereits über eine VPC verfügen, führen Sie stattdessen die Schritte unter [Hinzufügen eines NAT-Gateways zu einer vorhandenen VPC](add-nat-gateway-existing-vpc.md) aus.
**Topics**
+ [Schritt 1: Zuweisen einer Elastic IP-Adresse](#allocate-elastic-ip)
+ [Schritt 2: Erstellen einer neuen VPC](#vpc-with-private-and-public-subnets-nat)
+ [Schritt 3: Hinzufügen eines zweiten privaten Subnetzes](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [Schritt 4: Überprüfen und Benennen der Subnetz-Routing-Tabellen](#verify-name-route-tables)
## Schritt 1: Zuweisen einer Elastic IP-Adresse
Bevor Sie Ihre VPC erstellen, müssen Sie eine Elastic IP-Adresse in Ihrer WorkSpaces Region zuweisen. Sie müssen zuerst eine Elastic IP-Adresse für die Verwendung in Ihrer VPC zuordnen und sie dann mit Ihrem NAT-Gateway verknüpfen. Weitere Informationen finden Sie unter [Elastische IP-Adressen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) im *Amazon-VPC-Benutzerhandbuch*.
**Anmerkung**
Für Elastic IP-Adressen, die Sie verwenden, können Gebühren anfallen. Weitere Informationen finden Sie unter [Elastic IP-Adressen](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses) auf der Seite „Amazon EC2 – Preise“.
Führen Sie die folgenden Schritte aus, wenn Sie noch keine Elastic IP-Adresse haben. Wenn Sie eine vorhandene Elastic IP-Adresse verwenden möchten, stellen Sie sicher, dass sie derzeit nicht einer anderen Instance oder einer Netzwerkschnittstelle zugeordnet ist.
**So weisen Sie eine Elastic IP-Adresse zu**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. **Wählen Sie im Navigationsbereich unter **Netzwerk und Sicherheit** die Option Elastic aus. IPs**
1. Wählen Sie **Allocate new address (Neue Adresse zuordnen)** und anschließend **Yes, Allocate (Ja, zuordnen)** aus.
1. Notieren Sie die Elastic IP-Adresse.
1. Klicken Sie oben rechts im ** IPsElastic-Bereich** auf das X-Symbol, um den Bereich zu schließen.
## Schritt 2: Erstellen einer neuen VPC
Führen Sie die folgenden Schritte aus, um eine neue VPC mit einem öffentlichen Subnetz und einem privaten Subnetz zu erstellen.
**So erstellen Sie eine neue VPC**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **VPC Dashboard (VPC-Dashboard)** aus.
1. Wählen Sie **VPC Wizard starten**.
1. Wählen Sie unter **Step 1: Select a VPC Configuration (Schritt 1: Auswählen einer VPC-Konfiguration)** die Option **VPC with Public and Private Subnets (VPC mit öffentlichen und privaten Subnetzen)** und anschließend **Select (Auswählen)** aus.
1. Konfigurieren Sie unter **Step 2: VPC with Public and Private Subnets (Schritt 2: VPC mit öffentlichen und privaten Subnetzen)** die VPC wie folgt:
+ Geben Sie für **IPv4 CIDR-Block** einen IPv4 CIDR-Block für die VPC an.
+ **Behalten Sie für den **IPv6 CIDR-Block** den Standardwert Kein CIDR-Block bei. IPv6 **
+ Geben Sie unter **VPC Name (VPC-Name)** einen eindeutigen Namen für den Schlüssel ein.
1. Konfigurieren Sie das öffentliche Subnetz wie folgt:
+ Geben Sie für ** IPv4 CIDR des öffentlichen Subnetzes den CIDR-Block** für das Subnetz an.
+ Behalten Sie unter **Availability Zone** den Standardwert **No Preference (Keine Einstellung)** bei.
+ Geben Sie unter **Public subnet name (Name des öffentlichen Subnetzes)** einen Namen für das Subnetz ein, z. B. `WorkSpaces Public Subnet`.
1. Konfigurieren Sie das erste private Subnetz wie folgt:
+ Geben Sie für CIDR des **privaten Subnetzes den IPv4 CIDR-Block** für das Subnetz an. Notieren Sie sich den von Ihnen angegebenen Wert.
+ Wählen Sie unter **Availability Zone** eine bestimmte Zone aus und notieren Sie sich die ausgewählte Zone.
+ Geben Sie unter **Private subnet name (Name des privaten Subnetzes)** einen Namen für das Subnetz ein, z. B. `WorkSpaces Private Subnet1`.
+ Behalten Sie bei den übrigen Feldern gegebenenfalls die Standardwerte bei.
1. Klicken Sie für **Elastic IP Allocation ID (Elastic IP-Zuordnungs-ID)** in das Textfeld und wählen Sie den Wert aus, der der Elastic IP-Adresse entspricht, die Sie erstellt haben. Diese Adresse wird dem NAT-Gateway zugewiesen. Wenn Sie keine Elastic IP-Adresse haben, erstellen Sie eine, indem Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/)verwenden.
1. Geben Sie unter **Service-Endpunkte** einen Amazon-S3-Endpunkt an, wenn für Ihre Umgebung ein solcher erforderlich ist. Ein S3-Endpunkt ist erforderlich, um Benutzern Zugriff auf [Basisordner](persistent-storage.md#home-folders) zu gewähren oder um die [Persistenz der Anwendungseinstellungen](app-settings-persistence.md) für Ihre Benutzer in einem privaten Netzwerk zu aktivieren.
Gehen Sie folgendermaßen vor, um einen Amazon-S3-Endpunkt anzugeben:
1. Wählen Sie **Add endpoint (Endpunkt hinzufügen)** aus.
1. Wählen Sie für **Service** den Eintrag in der Liste aus, der mit „s3" endet (der `com.amazonaws.` *region* `.s3` Eintrag, der der Region entspricht, in der die VPC erstellt wird).
1. Wählen Sie für **Subnet (Subnetz)** die Option **Private subnet (Privates Subnetz)** aus.
1. Behalten Sie unter **Policy (Richtlinie)** den Standardwert **Full Access (Voller Zugriff)** bei.
1. Behalten Sie unter **Enable DNS hostnames (DNS-Hostnamen aktivieren)** den Standardwert **Yes (Ja)** bei.
1. Behalten Sie bei **Hardware tenancy (Hardware-Tenancy)** den Standardwert **Default (Standard)** bei.
1. Wählen Sie **VPC erstellen** aus.
1. Beachten Sie, dass es mehrere Minuten dauern kann, die VPC einzurichten. Wählen Sie nach dem Erstellen der VPC **OK** aus.
## Schritt 3: Hinzufügen eines zweiten privaten Subnetzes
Im vorherigen Schritt ([Schritt 2: Erstellen einer neuen VPC](#vpc-with-private-and-public-subnets-nat)) haben Sie eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz erstellt. Führen Sie die folgenden Schritte aus, um ein zweites privates Subnetz hinzuzufügen. Es wird empfohlen, ein zweites privates Subnetz in einer anderen Availability Zone als dem ersten privaten Subnetz hinzuzufügen.
1. Wählen Sie im Navigationsbereich **Subnetze** aus.
1. Wählen Sie das erste private Subnetz aus, das Sie im vorherigen Schritt erstellt haben. Notieren Sie sich auf der Registerkarte **Description (Beschreibung)** unterhalb der Liste der Subnetze die Availability Zone für dieses Subnetz.
1. Wählen Sie oben links im Subnetzbereich die Option **Create Subnet (Subnetz erstellen)** aus.
1. Geben Sie unter **Name tag (Namensbezeichner)** einen Namen für das private Subnetz ein, z. B. `WorkSpaces Private Subnet2`.
1. Wählen Sie für **VPC** die VPC aus, die Sie im vorherigen Schritt erstellt haben.
1. Wählen Sie unter **Availability Zone** eine andere Availability Zone aus als die, die Sie für Ihr erstes privates Subnetz verwenden. Die Auswahl einer anderen Availability Zone erhöht die Fehlertoleranz und verhindert Fehler aufgrund unzureichender Kapazität.
1. Geben Sie für **IPv4 CIDR-Block** einen eindeutigen CIDR-Blockbereich für das neue Subnetz an. Wenn Ihr erstes privates Subnetz beispielsweise einen CIDR-Blockbereich von hat`10.0.1.0/24`, könnten Sie einen IPv4 CIDR-Blockbereich von für das neue private Subnetz angeben. `10.0.2.0/24`
1. Wählen Sie **Erstellen** aus.
1. Nachdem Ihr Subnetz erstellt wurde, wählen Sie **Close (Schließen)** aus.
## Schritt 4: Überprüfen und Benennen der Subnetz-Routing-Tabellen
Nachdem Sie Ihre VPC erstellt und konfiguriert haben, führen Sie die folgenden Schritte aus, um einen Namen für die Routing-Tabellen anzugeben und Folgendes sicherzustellen:
+ Die Routing-Tabelle, die dem Subnetz zugeordnet ist, in dem sich das NAT-Gateway befindet, enthält eine Route, die den Internetdatenverkehr zu einem Internet-Gateway leitet. Dadurch wird sichergestellt, dass Ihr NAT-Gateway Zugriff auf das Internet hat.
+ Die Routing-Tabellen, die Ihren privaten Subnetzen zugeordnet sind, sind so konfiguriert, dass der Internetdatenverkehr zum NAT-Gateway geleitet wird. So können die Streaming-Instances innerhalb Ihrer privaten Subnetze mit dem Internet kommunizieren.
1. Wählen Sie im Navigationsbereich die Option **Subnets (Subnetze)** und dann das öffentliche Subnetz aus, das Sie erstellt haben, z. B. `WorkSpaces Public Subnet`.
1. Wählen Sie auf der Registerkarte **Route Table (Routing-Tabelle)** die ID der Routing-Tabelle aus, z. B. `rtb-12345678`.
1. Wählen Sie die -Routing-Tabelle aus. Wählen Sie unter **Name** das Bearbeitungssymbol (den Bleistift) aus, geben Sie einen Namen ein (z. B. `workspaces-public-routetable`) und klicken Sie dann auf das Häkchen, um den Namen zu speichern.
1. Stellen Sie bei weiterhin markierter öffentlicher Routing-Tabelle auf der Registerkarte **Routes (Routen)** sicher, dass eine Route für den lokalen Datenverkehr sowie eine weitere Route vorhanden ist, über die der übrige Datenverkehr an das Internet-Gateway für die VPC gesendet wird. In der folgenden Tabelle werden diese beiden Routen beschrieben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. Wählen Sie im Navigationsbereich die Option **Subnets (Subnetze)** und dann das erste private Subnetz aus, das Sie erstellt haben (z. B. `WorkSpaces Private Subnet1`).
1. Wählen Sie auf der Registerkarte **Route Table (Routing-Tabelle)** die ID der Routing-Tabelle aus.
1. Wählen Sie die -Routing-Tabelle aus. Wählen Sie unter **Name** das Bearbeitungssymbol (den Bleistift) aus, geben Sie einen Namen ein (z. B. `workspaces-private-routetable`) und klicken Sie dann auf das Häkchen, um den Namen zu speichern.
1. Überprüfen Sie auf der Registerkarte **Routes (Routen)**, ob die Routing-Tabelle die folgenden Routen enthält:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. Wählen Sie im Navigationsbereich die Option **Subnets (Subnetze)** und dann das zweite private Subnetz aus, das Sie erstellt haben (z. B. `WorkSpaces Private Subnet2`).
1. Stellen Sie auf der Registerkarte **Route Table (Routing-Tabelle)** sicher, dass es sich bei der Routing-Tabelle um die private Routing-Tabelle handelt (z. B. `workspaces-private-routetable`). Wenn eine andere Routing-Tabelle angezeigt wird, wählen Sie **Edit (Bearbeiten)** aus und wählen Sie dann die richtige Routing-Tabelle aus.
**Nächste Schritte**
Führen Sie die Schritte unter aus, um Ihren WorkSpaces in WorkSpaces Pools den Zugriff auf das Internet zu ermöglichen. [Internetzugang für WorkSpaces Pools aktivieren](managing-network-manual-enable-internet-access.md)
# Hinzufügen eines NAT-Gateways zu einer vorhandenen VPC
Wenn Sie bereits eine VPC konfiguriert haben, führen Sie die folgenden Schritte aus, um Ihrer VPC ein NAT-Gateway hinzuzufügen. Informationen zum Erstellen einer neuen VPC finden Sie unter [Erstellen und Konfigurieren einer neuen VPC](create-configure-new-vpc-with-private-public-subnets-nat.md).
**So fügen Sie ein NAT-Gateway für eine vorhandene VPC hinzu**
1. Führen Sie die Schritte unter [Erstellen eines NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) im *Amazon-VPC-Benutzerhandbuch* aus, um Ihr NAT-Gateway zu erstellen.
1. Stellen Sie sicher, dass Ihre VPC über mindestens ein privates Subnetz verfügt. Wir empfehlen, zwei private Subnetze in unterschiedlichen Availability Zones zu spezifizieren, um Hochverfügbarkeit und Fehlertoleranz zu gewährleisten. Informationen zum Erstellen eines zweiten privaten Subnetzes finden Sie unter [Schritt 3: Hinzufügen eines zweiten privaten Subnetzes](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat).
1. Aktualisieren Sie die Routing-Tabelle, die einem oder mehreren privaten Subnetzen zugeordnet ist, um internetgebundenen Datenverkehr zum NAT-Gateway zu leiten. So können die Streaming-Instances innerhalb Ihrer privaten Subnetze mit dem Internet kommunizieren. Führen Sie dazu die Schritte unter [Aktualisieren Ihrer Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route) im *Amazon-VPC-Benutzerhandbuch* aus.
**Nächste Schritte**
Führen Sie die Schritte WorkSpaces unter aus, um Ihren eigenen WorkSpaces Pools den Zugriff auf das Internet zu ermöglichen. [Internetzugang für WorkSpaces Pools aktivieren](managing-network-manual-enable-internet-access.md)
# Internetzugang für WorkSpaces Pools aktivieren
Nachdem Ihr NAT-Gateway auf einer VPC verfügbar ist, können Sie den Internetzugang für Ihre WorkSpaces Pools aktivieren. Sie können den Internetzugang aktivieren, wenn Sie [das WorkSpaces Pool-Verzeichnis erstellen](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html). Wählen Sie die VPC mit einem NAT-Gateway aus, wenn Sie das Verzeichnis erstellen. **Wählen Sie dann ein privates Subnetz für **Subnetz 1** und optional ein anderes privates Subnetz für Subnetz 2.** Wenn Sie noch kein privates Subnetz in Ihrer VPC haben, müssen Sie möglicherweise ein zweites privates Subnetz erstellen.
Sie können Ihre Internetverbindung testen, indem Sie Ihren WorkSpaces Pool starten und dann eine Verbindung zu einem WorkSpace im Pool herstellen und im Internet surfen.
# Konfigurieren einer neuen oder vorhandenen VPC mit einem öffentlichen Subnetz
Wenn Sie Ihr Amazon Web Services Services-Konto nach dem 04.12.2013 erstellt haben, verfügen Sie in jeder AWS Region über eine [Standard-VPC](default-vpc-with-public-subnet.md), die öffentliche Standardsubnetze enthält. Möglicherweise möchten Sie jedoch Ihre eigene, nicht standardmäßige VPC erstellen oder eine vorhandene VPC für die Verwendung mit Ihrem WorkSpaces Pool-Verzeichnis konfigurieren. In diesem Thema wird beschrieben, wie Sie eine nicht standardmäßige VPC und ein öffentliches Subnetz für die Verwendung mit Pools konfigurieren. WorkSpaces
Nachdem Sie Ihre VPC und Ihr öffentliches Subnetz konfiguriert haben, können Sie Ihren internen WorkSpaces WorkSpaces Pools Zugriff auf das Internet gewähren, indem Sie die Option **Standard-Internetzugang** aktivieren. Wenn Sie diese Option aktivieren, ermöglicht WorkSpaces Pools die Internetkonnektivität, indem es der Netzwerkschnittstelle, die von der Streaming-Instance mit Ihrem öffentlichen Subnetz verbunden ist, eine [Elastic IP-Adresse](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html) zuordnet. Eine Elastic IP-Adresse ist eine öffentliche IPv4 Adresse, die über das Internet erreichbar ist. Aus diesem Grund empfehlen wir, stattdessen ein NAT-Gateway zu verwenden, um Ihren WorkSpaces in WorkSpaces Pools Internetzugang zu ermöglichen. Wenn der **Standard-Internetzugang** aktiviert ist, WorkSpaces werden außerdem maximal 100 unterstützt. Wenn Ihre Bereitstellung mehr als 100 gleichzeitige Benutzer unterstützen muss, verwenden Sie stattdessen die [NAT-Gateway-Konfiguration](managing-network-internet-NAT-gateway.md) .
Weitere Informationen finden Sie in den Schritten unter [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md). Weitere Empfehlungen zur VPC-Konfiguration finden Sie unter [Empfehlungen zur VPC-Setup für Pools WorkSpaces](vpc-setup-recommendations.md).
**Topics**
+ [Schritt 1: Konfigurieren einer VPC mit einem öffentlichen Subnetz](#vpc-with-public-subnet)
+ [Schritt 2: Aktivieren Sie den Standard-Internetzugang für Ihre WorkSpaces Pools](#managing-network-enable-default-internet-access)
## Schritt 1: Konfigurieren einer VPC mit einem öffentlichen Subnetz
Sie können Ihre eigene, nicht standardmäßige VPC mit einem öffentlichen Subnetz konfigurieren, indem Sie eine der folgenden Methoden verwenden:
+ [Erstellen einer neuen VPC in einem einzelnen öffentlichen Subnetz](#new-vpc-with-public-subnet)
+ [Konfigurieren einer vorhandenen VPC](#existing-vpc-with-public-subnet)
### Erstellen einer neuen VPC in einem einzelnen öffentlichen Subnetz
Wenn Sie den VPC-Assistenten zum Erstellen einer neuen VPC verwenden, erstellt der Assistent ein Internet-Gateway und eine benutzerdefinierte Routing-Tabelle, die dem öffentlichen Subnetz zugeordnet ist. Die Routing-Tabelle leitet den gesamten Datenverkehr, der für eine Adresse außerhalb der VPC bestimmt ist, an das Internet-Gateway. Weitere Informationen zu dieser Konfiguration finden Sie unter [VPC mit nur einem einzelnen öffentlichen Subnetz](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html) im *Amazon-VPC-Benutzerhandbuch*.
1. Führen Sie die Schritte unter [Schritt 1: Erstellen der VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) im *Amazon-VPC-Benutzerhandbuch* durch, um Ihre VPC zu erstellen.
1. Um Ihnen den Zugriff auf das Internet WorkSpaces zu ermöglichen, führen Sie die Schritte unter aus[Schritt 2: Aktivieren Sie den Standard-Internetzugang für Ihre WorkSpaces Pools](#managing-network-enable-default-internet-access).
### Konfigurieren einer vorhandenen VPC
Wenn Sie eine vorhandene VPC nutzen möchten, die kein öffentliches Subnetz besitzt, können Sie ein neues öffentliches Subnetz hinzufügen. Zusätzlich zu einem öffentlichen Subnetz müssen Sie auch über ein Internet-Gateway verfügen, dass Ihrer VPC zugeordnet ist, und eine Routing-Tabelle, die den gesamten, für eine Adresse außerhalb der VPC bestimmten Datenverkehr an das Internet-Gateway weiterleitet. Führen Sie die folgenden Schritte aus, um diese Komponenten zu konfigurieren.
1. Um ein öffentliches Subnetz hinzuzufügen, führen Sie die Schritte unter [Erstellen eines Subnetzes in Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet) aus. Verwenden Sie die vorhandene VPC, die Sie mit WorkSpaces Pools verwenden möchten.
Wenn Ihre VPC so konfiguriert ist, dass sie IPv6 Adressierung unterstützt, wird die **IPv6 CIDR-Sperrliste** angezeigt. Wählen Sie **Don't assign Ipv6 (Ipv6 nicht zuweisen)** aus.
1. Um ein Internet-Gateway zu erstellen und Ihrer VPC anzufügen, führen Sie die Schritte unter [Erstellen und Anfügen eines Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) aus.
1. Zum Konfigurieren Ihres Subnetzes für die Weiterleitung des Internetverkehrs über das Internet-Gateway führen Sie die Schritte unter [Erstellen einer benutzerdefinierten Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing) aus. Verwenden Sie in Schritt 5 für **Destination** IPv4 format ()`0.0.0.0/0`.
1. Führen Sie die Schritte unter aus, um Ihnen WorkSpaces und Image Builder den Zugriff auf das Internet zu ermöglichen[Schritt 2: Aktivieren Sie den Standard-Internetzugang für Ihre WorkSpaces Pools](#managing-network-enable-default-internet-access).
## Schritt 2: Aktivieren Sie den Standard-Internetzugang für Ihre WorkSpaces Pools
Sie können den Internetzugang aktivieren, wenn Sie [das WorkSpaces Pool-Verzeichnis erstellen](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html). Wählen Sie die VPC mit einem öffentlichen Subnetz aus, wenn Sie das Verzeichnis erstellen. **Wählen Sie dann ein öffentliches Subnetz für **Subnetz 1** und optional ein anderes öffentliches Subnetz für Subnetz 2.**
Sie können Ihre Internetverbindung testen, indem Sie Ihren WorkSpaces Pool starten und dann eine Verbindung zu einem WorkSpace im Pool herstellen und im Internet surfen.
# Verwenden der Standard-VPC, des öffentlichen Subnetzes und der Sicherheitsgruppe
Ihr Amazon Web Services Services-Konto hat, falls es nach dem 04.12.2013 erstellt wurde, in jeder Region eine Standard-VPC. AWS Die Standard-VPC enthält ein öffentliches Standardsubnetz in jeder Availability Zone und ein Internet-Gateway, das Ihrer VPC zugeordnet ist. Die VPC umfasst auch eine Standardsicherheitsgruppe. Wenn Sie mit WorkSpaces Pools noch nicht vertraut sind und mit der Nutzung des Dienstes beginnen möchten, können Sie die Standard-VPC und die Standardsicherheitsgruppe beibehalten, wenn Sie einen WorkSpaces Pool erstellen. Anschließend können Sie mindestens ein Standardsubnetz auswählen.
**Anmerkung**
Wenn Ihr Amazon Web Services Services-Konto vor dem 04.12.2013 erstellt wurde, müssen Sie eine neue VPC erstellen oder eine bestehende für die Verwendung mit Pools konfigurieren. WorkSpaces Wir empfehlen, dass Sie eine VPC mit zwei privaten Subnetzen für Ihre WorkSpaces Pools und einem NAT-Gateway in einem öffentlichen Subnetz manuell konfigurieren. Weitere Informationen finden Sie unter [Konfigurieren einer VPC mit privaten Subnetzen und einem NAT-Gateway](managing-network-internet-NAT-gateway.md). Alternativ können Sie eine nicht standardmäßige VPC mit einem öffentlichen Subnetz konfigurieren. Weitere Informationen finden Sie unter [Konfigurieren einer neuen oder vorhandenen VPC mit einem öffentlichen Subnetz](managing-network-default-internet-access.md).
Sie können den Internetzugang aktivieren, wenn Sie das [Pool-Verzeichnis erstellen](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html). WorkSpaces
Wählen Sie die Standard-VPC, wenn Sie das Verzeichnis erstellen. Der Standard-VPC-Name verwendet das folgende Format: `vpc-` *vpc-id*` (No_default_value_Name)`.
**Wählen Sie dann ein öffentliches Standardsubnetz für **Subnetz 1** und optional ein anderes öffentliches Standardsubnetz für Subnetz 2.** Die Standard-Subnetznamen verwenden das folgende Format:. `subnet-` *subnet-id* ` | (` *IPv4 CIDR block* `) | Default in` *availability-zone*
Sie können Ihre Internetverbindung testen, indem Sie Ihren WorkSpaces Pool starten und dann eine Verbindung zu einem WorkSpace im Pool herstellen und im Internet surfen.
# FedRAMP-Autorisierung oder DoD SRG-Konformität für Pools konfigurieren WorkSpaces
Um den Anforderungen des [Federal Risk and Authorization Management Program (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) oder des [Cloud Computing Security Requirements Guide (SRG) des Verteidigungsministeriums (DoD) zu entsprechen](https://aws.amazon.com/compliance/dod/), müssen Sie Amazon WorkSpaces Pools so konfigurieren, dass auf Verzeichnisebene die Endpunktverschlüsselung nach den Federal Information Processing Standards (FIPS) verwendet wird. Sie müssen auch eine AWS US-Region verwenden, die über eine FedRAMP-Autorisierung verfügt oder DoD SRG-konform ist.
Die Stufe der FedRAMP-Autorisierung (Moderat oder Hoch) oder der DoD SRG Impact Level (2, 4 oder 5) hängt von der AWS US-Region ab, in der Amazon WorkSpaces verwendet wird. Informationen zur Stufe der FedRAMP-Autorisierung und zur DoD SRG-Compliance, die für die einzelne Region gelten, finden Sie unter [Abgedeckte AWS -Services je Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/).
**Voraussetzungen**
+ Das WorkSpaces Pools-Verzeichnis muss so konfiguriert sein, dass es den **FIPS 140-2-Validierungsmodus** für die Endpunktverschlüsselung verwendet.
**Anmerkung**
Um die Einstellung **FIPS 140-2 Validated Mode** zu verwenden, stellen Sie Folgendes sicher:
Das WorkSpaces Pools-Verzeichnis ist entweder:
Neu und nicht mit einem Pool verknüpft
Ist einem vorhandenen Pool zugeordnet, der sich im Status STOPPED befindet
Das Pool-Verzeichnis wurde auf TCP [https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html)gesetzt.
+ Sie müssen Ihre WorkSpaces Pools in einer [AWS US-Region erstellen, die über eine FedRAMP-Autorisierung verfügt oder DoD SRG-konform ist](https://aws.amazon.com/compliance/services-in-scope/).
+ Benutzer müssen über eine der folgenden WorkSpaces Client-Anwendungen auf ihre zugreifen: WorkSpaces
+ macOS: 5.20.0 oder höher
+ Windows: 5.20.0 oder höher
+ Web Access
**So verwenden Sie die FIPS-Endpunktverschlüsselung**
1. [Öffnen Sie die WorkSpaces Konsole unter v2/home. https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)
1. Wählen Sie im Navigationsbereich **Verzeichnisse** und dann das Verzeichnis aus, das Sie für die FedRAMP-Autorisierung und DoD SRG-Konformität verwenden möchten.
1. Wählen Sie auf der Seite mit den **Verzeichnisdetails** das Verzeichnis aus, das Sie für den FIPS-Verschlüsselungsmodus konfigurieren möchten.
1. Klicken Sie im Abschnitt **Endpunktverschlüsselung** auf **Bearbeiten** und wählen Sie dann **FIPS 140-2** Validated Mode aus.
1. Wählen Sie **Speichern**.
# Funktionen der Verwendung von Amazon S3 S3-VPC-Endpunkten für Pools WorkSpaces
Wenn Sie Persistence für Anwendungseinstellungen für einen WorkSpaces Pool oder Home-Ordner für ein WorkSpaces Pool-Verzeichnis aktivieren, WorkSpaces verwendet die VPC, die Sie für Ihr Verzeichnis angeben, um Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets zu gewähren. Um WorkSpaces Pools-Zugriff auf Ihren privaten S3-Endpunkt zu aktivieren, fügen Sie Ihrem VPC-Endpunkt für Amazon S3 die folgende benutzerdefinierte Richtlinie hinzu. Weitere Informationen über private Amazon-S3-Endpunkte finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) und [Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) im *Amazon-VPC-Benutzerhandbuch*.
------
#### [ Commercial AWS-Regionen ]
Verwenden Sie die folgende Richtlinie für kommerzielle AWS-Regionen Ressourcen.
------
#### [ AWS GovCloud (US) Regions ]
Verwenden Sie die folgende Richtlinie für Ressourcen in der Werbung AWS GovCloud (US) Regions.
------
# Verbindungen zu Ihrer VPC für Pools WorkSpaces
Um die WorkSpaces Pools-Konnektivität mit Netzwerkressourcen und dem Internet zu aktivieren, konfigurieren Sie Ihre WorkSpaces wie folgt.
## Netzwerkschnittstellen
Jeder WorkSpaces WorkSpaces Pool hat die folgenden Netzwerkschnittstellen:
+ Die Kundennetzwerkschnittstelle bietet Konnektivität zu den Ressourcen in Ihrer VPC sowie zum Internet und wird verwendet, um sie mit Ihrem Verzeichnis WorkSpaces zu verbinden.
+ Die Verwaltungsnetzwerkschnittstelle ist mit einem sicheren WorkSpaces Pools-Verwaltungsnetzwerk verbunden. Es wird für das interaktive Streaming von Daten WorkSpace auf das Gerät eines Benutzers verwendet und ermöglicht es WorkSpaces Pools, das zu verwalten WorkSpace.
WorkSpaces Pools wählt die IP-Adresse für die Verwaltungsnetzwerkschnittstelle aus dem folgenden privaten IP-Adressbereich aus: 198.19.0.0/16. Verwenden Sie diesen Bereich nicht für Ihre VPC CIDR und verbinden Sie Ihre VPC nicht mit einer anderen VPC mit diesem Bereich, da dies zu Konflikten führen und dazu führen WorkSpaces kann, dass Sie nicht erreichbar sind. Ändern oder löschen Sie auch keine der Netzwerkschnittstellen, die an eine angeschlossen sind WorkSpace, da dies auch dazu führen könnte, dass sie nicht mehr erreichbar sind. WorkSpace
## IP-Adressbereich und Ports der Verwaltungsnetzwerkschnittstelle
Der IP-Adressbereich der Verwaltungsnetzwerkschnittstelle ist 198.19.0.0/16. Die folgenden Ports müssen auf der Verwaltungsnetzwerkschnittstelle aller WorkSpaces geöffnet sein:
+ Eingehendes TCP an Port 8300. Dieser Port wird zum Aufbau einer Streaming-Verbindung verwendet.
+ Ausgehendes TCP auf Port 3128. Dies wird für die Verwaltung von verwendet. WorkSpaces
+ Eingehendes TCP an den Ports 8000 und 8443. Diese werden für die Verwaltung der verwendet WorkSpaces.
+ Eingehendes UDP an Port 8300. Dieser Port wird zum Aufbau einer Streaming-Verbindung über UDP verwendet.
Begrenzen Sie den eingehenden der Verwaltungsnetzwerkschnittstelle auf 198.19.0.0/16.
**Anmerkung**
Für Amazon DCV BYOL Windows WorkSpaces Pools werden die 10.0.0.0/8 IP-Adressbereiche in allen Regionen verwendet. AWS Diese IP-Bereiche ergänzen den CIDR-Block /16, den Sie für die Verwaltung des Datenverkehrs in Ihren BYOL-Pools auswählen. WorkSpaces
Unter normalen Umständen konfiguriert WorkSpaces Pools diese Ports korrekt für Ihre. WorkSpaces Wenn Sicherheits- oder Firewallsoftware auf einem installiert ist WorkSpace , die einen dieser Ports blockiert, funktioniert diese WorkSpaces möglicherweise nicht richtig oder ist möglicherweise nicht erreichbar.
Nicht deaktivieren IPv6. Wenn Sie die Funktion deaktivieren IPv6, funktionieren WorkSpaces Pools nicht richtig. Informationen zur Konfiguration IPv6 für Windows finden Sie unter [Anleitung zur Konfiguration IPv6 in Windows für fortgeschrittene Benutzer](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users).
**Anmerkung**
WorkSpaces Pools ist darauf angewiesen, dass die DNS-Server in Ihrer VPC eine Antwort auf eine nicht existierende Domain (NXDOMAIN) für lokale Domainnamen zurückgeben, die nicht existieren. Dadurch kann die von WorkSpaces Pools verwaltete Netzwerkschnittstelle mit den Verwaltungsservern kommunizieren.
Wenn Sie ein Verzeichnis mit Simple AD erstellen, AWS Directory Service erstellt zwei Domänencontroller, die in Ihrem Namen auch als DNS-Server fungieren. Da die Domänencontroller keine NXDOMAIN-Antwort bereitstellen, können sie nicht mit WorkSpaces Pools verwendet werden.
## Ports der Kunden-Netzwerkschnittstelle
+ Für die Internetkonnektivität müssen die folgenden Ports für alle Ziele geöffnet sein. Wenn Sie eine veränderte oder benutzerdefinierte Sicherheitsgruppe verwenden, müssen Sie die erforderlichen Regeln manuell hinzufügen. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) im *Amazon-VPC-Benutzerhandbuch*.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 4195
+ Wenn Sie Ihren WorkSpaces zu einem Verzeichnis hinzufügen, müssen die folgenden Ports zwischen Ihrer WorkSpaces Pools-VPC und Ihren Verzeichniscontrollern geöffnet sein.
+ TCP/UDP 53 – DNS
+ TCP/UDP 88 – Kerberos-Authentifizierung
+ UDP 123 – NTP
+ TCP 135 – RPC
+ UDP 137-138 – Netlogon
+ TCP 139 – Netlogon
+ TCP/UDP 389 – LDAP
+ TCP/UDP 445 – SMB
+ TCP 1024-65535 – Dynamische Ports für RPC
Eine vollständige Liste der Ports finden Sie unter [Service-Port-Anforderungen von Active Directory und Active Directory Domain](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)) in der Microsoft-Dokumentation.
+ Alle WorkSpaces erfordern, dass Port 80 (HTTP) für die IP-Adresse `169.254.169.254` geöffnet ist, um den Zugriff auf den EC2-Metadatendienst zu ermöglichen. Der IP-Adressbereich `169.254.0.0/16` ist für die Nutzung des WorkSpaces Pools-Dienstes zur Verwaltung des Datenverkehrs reserviert. Wenn dieser Bereich nicht ausgeschlossen wird, kann dies zu Streaming-Problemen führen.
# Benutzerverbindungen zu WorkSpaces Pools
Benutzer können über den standardmäßigen öffentlichen Internetendpunkt eine Verbindung zu WorkSpaces den WorkSpaces Pools herstellen.
Standardmäßig ist WorkSpaces Pools so konfiguriert, dass Streaming-Verbindungen über das öffentliche Internet weitergeleitet werden. Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die WorkSpaces Pools zum Funktionieren benötigt. Sie müssen die in [Zulässige Domänen](allowed-domains.md) aufgelisteten Domains zulassen, um diesen Datenverkehr zuzulassen.
**Anmerkung**
Für die Benutzerauthentifizierung unterstützt WorkSpaces Pools Security Assertion Markup Language 2.0 (SAML 2.0). Weitere Informationen finden Sie unter [SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen](create-directory-pools.md).
Die folgenden Themen enthalten Informationen darüber, wie Benutzerverbindungen zu Pools aktiviert werden. WorkSpaces
**Topics**
+ [Empfehlungen zur Bandbreite](bandwidth-recommendations-user-connections.md)
+ [IP-Adressen und Port-Anforderungen für WorkSpaces Pools-Benutzergeräte](pools-client-application-ports.md)
+ [Zulässige Domänen](allowed-domains.md)
# Empfehlungen zur Bandbreite
Um die Leistung von WorkSpaces Pools zu optimieren, stellen Sie sicher, dass Ihre Netzwerkbandbreite und Latenz den Anforderungen Ihrer Benutzer entsprechen.
WorkSpaces Pools verwendet NICE Desktop Cloud Visualization (DCV), damit Ihre Benutzer über unterschiedliche Netzwerkbedingungen sicher auf Ihre Anwendungen zugreifen und diese streamen können. Zur Reduzierung des Bandbreitenbedarfs nutzt NICE DCV H.264-basierte Video-Komprimierung und -Codierung. In Streaming-Sitzungen wird die visuelle Ausgabe von Anwendungen komprimiert und als AES-256-verschlüsselter Pixel-Stream über HTTPS an die Benutzer gestreamt. Nachdem der Stream empfangen wurde, wird er entschlüsselt und auf dem lokalen Bildschirm der Benutzer ausgegeben. Wenn Benutzer mit den Streaming-Anwendungen interagieren, erfasst das NICE DCV-Protokoll die Eingabe und sendet sie über HTTPS an die Streaming-Anwendungen.
Während dieses Vorgangs werden die Netzwerkbedingungen ständig gemessen und Informationen werden an WorkSpaces Pools zurückgesendet. WorkSpaces Pools reagieren dynamisch auf sich ändernde Netzwerkbedingungen, indem sie die Video- und Audiokodierung in Echtzeit ändern, um einen qualitativ hochwertigen Stream für eine Vielzahl von Anwendungen und Netzwerkbedingungen zu erzeugen.
Die empfohlene Bandbreite und Latenz für WorkSpaces Pools-Streaming-Sitzungen hängt von der Arbeitslast ab. Führt ein Benutzer beispielsweise mit grafikintensiven Anwendungen CAD-Aufgaben aus, benötigt er mehr Bandbreite und niedrigere Latenz als ein Benutzer, der mit typischen Unternehmensanwendungen Dokumente verfasst.
Die folgende Tabelle enthält Hinweise zur empfohlenen Netzwerkbandbreite und Latenz für WorkSpaces Pools-Streaming-Sitzungen auf der Grundlage gängiger Workloads.
Die Bandbreitenempfehlung basiert für jede Workload auf dem Wert, der für einen individuellen Benutzer zu einem bestimmten Zeitpunkt möglicherweise benötigt wird. Die Bandbreitenempfehlung ist nicht der für den kontinuierlichen Durchsatz erforderliche Wert. Wenn sich während einer Streaming-Sitzung nur wenige Pixel auf dem Bildschirm ändern, ist der kontinuierliche Durchsatz wesentlich geringer. Wenn für Benutzer weniger Bandbreite verfügbar ist, können sie trotzdem Anwendungen streamen, Bildrate oder Bildqualität können aber beeinträchtigt sein.
| Workload | Description | Pro Benutzer empfohlene Bandbreite | Empfohlene maximale Roundtrip-Latenzzeit |
| --- | --- | --- | --- |
| Unternehmensanwendungen | Textverarbeitung, Datenbankanalyse | 2 Mbit/s | < 150 ms |
| Grafikanwendungen | CAD-Design- und Modellierungsanwendungen, Foto- und Video-Bearbeitung | 5 Mbit/s | < 100 ms |
| Hohe Wiedergabetreue | Datenmengen oder Maps mit hoher Wiedergabetreue auf mehreren Monitoren | 10 Mbit/s | < 50 ms |
# IP-Adressen und Port-Anforderungen für WorkSpaces Pools-Benutzergeräte
WorkSpaces Die Geräte der Pool-Benutzer benötigen ausgehenden Zugriff auf Port 443 (TCP) und Port 4195 (UDP), wenn Sie die Internet-Endpunkte verwenden, und wenn Sie DNS-Server für die Auflösung von Domainnamen verwenden, Port 53 (UDP).
+ Port 443 wird für die HTTPS-Kommunikation zwischen den Geräten der WorkSpaces Pool-Benutzer und WorkSpaces bei der Verwendung der Internet-Endpunkte verwendet. Wenn Endbenutzer während Streaming-Sitzungen im Internet surfen, wählt der Web-Browser normalerweise einen Quell-Port im höheren Bereich für das Streamen von Datenverkehr aus. Sie müssen sicherstellen, dass zu diesem Port zurückfließender Datenverkehr zulässig ist.
+ Port 4195 wird für die UDP-HTTPS-Kommunikation zwischen den Geräten der WorkSpaces Pools-Benutzer und WorkSpaces bei der Verwendung der Internet-Endpunkte verwendet. Zurzeit wird UDP nur im nativen Windows-Client unterstützt. UDP wird nicht unterstützt, wenn Sie VPC-Endpunkte verwenden.
+ Port 53 wird für die Kommunikation zwischen den Geräten der WorkSpaces Pools-Benutzer und Ihren DNS-Servern verwendet. Der Port muss für die IP-Adressen Ihrer DNS-Server geöffnet sein, damit öffentliche Domain-Namen aufgelöst werden können. Dieser Port ist optional, wenn Sie keine DNS-Server für die Domänennamenauflösung verwenden.
# Zulässige Domänen
Damit WorkSpaces Pool-Benutzer darauf zugreifen können WorkSpaces, müssen Sie verschiedene Domänen im Netzwerk zulassen, von denen aus Benutzer den Zugriff auf die WorkSpaces initiieren. Weitere Informationen finden Sie unter [Anforderungen an IP-Adresse und Port für WorkSpaces Personal](workspaces-port-requirements.md). Beachten Sie, dass auf der Seite angegeben ist, dass sie für WorkSpaces Personal, aber auch für WorkSpaces Pools gilt.
**Anmerkung**
Enthält Ihr S3-Bucket ein „.“ Zeichen im Namen, das die verwendete Domain ist`https://s3..amazonaws.com`. Enthält Ihr S3-Bucket kein „.“ Zeichen im Namen, das die verwendete Domain ist`https://.s3..amazonaws.com`.