Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Menyebarkan produk **catatan** Produk ini menggunakan [AWS CloudFormation templat dan tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) untuk mengotomatiskan penerapannya. CloudFormationTemplate menjelaskan AWS sumber daya yang termasuk dalam produk ini dan propertinya. CloudFormation Tumpukan menyediakan sumber daya yang dijelaskan dalam template. Sebelum Anda meluncurkan produk, tinjau [biaya](plan-your-deployment.md#plan-your-deployment-cost), [arsitektur](architecture-overview.md), [keamanan jaringan](plan-your-deployment.md#plan-your-deployment-security), dan pertimbangan lain yang dibahas sebelumnya dalam panduan ini. **Topics** + [Prasyarat](prerequisites.md) + [Buat sumber daya eksternal](create-external-resources.md) + [Langkah 1: Luncurkan produk](launch-the-product.md) + [Langkah 2: Masuk untuk pertama kalinya](first-sign-in.md) # Prasyarat **Topics** + [Buat Akun AWS dengan pengguna administratif](#aws-account) + [Buat key pair Amazon EC2 SSH](#create-ssh-key-pair) + [Tingkatkan kuota layanan](#increase-service-quotas) + [Buat kumpulan pengguna Cognito (opsional)](#create-cognito-user-pool) + [Buat domain khusus (opsional)](#create-public-domain) + [Buat domain (GovCloud hanya)](#create-domain-govcloud) + [Menyediakan sumber daya eksternal](#external-resources) + [Konfigurasikan LDAPS di lingkungan Anda (opsional)](#configure-ldaps) + [Menyiapkan Akun Layanan untuk Microsoft Active Directory](#service-account-ms-ad) + [Konfigurasikan VPC pribadi (opsional)](#private-vpc) ## Buat Akun AWS dengan pengguna administratif Anda harus memiliki Akun AWS dengan pengguna administratif: 1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup) 1. Ikuti petunjuk online. Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon. Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Buat key pair Amazon EC2 SSH Jika Anda tidak memiliki key pair Amazon EC2 SSH, Anda harus membuatnya. Untuk informasi selengkapnya, lihat [Membuat key pair menggunakan Amazon EC2 di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) Pengguna *Amazon EC2*. ## Tingkatkan kuota layanan Sebagai praktik terbaik, [tingkatkan kuota layanan](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) untuk: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Tingkatkan kuota alamat IP Elastic per gateway NAT dari lima menjadi delapan. + Tingkatkan gateway NAT per Availability Zone dari lima menjadi sepuluh. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Tingkatkan EC2-VPC Elastic IPs dari lima menjadi sepuluh. AWS Akun Anda memiliki kuota default untuk setiap AWS layanan. Kecuali dinyatakan lain, setiap kuota bersifat khusus per Wilayah. Anda dapat meminta peningkatan untuk beberapa kuota dan kuota lainnya tidak dapat ditingkatkan. Untuk informasi selengkapnya, lihat [Kuota untuk AWS layanan dalam produk ini](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Buat kumpulan pengguna Cognito (opsional) Anda memiliki opsi untuk mengimpor Kumpulan Pengguna Cognito yang ada untuk otentikasi pengguna dan klien saat Anda menginstal RES. Jika tidak, RES akan membuat Kumpulan Pengguna Cognito baru secara otomatis. Kumpulan pengguna yang sudah ada sebelumnya harus memiliki atribut kustom pendaftaran berikut: | Nama | Tipe | Nilai min/panjang | Nilai maks/panjang | bisa berubah | | --- | --- | --- | --- | --- | | kustom: aws\$1region | String | | | BENAR | | kustom: cluster\$1name | String | | | BENAR | | kustom:password\$1last\$1set | Bilangan | | | BETUL | | kustom: password\$1max\$1age | Bilangan | | | BETUL | | kustom: uid | Bilangan | 2000200001 | 4294967294 | BETUL | ## Buat domain khusus (opsional) Sebagai praktik terbaik, gunakan domain khusus untuk produk untuk URL yang ramah pengguna. Anda dapat memberikan domain khusus dan *secara opsional* memberikan sertifikat untuk itu. Ada proses di tumpukan Sumber Daya Eksternal untuk membuat sertifikat untuk domain kustom yang Anda berikan. Anda dapat melewati langkah-langkah di sini jika Anda memiliki domain dan ingin menggunakan kemampuan pembuatan sertifikat dari tumpukan Sumber Daya Eksternal. Atau, ikuti langkah-langkah berikut untuk mendaftarkan domain menggunakan Amazon Route 53 dan mengimpor sertifikat untuk domain yang digunakan AWS Certificate Manager. 1. Ikuti petunjuk untuk [mendaftarkan domain dengan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) Route 53. Anda harus menerima email konfirmasi. 1. Ambil zona yang dihosting untuk domain Anda. Route 53 membuat ini secara otomatis. 1. Buka konsol Route 53. 1. Pilih **Zona yang dihosting** dari navigasi kiri. 1. Buka zona yang dihosting yang dibuat untuk nama domain Anda dan salin **ID zona Hosted**. 1. Buka AWS Certificate Manager dan ikuti langkah-langkah berikut untuk [meminta sertifikat domain](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Pastikan Anda berada di Wilayah tempat Anda berencana untuk menerapkan solusi. 1. Pilih **Daftar sertifikat** dari navigasi, dan temukan permintaan sertifikat Anda. Permintaan harus tertunda. 1. Pilih **ID Sertifikat** Anda untuk membuka permintaan. 1. Dari bagian **Domain**, pilih **Buat catatan di Route 53**. Diperlukan waktu sekitar sepuluh menit untuk memproses permintaan. 1. Setelah sertifikat dikeluarkan, salin **ARN** dari bagian **status Sertifikat**. ## Buat domain (GovCloud hanya) Jika Anda menerapkan di AWS GovCloud Wilayah dan Anda menggunakan domain khusus untuk Studio Riset dan Teknik, Anda harus menyelesaikan langkah-langkah prasyarat ini. 1. Menerapkan [CloudFormation tumpukan Sertifikat](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) di AWS Akun partisi komersial tempat domain yang dihosting publik dibuat. 1. Dari ** CloudFormation Output Sertifikat**, temukan dan catat `CertificateARN` dan`PrivateKeySecretARN`. 1. Di akun GovCloud partisi, buat rahasia dengan nilai `CertificateARN` output. Perhatikan ARN rahasia baru dan tambahkan dua tag ke rahasia sehingga `vdc-gateway` dapat mengakses nilai rahasia: 1. res: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [nama lingkungan] (Ini bisa berupa res-demo.) 1. Di akun GovCloud partisi, buat rahasia dengan nilai `PrivateKeySecretARN` output. Perhatikan ARN rahasia baru dan tambahkan dua tag ke rahasia sehingga `vdc-gateway` dapat mengakses nilai rahasia: 1. res: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [nama lingkungan] (Ini bisa berupa res-demo.) ## Menyediakan sumber daya eksternal Research and Engineering Studio on AWS mengharapkan sumber daya eksternal berikut ada saat digunakan. + **Jaringan (VPC, Subnet Publik, dan Subnet Pribadi)** Di sinilah Anda akan menjalankan instans EC2 yang digunakan untuk meng-host lingkungan RES, Active Directory (AD), dan penyimpanan bersama. + **Penyimpanan (Amazon EFS)** Volume penyimpanan berisi file dan data yang diperlukan untuk infrastruktur desktop virtual (VDI). + **Layanan direktori (AWS Directory Service for Microsoft Active Directory)** Layanan direktori mengautentikasi pengguna ke lingkungan RES. + **Rahasia yang berisi nama pengguna dan kata sandi akun layanan Active Directory yang diformat sebagai pasangan nilai kunci (nama pengguna, kata sandi)** Research and Engineering Studio mengakses [rahasia](secrets-management.md) yang Anda berikan, termasuk kata sandi akun layanan, menggunakan [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). **Awas** Anda harus memberikan alamat email yang valid untuk semua pengguna Active Directory (AD) yang ingin Anda sinkronkan. **Tip** Jika Anda menerapkan lingkungan demo dan tidak memiliki sumber daya eksternal ini, Anda dapat menggunakan resep Komputasi Kinerja AWS Tinggi untuk menghasilkan sumber daya eksternal. Lihat bagian berikut,[Buat sumber daya eksternal](create-external-resources.md), untuk menyebarkan sumber daya di akun Anda. Untuk penerapan demo di AWS GovCloud Wilayah, Anda harus menyelesaikan langkah-langkah prasyarat di. [Buat domain (GovCloud hanya)](#create-domain-govcloud) ## Konfigurasikan LDAPS di lingkungan Anda (opsional) Jika Anda berencana untuk menggunakan komunikasi LDAPS di lingkungan Anda, Anda harus menyelesaikan langkah-langkah ini untuk membuat dan melampirkan sertifikat ke pengontrol domain AWS Managed Microsoft AD (AD) untuk menyediakan komunikasi antara AD dan RES. 1. Ikuti langkah-langkah yang disediakan di [Cara mengaktifkan LDAPS sisi server](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) untuk Anda. AWS Managed Microsoft AD Anda dapat melewati langkah ini jika Anda telah mengaktifkan LDAPS. 1. Setelah mengonfirmasi bahwa LDAPS dikonfigurasi pada AD, ekspor sertifikat AD: 1. Buka server Active Directory Anda. 1. Buka PowerShell sebagai administrator. 1. Jalankan `certmgr.msc` untuk membuka daftar sertifikat. 1. Buka daftar sertifikat dengan terlebih dahulu membuka Otoritas Sertifikasi Root Tepercaya dan kemudian Sertifikat. 1. Pilih dan tahan (atau klik kanan) sertifikat dengan nama yang sama dengan server AD Anda dan pilih **Semua tugas** lalu **Ekspor**. 1. **Pilih **Base-64 yang dikodekan X.509 (.CER**) dan pilih Berikutnya.** 1. Pilih direktori dan kemudian pilih **Berikutnya**. 1. Buat rahasia di AWS Secrets Manager: ****Saat membuat Secret Anda di Secrets Manager, pilih Jenis rahasia **lain di bawah tipe rahasia** dan tempel sertifikat yang dikodekan PEM Anda di bidang Plaintext.**** 1. Perhatikan ARN yang dibuat dan masukkan sebagai `DomainTLSCertificateSecretARN` parameter di. [Langkah 1: Luncurkan produk](launch-the-product.md) ## Menyiapkan Akun Layanan untuk Microsoft Active Directory Jika Anda memilih Microsoft Active Directory (AD) sebagai sumber identitas untuk RES, Anda memiliki Akun Layanan di AD yang memungkinkan akses terprogram. Anda harus memberikan rahasia dengan kredensi Akun Layanan sebagai bagian dari instalasi RES Anda. Rahasianya harus memiliki format yang ditampilkan di sini. ![\[Contoh format nama pengguna dan kata sandi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-secret-value-example.png) Perhatikan juga bahwa `username` bidang tersebut tidak mendukung nama logon bergaya NT dari format tersebut. `DOMAIN\username` Akun Layanan bertanggung jawab atas fungsi-fungsi berikut: + Sinkronkan pengguna dari AD: RES harus menyinkronkan pengguna dari AD untuk memungkinkan mereka masuk ke portal web. Proses sinkronisasi menggunakan akun layanan untuk menanyakan AD menggunakan LDAP (s) untuk menentukan pengguna dan grup mana yang tersedia. + Bergabunglah dengan domain AD: ini adalah operasi opsional untuk desktop virtual Linux dan host infrastruktur tempat instance bergabung dengan domain AD. Di RES, ini dikendalikan dengan `DisableADJoin` parameter. Parameter ini diatur ke False secara default, yang berarti bahwa desktop virtual Linux akan mencoba untuk bergabung dengan domain AD dalam konfigurasi default. + Connect to the AD: Desktop virtual Linux dan host infrastruktur akan terhubung ke domain AD jika mereka tidak bergabung (`DisableADJoin`= True). Agar fungsi ini berfungsi, Akun Layanan juga memerlukan akses baca untuk pengguna dan grup di `UsersOU` dan`GroupsOU`. Akun layanan memerlukan izin berikut: + Untuk menyinkronkan pengguna dan terhubung ke AD → Baca akses untuk pengguna dan grup di `UsersOU` dan`GroupsOU`. + Untuk bergabung dengan domain AD → buat `Computer` objek di file`ComputersOU`. Skrip di [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) memberikan contoh bagaimana memberikan izin Akun Layanan yang tepat. Anda dapat memodifikasinya berdasarkan iklan Anda sendiri. ## Konfigurasikan VPC pribadi (opsional) Menyebarkan Studio Penelitian dan Teknik di VPC yang terisolasi menawarkan keamanan yang ditingkatkan untuk memenuhi persyaratan kepatuhan dan tata kelola organisasi Anda. Namun, penerapan RES standar bergantung pada akses internet untuk menginstal dependensi. Untuk menginstal RES di VPC pribadi, Anda harus memenuhi prasyarat berikut: **Topics** + [Siapkan Gambar Mesin Amazon (AMIs)](#prep-ami) + [Siapkan titik akhir VPC](#private-vpc-endpoints) + [Connect ke layanan tanpa titik akhir VPC](#connect-services-without-endpoints) + [Tetapkan parameter penyebaran VPC pribadi](#vpc-deployment-parameters) ### Siapkan Gambar Mesin Amazon (AMIs) 1. Unduh dependensi paling [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/res-installation-scriptsbaru/](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz) .tar.gz. Untuk menyebarkan di VPC terisolasi, infrastruktur RES membutuhkan ketersediaan dependensi tanpa memiliki akses internet publik. **penting** Ganti **latest** di URI unduhan dengan nomor versi yang tepat (misalnya,**2025.06**) jika versi lingkungan RES Anda bukan yang terbaru. 1. Buat peran IAM dengan akses hanya-baca Amazon S3 dan identitas tepercaya sebagai Amazon EC2. 1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Dari **Peran**, pilih **Buat peran**. 1. Pada halaman **Pilih entitas tepercaya**: + Di bawah **Jenis entitas tepercaya**, pilih Layanan AWS. + Untuk **kasus penggunaan** di bawah **Layanan atau kasus penggunaan**, pilih **EC2** dan pilih **Berikutnya**. 1. Pada **Tambahkan izin**, pilih kebijakan izin berikut, lalu pilih **Berikutnya**: + AmazonS3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Tambahkan **nama Peran** dan **Deskripsi**, lalu pilih **Buat peran**. 1. Buat komponen pembuat gambar EC2: 1. Buka konsol [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) EC2 Image Builder di. 1. Di bawah **Saved Resources**, pilih **Components** dan pilih **Create component**. 1. Pada halaman **Create component**, masukkan detail berikut: + Untuk **tipe Component**, pilih **Build**. + Untuk **detail Komponen** pilih: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/prerequisites.html) 1. Pada halaman **Buat komponen**, pilih **Tentukan konten dokumen**. 1. Sebelum memasukkan konten dokumen definisi, Anda akan memerlukan URI file untuk file tar.gz. Unggah file tar.gz yang disediakan oleh RES ke bucket Amazon S3 dan salin URI file dari properti bucket. 1. Masukkan yang berikut ini: **catatan** `AddEnvironmentVariables`bersifat opsional, dan Anda dapat menghapusnya jika Anda tidak memerlukan variabel lingkungan khusus di host infrastruktur Anda. Jika Anda menyiapkan `http_proxy` dan variabel `https_proxy` lingkungan, `no_proxy` parameter diperlukan untuk mencegah instance menggunakan proxy untuk menanyakan localhost, alamat IP metadata instance, dan layanan yang mendukung titik akhir VPC. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. Pilih **Buat komponen**. 1. Buat resep gambar Image Builder. 1. Pada halaman **Buat resep**, masukkan yang berikut ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/prerequisites.html) 1. Pilih **Buat resep**. 1. Buat konfigurasi infrastruktur Image Builder. 1. Di bawah **Sumber daya tersimpan**, pilih **Konfigurasi infrastruktur**. 1. Pilih **Buat konfigurasi infrastruktur**. 1. Pada halaman **Buat konfigurasi infrastruktur**, masukkan yang berikut ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/prerequisites.html) 1. Pilih **Buat konfigurasi infrastruktur**. 1. Buat pipeline EC2 Image Builder baru: 1. Buka **pipeline Image**, dan pilih **Create image pipeline**. 1. Pada halaman **Tentukan rincian pipeline**, masukkan yang berikut ini dan pilih **Berikutnya**: + Nama pipa dan deskripsi opsional + Untuk **jadwal Build**, atur jadwal atau pilih **Manual** jika Anda ingin memulai proses baking AMI secara manual. 1. Pada halaman **Pilih resep**, pilih **Gunakan resep yang ada** dan masukkan **nama Resep** yang dibuat sebelumnya. Pilih **Berikutnya**. 1. Pada halaman **Tentukan proses gambar**, pilih alur kerja default dan pilih **Berikutnya**. 1. Pada halaman **Tentukan konfigurasi infrastruktur**, pilih **Gunakan konfigurasi infrastruktur yang ada** dan masukkan nama konfigurasi infrastruktur yang dibuat sebelumnya. Pilih **Berikutnya**. 1. Pada halaman **Tentukan pengaturan distribusi**, pertimbangkan hal berikut untuk pilihan Anda: + Gambar keluaran harus berada di wilayah yang sama dengan lingkungan RES yang diterapkan, sehingga RES dapat meluncurkan instance host infrastruktur dengan benar darinya. Menggunakan default layanan, gambar output akan dibuat di wilayah tempat layanan EC2 Image Builder digunakan. + Jika Anda ingin menerapkan RES di beberapa wilayah, Anda dapat memilih **Buat pengaturan distribusi baru** dan menambahkan lebih banyak wilayah di sana. 1. Tinjau pilihan Anda dan pilih **Buat pipeline**. 1. Jalankan pipeline EC2 Image Builder: 1. Dari **pipeline Image**, temukan dan pilih pipeline yang Anda buat. 1. Pilih **Tindakan**, lalu pilih **Jalankan pipeline**. Pipa mungkin memakan waktu sekitar 45 menit hingga satu jam untuk membuat gambar AMI. 1. Perhatikan ID AMI untuk AMI yang dihasilkan dan gunakan sebagai input untuk parameter InfrastructureHost AMI di[Langkah 1: Luncurkan produk](launch-the-product.md). ### Siapkan titik akhir VPC Untuk menyebarkan RES dan meluncurkan desktop virtual, Layanan AWS memerlukan akses ke subnet pribadi Anda. Anda harus menyiapkan titik akhir VPC untuk menyediakan akses yang diperlukan, dan Anda harus mengulangi langkah-langkah ini untuk setiap titik akhir. 1. Jika titik akhir belum dikonfigurasi sebelumnya, ikuti petunjuk yang disediakan di [Akses Layanan AWS menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Pilih satu subnet pribadi di masing-masing dari dua zona ketersediaan. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/prerequisites.html) ### Connect ke layanan tanpa titik akhir VPC Untuk mengintegrasikan dengan layanan yang tidak mendukung titik akhir VPC, Anda dapat mengatur server proxy di subnet publik VPC Anda. Ikuti langkah-langkah ini untuk membuat server proxy dengan akses minimum yang diperlukan untuk penyebaran Studio Riset dan Teknik menggunakan AWS Identity Center sebagai penyedia identitas Anda. 1. Luncurkan instance Linux di subnet publik VPC yang akan Anda gunakan untuk penyebaran RES Anda. + Keluarga Linux - Amazon Linux 2 atau Amazon Linux 3 + Arsitektur — x86 + Jenis instans - t2.micro atau lebih tinggi + Grup keamanan — TCP pada port 3128 dari 0.0.0.0/0 1. Connect ke instance untuk menyiapkan server proxy. 1. Buka koneksi http. 1. Izinkan koneksi ke domain berikut dari semua subnet yang relevan: + .amazonaws.com (untuk layanan generik) AWS + .amazoncognito.com (untuk Amazon Cognito) + .awsapps.com (untuk Pusat Identitas) + .signin.aws (untuk Pusat Identitas) + . amazonaws-us-gov.com (untuk Gov Cloud) 1. Tolak semua koneksi lainnya. 1. Aktifkan dan mulai server proxy. 1. Perhatikan PORT tempat server proxy mendengarkan. 1. Konfigurasikan tabel rute Anda untuk memungkinkan akses ke server proxy. 1. Buka konsol VPC Anda dan identifikasi tabel rute untuk subnet yang akan Anda gunakan untuk Host Infrastruktur dan host VDI. 1. Edit tabel rute untuk memungkinkan semua koneksi masuk masuk ke instance server proxy yang dibuat pada langkah sebelumnya. 1. Lakukan ini untuk tabel rute untuk semua subnet (tanpa akses internet) yang akan Anda gunakan untuk InfrastrukturVDIs/. 1. Ubah grup keamanan instance EC2 server proxy dan pastikan itu memungkinkan koneksi TCP masuk pada PORT tempat server proxy mendengarkan. ### Tetapkan parameter penyebaran VPC pribadi Di[Langkah 1: Luncurkan produk](launch-the-product.md), Anda diharapkan untuk memasukkan parameter tertentu dalam CloudFormation template. Pastikan untuk mengatur parameter berikut seperti yang dicatat agar berhasil disebarkan ke VPC pribadi yang baru saja Anda konfigurasikan. | Parameter | Input | | --- |--- | | InfrastructureHostAMI | Gunakan ID AMI infrastruktur yang dibuat di[Siapkan Gambar Mesin Amazon (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Setel ke false. | | LoadBalancerSubnets | Pilih subnet pribadi tanpa akses internet. | | InfrastructureHostSubnets | Pilih subnet pribadi tanpa akses internet. | | VdiSubnets | Pilih subnet pribadi tanpa akses internet. | | ClientIP | Anda dapat memilih CIDR VPC Anda untuk memungkinkan akses ke semua alamat IP VPC. | | HttpProxy | Contoh: http://10.1.2.3:123 | | HttpsProxy | Contoh: http://10.1.2.3:123 | | NoProxy | Contoh: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Buat sumber daya eksternal CloudFormation Tumpukan ini menciptakan jaringan, penyimpanan, direktori aktif, dan sertifikat domain (jika PortalDomainName disediakan). Anda harus memiliki sumber daya eksternal ini tersedia untuk menyebarkan produk. Anda dapat [mengunduh template resep](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) sebelum penerapan. **Waktu untuk menyebarkan:** Sekitar 40-90 menit 1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). **catatan** Pastikan Anda berada di akun administrator Anda. 1. [Luncurkan template](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) di konsol. Jika Anda menerapkan di AWS GovCloud Wilayah, luncurkan template di akun GovCloud partisi Anda (misalnya, [di sini](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) untuk Wilayah AWS GovCloud (AS-Barat)). 1. Masukkan parameter template: **penting** Gunakan nilai yang berbeda untuk `AdminPassword` dan `ServiceAccountPassword` untuk menjaga batas keamanan yang tepat antara akun-akun ini. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/create-external-resources.html) 1. Akui semua kotak centang di **Capabilities**, dan pilih **Create** stack. # Langkah 1: Luncurkan produk Ikuti step-by-step petunjuk di bagian ini untuk mengonfigurasi dan menyebarkan produk ke akun Anda. **Waktu untuk menyebarkan:** Sekitar 60 menit Anda dapat [mengunduh CloudFormation template](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) untuk produk ini sebelum menerapkannya. [Jika Anda menerapkan di AWS GovCloud (AS-Barat), gunakan template ini.](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) **res-stack** - Gunakan template ini untuk meluncurkan produk dan semua komponen terkait. Konfigurasi default menyebarkan sumber daya tumpukan dan autentikasi utama RES, frontend, dan backend. **catatan** AWS CloudFormation sumber daya dibuat dari AWS Cloud Development Kit (AWS CDK) (AWS CDK) konstruksi. AWS CloudFormation Template menyebarkan Research and Engineering Studio AWS di. AWS Cloud Anda harus memenuhi [prasyarat](prerequisites.md) sebelum meluncurkan tumpukan. 1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). 1. Luncurkan [template](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json). [Untuk menyebarkan di AWS GovCloud (AS-Barat), luncurkan template ini.](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) 1. Template diluncurkan di Wilayah AS Timur (Virginia N.) secara default. Untuk meluncurkan produk di tempat lain Wilayah AWS, gunakan pemilih Wilayah di bilah navigasi konsol. **catatan** Produk ini menggunakan layanan Amazon Cognito, yang saat ini tidak tersedia di semua. Wilayah AWS Anda harus meluncurkan produk ini di Wilayah AWS tempat Amazon Cognito tersedia. Untuk ketersediaan terbaru menurut Wilayah, lihat [Daftar Layanan Wilayah AWS al](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. Di bawah **Parameter**, tinjau parameter untuk templat produk ini dan modifikasi sesuai kebutuhan. Jika Anda menggunakan sumber daya eksternal otomatis, Anda dapat menemukan parameter ini di tab **Output** dari tumpukan sumber daya eksternal. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/res/latest/ug/launch-the-product.html) 1. Di bawah **Konfigurasi opsi tumpukan → Tag - *opsional***, tambahkan tag (pasangan nilai kunci) yang ingin Anda terapkan ke sumber daya yang diterapkan RES. Kunci tag `Name` dan `res:*` dipertahankan oleh RES dan tidak dapat digunakan sebagai kunci tag. 1. Pilih **Membuat tumpukan** untuk menerapkannya. Anda dapat melihat status tumpukan di AWS CloudFormation konsol di kolom **Status**. Anda menerima status CREATE\$1COMPLETE dalam waktu kurang lebih 60 menit. **penting** Anda bertanggung jawab untuk menambal infrastructure/VDI host Anda setelah penerapan. # Langkah 2: Masuk untuk pertama kalinya Setelah tumpukan produk disebarkan di akun Anda, Anda menerima email dengan kredensyal Anda. Gunakan URL untuk masuk ke akun Anda dan mengonfigurasi ruang kerja untuk pengguna lain. ![\[Undangan email masuk pertama\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-firstsignin.png) Setelah masuk untuk pertama kalinya, Anda dapat mengonfigurasi pengaturan di portal web untuk terhubung ke penyedia SSO. Untuk informasi konfigurasi pasca-penerapan, lihat. [Panduan konfigurasi](configuration-guide.md) Perhatikan bahwa `clusteradmin` ini adalah akun break-glass — Anda dapat menggunakannya untuk membuat proyek dan menetapkan keanggotaan pengguna atau grup untuk proyek-proyek tersebut; itu tidak dapat menetapkan tumpukan perangkat lunak atau menyebarkan desktop untuk dirinya sendiri.