Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Implementa il prodotto **Nota** Questo prodotto utilizza [AWS CloudFormation modelli e stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) per automatizzarne l'implementazione. I CloudFormation modelli descrivono le AWS risorse incluse in questo prodotto e le relative proprietà. Lo CloudFormation stack fornisce le risorse descritte nei modelli. Prima di lanciare il prodotto, esaminate i [costi](plan-your-deployment.md#plan-your-deployment-cost), l'[architettura](architecture-overview.md), la [sicurezza di rete](plan-your-deployment.md#plan-your-deployment-security) e altre considerazioni discusse in precedenza in questa guida. **Topics** + [Prerequisiti](prerequisites.md) + [Crea risorse esterne](create-external-resources.md) + [Fase 1: Avviare il prodotto](launch-the-product.md) + [Passaggio 2: accedi per la prima volta](first-sign-in.md) # Prerequisiti **Topics** + [Crea un account Account AWS con un utente amministrativo](#aws-account) + [Crea una coppia di chiavi SSH Amazon EC2](#create-ssh-key-pair) + [Aumentare le quote di servizio](#increase-service-quotas) + [Creare un pool di utenti Cognito (opzionale)](#create-cognito-user-pool) + [Crea un dominio personalizzato (opzionale)](#create-public-domain) + [Crea un dominio (GovCloud solo)](#create-domain-govcloud) + [Fornisci risorse esterne](#external-resources) + [Configura LDAPS nel tuo ambiente (opzionale)](#configure-ldaps) + [Configurare un account di servizio per Microsoft Active Directory](#service-account-ms-ad) + [Configurazione di un VPC privato (opzionale)](#private-vpc) ## Crea un account Account AWS con un utente amministrativo È necessario disporre di un account Account AWS con un utente amministrativo: 1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup) 1. Segui le istruzioni online. Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono. Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Crea una coppia di chiavi SSH Amazon EC2 Se non disponi di una coppia di chiavi SSH Amazon EC2, devi crearne una. Per ulteriori informazioni, consulta [Create a key pair using Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) *User Guide*. ## Aumentare le quote di servizio Come best practice, è consigliabile [aumentare le quote di servizio](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) per: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Aumenta la quota di indirizzi IP elastici per gateway NAT da cinque a otto. + Aumentate il numero di gateway NAT per zona di disponibilità da cinque a dieci. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Aumenta l'elastico EC2-VPC IPs da cinque a dieci. Il tuo AWS account ha quote predefinite per ogni servizio. AWS Salvo diversa indicazione, ogni quota si applica a una Regione specifica. Se per alcune quote è possibile richiedere aumenti, altre quote non possono essere modificate. Per ulteriori informazioni, consulta [Quote per AWS i servizi di questo prodotto](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Creare un pool di utenti Cognito (opzionale) Hai la possibilità di importare un pool di utenti Cognito esistente per l'autenticazione di utenti e client quando installi RES. Altrimenti, RES creerà automaticamente un nuovo pool di utenti di Cognito. Il pool di utenti preesistente deve avere i seguenti attributi personalizzati di registrazione: | Nome | Tipo | Valore/lunghezza minimi | Valore/lunghezza massimi | Mutable | | --- | --- | --- | --- | --- | | personalizzato: aws\$1region | Stringa | | | TRUE | | custom:cluster\$1name | Stringa | | | TRUE | | personalizzato:password\$1last\$1set | Numero | | | TRUE | | personalizzato: password\$1max\$1age | Numero | | | TRUE | | personalizzato:uid | Numero | 2000200001 | 4294967294 | TRUE | ## Crea un dominio personalizzato (opzionale) Come procedura consigliata, utilizza un dominio personalizzato per il prodotto per un URL intuitivo. Puoi fornire un dominio personalizzato e, *facoltativamente*, fornire un relativo certificato. Esiste un processo nello stack di risorse esterne per creare un certificato per un dominio personalizzato fornito dall'utente. Puoi saltare questi passaggi se hai un dominio e desideri utilizzare le funzionalità di generazione di certificati dello stack di risorse esterne. In alternativa, segui questi passaggi per registrare un dominio utilizzando Amazon Route 53 e importare un certificato per il dominio che utilizza AWS Certificate Manager. 1. Segui le indicazioni per [registrare un dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) con Route 53. Dovresti ricevere un'email di conferma. 1. Recupera la zona ospitata per il tuo dominio. Route 53 lo crea automaticamente. 1. Apri la console Route 53. 1. Scegli **Zone ospitate** dalla barra di navigazione a sinistra. 1. Apri la zona ospitata creata per il tuo nome di dominio e copia l'**ID della zona ospitata**. 1. Apri AWS Certificate Manager e segui questi passaggi per [richiedere un certificato di dominio](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Assicurati di trovarti nella regione in cui intendi implementare la soluzione. 1. **Scegli Elenca certificati** dalla navigazione e trova la tua richiesta di certificato. La richiesta dovrebbe essere in sospeso. 1. Scegli l'**ID del certificato** per aprire la richiesta. 1. Dalla sezione **Domini**, scegli **Crea record in Route 53**. L'elaborazione della richiesta richiederà circa dieci minuti. 1. Una volta emesso il certificato, copia l'**ARN dalla sezione** **Stato del certificato**. ## Crea un dominio (GovCloud solo) Se si esegue la distribuzione in una AWS GovCloud regione e si utilizza un dominio personalizzato per Research and Engineering Studio, è necessario completare questi passaggi preliminari. 1. Distribuisci lo [CloudFormation stack di certificati](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) nell' AWS account della partizione commerciale in cui è stato creato il dominio ospitato pubblico. 1. Dai **Certificate CloudFormation Outputs**, trova e annota il simbolo e. `CertificateARN` `PrivateKeySecretARN` 1. Nell'account della GovCloud partizione, crea un segreto con il valore dell'`CertificateARN`output. Nota il nuovo ARN segreto e aggiungi due tag al segreto in modo da `vdc-gateway` poter accedere al valore segreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.) 1. Nell'account della GovCloud partizione, crea un segreto con il valore dell'output. `PrivateKeySecretARN` Nota il nuovo ARN segreto e aggiungi due tag al segreto in modo da `vdc-gateway` poter accedere al valore segreto: 1. res: = ModuleName virtual-desktop-controller 1. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.) ## Fornisci risorse esterne Research and Engineering Studio on AWS prevede che al momento dell'implementazione siano disponibili le seguenti risorse esterne. + **Rete (VPC, sottoreti pubbliche e sottoreti private)** Qui verranno eseguite le istanze EC2 utilizzate per ospitare l'ambiente RES, Active Directory (AD) e lo storage condiviso. + **Archiviazione (Amazon EFS)** I volumi di storage contengono i file e i dati necessari per l'infrastruttura desktop virtuale (VDI). + **Servizio di directory ()AWS Directory Service for Microsoft Active Directory** Il servizio di directory autentica gli utenti nell'ambiente RES. + **Un segreto che contiene il nome utente e la password dell'account del servizio Active Directory formattati come coppia chiave-valore (nome utente, password)** Research and Engineering Studio accede ai [segreti](secrets-management.md) forniti dall'utente, inclusa la password dell'account del servizio, utilizzando. [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) **avvertimento** È necessario fornire un indirizzo e-mail valido per tutti gli utenti di Active Directory (AD) che si desidera sincronizzare. **Suggerimento** Se stai distribuendo un ambiente demo e non disponi di queste risorse esterne, puoi utilizzare le ricette AWS High Performance Compute per generare le risorse esterne. Consulta la sezione seguente per distribuire [Crea risorse esterne](create-external-resources.md) le risorse nel tuo account. Per le distribuzioni demo in una AWS GovCloud regione, è necessario completare i passaggi prerequisiti in. [Crea un dominio (GovCloud solo)](#create-domain-govcloud) ## Configura LDAPS nel tuo ambiente (opzionale) Se si prevede di utilizzare la comunicazione LDAPS nel proprio ambiente, è necessario completare questi passaggi per creare e allegare certificati al controller di dominio AWS Managed Microsoft AD (AD) per fornire la comunicazione tra AD e RES. 1. Segui i passaggi forniti in [Come abilitare LDAPS lato server](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) per il tuo. AWS Managed Microsoft AD Puoi saltare questo passaggio se hai già abilitato LDAPS. 1. Dopo aver verificato che LDAPS è configurato su AD, esporta il certificato AD: 1. Vai al tuo server Active Directory. 1. Apri PowerShell come amministratore. 1. Esegui `certmgr.msc` per aprire l'elenco dei certificati. 1. Apri l'elenco dei certificati aprendo prima Trusted Root Certification Authorities e poi Certificati. 1. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) sul certificato con lo stesso nome del server AD e scegli **Tutte le attività**, quindi **Esporta**. 1. **Seleziona **X.509 con codifica Base-64 (.CER**) e scegli Avanti.** 1. **Seleziona una directory, quindi scegli Avanti.** 1. Crea un segreto in Gestione dei segreti AWS: Quando crei il tuo segreto nel Secrets Manager, seleziona **Other type of secrets** (Altro tipo di segreti) in **secret type** (Tipo di segreto) e incolla il certificato codificato PEM nel campo **Plaintext** (Testo normale). 1. Annotate l'ARN creato e inseritelo come `DomainTLSCertificateSecretARN` parametro in. [Fase 1: Avviare il prodotto](launch-the-product.md) ## Configurare un account di servizio per Microsoft Active Directory Se scegli Microsoft Active Directory (AD) come origine dell'identità per RES, hai un account di servizio nell'AD che consente l'accesso programmatico. È necessario trasmettere un codice segreto con le credenziali dell'account di servizio come parte dell'installazione di RES. Il segreto deve avere il formato mostrato qui. ![\[Esempio di formato di nome utente e password\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-secret-value-example.png) Si noti inoltre che il `username` campo non supporta i nomi di accesso in stile NT del formato. `DOMAIN\username` L'account di servizio è responsabile delle seguenti funzioni: + Sincronizzazione degli utenti dall'AD: RES deve sincronizzare gli utenti dall'AD per consentire loro di accedere al portale web. Il processo di sincronizzazione utilizza l'account del servizio per interrogare l'AD utilizzando LDAP per determinare quali utenti e gruppi sono disponibili. + Unisciti al dominio AD: si tratta di un'operazione opzionale per i desktop virtuali Linux e gli host dell'infrastruttura in cui l'istanza si unisce al dominio AD. In RES, questa operazione viene controllata con il `DisableADJoin` parametro. Questo parametro è impostato su False per impostazione predefinita, il che significa che i desktop virtuali Linux tenteranno di aggiungere il dominio AD nella configurazione predefinita. + Connessione all'AD: i desktop virtuali e gli host dell'infrastruttura Linux si connetteranno al dominio AD se non vi aderiscono (`DisableADJoin`= True). Affinché questa funzionalità funzioni, il Service Account necessita anche dell'accesso in lettura per utenti `UsersOU` e `GroupsOU` gruppi. L'account di servizio richiede le seguenti autorizzazioni: + Per sincronizzare gli utenti e connettersi ad AD → Accesso in lettura per utenti e gruppi in modalità `UsersOU` e`GroupsOU`. + Per entrare nel dominio AD → crea `Computer` oggetti in`ComputersOU`. Lo script in [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) fornisce un esempio di come concedere le autorizzazioni appropriate all'account di servizio. Puoi modificarlo in base al tuo AD. ## Configurazione di un VPC privato (opzionale) L'implementazione di Research and Engineering Studio in un VPC isolato offre una maggiore sicurezza per soddisfare i requisiti di conformità e governance dell'organizzazione. Tuttavia, l'implementazione standard di RES si basa sull'accesso a Internet per l'installazione delle dipendenze. Per installare RES in un VPC privato, è necessario soddisfare i seguenti prerequisiti: **Topics** + [Preparare le immagini delle macchine Amazon (AMIs)](#prep-ami) + [Configurazione degli endpoint VPC](#private-vpc-endpoints) + [Connect ai servizi senza endpoint VPC](#connect-services-without-endpoints) + [Imposta i parametri di distribuzione di un VPC privato](#vpc-deployment-parameters) ### Preparare le immagini delle macchine Amazon (AMIs) 1. Scarica le dipendenze al [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/res-installation-scriptslatest/.tar.gz](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz). Per l'implementazione in un VPC isolato, l'infrastruttura RES richiede la disponibilità di dipendenze senza l'accesso pubblico a Internet. **Importante** Sostituiscilo **latest** nell'URI di download con il numero esatto della versione (ad esempio,**2025.06**) se la versione dell'ambiente RES non è la più recente. 1. Crea un ruolo IAM con accesso in sola lettura e identità affidabile di Amazon S3 come Amazon EC2. 1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. **Da **Ruoli, scegli Crea ruolo**.** 1. Nella pagina **Seleziona un’entità attendibile**: + In **Tipo di entità attendibile**, scegli Servizio AWS. + Per **Caso d'uso** in **Servizio o caso d'uso**, scegli **EC2** e scegli **Avanti**. 1. **In **Aggiungi autorizzazioni**, seleziona le seguenti politiche di autorizzazione, quindi scegli Avanti:** + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Aggiungi un **nome e una **descrizione del** ruolo**, quindi scegli **Crea ruolo**. 1. Crea il componente EC2 image builder: 1. Apri la console EC2 Image Builder [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) all'indirizzo. 1. In **Risorse salvate**, scegli **Componenti** e scegli **Crea** componente. 1. Nella pagina **Crea componente**, inserisci i seguenti dettagli: + Per **Tipo di componente**, scegli **Costruisci**. + Per i **dettagli del componente**, scegli: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. Nella pagina **Crea componente**, scegli **Definisci il contenuto del documento**. 1. Prima di inserire il contenuto del documento di definizione, è necessario un URI del file per il file tar.gz. Carica il file tar.gz fornito da RES in un bucket Amazon S3 e copia l'URI del file dalle proprietà del bucket. 1. Immetti i seguenti dati: **Nota** `AddEnvironmentVariables`è facoltativo e puoi rimuoverlo se non hai bisogno di variabili di ambiente personalizzate negli host dell'infrastruttura. Se si stanno `http_proxy` configurando variabili di `https_proxy` ambiente, i `no_proxy` parametri sono necessari per impedire all'istanza di utilizzare il proxy per interrogare localhost, gli indirizzi IP dei metadati dell'istanza e i servizi che supportano gli endpoint VPC. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. **Scegli Crea componente.** 1. Crea una ricetta di immagini Image Builder. 1. Nella pagina **Crea ricetta**, inserisci quanto segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. Scegli **Crea ricetta**. 1. Crea la configurazione dell'infrastruttura Image Builder. 1. In **Risorse salvate**, scegli **Configurazioni dell'infrastruttura**. 1. Scegli **Crea configurazione dell'infrastruttura**. 1. Nella pagina **Crea configurazione dell'infrastruttura**, inserisci quanto segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) 1. **Scegli Crea configurazione dell'infrastruttura.** 1. Crea una nuova pipeline EC2 Image Builder: 1. **Vai a **Image pipelines** e scegli Crea pipeline di immagini.** 1. **Nella pagina **Specificare i dettagli della pipeline**, immettete quanto segue e scegliete Avanti:** + Nome della tubazione e descrizione opzionale + Per **Programma di costruzione**, imposta un programma o scegli **Manuale** se desideri avviare manualmente il processo di cottura AMI. 1. Nella pagina **Scegli la ricetta**, scegli **Usa ricetta esistente** e inserisci il **nome della ricetta** creato in precedenza. Scegli **Next (Successivo)**. 1. Nella pagina **Definisci il processo dell'immagine**, seleziona i flussi di lavoro predefiniti e scegli **Avanti**. 1. Nella pagina **Definisci la configurazione dell'infrastruttura**, scegli **Usa la configurazione dell'infrastruttura esistente** e inserisci il nome della configurazione dell'infrastruttura creata in precedenza. Scegli **Next (Successivo)**. 1. Nella pagina **Definisci le impostazioni di distribuzione**, considera quanto segue per le tue selezioni: + L'immagine di output deve risiedere nella stessa regione dell'ambiente RES distribuito, in modo che RES possa avviare correttamente le istanze host dell'infrastruttura da essa. Utilizzando le impostazioni predefinite del servizio, l'immagine di output verrà creata nella regione in cui viene utilizzato il servizio EC2 Image Builder. + Se desideri implementare RES in più regioni, puoi scegliere **Crea nuove impostazioni di distribuzione e aggiungervi** altre regioni. 1. Controlla le tue selezioni e scegli **Crea** pipeline. 1. Esegui la pipeline EC2 Image Builder: 1. Da **Image pipelines**, trova e seleziona la pipeline che hai creato. 1. Scegliete **Azioni** e selezionate **Esegui** pipeline. La pipeline può impiegare da 45 minuti a un'ora per creare un'immagine AMI. 1. Annota l'ID AMI per l'AMI generato e usalo come input per il parametro InfrastructureHost AMI in[Fase 1: Avviare il prodotto](launch-the-product.md). ### Configurazione degli endpoint VPC Per implementare RES e avviare desktop virtuali, Servizi AWS richiedi l'accesso alla tua sottorete privata. È necessario configurare gli endpoint VPC per fornire l'accesso richiesto e sarà necessario ripetere questi passaggi per ogni endpoint. 1. Se gli endpoint non sono stati configurati in precedenza, segui le istruzioni fornite in [Accesso e Servizio AWS utilizzo di un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). 1. Seleziona una sottorete privata in ciascuna delle due zone di disponibilità. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/prerequisites.html) ### Connect ai servizi senza endpoint VPC Per l'integrazione con servizi che non supportano gli endpoint VPC, puoi configurare un server proxy in una sottorete pubblica del tuo VPC. Segui questi passaggi per creare un server proxy con l'accesso minimo necessario per una distribuzione di Research and Engineering Studio utilizzando AWS Identity Center come provider di identità. 1. Avvia un'istanza Linux nella sottorete pubblica del VPC che utilizzerai per la distribuzione RES. + Famiglia Linux: Amazon Linux 2 o Amazon Linux 3 + Architettura: x86 + Tipo di istanza: t2.micro o versione successiva + Gruppo di sicurezza: TCP sulla porta 3128 da 0.0.0.0/0 1. Connect all'istanza per configurare un server proxy. 1. Apri la connessione http. 1. Consenti la connessione ai seguenti domini da tutte le sottoreti pertinenti: + .amazonaws.com (per servizi generici) AWS + .amazoncognito.com (per Amazon Cognito) + .awsapps.com (per Identity Center) + .signin.aws (per Identity Center) + . amazonaws-us-gov.com (per Gov Cloud) 1. Nega tutte le altre connessioni. 1. Attiva e avvia il server proxy. 1. Annota la PORTA su cui il server proxy ascolta. 1. Configura la tabella delle rotte per consentire l'accesso al server proxy. 1. Vai alla tua console VPC e identifica le tabelle di routing per le sottoreti che utilizzerai per gli host dell'infrastruttura e gli host VDI. 1. Modifica la tabella di routing per consentire a tutte le connessioni in entrata di accedere all'istanza del server proxy creata nei passaggi precedenti. 1. Fatelo per le tabelle di routing per tutte le sottoreti (senza accesso a Internet) che userete per Infrastructure/. VDIs 1. Modifica il gruppo di sicurezza dell'istanza EC2 del server proxy e assicurati che consenta le connessioni TCP in entrata sulla PORTA su cui il server proxy è in ascolto. ### Imposta i parametri di distribuzione di un VPC privato In[Fase 1: Avviare il prodotto](launch-the-product.md), è necessario inserire determinati parametri nel CloudFormation modello. Assicurati di impostare i seguenti parametri come indicato per una corretta implementazione nel VPC privato che hai appena configurato. | Parametro | Input | | --- |--- | | InfrastructureHostAMI | Utilizza l'ID AMI dell'infrastruttura creato in[Preparare le immagini delle macchine Amazon (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Impostato su false. | | LoadBalancerSubnets | Scegli sottoreti private senza accesso a Internet. | | InfrastructureHostSubnets | Scegli sottoreti private senza accesso a Internet. | | VdiSubnets | Scegli sottoreti private senza accesso a Internet. | | ClientIP | Puoi scegliere il tuo VPC CIDR per consentire l'accesso a tutti gli indirizzi IP VPC. | | HttpProxy | Esempio: http://10.1.2.3:123 | | HttpsProxy | Ad esempio: http://10.1.2.3:123 | | NoProxy | Esempio: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Crea risorse esterne Questo CloudFormation stack crea certificati di rete, storage, active directory e dominio (se PortalDomainName viene fornito a). È necessario disporre di queste risorse esterne per distribuire il prodotto. È possibile [scaricare il modello di ricette](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) prima della distribuzione. **Tempo di implementazione:** circa 40-90 minuti 1. [Accedi Console di gestione AWS e apri la CloudFormation console all'indirizzo https://console.aws.amazon.com /cloudformazione.](https://console.aws.amazon.com/cloudformation/) **Nota** Assicurati di essere nel tuo account amministratore. 1. Avvia [il modello](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) nella console. Se stai distribuendo in una AWS GovCloud regione, avvia il modello nel tuo account di GovCloud partizione (ad esempio, [qui](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) per la regione AWS GovCloud (Stati Uniti occidentali)). 1. Inserisci i parametri del modello: **Importante** Utilizza valori diversi per `AdminPassword` e per `ServiceAccountPassword` mantenere i limiti di sicurezza adeguati tra questi account. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/create-external-resources.html) 1. Riconosci tutte le caselle di controllo in **Capacità** e scegli **Crea stack**. # Fase 1: Avviare il prodotto Segui le step-by-step istruzioni in questa sezione per configurare e distribuire il prodotto nel tuo account. **Tempo di implementazione:** circa 60 minuti È possibile [scaricare il CloudFormation modello](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) per questo prodotto prima di distribuirlo. [Se stai distribuendo in AWS GovCloud (Stati Uniti occidentali), usa questo modello.](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) **res-stack**: utilizza questo modello per avviare il prodotto e tutti i componenti associati. La configurazione predefinita implementa lo stack principale RES e le risorse di autenticazione, frontend e backend. **Nota** AWS CloudFormation le risorse vengono create da AWS Cloud Development Kit (AWS CDK) costrutti ().AWS CDK Il AWS CloudFormation modello implementa Research and Engineering Studio AWS in. Cloud AWSÈ necessario soddisfare i [prerequisiti](prerequisites.md) prima di avviare lo stack. 1. [Accedi Console di gestione AWS e apri la CloudFormation console all'indirizzo /cloudformazione. https://console.aws.amazon.com](https://console.aws.amazon.com/cloudformation/) 1. [Avvia il modello.](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json) [Per implementarlo in AWS GovCloud (Stati Uniti occidentali), avvia questo modello.](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) 1. Per impostazione predefinita, il modello viene avviato nella regione Stati Uniti orientali (Virginia settentrionale). Per avviare il prodotto in un'altra Regione AWS, utilizza il selettore della regione nella barra di navigazione della console. **Nota** Questo prodotto utilizza il servizio Amazon Cognito, che al momento non è disponibile in tutti. Regioni AWSÈ necessario avviare questo prodotto in un Regione AWS luogo in cui Amazon Cognito è disponibile. Per la disponibilità più aggiornata per regione, consulta l'[elenco di Regione AWS tutti i servizi](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. In **Parametri**, esamina i parametri per questo modello di prodotto e modificali se necessario. Se hai distribuito risorse esterne automatizzate, puoi trovare questi parametri nella scheda **Output dello stack** di risorse esterne. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/res/latest/ug/launch-the-product.html) 1. In **Configura le opzioni dello stack → Tag - *opzionale***, aggiungi i tag (coppie chiave-valore) che desideri applicare alle risorse distribuite da RES. I tag key `Name` e `res:*` sono conservati da RES e non possono essere utilizzati come chiavi di tag. 1. Seleziona **Create** (Crea) per implementare lo stack. Puoi visualizzare lo stato dello stack nella AWS CloudFormation console nella colonna **Status**. Riceverai lo stato CREATE\$1COMPLETE in circa 60 minuti. **Importante** Sei responsabile dell'applicazione delle patch ai tuoi infrastructure/VDI host dopo la distribuzione. # Passaggio 2: accedi per la prima volta Dopo l'implementazione dello stack di prodotti nel tuo account, riceverai un'email con le tue credenziali. Usa l'URL per accedere al tuo account e configurare l'area di lavoro per altri utenti. ![\[Per prima cosa accedi tramite e-mail di invito\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-firstsignin.png) Dopo aver effettuato il primo accesso, puoi configurare le impostazioni nel portale web per connetterti al provider SSO. Per informazioni sulla configurazione successiva all'implementazione, consulta. [Guida alla configurazione](configuration-guide.md) Tieni presente che `clusteradmin` si tratta di un account break-glass: puoi utilizzarlo per creare progetti e assegnare l'appartenenza a utenti o gruppi a tali progetti; non può assegnare stack software o implementare un desktop per sé.