As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Implemente o produto **nota** Este produto usa [AWS CloudFormation modelos e pilhas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) para automatizar sua implantação. Os CloudFormation modelos descrevem os AWS recursos incluídos neste produto e suas propriedades. A CloudFormation pilha provisiona os recursos descritos nos modelos. Antes de lançar o produto, analise o [custo](plan-your-deployment.md#plan-your-deployment-cost), a [arquitetura](architecture-overview.md), a [segurança da rede](plan-your-deployment.md#plan-your-deployment-security) e outras considerações discutidas anteriormente neste guia. **Topics** + [Pré-requisitos](prerequisites.md) + [Crie recursos externos](create-external-resources.md) + [Etapa 1: lançar o produto](launch-the-product.md) + [Etapa 2: faça login pela primeira vez](first-sign-in.md) # Pré-requisitos **Topics** + [Crie um Conta da AWS com um usuário administrativo](#aws-account) + [Crie um par de chaves SSH do Amazon EC2](#create-ssh-key-pair) + [Aumente as cotas de serviço](#increase-service-quotas) + [Crie um grupo de usuários do Cognito (opcional)](#create-cognito-user-pool) + [Crie um domínio personalizado (opcional)](#create-public-domain) + [Crie um domínio (GovCloud somente)](#create-domain-govcloud) + [Forneça recursos externos](#external-resources) + [Configure o LDAPS em seu ambiente (opcional)](#configure-ldaps) + [Configurar uma conta de serviço para o Microsoft Active Directory](#service-account-ms-ad) + [Configurar uma VPC privada (opcional)](#private-vpc) ## Crie um Conta da AWS com um usuário administrativo Você deve ter um Conta da AWS com um usuário administrativo: 1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup) 1. Siga as instruções online. Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone. Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). ## Crie um par de chaves SSH do Amazon EC2 Se você não tiver um par de chaves SSH do Amazon EC2, deverá criar um. Para ter mais informações, consulte [Criar um par de chaves usando o Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) no *Guia do usuário do Amazon EC2*. ## Aumente as cotas de serviço Como melhor prática, [aumente as cotas de serviço](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) para: + [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) + Aumente a cota de endereços IP elásticos por gateway NAT de cinco para oito. + Aumente os gateways NAT por zona de disponibilidade de cinco para dez. + [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-resource-limits.html) + Aumente o EC2-VPC Elastic IPs de cinco para dez. Sua AWS conta tem cotas padrão para cada AWS serviço. A menos que especificado de outra forma, cada cota é específica da região . Você pode solicitar o aumento de algumas cotas, porém, algumas delas não podem ser aumentadas. Para obter mais informações, consulte [Cotas para AWS serviços neste produto](plan-your-deployment.md#quotas-for-aws-services-in-this-product). ## Crie um grupo de usuários do Cognito (opcional) Você tem a opção de importar um Pool de Usuários do Cognito existente para autenticação de usuários e clientes ao instalar o RES. Caso contrário, o RES criará automaticamente um novo Pool de Usuários do Cognito. O grupo de usuários preexistente deve ter os seguintes atributos personalizados de inscrição: | Nome | Tipo | Valor/comprimento mínimo | Valor/comprimento máximo | Mutable | | --- | --- | --- | --- | --- | | customizado:aws\$1region | String | | | TRUE | | personalizado:cluster\$1name | String | | | TRUE | | personalizado:password\$1last\$1set | Número | | | TRUE | | customizado:password\$1max\$1age | Número | | | TRUE | | customizado:uid | Número | 2000200001 | 4294967294 | TRUE | ## Crie um domínio personalizado (opcional) Como prática recomendada, use um domínio personalizado para o produto para obter um URL fácil de usar. Você pode fornecer um domínio personalizado e, *opcionalmente*, fornecer um certificado para ele. Há um processo na pilha de recursos externos para criar um certificado para um domínio personalizado fornecido por você. Você pode pular as etapas aqui se tiver um domínio e quiser usar os recursos de geração de certificados da pilha de recursos externos. Ou siga estas etapas para registrar um domínio usando o Amazon Route 53 e importar um certificado para o domínio que está usando AWS Certificate Manager. 1. Siga as instruções para [registrar um domínio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html#register_new_console) no Route 53. Você deve receber um e-mail de confirmação. 1. Recupere a zona hospedada do seu domínio. O Route 53 cria isso automaticamente. 1. Abra o console do Route 53. 1. Escolha **Zonas hospedadas** no painel de navegação à esquerda. 1. Abra a zona hospedada criada para seu nome de domínio e copie o **ID da zona hospedada**. 1. Abra AWS Certificate Manager e siga estas etapas para [solicitar um certificado de domínio](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html). Verifique se você está na região em que planeja implantar a solução. 1. Escolha **Listar certificados** na navegação e encontre sua solicitação de certificado. A solicitação deve estar pendente. 1. Escolha sua **ID do certificado** para abrir a solicitação. 1. Na seção **Domínios**, escolha **Criar registros no Route 53**. A solicitação levará aproximadamente dez minutos para ser processada. 1. Depois que o certificado for emitido, copie o **ARN da seção** **Status do certificado**. ## Crie um domínio (GovCloud somente) Se você estiver implantando em uma AWS GovCloud região e estiver usando um domínio personalizado para o Research and Engineering Studio, deverá concluir essas etapas de pré-requisito. 1. Implante a [CloudFormation pilha de certificados](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/security/public_certs/assets/main.yaml) na AWS conta de partição comercial em que o domínio público hospedado foi criado. 1. Nas ** CloudFormation saídas do certificado**, localize e anote o `CertificateARN` e. `PrivateKeySecretARN` 1. Na conta da GovCloud partição, crie um segredo com o valor da `CertificateARN` saída. Observe o novo ARN secreto e adicione duas tags ao segredo para poder `vdc-gateway` acessar o valor do segredo: 1. vermelho: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [nome do ambiente] (Isso pode ser res-demo.) 1. Na conta da GovCloud partição, crie um segredo com o valor da `PrivateKeySecretARN` saída. Observe o novo ARN secreto e adicione duas tags ao segredo para poder `vdc-gateway` acessar o valor do segredo: 1. vermelho: ModuleName = virtual-desktop-controller 1. res: EnvironmentName = [nome do ambiente] (Isso pode ser res-demo.) ## Forneça recursos externos O Research and Engineering Studio on AWS espera que os seguintes recursos externos existam quando for implantado. + **Rede (VPC, sub-redes públicas e sub-redes privadas)** É aqui que você executará as instâncias do EC2 usadas para hospedar o ambiente RES, o Active Directory (AD) e o armazenamento compartilhado. + **Armazenamento (Amazon EFS)** Os volumes de armazenamento contêm arquivos e dados necessários para a infraestrutura de desktop virtual (VDI). + **Serviço de diretório (AWS Directory Service for Microsoft Active Directory)** O serviço de diretório autentica os usuários no ambiente RES. + **Um segredo que contém o nome de usuário e a senha da conta de serviço do Active Directory formatados como um par de valores-chave (nome de usuário, senha)** O Research and Engineering Studio acessa [os segredos](secrets-management.md) que você fornece, incluindo a senha da conta de serviço, usando [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html). **Atenção** Você deve fornecer um endereço de e-mail válido para todos os usuários do Active Directory (AD) que você deseja sincronizar. **dica** Se você estiver implantando um ambiente de demonstração e não tiver esses recursos externos disponíveis, poderá usar receitas de computação de AWS alto desempenho para gerar os recursos externos. Consulte a seção a seguir,[Crie recursos externos](create-external-resources.md), para implantar recursos em sua conta. Para implantações de demonstração em uma AWS GovCloud região, você deve concluir as etapas de pré-requisito em. [Crie um domínio (GovCloud somente)](#create-domain-govcloud) ## Configure o LDAPS em seu ambiente (opcional) Se você planeja usar a comunicação LDAPS em seu ambiente, você deve concluir estas etapas para criar e anexar certificados ao controlador de domínio AWS Managed Microsoft AD (AD) para fornecer comunicação entre AD e RES. 1. Siga as etapas fornecidas em [Como habilitar o LDAPS do lado do servidor](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) para seu. AWS Managed Microsoft AD Você pode pular essa etapa se já tiver habilitado o LDAPS. 1. Depois de confirmar que o LDAPS está configurado no AD, exporte o certificado do AD: 1. Acesse seu servidor do Active Directory. 1. Abra PowerShell como administrador. 1. Execute `certmgr.msc` para abrir a lista de certificados. 1. Abra a lista de certificados abrindo primeiro as Autoridades de Certificação Raiz Confiáveis e depois os Certificados. 1. Selecione e segure (ou clique com o botão direito do mouse) o certificado com o mesmo nome do seu servidor AD e escolha **Todas as tarefas** e, em seguida, **Exportar**. 1. **Selecione **X.509 codificado em Base-64 (.CER**) e escolha Avançar.** 1. Selecione um diretório e escolha **Avançar**. 1. Crie um segredo em AWS Secrets Manager: Ao criar seu segredo no Secrets Manager, escolha **Outro tipo de segredos** em **Tipo de segrdo** e cole o certificado codificado PEM no campo **Texto sem formatação**. 1. Observe o ARN criado e insira-o como `DomainTLSCertificateSecretARN` parâmetro em. [Etapa 1: lançar o produto](launch-the-product.md) ## Configurar uma conta de serviço para o Microsoft Active Directory Se você escolher o Microsoft Active Directory (AD) como fonte de identidade para RES, você tem uma conta de serviço em seu AD que permite acesso programático. Você deve passar um segredo com as credenciais da conta de serviço como parte da instalação do RES. O segredo deve ter o formato mostrado aqui. ![\[Exemplo de formato de nome de usuário e senha\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-secret-value-example.png) Observe também que o `username` campo não suporta nomes de logon no estilo NT do formato. `DOMAIN\username` A Conta de Serviço é responsável pelas seguintes funções: + Sincronizar usuários do AD: O RES deve sincronizar usuários do AD para permitir que eles façam login no portal da web. O processo de sincronização usa a conta de serviço para consultar o AD usando LDAP (s) para determinar quais usuários e grupos estão disponíveis. + Ingressar no domínio AD: essa é uma operação opcional para desktops virtuais Linux e hosts de infraestrutura em que a instância se junta ao domínio AD. No RES, isso é controlado com o `DisableADJoin` parâmetro. Esse parâmetro é definido como False por padrão, o que significa que os desktops virtuais Linux tentarão ingressar no domínio AD na configuração padrão. + Conecte-se ao AD: desktops virtuais Linux e hosts de infraestrutura se conectarão ao domínio AD se não se unirem a ele (`DisableADJoin`= True). Para que essa funcionalidade funcione, a Conta de Serviço também precisa de acesso de leitura para usuários `UsersOU` e grupos no `GroupsOU` e. A conta de serviço exige as seguintes permissões: + Para sincronizar usuários e conectar-se ao AD → Acesso de leitura para usuários `UsersOU` e grupos no `GroupsOU` e. + Para ingressar no domínio AD → crie `Computer` objetos no`ComputersOU`. O script em [ https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res\$1demo\$1env/assets/service\$1account.ps1](https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1) fornece um exemplo de como conceder as permissões adequadas à Conta de Serviço. Você pode modificá-lo com base em seu próprio AD. ## Configurar uma VPC privada (opcional) A implantação do Research and Engineering Studio em uma VPC isolada oferece segurança aprimorada para atender aos requisitos de conformidade e governança da sua organização. No entanto, a implantação padrão do RES depende do acesso à Internet para instalar dependências. Para instalar o RES em uma VPC privada, você precisará atender aos seguintes pré-requisitos: **Topics** + [Prepare imagens de máquinas da Amazon (AMIs)](#prep-ami) + [Configurar endpoints de VPC](#private-vpc-endpoints) + [Conecte-se a serviços sem VPC endpoints](#connect-services-without-endpoints) + [Definir parâmetros de implantação de VPC privados](#vpc-deployment-parameters) ### Prepare imagens de máquinas da Amazon (AMIs) 1. Baixe as dependências em [ https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ .tar.gz res-installation-scripts](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/res-installation-scripts.tar.gz). Para implantar em uma VPC isolada, a infraestrutura RES exige a disponibilidade de dependências sem ter acesso público à Internet. **Importante** **latest**Substitua o URI de download pelo número exato da versão (por exemplo,**2025.06**) se a versão do seu ambiente RES não for a mais recente. 1. Crie uma função do IAM com acesso somente de leitura ao Amazon S3 e identidade confiável como Amazon EC2. 1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Em **Funções**, escolha **Criar função**. 1. Na página **Selecionar entidade confiável**: + Em **Tipo de entidade confiável**, escolha AWS service (Serviço da AWS). + Para **Caso de uso** em **Serviço ou caso de uso**, escolha **EC2** e escolha **Avançar**. 1. Em **Adicionar permissões**, selecione as seguintes políticas de permissão e escolha **Avançar**: + Amazon S3 ReadOnlyAccess + Amazon SSMManaged InstanceCore + EC2InstanceProfileForImageBuilder 1. Adicione um **nome e uma **descrição da** função** e, em seguida, escolha **Criar função**. 1. Crie o componente EC2 image builder: 1. Abra o console [https://console.aws.amazon.com//imagebuilder](https://console.aws.amazon.com//imagebuilder) do EC2 Image Builder em. 1. Em **Recursos salvos**, escolha **Componentes** e escolha **Criar componente**. 1. Na página **Criar componente**, insira os seguintes detalhes: + Em **Tipo de componente**, escolha **Construir**. + Para obter **detalhes do componente**, escolha: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/prerequisites.html) 1. Na página **Criar componente**, escolha **Definir conteúdo do documento**. 1. Antes de inserir o conteúdo do documento de definição, você precisará de um URI de arquivo para o arquivo tar.gz. Faça o upload do arquivo tar.gz fornecido pelo RES para um bucket do Amazon S3 e copie o URI do arquivo das propriedades do bucket. 1. Insira o seguinte: **nota** `AddEnvironmentVariables`é opcional e você pode removê-lo se não precisar de variáveis de ambiente personalizadas em seus hosts de infraestrutura. Se você estiver `http_proxy` configurando variáveis de `https_proxy` ambiente, os `no_proxy` parâmetros são necessários para evitar que a instância use proxy para consultar localhost, metadados da instância, endereços IP e serviços compatíveis com endpoints de VPC. ``` # Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance # with the License. A copy of the License is located at # # http://www.apache.org/licenses/LICENSE-2.0 # # or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES # OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions # and limitations under the License. name: research-and-engineering-studio-infrastructure description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts. schemaVersion: 1.0 parameters: - AWSRegion: type: string description: RES Environment AWS Region phases: - name: build steps: - name: DownloadRESInstallScripts action: S3Download onFailure: Abort maxAttempts: 3 inputs: - source: '' destination: '/root/bootstrap/res-installation-scripts/res-installation-scripts.tar.gz' - name: RunInstallScript action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - 'cd /root/bootstrap/res-installation-scripts' - 'tar -xf res-installation-scripts.tar.gz' - 'cd scripts/infrastructure-host' - '/bin/bash install.sh' - name: AddEnvironmentVariables action: ExecuteBash onFailure: Abort maxAttempts: 3 inputs: commands: - | echo -e " http_proxy=http://: https_proxy=http://: no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com " >> /etc/environment launch template ``` 1. Escolha **Criar componente**. 1. Crie uma receita de imagem do Image Builder. 1. Na página **Criar receita**, insira o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/prerequisites.html) 1. Escolha **Create recipe** (Criar fórmula). 1. Crie a configuração da infraestrutura do Image Builder. 1. Em **Recursos salvos**, escolha **Configurações de infraestrutura**. 1. Escolha **Criar configuração de infraestrutura**. 1. Na página **Criar configuração de infraestrutura**, insira o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/prerequisites.html) 1. Escolha **Criar configuração de infraestrutura**. 1. Crie um novo pipeline do EC2 Image Builder: 1. Acesse **Image pipelines** e escolha **Create image pipeline**. 1. Na página **Especificar detalhes do pipeline**, insira o seguinte e escolha **Avançar**: + Nome do pipeline e descrição opcional + Em **Programação de criação**, defina uma programação ou escolha **Manual** se quiser iniciar o processo de preparação da AMI manualmente. 1. Na página **Escolher receita**, escolha **Usar receita existente** e insira o **nome da receita** criada anteriormente. Escolha **Próximo**. 1. Na página **Definir processo de imagem**, selecione os fluxos de trabalho padrão e escolha **Avançar**. 1. Na página **Definir configuração de infraestrutura**, escolha **Usar configuração de infraestrutura existente** e insira o nome da configuração de infraestrutura criada anteriormente. Escolha **Próximo**. 1. Na página **Definir configurações de distribuição**, considere o seguinte para suas seleções: + A imagem de saída deve residir na mesma região do ambiente RES implantado, para que o RES possa iniciar adequadamente instâncias hospedeiras de infraestrutura a partir dele. Usando padrões de serviço, a imagem de saída será criada na região em que o serviço EC2 Image Builder está sendo usado. + Se quiser implantar RES em várias regiões, você pode escolher **Criar novas configurações de distribuição** e adicionar mais regiões lá. 1. Revise suas seleções e escolha **Criar funil**. 1. Execute o pipeline do EC2 Image Builder: 1. Em **Pipelines de imagem**, encontre e selecione o pipeline que você criou. 1. Escolha **Ações** e selecione **Executar pipeline**. O pipeline pode levar aproximadamente de 45 minutos a uma hora para criar uma imagem de AMI. 1. Anote o ID da AMI para a AMI gerada e use-o como entrada para o parâmetro da InfrastructureHost AMI em[Etapa 1: lançar o produto](launch-the-product.md). ### Configurar endpoints de VPC Para implantar RES e iniciar desktops virtuais, Serviços da AWS exija acesso à sua sub-rede privada. Você deve configurar VPC endpoints para fornecer o acesso necessário e precisará repetir essas etapas para cada endpoint. 1. Se os endpoints não tiverem sido configurados anteriormente, siga as instruções fornecidas em [Access e AWS service (Serviço da AWS) usando uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint. 1. Selecione uma sub-rede privada em cada uma das duas zonas de disponibilidade. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/prerequisites.html) ### Conecte-se a serviços sem VPC endpoints Para se integrar a serviços que não oferecem suporte a endpoints de VPC, você pode configurar um servidor proxy em uma sub-rede pública da sua VPC. Siga estas etapas para criar um servidor proxy com o acesso mínimo necessário para uma implantação do Research and Engineering Studio usando o AWS Identity Center como seu provedor de identidade. 1. Execute uma instância Linux na sub-rede pública da VPC que você usará para sua implantação de RES. + Família Linux — Amazon Linux 2 ou Amazon Linux 3 + Arquitetura — x86 + Tipo de instância — t2.micro ou superior + Grupo de segurança — TCP na porta 3128 de 0.0.0.0/0 1. Conecte-se à instância para configurar um servidor proxy. 1. Abra a conexão http. 1. Permita a conexão com os seguintes domínios de todas as sub-redes relevantes: + .amazonaws.com (para serviços genéricos) AWS + .amazoncognito.com (para o Amazon Cognito) + .awsapps.com (para Identity Center) + .signin.aws (para o Identity Center) + . amazonaws-us-gov.com (para Gov Cloud) 1. Negue todas as outras conexões. 1. Ative e inicie o servidor proxy. 1. Observe a PORTA na qual o servidor proxy escuta. 1. Configure sua tabela de rotas para permitir o acesso ao servidor proxy. 1. Acesse seu console VPC e identifique as tabelas de rotas das sub-redes que você usará para hosts de infraestrutura e hosts VDI. 1. Edite a tabela de rotas para permitir que todas as conexões de entrada acessem a instância do servidor proxy criada nas etapas anteriores. 1. Faça isso para tabelas de rotas para todas as sub-redes (sem acesso à Internet) que você usará para Infrastructure/. VDIs 1. Modifique o grupo de segurança da instância EC2 do servidor proxy e certifique-se de que ele permita conexões TCP de entrada na PORTA na qual o servidor proxy está escutando. ### Definir parâmetros de implantação de VPC privados Em[Etapa 1: lançar o produto](launch-the-product.md), espera-se que você insira determinados parâmetros no CloudFormation modelo. Certifique-se de definir os parâmetros a seguir, conforme observado, para implantar com êxito na VPC privada que você acabou de configurar. | Parâmetro | Input | | --- |--- | | InfrastructureHostAMI | Use o ID da AMI de infraestrutura criado em[Prepare imagens de máquinas da Amazon (AMIs)](#prep-ami). | | IsLoadBalancerInternetFacing | Definido como falso. | | LoadBalancerSubnets | Escolha sub-redes privadas sem acesso à Internet. | | InfrastructureHostSubnets | Escolha sub-redes privadas sem acesso à Internet. | | VdiSubnets | Escolha sub-redes privadas sem acesso à Internet. | | ClientIP | Você pode escolher seu CIDR de VPC para permitir o acesso a todos os endereços IP da VPC. | | HttpProxy | Exemplo: http://10.1.2.3:123 | | HttpsProxy | Exemplo: http://10.1.2.3:123 | | NoProxy | Exemplo: 
127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com
| # Crie recursos externos Essa CloudFormation pilha cria certificados de rede, armazenamento, diretório ativo e domínio (se um PortalDomainName for fornecido). Você deve ter esses recursos externos disponíveis para implantar o produto. Você pode [baixar o modelo de receitas](https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) antes da implantação. **Tempo de implantação:** aproximadamente 40 a 90 minutos 1. Faça login no Console de gerenciamento da AWS e abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). **nota** Verifique se você está na sua conta de administrador. 1. [Inicie o modelo](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fs3.amazonaws.com%2Faws-hpc-recipes%2Fmain%2Frecipes%2Fres%2Fres_demo_env%2Fassets%2Fbi.yaml) no console. Se você estiver implantando em uma AWS GovCloud região, inicie o modelo em sua conta de GovCloud partição (por exemplo, [aqui](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://s3.amazonaws.com/aws-hpc-recipes/main/recipes/res/res_demo_env/assets/bi.yaml) para a região AWS GovCloud (Oeste dos EUA)). 1. Insira os parâmetros do modelo: **Importante** Use valores diferentes para `AdminPassword` e `ServiceAccountPassword` para manter os limites de segurança adequados entre essas contas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/create-external-resources.html) 1. Marque todas as caixas de seleção em **Capacidades** e escolha **Criar pilha**. # Etapa 1: lançar o produto Siga as step-by-step instruções nesta seção para configurar e implantar o produto em sua conta. **Tempo de implantação:** Aproximadamente 60 minutos Você pode [baixar o CloudFormation modelo](https://research-engineering-studio-us-east-1.s3.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) desse produto antes de implantá-lo. [Se você estiver implantando em AWS GovCloud (Oeste dos EUA), use esse modelo.](https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json) **res-stack** - Use esse modelo para iniciar o produto e todos os componentes associados. A configuração padrão implanta a pilha principal do RES e os recursos de autenticação, front-end e back-end. **nota** AWS CloudFormation os recursos são criados a partir de construções AWS Cloud Development Kit (AWS CDK) (AWS CDK). O AWS CloudFormation modelo implanta o Research and Engineering Studio AWS no Nuvem AWS. Você deve atender aos [pré-requisitos](prerequisites.md) antes de lançar a pilha. 1. Faça login no Console de gerenciamento da AWS e abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). 1. Inicie o [modelo](https://console.aws.amazon.com/cloudformation/home#/stacks/quickcreate?templateURL=https%3A%2F%2Fresearch-engineering-studio-us-east-1.s3.amazonaws.com%2Freleases%2Flatest%2FResearchAndEngineeringStudio.template.json). Para implantar em AWS GovCloud (Oeste dos EUA), inicie este [modelo](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/quickcreate?templateURL=https://research-engineering-studio-us-gov-west-1.s3.us-gov-west-1.amazonaws.com/releases/latest/ResearchAndEngineeringStudio.template.json). 1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para lançar o produto de outra forma Região da AWS, use o seletor de região na barra de navegação do console. **nota** Este produto usa o serviço Amazon Cognito, que atualmente não está disponível para todos. Regiões da AWS Você deve lançar este produto em um Região da AWS local onde o Amazon Cognito esteja disponível. Para obter a disponibilidade mais atual por região, consulte a [Lista de Região da AWS todos os serviços](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). 1. Em **Parâmetros**, revise os parâmetros desse modelo de produto e modifique-os conforme necessário. Se você implantou os recursos externos automatizados, poderá encontrar esses parâmetros na guia **Saídas** da pilha de recursos externos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/launch-the-product.html) 1. Em **Configurar opções de pilha → Tags - *opcional***, adicione as tags (pares de valores-chave) que você deseja aplicar aos recursos implantados do RES. A chave de tag `Name` e `res:*` é preservada pelo RES e não pode ser usada como chaves de tag. 1. Selecione **Create stack** (Criar pilha) para implantar a pilha. Você pode ver o status da pilha no AWS CloudFormation console na coluna **Status**. Você recebe o status CREATE\$1COMPLETE em aproximadamente 60 minutos. **Importante** Você é responsável por corrigir seus infrastructure/VDI hosts após a implantação. # Etapa 2: faça login pela primeira vez Depois que a pilha de produtos for implantada em sua conta, você receberá um e-mail com suas credenciais. Use o URL para entrar na sua conta e configurar o espaço de trabalho para outros usuários. ![\[Convite por e-mail para primeiro login\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-firstsignin.png) Depois de entrar pela primeira vez, você pode definir as configurações no portal da web para se conectar ao provedor de SSO. Para obter informações sobre a configuração pós-implantação, consulte o. [Guia de configuração](configuration-guide.md) Observe que `clusteradmin` é uma conta inovadora. Você pode usá-la para criar projetos e atribuir membros de usuários ou grupos a esses projetos; ela não pode atribuir pilhas de software nem implantar um desktop sozinha.