本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Amazon WorkSpaces 安全浏览器设置 VPC
要为 WorkSpaces 安全浏览器设置和配置 VPC,请完成以下步骤。
**Topics**
+ [Amazon WorkSpaces 安全浏览器的 VPC 要求](vpc-reqs.md)
+ [为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)
+ [为 Amazon WorkSpaces 安全浏览器启用互联网浏览](internet-browsing.md)
+ [WorkSpaces 安全浏览器的 VPC 最佳实践](vpc-setup-recommendations.md)
+ [Amazon WorkSpaces 安全浏览器支持的可用区域](availability-zones.md)
# Amazon WorkSpaces 安全浏览器的 VPC 要求
在创建 WorkSpaces 安全浏览器门户期间,您将在账户中选择一个 VPC。至少选择两个位于两个不同可用区的子网。这些 VPCs 和子网必须满足以下要求:
+ VPC 必须具有默认租约。 VPCs 不支持使用专用租赁。
+ 出于可用性考虑,我们需要至少两个在两个不同可用区中创建的子网。您的子网必须有足够的 IP 地址才能支持预期 WorkSpaces 的安全浏览器流量。使用允许足够客户端 IP 地址数的子网掩码配置您的各个子网,以容纳预期的最大并发用户数。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)。
+ 所有子网都必须与用户使用 WorkSpaces 安全浏览器访问的任何内部内容(无论位于内部内容 AWS 云 还是内部内容)保持稳定的连接。
出于可用性和扩展方面的考虑,我们建议您选择位于不同可用区中的三个子网。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)。
WorkSpaces Secure Browser 不会为流媒体实例分配任何公有 IP 地址来实现互联网访问。这将使您的流实例可以通过 Internet 进行访问。因此,任何连接到您公有子网的流实例都无法访问 Internet。如果您想让您的 WorkSpaces 安全浏览器门户同时访问公共 Internet 内容和私有 VPC 内容,请完成中的步骤[为 Amazon WorkSpaces 安全浏览器启用不受限制的互联网浏览(推荐)](unrestricted-internet-browsing.md)。
# 为 Amazon WorkSpaces 安全浏览器创建新 VPC
本节介绍如何使用 VPC 向导快速创建包含公有和私有子网的 VPC。该向导会自动创建 Internet 网关、NAT 网关,并为您的子网配置路由表。
有关此配置的更多信息,请参阅[带有公有子网和私有子网(NAT)的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [快速设置 VPC(1 分钟)](vpc-step1.md)
+ [验证您的子网路由表(可选)](vpc-step2.md)
# 快速设置 VPC(1 分钟)
完成以下步骤,为 WorkSpaces 安全浏览器快速创建专用 VPC,其中包含用于互联网访问的公有和私有子网。如果您想使用现有 VPC,请参阅[Amazon WorkSpaces 安全浏览器的 VPC 要求](vpc-reqs.md)以验证其是否符合要求。
**注意**
确保你处于你想要的状态 AWS 区域。如果需要,您可以在控制台中更改区域。
**快速设置 VPC**
1. 打开 VPC 创建向导:[使用资源创建 VPC](https://console.aws.amazon.com/vpcconsole/home#CreateVpc:createMode=vpcWithResources)。除非在下方指定,否则请将所有设置保持为默认值:
+ 对于**要创建的资源**,请选择 **VPC 等**。
+ 对于**名称标签**,选择**自动生成**并输入您的 VPC 的描述性名称(例如)。**WSB-VPC**
+ 对于 **IPv4 CIDR 块**,默认情况下,VPC 使用**10.0.0.0/16**。如果需要,您可以指定不同的 IPv4 CIDR 块。
+ 对于 “**租赁**”,选择 “**默认**”(VPCs 不支持专用租赁)。
+ 对于**可用区数量 (AZs)**,请选择 **2**。
+ 展开 “**自定义**”, AZs然后选择 WorkSpaces 安全浏览器支持的 2 个不同的可用区。有关支持的列表 AZs,请参阅[Amazon WorkSpaces 安全浏览器支持的可用区域](availability-zones.md)。
+ 在 “**公有子网数量**” 中,选择 **2**。
+ 在 “**私有子网数量**” 中,选择 **2**。
+ 对于**子网 CIDR 块**,如果您需要自定义子网中的 CIDR 块,请展开**自定义子**网 CIDR 块。确保每个子网都有足够的 IP 地址来满足您的预期流量。
+ 对于 **NAT 网关**,请选择**区域**以允许所有可用区的私有子网访问互联网。
+ 对于 **VPC 终端节点**,请选择**无**。如果您需要直接访问 S3 而不通过 NAT 网关,请选择 **S3 网关**。
+ 对于 **DNS 选项**,请保持 **DNS 选项**处于启用状态(默认),以确保在您的 VPC 内正确解析名称。
1. 查看预览窗格,然后选择**创建 VPC**。
**注意**
NAT 网关和 VPC 终端节点需支付额外费用。有关更多信息,请参阅 [VPC 定价页面](https://aws.amazon.com/vpc/pricing/)。
# 验证您的子网路由表(可选)
VPC 向导会自动为您配置路由表。如果您手动创建了 VPC 或想要确认配置,则可以验证路由表的以下详细信息是否正确:
+ 与 NAT 网关所在子网关联的路由表必须包含使 Internet 流量指向 Internet 网关的路由。这可确保您的 NAT 网关可以访问 Internet。
+ 与私有子网关联的路由表必须配置为将 Internet 流量指向 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。
**验证并命名子网路由表**
1. 在导航窗格中,选择**子网**,然后选择公有子网。例如,wsb-vpc **-subnet-public1-us-east-1a**。
1. 在**路由表**选项卡上,选择路由表的 ID。例如,**rtb-12345678**。
1. 选择 路由表。在**名称**下,选择编辑(铅笔)图标,然后输入表的名称。例如,输入名称 **workspacesweb-public-routetable**。然后选中复选标记以保存名称。
1. 选中公有路由表的同时,在**路由**选项卡上,确认有两个路由:一个用于发送本地流量,另一个路由用于向 VPC 的互联网网关发送所有其他流量。下表对这两种路由进行了说明:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces-web/latest/adminguide/vpc-step2.html)
1. 在导航窗格中,选择 **Subnets**(子网)。然后,选择一个私有子网(例如**WSB-VPC-subnet-private1-us-east-1a**)。
1. 在**路由表**选项卡上,选择路由表的 ID。
1. 选择 路由表。在**名称**下,选择编辑(铅笔)图标,然后输入表的名称。例如,输入名称 **WSB-VPC-private-routetable**。然后选中复选标记以保存名称。
1. 在 **Routes (路由)** 选项卡上,验证路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces-web/latest/adminguide/vpc-step2.html)
1. 在导航窗格中,选择 **Subnets**(子网)。然后选择您创建的第二个私有子网(例如 **WorkSpaces Secure Browser Private Subnet2**)。
1. 在**路由表**选项卡上,验证所选路由表是否为私有路由表(例如,**workspacesweb-private-routetable**)。如果路由表不同,请选择**编辑**,然后选择私有路由表。
# 为 Amazon WorkSpaces 安全浏览器启用互联网浏览
您可以选择启用不受限制的 Internet 浏览(推荐选项)或受限的 Internet 浏览。
**Topics**
+ [为 Amazon WorkSpaces 安全浏览器启用不受限制的互联网浏览(推荐)](unrestricted-internet-browsing.md)
+ [为 Amazon WorkSpaces 安全浏览器启用受限的互联网浏览](restricted-internet-browsing.md)
+ [Amazon WorkSpaces 安全浏览器的互联网连接端口](vpc-connection.md)
# 为 Amazon WorkSpaces 安全浏览器启用不受限制的互联网浏览(推荐)
按照以下步骤配置带有 NAT 网关的 VPC,以实现不受限制的 Internet 浏览。这允许 WorkSpaces 安全浏览器访问公共 Internet 上的站点,以及托管在您的 VPC 中或与您的 VPC 连接的私有站点。
**配置带有 NAT 网关的 VPC 以实现不受限制的 Internet 浏览**
如果您希望您的 WorkSpaces 安全浏览器门户同时访问公共互联网内容和私有 VPC 内容,请按照以下步骤操作:
**注意**
如果您已配置 VPC,请完成以下步骤,将 NAT 网关添加到 VPC。如果您需要创建新 VPC,请参阅[为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)。
1. 要创建 NAT 网关,请完成[创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)中的步骤。确保此 NAT 网关具有公有连接,并且位于您 VPC 的公有子网中。
1. 您必须至少指定两个位于不同可用区的子网。将子网分配给不同的可用区有助于确保实现更好的可用性和容错能力。有关如何创建带有私有子网的 VPC 的信息,请参阅[快速设置 VPC(1 分钟)](vpc-step1.md)。
**注意**
为确保每个流媒体实例都能访问互联网,请勿将公有子网连接到您的 WorkSpaces 安全浏览器门户。
1. 更新与您的私有子网关联的路由表,以将面向 Internet 的流量指向该 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。有关如何将路由表与私有子网关联的信息,请完成[配置路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)中的步骤。
# 为 Amazon WorkSpaces 安全浏览器启用受限的互联网浏览
WorkSpaces 安全浏览器门户的推荐网络设置是使用带有 NAT 网关的私有子网,这样门户就可以浏览公共 Internet 和私有内容。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器启用不受限制的互联网浏览(推荐)](unrestricted-internet-browsing.md)。但是,您可能需要使用 Web 代理来控制从 WorkSpaces 安全浏览器门户到互联网的出站通信。例如,如果您使用 Web 代理作为访问 Internet 的网关,则可以实施预防性安全控制措施,例如域允许列表和内容筛选。这还可以通过在本地缓存经常访问的资源(例如网页或软件更新),来减少带宽使用量并提高网络性能。对于某些使用案例,您可能拥有只能通过使用 Web 代理访问的私有内容。
您可能已经了解如何在托管设备上或虚拟环境的映像上配置代理设置。但是,如果您无法控制设备(例如,当用户使用的设备不是由企业拥有或管理时),或者如果您需要管理虚拟环境的映像,这就会带来挑战。借助 WorkSpaces 安全浏览器,您可以使用 Web 浏览器中内置的 Chrome 政策来设置代理设置。为此,您可以为 WorkSpaces 安全浏览器设置 HTTP 出站代理。
此解决方案基于推荐的出站 VPC 代理设置。代理解决方案基于开源 HTTP 代理 [Squid](http://www.squid-cache.org/)。然后,它使用 WorkSpaces 安全浏览器设置将 WorkSpaces 安全浏览器门户配置为连接到代理端点。有关更多信息,请参阅[如何设置具有域白名单和内容筛选功能的出站 VPC 代理](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)。
此解决方案为您提供了以下优势:
+ 出站代理,包括一组由网络负载均衡器托管的自动扩缩 Amazon EC2 实例。代理实例位于公有子网中,每个实例都附有弹性 IP,因此它们可以访问 Internet。
+ 部署到私有子网 WorkSpaces 的安全浏览器门户。您无需配置 NAT 网关即可启用 Internet 访问。相反,您需要配置浏览器策略,以便所有 Internet 流量都通过出站代理。如果您想使用自己的代理,则 WorkSpaces 安全浏览器门户的设置将与之类似。
**Topics**
+ [Amazon WorkSpaces 安全浏览器的互联网浏览架构受限](restricted-architecture.md)
+ [Amazon WorkSpaces 安全浏览器的受限互联网浏览先决条件](restricted-prerequisites.md)
+ [亚马逊 WorkSpaces 安全浏览器的 HTTP 出站代理](restricted-setup.md)
+ [Amazon WorkSpaces 安全浏览器的互联网浏览受限疑难解答](restricted-troubleshooting.md)
# Amazon WorkSpaces 安全浏览器的互联网浏览架构受限
下面是 VPC 中的典型代理设置示例。Amazon EC2 代理实例位于公有子网中,并与弹性 IP 关联,因此它们可以访问 Internet。网络负载均衡器托管自动扩缩组的代理实例。这样可以确保代理实例可以自动扩展,并且网络负载均衡器是单个代理端点,可供 WorkSpaces 安全浏览器会话使用。
![\[WorkSpaces 安全浏览器架构\]](http://docs.aws.amazon.com/zh_cn/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)
# Amazon WorkSpaces 安全浏览器的受限互联网浏览先决条件
在开始之前,请确保您满足以下先决条件:
+ 您需要一个已经部署的 VPC,其公有子网和私有子网分布在多个可用区(AZs)。有关如何设置 VPC 环境的更多信息,请参阅[默认 VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。
+ 您需要一个可以从 WorkSpaces 安全浏览器会话所在的私有子网访问的单个代理终端节点(例如,网络负载均衡器 DNS 名称)。如果您想使用现有代理,请确保它还有一个可以从您的私有子网访问的端点。
# 亚马逊 WorkSpaces 安全浏览器的 HTTP 出站代理
要为 WorkSpaces 安全浏览器设置 HTTP 出站代理,请按照以下步骤操作。
1. 要将出站代理示例部署到您的 VPC,请按照[如何设置具有域白名单和内容筛选功能的出站 VPC 代理](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)中的步骤操作。
1. 按照 “安装(一次性设置)” 中的步骤将 CloudFormation模板部署到您的账户。请务必选择正确的 VPC 和子网作为 CloudFormation 模板参数。
1. 部署完成后,找到 CloudFormation 输出参数**OutboundProxyDomain**和**OutboundProxyPort**。这是您代理的 DNS 名称和端口。
1. 如果您已经拥有自己的代理,请跳过此步骤,并使用您代理的 DNS 名称和端口。
1. 在 WorkSpaces 安全浏览器的控制台中,选择您的门户,然后选择**编辑**。
1. 在**网络连接详细信息**中,选择有权访问代理的 VPC 和私有子网。
1. 在**策略设置**中,使用 JSON 编辑器添加以下 ProxySettings策略。`ProxyServer` 字段应为您代理的 DNS 名称和端口。有关 ProxySettings 策略的更多详细信息,请参阅[ProxySettings](https://chromeenterprise.google/policies/#ProxySettings)。
```
{
"chromePolicies":
{
...
"ProxySettings": {
"value": {
"ProxyMode": "fixed_servers",
"ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
"ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
}
},
}
}
```
1. 在您的 WorkSpaces 安全浏览器会话中,您将看到代理已应用于 Chrome 设置 **Chrome 使用管理员提供的代理设置**。
1. 访问 chrome://policy 和 **Chrome 策略**选项卡,确认该策略已应用。
1. 验证您的 WorkSpaces 安全浏览器会话是否可以在没有 NAT 网关的情况下成功浏览互联网内容。在 CloudWatch 日志中,验证是否记录了 Squid 代理访问日志。
# Amazon WorkSpaces 安全浏览器的互联网浏览受限疑难解答
应用 Chrome 政策后,如果您的 WorkSpaces 安全浏览器会话仍然无法访问互联网,请按照以下步骤尝试解决您的问题:
+ 验证是否可以从 WorkSpaces 安全浏览器门户所在的私有子网访问代理终端节点。为此,请在私有子网中创建一个 EC2 实例,然后测试私有 EC2 实例与代理端点的连接。
+ 验证代理是否可以访问 Internet。
+ 验证 Chrome 策略是否正确。
+ 确认策略 `ProxyServer` 字段的以下格式:`:`。前缀中不应包含 `http://` 或 `https://`。
+ 在 WorkSpaces 安全浏览器会话中,使用 Chrome 导航至 chrome: //政策,并确保该 ProxySettings 政策已成功应用。
# Amazon WorkSpaces 安全浏览器的互联网连接端口
每个 WorkSpaces Secure Browser 流式传输实例都有一个客户网络接口,该接口可提供与您的 VPC 内资源的连接,如果设置了带有 NAT 网关的私有子网,则还可连接到 Internet。
要连接 Internet,以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组,需要手动添加必需的规则。有关更多信息,请参阅[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules.html)。
**注意**
这适用于出口流量。
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8433
# WorkSpaces 安全浏览器的 VPC 最佳实践
以下建议可帮助您更安全有效地配置 VPC。
**VPC 整体配置**
+ 确保您的 VPC 配置可以支持扩展需求。
+ 确保您的 WorkSpaces 安全浏览器服务配额(也称为限制)足以满足您的预期需求。要申请增加配额,你可以使用 Service Quotas 控制台,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 安全浏览器配额的信息,请参阅[在 Amazon WorkSpaces 安全浏览器中管理门户网站的服务配额](request-service-quota.md)。
+ 如果您计划为流会话提供 Internet 访问权限,建议您在公有子网中配置一个带有 NAT 网关的 VPC。
**弹性网络接口**
+ 在直播期间,每个 WorkSpaces 安全浏览器会话都需要自己的 elastic network 接口。 WorkSpaces Secure Browser 创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENIs) 与队列所需的最大容量一样多。默认情况下, ENIs 每个区域的限制为 5000。有关更多信息,请参阅[网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis)。
在为超大型部署(例如数千个并发流式传输会话)规划容量时,请考虑峰值使用量可能需要的容量数量。 ENIs 建议您将 ENI 限制保持在您为 Web 门户配置的最大并发使用限制或高于该限制。
**子网**
+ 在制定扩大用户规模的计划时,请记住,每个 WorkSpaces 安全浏览器会话都需要来自已配置子网的唯一客户端 IP 地址。因此,子网上配置的客户端 IP 地址空间的大小决定了可以同时进行流会话的用户数量。
+ 建议使用允许足够客户端 IP 地址数的子网掩码配置各个子网,以容纳预期的最大并发用户数。此外,考虑添加额外的 IP 地址来容纳预期的增长。有关更多信息,请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 出于可用性和扩展方面的考虑,我们建议您在所需区域中 WorkSpaces 安全浏览器支持的每个唯一可用区中配置一个子网。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)。
+ 请确保可通过您的子网访问 Web 应用程序所需的网络资源。
**安全组**
+ 使用安全组向您的 VPC 提供额外的访问控制。
属于您的 VPC 的安全组允许您控制 WorkSpaces 安全浏览器流式传输实例与 Web 应用程序所需的网络资源之间的网络流量。确保安全组提供了对 Web 应用程序所需网络资源的访问权限。
# Amazon WorkSpaces 安全浏览器支持的可用区域
当您创建用于 WorkSpaces 安全浏览器的虚拟私有云 (VPC) 时,您的 VPC 的子网必须位于您启动 WorkSpaces 安全浏览器的区域中的不同可用区中。可用区是被设计为可以隔离其他可用区的故障的不同位置。通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响。每个子网都必须完全位于一个可用区之内,不能跨越多个可用区。我们建议您为所需区域中每个受支持的可用区配置一个子网,以实现最大的弹性
可用区由区域代码后跟一个字母标识符表示;例如,`us-east-1a`。为确保资源分配到区域的各可用区,我们将可用区独立映射到每个 AWS 账户的名称。例如,您的 `us-east-1a` 账户的可用区 AWS 可能与另一 `us-east-1a` 账户的 AWS 不在同一位置。
要跨账户协调可用区,您必须使用 *AZ ID*(可用区的唯一、一致的标识符)。例如,`use1-az2`是该`us-east-1`区域的可用区 ID,它在每个 AWS 账户中的位置都相同。
IDs 通过查看可用区,您可以确定一个账户中的资源相对于另一个账户中的资源的位置。例如,如果您在 AZ ID 为 `use1-az2` 的可用区中与另一个账户共享一个子网,则在 AZ ID 也为 `use1-az2` 的可用区中该账户便可使用这一子网。每个 VPC 和子网的 AZ ID 均显示在 Amazon VPC 控制台中。
WorkSpaces 安全浏览器在每个受支持区域的可用区域的子集中可用。下表列 IDs 出了您可以用于每个区域的可用区。要查看您账户中可用区 IDs 与可用区的映射,请参阅*AWS RAM 用户指南*[中的资源可用 IDs ](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)区。
| 区域名称 | 区域代码 | 支持的可用区 IDs |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | use1-az1, use1-az2, use1-az4, use1-az5, use1-az6 |
| 美国西部(俄勒冈州) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| 亚太地区(孟买) | ap-south-1 | aps1-az1, aps1-az3 |
| 亚太地区(新加坡) | ap-southeast-1 | apse1-az1, apse1-az2, apse1-az3 |
| 亚太地区(悉尼) | ap-southeast-2 | apse2-az1, apse2-az2, apse2-az3 |
| 亚太地区(东京) | ap-northeast-1 | apne1-az1, apne1-az2, apne1-az4 |
| 加拿大(中部) | ca-central-1 | cac1-az1, cac1-az2, cac1-az4 |
| 欧洲地区(法兰克福) | eu-central-1 | euc1-az2, euc1-az2, euc1-az3 |
| 欧洲地区(爱尔兰) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| 欧洲地区(伦敦) | eu-west-2 | euw2-az1, euw2-az2 |
有关可用区和可用区的更多信息 IDs,请参阅 A *mazon EC2 用户指南*中的[区域、可用区和本地区域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)。